TLS测评漏洞问题
文章目录
- 环境
- 症状
- 问题原因
- 解决方案
环境
系统平台:银河麒麟 (X86_64)
版本:4.5.10
症状
一、症状描述
客户漏扫反馈当前使用的瀚高数据库数据库远程服务接受使用TLS1.0和TLS1.1的加密连接。TLS1.0具有若干加密设计缺陷,不能通过安全测评。要求启用TLS1.2或1.3支持,禁用 TLS 1.0 支持。
问题原因
原因一:客户操作系统使用的openssl版本过低,不支持TLS1.2或1.3。
原因二: 数据库参数ssl_min_protocol_version和ssl_max_protocol_version两个参数没有设置。 ssl_min_protocol_version:设置要使用的最小SSL/TLS协议版本, ssl_max_protocol_version:设置要使用的最大SSL/TLS协议版本。
解决方案
步骤1:让客户自行升级系统openssl版本,目前支持openssl1.1.X的版本都支持TLS1.2和1.3。
[root@dhdb ~]# openssl version
步骤2:查看数据库是否开启ssl。
[root@dhdb ~]# psql -U sysdba highgo=# show ssl;
步骤3:查看当前TLS参数和当前连接状态。
highgo=# show ssl_min_protocol_version; highgo=# show ssl_max_protocol_version; highgo=# select * from pg_stat_ssl;
主要查看ssl和version列。
步骤4:修改两个参数并重载数据库
highgo=# alter system set ssl_min_protocol_version = 'TLSv1.2'; highgo=# alter system set ssl_max_protocol_version = 'TLSv1.2'; highgo=# show ssl_min_protocol_version; highgo=# show ssl_max_protocol_version; highgo=# select pg_reload_conf();
步骤5:新建远程连接,并查看连接状态。
[root@dhdb ~]# psql -h IP地址 -p port -U sysdba -d highgo highgo=# select * from pg_stat_ssl;
修改后连接成功会有提示信息,pg_stat_ssl试图中也有相关信息。