Security 禁用etcd Kubernetes中的3DES_EDE_CBC_SHA密码
在Kubernetes服务器上使用nmap评估网络安全时,我们注意到如下警告 ~]#nmap xxx.xx.xx.xx-p6443-sVC--script=ssl*Security 禁用etcd Kubernetes中的3DES_EDE_CBC_SHA密码,security,ssl,kubernetes,tls1.2,etcd,Security,Ssl,Kubernetes,Tls1.2,Etcd,在Kubernetes服务器上使用nmap评估网络安全时,我们注意到如下警告 ~]#nmap xxx.xx.xx.xx-p6443-sVC--script=ssl* . . . ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A | TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A |
.
.
.
ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| compressors:
| NULL
| cipher preference: server
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
通过一些研究,我们了解到TLS_RSA_With_3DES_EDE_CBC_SHA(RSA 2048)-C密码套件支持64位块SSL/TLS握手,建议的解决方案是禁用Kubernetes etcd中的密码选项。请帮我怎么做
对此非常感谢您的其他意见,请告诉我保护环境的更好方法。您可以使用
--cipher suites
CLI选项来保护etcd。有关其所有TLS配置选项的摘要,请参阅。默认密码基于用于编译密码的Go版本。您可以使用--cipher suites
CLI选项编辑etcd。有关其所有TLS配置选项的摘要,请参阅。默认密码基于用于编译它的Go版本。在上面的文档之后,在/etc/kubernetes/manifests/etcd.yaml中的spec.containers.command下,我添加了以下条目并重新启动了etcd,没有任何更改---cipher suites=TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,在上面的文档之后,在/etc/kubernetes/manifests/etcd.yaml中的spec.containers.command下,我添加了以下条目并重新启动了etcd,没有任何更改----cipher suites=TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,