Beoordeel de codes van de vRealize Automation-toepassing RabbitMQ-service op basis van de lijst met acceptabele codes en schakel alle codes uit die als zwak worden beschouwd.

Over deze taak

Schakel coderingssuites uit die geen verificatie bieden, zoals de coderingssuites NULL, aNULL of eNULL. Schakel ook anonieme Diffie-Hellman-sleuteluitwisseling (ADH) uit, codes op exportniveau (EXP, codes met DES), sleutels van minder dan 128 bit voor het versleutelen van nettoladingverkeer, het gebruik van MD5 als hashing-mechanisme voor nettoladingverkeer, IDEA-coderingssuites en RC4-coderingssuites.

Procedure

  1. Evalueer de ondersteunde coderingssuites door de opdracht # /usr/sbin/rabbitmqctl eval 'ssl:cipher_suites().' uit te voeren.

    De in het volgende voorbeeld geretourneerde codes vertegenwoordigen uitsluitend de ondersteunde codes. De RabbitMQ-server maakt geen gebruik van deze codes en kondigt ze ook niet aan, tenzij hij is geconfigureerd om dit te doen in het bestand rabbitmq.config.

    ["ECDHE-ECDSA-AES256-GCM-SHA384","ECDHE-RSA-AES256-GCM-SHA384",
     "ECDHE-ECDSA-AES256-SHA384","ECDHE-RSA-AES256-SHA384",
     "ECDH-ECDSA-AES256-GCM-SHA384","ECDH-RSA-AES256-GCM-SHA384",
     "ECDH-ECDSA-AES256-SHA384","ECDH-RSA-AES256-SHA384",
     "DHE-RSA-AES256-GCM-SHA384","DHE-DSS-AES256-GCM-SHA384",
     "DHE-RSA-AES256-SHA256","DHE-DSS-AES256-SHA256","AES256-GCM-SHA384",
     "AES256-SHA256","ECDHE-ECDSA-AES128-GCM-SHA256",
     "ECDHE-RSA-AES128-GCM-SHA256","ECDHE-ECDSA-AES128-SHA256",
     "ECDHE-RSA-AES128-SHA256","ECDH-ECDSA-AES128-GCM-SHA256",
     "ECDH-RSA-AES128-GCM-SHA256","ECDH-ECDSA-AES128-SHA256",
     "ECDH-RSA-AES128-SHA256","DHE-RSA-AES128-GCM-SHA256",
     "DHE-DSS-AES128-GCM-SHA256","DHE-RSA-AES128-SHA256","DHE-DSS-AES128-SHA256",
     "AES128-GCM-SHA256","AES128-SHA256","ECDHE-ECDSA-AES256-SHA",
     "ECDHE-RSA-AES256-SHA","DHE-RSA-AES256-SHA","DHE-DSS-AES256-SHA",
     "ECDH-ECDSA-AES256-SHA","ECDH-RSA-AES256-SHA","AES256-SHA",
     "ECDHE-ECDSA-DES-CBC3-SHA","ECDHE-RSA-DES-CBC3-SHA","EDH-RSA-DES-CBC3-SHA",
     "EDH-DSS-DES-CBC3-SHA","ECDH-ECDSA-DES-CBC3-SHA","ECDH-RSA-DES-CBC3-SHA",
     "DES-CBC3-SHA","ECDHE-ECDSA-AES128-SHA","ECDHE-RSA-AES128-SHA",
     "DHE-RSA-AES128-SHA","DHE-DSS-AES128-SHA","ECDH-ECDSA-AES128-SHA",
     "ECDH-RSA-AES128-SHA","AES128-SHA"]
    
  2. Selecteer ondersteunde codes die voldoen aan de beveiligingsvereisten van uw organisatie.

    Om bijvoorbeeld alleen ECDHE-ECDSA-AES128-GCM-SHA256 & ECDHE-ECDSA-AES256-GCM-SHA384 toe te staan, bekijkt u het bestand /etc/rabbitmq/rabbitmq.config en voegt u de volgende regel toe aan ssl en ssl_options.

    {ciphers, [“ECDHE-ECDSA-AES128-GCM-SHA256”, “ECDHE-ECDSA-AES256-GCM-SHA384”]}

  3. Start de RabbitMQ-server opnieuw op met de volgende opdracht.

    service rabbitmq-server restart