根据: ANNOUNCE:磅 – 反向代理和负载平衡器 – v2.7d /罗伯特Segall ,下面的增强增加了:
- added "Disable PROTO" directives (fix for Poodle vulnerability) 我的系统:
[root@6svprx01 ~]# uname -a Linux 6svprx01.XXX.org 2.6.32-504.el6.x86_64 #1 SMP Tue Sep 16 01:56:35 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux [root@6svprx01 ~]# rpm -q Pound Pound-2.6-2.el6.x86_64 [root@6svprx01 ~]# grep Ciphers /etc/pound.cfg Ciphers "ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!SSLv2:RC4+RSA:+HIGH:+MEDIUM" [root@6svprx01 ~]#
…解决POODLE SSLv3,我把!SSLv3添加到Ciphers 。
然而,在使用Qualys SSL Labs - Projects / SSL Server Test进行testing时,我在Handshake Simulation遇到了Protocol or cipher suite mismatch问题。
有没有办法解决这个问题,而不是升级到磅v2.7d(testing版),然后使用新的指令?
可以在pcidss / v2.6分支上使用goochjj / pound ,即Pound 2.6,加上密码和协议补丁(最初)以通过PCI合规性,并且作为禁用SSL3的指令的一部分。
# grep DisableSSL /etc/pound.cfg DisableSSLv3 DisableSSLv2 #
*更新*
DisableSSLv3似乎是使用未修补Version 2.6 unknown directive ,在Ciphers内部使用-SSLv3:-SSLv2 。
上面的@ alexus的答案完全适合我。 在这里添加一些额外的笔记,以防其他人遇到这个页面。 对于这个问题的具体组合,似乎没有很多好的指导。
1)原始问题的原因是,当一个SSLv3encryption到Ciphers时,Pound的未修补版本会禁用所有的SSLv3密码。 TLS主要依赖于相同的密码,没有它们就不能很好地工作。
2)当您尝试在@ alexus链接的修补版本上运行./configure时,旧版本的GCC将会出错,因为它不能识别-Wno-unused-result标志。 我手动删除,一切似乎运行良好。
3) DisableSSLv3指令进入ListenHTTPs中的ListenHTTPs块(在Ciphers指令旁边)