使用可能な暗号のリストに照らし合わせて、vRealize Automation アプライアンス RabbitMQ サービスの暗号を確認し、強度が弱いとみなされるものすべてを無効にします。

このタスクについて

NULL 暗号スイート、aNULL、または eNULL などの認証を提供しない暗号スイートを無効にします。この他に、匿名の Diffie-Hellman キー交換 (ADH)、エクスポート レベルの暗号(EXP、DES を含んでいる暗号)、ペイロード トラフィックの暗号化に対する 128 ビットより小さいサイズのキー、ペイロード トラフィックのハッシュ メカニズムとしての MD5 の使用、IDEA 暗号スイート、および RC4 暗号スイートも無効にします。

手順

  1. サポートされる暗号スイートを評価します。# /usr/sbin/rabbitmqctl eval 'ssl:cipher_suites().' コマンドを実行します。

    次の例で返される暗号は、サポートされる暗号のみを表しています。RabbitMQ サーバは、rabbitmq.config ファイルでこれらの暗号を使用またはアドバタイズするように構成されていない限り、使用またはアドバタイズを行いません。

    ["ECDHE-ECDSA-AES256-GCM-SHA384","ECDHE-RSA-AES256-GCM-SHA384",
     "ECDHE-ECDSA-AES256-SHA384","ECDHE-RSA-AES256-SHA384",
     "ECDH-ECDSA-AES256-GCM-SHA384","ECDH-RSA-AES256-GCM-SHA384",
     "ECDH-ECDSA-AES256-SHA384","ECDH-RSA-AES256-SHA384",
     "DHE-RSA-AES256-GCM-SHA384","DHE-DSS-AES256-GCM-SHA384",
     "DHE-RSA-AES256-SHA256","DHE-DSS-AES256-SHA256","AES256-GCM-SHA384",
     "AES256-SHA256","ECDHE-ECDSA-AES128-GCM-SHA256",
     "ECDHE-RSA-AES128-GCM-SHA256","ECDHE-ECDSA-AES128-SHA256",
     "ECDHE-RSA-AES128-SHA256","ECDH-ECDSA-AES128-GCM-SHA256",
     "ECDH-RSA-AES128-GCM-SHA256","ECDH-ECDSA-AES128-SHA256",
     "ECDH-RSA-AES128-SHA256","DHE-RSA-AES128-GCM-SHA256",
     "DHE-DSS-AES128-GCM-SHA256","DHE-RSA-AES128-SHA256","DHE-DSS-AES128-SHA256",
     "AES128-GCM-SHA256","AES128-SHA256","ECDHE-ECDSA-AES256-SHA",
     "ECDHE-RSA-AES256-SHA","DHE-RSA-AES256-SHA","DHE-DSS-AES256-SHA",
     "ECDH-ECDSA-AES256-SHA","ECDH-RSA-AES256-SHA","AES256-SHA",
     "ECDHE-ECDSA-DES-CBC3-SHA","ECDHE-RSA-DES-CBC3-SHA","EDH-RSA-DES-CBC3-SHA",
     "EDH-DSS-DES-CBC3-SHA","ECDH-ECDSA-DES-CBC3-SHA","ECDH-RSA-DES-CBC3-SHA",
     "DES-CBC3-SHA","ECDHE-ECDSA-AES128-SHA","ECDHE-RSA-AES128-SHA",
     "DHE-RSA-AES128-SHA","DHE-DSS-AES128-SHA","ECDH-ECDSA-AES128-SHA",
     "ECDH-RSA-AES128-SHA","AES128-SHA"]
    
  2. 組織のセキュリティ要件を満たす、サポートされる暗号を選択します。

    たとえば、ECDHE-ECDSA-AES128-GCM-SHA256 & ECDHE-ECDSA-AES256-GCM-SHA384 だけを許可するには、/etc/rabbitmq/rabbitmq.config ファイルを確認し、ssl および ssl_options に次の行を追加します。

    {ciphers, [“ECDHE-ECDSA-AES128-GCM-SHA256”, “ECDHE-ECDSA-AES256-GCM-SHA384”]}

  3. 次のコマンドを使用して、RabbitMQ サーバを再起動します。

    service rabbitmq-server restart