如何修改yaws.conf中支持的密碼以防止poodlebleed

Question

我的雅虎服務器暴露於poodlebleed漏洞，我想修改受支持的密碼以降低或消除風險。我已經嘗試了基於密碼手冊頁的密碼字符串的多種組合。每一次嘗試都會導致「壞密碼規範」或「意外輸入」。

在網上搜索了一個例子，但沒有找到，我希望你們中的一個人有一個他們可以分享的工作示例。雖然可能是操作員錯誤，但服務器正在運行erlang R16B-03.7.el7和yaws 1.98-2.el7。

Answer 1

首先，雖然不是您的問題的直接答案，請注意，我最近使用新的SSL配置設置增強了Yaws，protocol_version，它允許您完全取出SSLv3。這是Yaws master at github。要使用它，您將protocol_version配置變量在ssl配置塊，像這樣：

<ssl> 
    protocol_version = tlsv1.2, tlsv1.1, tlsv1 
</ssl> 

如果你願意進行升級，這樣可以幫助解決獅子狗漏洞。

現在，回答你的問題：你設置一個包含Erlang條款的字符串的密碼，如從the ssl:cipher_suites/0 function返回的那些。如果我從一個交互式會話雅司病調用此函數，例如，我得到：

1> ssl:cipher_suites(). 
[{ecdhe_ecdsa,aes_256_cbc,sha384}, 
{ecdhe_rsa,aes_256_cbc,sha384}, 
{ecdh_ecdsa,aes_256_cbc,sha384}, 
{ecdh_rsa,aes_256_cbc,sha384}, 
... 

有更多的輸出，但我簡稱它是什麼在這裏可以看到足以幫助回答你的問題。下面的例子設置ciphers在yaws.conf剛剛從上面的輸出的前兩元組：

<ssl> 
    ciphers = "[{ecdhe_ecdsa,aes_256_cbc,sha384},{ecdhe_rsa,aes_256_cbc,sha384}]" 
</ssl> 

至於文檔，有這樣的Yaws conf man page一個例子。