허용되는 암호 목록을 기준으로 vRealize Automation 장치 RabbitMQ 서비스 암호를 검토하고 약한 것으로 생각되는 모든 암호를 사용 안 함으로 설정합니다.

이 태스크 정보

NULL 암호 그룹, aNULL 또는 eNULL과 같이 인증을 제공하지 않는 암호 그룹은 사용하지 않도록 설정합니다. 또한 익명 Diffie-Hellman 키 교환(ADH), 내보내기 수준 암호(EXP, DES를 포함하는 암호), 페이로드 트래픽 암호화에 대한 128비트 미만의 키 크기, 페이로드 트래픽에 대한 해시 메커니즘으로 MD5 사용, IDEA 암호화 그룹 및 RC4 암호화 그룹을 사용하지 않도록 설정합니다.

프로시저

  1. 지원되는 암호 그룹을 평가하기 위해 # /usr/sbin/rabbitmqctl eval 'ssl:cipher_suites().' 명령을 실행합니다.

    다음 예에서 반환되는 암호는 지원되는 암호만 나타냅니다. RabbitMQ 서버는 rabbitmq.config 파일에 구성된 경우가 아니면 이러한 암호를 사용하거나 알리지 않습니다.

    ["ECDHE-ECDSA-AES256-GCM-SHA384","ECDHE-RSA-AES256-GCM-SHA384",
     "ECDHE-ECDSA-AES256-SHA384","ECDHE-RSA-AES256-SHA384",
     "ECDH-ECDSA-AES256-GCM-SHA384","ECDH-RSA-AES256-GCM-SHA384",
     "ECDH-ECDSA-AES256-SHA384","ECDH-RSA-AES256-SHA384",
     "DHE-RSA-AES256-GCM-SHA384","DHE-DSS-AES256-GCM-SHA384",
     "DHE-RSA-AES256-SHA256","DHE-DSS-AES256-SHA256","AES256-GCM-SHA384",
     "AES256-SHA256","ECDHE-ECDSA-AES128-GCM-SHA256",
     "ECDHE-RSA-AES128-GCM-SHA256","ECDHE-ECDSA-AES128-SHA256",
     "ECDHE-RSA-AES128-SHA256","ECDH-ECDSA-AES128-GCM-SHA256",
     "ECDH-RSA-AES128-GCM-SHA256","ECDH-ECDSA-AES128-SHA256",
     "ECDH-RSA-AES128-SHA256","DHE-RSA-AES128-GCM-SHA256",
     "DHE-DSS-AES128-GCM-SHA256","DHE-RSA-AES128-SHA256","DHE-DSS-AES128-SHA256",
     "AES128-GCM-SHA256","AES128-SHA256","ECDHE-ECDSA-AES256-SHA",
     "ECDHE-RSA-AES256-SHA","DHE-RSA-AES256-SHA","DHE-DSS-AES256-SHA",
     "ECDH-ECDSA-AES256-SHA","ECDH-RSA-AES256-SHA","AES256-SHA",
     "ECDHE-ECDSA-DES-CBC3-SHA","ECDHE-RSA-DES-CBC3-SHA","EDH-RSA-DES-CBC3-SHA",
     "EDH-DSS-DES-CBC3-SHA","ECDH-ECDSA-DES-CBC3-SHA","ECDH-RSA-DES-CBC3-SHA",
     "DES-CBC3-SHA","ECDHE-ECDSA-AES128-SHA","ECDHE-RSA-AES128-SHA",
     "DHE-RSA-AES128-SHA","DHE-DSS-AES128-SHA","ECDH-ECDSA-AES128-SHA",
     "ECDH-RSA-AES128-SHA","AES128-SHA"]
    
  2. 조직의 보안 요구 사항을 충족하는 지원 암호를 선택합니다.

    예를 들어 ECDHE-ECDSA-AES128-GCM-SHA256 & ECDHE-ECDSA-AES256-GCM-SHA384만 허용하려면 /etc/rabbitmq/rabbitmq.config 파일을 검토하고 ssl 및 ssl_options에 다음 줄을 추가합니다.

    {ciphers, [“ECDHE-ECDSA-AES128-GCM-SHA256”, “ECDHE-ECDSA-AES256-GCM-SHA384”]}

  3. 다음 명령을 사용하여 RabbitMQ 서버를 다시 시작합니다.

    service rabbitmq-server restart