Linux 远程服务支持在PCI扫描中使用中等强度SSL密码错误
我在扫描我的服务器是否符合PCI时收到此错误。我想知道是不是因为我关闭了iptables。我不想让他们再次扫描它,直到我确定它会通过。我的第一个问题是,有没有办法自己扫描一下?我的另一个问题是,关闭iptables是否就是实际问题 下面是我遇到的几个错误:Linux 远程服务支持在PCI扫描中使用中等强度SSL密码错误,linux,ssl,tcp,iptables,pci-dss,Linux,Ssl,Tcp,Iptables,Pci Dss,我在扫描我的服务器是否符合PCI时收到此错误。我想知道是不是因为我关闭了iptables。我不想让他们再次扫描它,直到我确定它会通过。我的第一个问题是,有没有办法自己扫描一下?我的另一个问题是,关闭iptables是否就是实际问题 下面是我遇到的几个错误: TCP 443 https-远程服务支持使用弱SSL密码 TCP 465 urd-远程服务接受使用SSL 2.0加密的连接 TCP 993 imaps-远程服务使用具有已知弱点的协议加密流量 TCP 995 POP3-远程服务接受使用SSL
- TCP 443 https-远程服务支持使用弱SSL密码
- TCP 465 urd-远程服务接受使用SSL 2.0加密的连接
- TCP 993 imaps-远程服务使用具有已知弱点的协议加密流量
- TCP 995 POP3-远程服务接受使用SSL 2.0加密的连接
感谢您的时间。这些错误与iptables无关-它们表明突出显示的服务配置为以弱或不安全的方式支持SSL 但是,如果您不打算向外部世界提供邮件服务,则应分别禁用在端口465、993和995上运行的SMTPS、IMAPS和POP3S服务(或使用iptables阻止它们)
此外,假设您确实打算提供HTTPS服务,您将需要修复正在侦听的web服务器的SSL配置。您需要将其配置为仅支持TLS 1.0连接,并且仅支持强密码。如果您使用的是Apache,则需要调整ssl.conf文件中的一些设置。重要的是SSLProtocol和SSLCipherSuite。以下设置适用于我,但不适用于YMMV。您可能需要将这些内容添加到站点的VirtualHost容器中,而不是简单地调整默认容器中的现有内容
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:!MEDIUM:+HIGH
试试这些,然后使用下面的扫描工具做一个免费的扫描,看看你的网站是什么密码可用
这解释了与PCI合规性扫描失败有关的一些其他问题。这些发现都是从“远程服务支持中等强度SSL密码”开始的。我不知道该怎么办。这是一个GoDaddy VDS,从我看到的情况来看是这样的。我会问另一个问题,但不知道该问什么。你能就这个问题提出一些建议吗?