¡Una puntada a tiempo ahorra nueve!
Esto es perfectamente aplicable en el caso de vulnerabilidades de seguridad del servidor.
SSLv3 es un método débil de transferencia de datos entre servidores. Y esto puede provocar la fuga de datos confidenciales del servidor.
Por eso, ayudamos a nuestros clientes a deshabilitar SSLv3 en sus servidores como parte de nuestros Servicios de soporte para servidores web.
Hoy, discutiremos cómo deshabilitar SSLv3 en varios sistemas operativos Linux.
¿Cómo comprobar si SSLv3 está habilitado?
El primer paso que debe hacer cuando se entera de una nueva vulnerabilidad es comprender si es aplicable a su servidor.
Para SSLv3, una manera fácil de hacer esto es verificar la conexión en el puerto 443 del servidor usando el comando:
Reemplace example.com con el nombre de su servidor y 443 con su puerto ssl.
Si el servidor es seguro, el resultado se mostraría como
Cualquier resultado diferente a este significa que el servidor es compatible con SSLv3.
¿Cómo deshabilitar SSLv3 en Linux?
Cuando sabe que el servidor es un posible objetivo, es necesario actuar con rapidez para evitar que los piratas informáticos aprovechen esta vulnerabilidad.
Desafortunadamente, no existe un parche simple listo para usar.
La única forma posible es deshabilitar SSLv3 en las diferentes aplicaciones utilizadas en el servidor. Además, los pasos exactos difieren según el tipo de servidor.
Veamos ahora de cerca cómo nuestros ingenieros de soporte deshabilitan SSLv3 en cada una de estas aplicaciones.
1. Apache
En el servidor web Apache, para deshabilitar SSLv3, editamos el valor del Protocolo en el archivo de configuración. Luego, para que los cambios sean efectivos, debemos reiniciar el servicio. La ubicación del archivo de configuración. El comando de reinicio del servicio varía según el tipo de servidor.
Por ejemplo, en las versiones de servidor CentOS o RedHat 4,5,6, agregamos la siguiente línea en el archivo /etc/httpd/conf.d/ssl.conf
SSLProtocol Todo -SSLv2 -SSLv3
Esto significa que todos los protocolos excepto SSLv2, SSLv3 serán compatibles con el servidor.
Después de hacer esto, necesitamos reiniciar Apache con el comando:
reinicio del servicio httpd
En los servidores Centos / RedHat 7.x +, el comando de reinicio de Apache sería:
systemctl reiniciar httpd.service
De manera similar, en los servidores Ubuntu y Debian, necesitamos hacer los siguientes cambios como usuario root.
1. Edite el archivo /etc/apache2/mods-available/ssl.conf. 2. Agregue la línea "SSLProtocol All -SSLv2 -SSLv3" 3. Ejecute el comando "service apache2 restart".
2. Nginx
Para deshabilitar SSLv3 en otro servidor web popular, NGINX, necesitamos editar el archivo de configuración nginx.conf.
Y agregamos la siguiente línea a la directiva del servidor:
A esto le sigue un reinicio del servicio que nuevamente depende del sistema operativo del servidor.
El comando exacto para reiniciar en los servidores CentOS sería
3. Exim
El servidor de correo Exim también hace uso de protocolos seguros en el manejo de correos electrónicos. Como resultado, también necesitamos deshabilitar SSLv3 en Exim. Para hacer esto, necesitamos hacer cambios en el archivo de configuración exim en /etc/exim.conf.
Aquí, modificamos el parámetro tlsrequireciphers que instruye a exim sobre la forma de manejar el tráfico de correo.
Para deshabilitar totalmente SSLv3, lo configuramos como
Luego reiniciamos el servicio exim en el servidor.
En los servidores de cPanel, se pueden realizar los mismos cambios desde el panel WHM.
Inicie sesión en WHM → Configuración del servicio → Administrador de configuración de Exim → Editor avanzado
Aquí, hacemos y guardamos los cambios, seguidos de un reinicio de Exim.
4. Postfix SMTP
De manera similar, Postfix necesita cambios solo cuando está en modo SSL obligatorio. En este modo, todo el tráfico de correo electrónico se realiza a través de SSLv3.
Por lo tanto, nuestros especialistas en seguridad ajustan la configuración de postfix en /etc/postfix/main.cf para reflejar el siguiente cambio:
Después de reiniciar Postfix, el servidor de correo no utilizará SSLv3 ni SSLv2.
5. Palomar
Necesitamos realizar cambios similares en la configuración de Dovecot para deshabilitar los protocolos vulnerables. Para las versiones de Dovecot superiores a 2.1, agregue la siguiente línea a /etc/dovecot/local.conf.
Luego reiniciamos el servicio con el comando
Problemas detectados al deshabilitar SSLv3
A partir de nuestra experiencia en la gestión de servidores, vemos que, a menudo, la desactivación del protocolo vulnerable puede no funcionar correctamente.
Por ejemplo, en un servidor CentOS 6, hubo un problema con la desactivación del protocolo SSLv3.
Aquí, los valores correctos SSLProtocol establecidos en el archivo /etc/httpd/conf.d/ssl.conf, SSLv3 todavía estaba habilitado. Esto sucedió porque la versión 2.4.6 de Apache en el servidor ignoraba este valor en la configuración de cada sitio web.
Entonces, para solucionar el problema, nuestros ingenieros de soporte movieron la línea "SSLProtocol all -SSLv3 -SSLv2" del archivo /etc/httpd/conf.d/ssl. conf al archivo Apache principal en /etc/httpd/conf/httpd.conf.
En consecuencia, verificamos la configuración y reiniciamos Apache.
Además de esto, hemos visto casos de fallas en el servicio debido a errores humanos al editar los archivos de configuración. La solución aquí es verificar la configuración antes del reinicio del servicio.
Hoy en día, deshabilitar SSLv3 en los servidores es un requisito para evitar intentos de pirateo en los servidores. La secuencia exacta de pasos varía según el tipo de servidor. Hoy, hemos discutido cómo nuestros ingenieros de seguridad deshabilitan SSLv3 en diferentes aplicaciones en los servidores.
https://kirukiru.es/como-instalar-y-crear-un-usb-de-arranque-con-ventoy-en-linux/
https://kirukiru.es/como-encontrar-la-contrasena-de-la-reunion-de-zoom/
altoslip43's comments