服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何修复OpenVPN服务器configuration中的Logjam漏洞?
Intereting Posts
我如何让Nginx将身份validation作为反向代理传递给IIS? Powershell脚本在第二个函数上输出空白 允许访问HOME目录内的特定文件夹给其他用户 如何在Linux中显示文本文件中的某些行? opendkim传入未validation 拥有所有者权限的angular色? Spring Boot 1.2.7,Tomcat,CSS和Thymeleaf =非常慢的服务 在同一台服务器上设置子域名 Windowsangular色虚拟化 我的服务器不听25端口,即使iptables允许smtpstream量 OpenNebula图像和模板有什么区别? 在Debian中镜像驱动器 在sudoers中设置默认值 301使用IIS从mydomain.co.ukredirect到www.mydomain.co.uk 使用内部更改监视器/ MON:1选项自动运行Windows Robocopy

如何修复OpenVPN服务器configuration中的Logjam漏洞?

在撰写本文时(第二天),关于如何缓解Apache和其他Web服务器(如本页面)的Logjam,几乎没有准确的指导原则:

https://weakdh.org/sysadmin.html

OpenVPN服务器的类似说明是什么?

OpenVPN是否受到影响? (我猜是的,因为这是一个TLS协议问题)。

攻击仅以非常有限的方式影响OpenVPN,因为:

  1. OpenVPN鼓励用户使用“openssl dhparam”生成自己的DH-group,而不是使用普通的组。 用于提供1024位DH密钥(最近更新为2048)的手册页/示例,尽pipe1024位dh参数可以被破坏,但仍然非常昂贵。 如果你不与他人分享这个群组,那么你的数据可能太昂贵了。
  2. OpenVPN不支持EXPORT DH参数,因此TLS回滚攻击不适用于OpenVPN。

为了安全起见,使用至less2048位的DH参数。 更新DH参数很简单,只需要在服务器上进行更改。 使用例如生成新的参数 

$ openssl dhparam -out dh3072.pem 3072

然后更新您的服务器configuration以使用这些新的参数 

 dh dh3072.pem

并重新启动服务器。

简而言之,以下几点可以作为参考:

  • 确保DH params密钥的大小大于2048位。 如果不是的话,应该重新生成。
  • 确保OpenVPNconfiguration文件中的tls-cipher设置不会被覆盖,或者如果是,则不包含弱和出口级别的密码。 (如果在configuration中根本没有定义,可以使用命令行检查OpenVPN安装版本的支持密码列表: openvpn --show-tls
  • 确保安装了最新版本的OpenSSL。 在这个时候,这是1.0.2a。 此版本的导出密码function被禁用,但仍允许使用较弱的DH密钥。

PS:我写了一篇关于它的博客文章,内容是上面给出的tl; dr的扩展版本。