TLS测评漏洞问题
·
环境
系统平台:银河麒麟 (X86_64)
版本:4.5.10
症状
客户漏扫反馈当前使用的瀚高数据库数据库远程服务接受使用TLS1.0和TLS1.1的加密连接。TLS1.0具有若干加密设计缺陷,不能通过安全测评。要求启用TLS1.2或1.3支持,禁用 TLS 1.0 支持。
问题原因
原因一:客户操作系统使用的openssl版本过低,不支持TLS1.2或1.3。
原因二: 数据库参数ssl_min_protocol_version和ssl_max_protocol_version两个参数没有设置。 ssl_min_protocol_version:设置要使用的最小SSL/TLS协议版本, ssl_max_protocol_version:设置要使用的最大SSL/TLS协议版本。
解决方案
步骤1:让客户自行升级系统openssl版本,目前支持openssl1.1.X的版本都支持TLS1.2和1.3。
[root@dhdb ~]# openssl version

步骤2:查看数据库是否开启ssl。
[root@dhdb ~]# psql -U sysdba
highgo=# show ssl;

步骤3:查看当前TLS参数和当前连接状态。
highgo=# show ssl_min_protocol_version;
highgo=# show ssl_max_protocol_version;
highgo=# select * from pg_stat_ssl;

主要查看ssl和version列。
步骤4:修改两个参数并重载数据库
highgo=# alter system set ssl_min_protocol_version = 'TLSv1.2';
highgo=# alter system set ssl_max_protocol_version = 'TLSv1.2';
highgo=# show ssl_min_protocol_version;
highgo=# show ssl_max_protocol_version;
highgo=# select pg_reload_conf();


步骤5:新建远程连接,并查看连接状态。
[root@dhdb ~]# psql -h IP地址 -p port -U sysdba -d highgo
highgo=# select * from pg_stat_ssl;

修改后连接成功会有提示信息,pg_stat_ssl试图中也有相关信息。
openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构
更多推荐

所有评论(0)