インフラストラクチャーのセキュリティー要件に応じて、Satellite の暗号化設定を変更したり、脆弱性 を素早く修正したりする場合があります。以降のセクションを使用して、強度の低い SSL 暗号化と 64 ビットの暗号スイートを無効にします。
8.1. 強度の低い SSL 2.0 および SSL 3.0 暗号化の無効化
Satellite が SSL の脆弱性が原因で Nessus スキャンを失敗した場合、またはセキュリティーインフラス
トラクチャーで SSL 2.0 と SSL 3.0 の無効化が必要な場合には、
/etc/foreman-installer/custom-hiera.yaml ファイルを編集して、強度の低い暗号化を削除できます。
Satellite の強度の低いの強度の低い SSL 2.0 およびおよび SSL 3.0 暗号化を無効にする手順暗号化を無効にする手順
Satellite で強度の低い暗号化を無効にするには、次の手順を実行します。
1. /etc/foreman-installer/custom-hiera.yaml ファイルを開いて、編集します。
# vi /etc/foreman-installer/custom-hiera.yaml 2. 次のエントリーを追加します。
# Foreman Proxy
foreman_proxy::tls_disabled_versions: [ '1.1' ]
# Dynflow
foreman_proxy::plugin::dynflow::tls_disabled_versions: [ '1.1' ]
# Apache
apache::mod::ssl::ssl_protocol: [ 'ALL' , '-SSLv3' , '-TLSv1' , '-TLSv1.1' , '+TLSv1.2' ]
# Tomcat / Candlepin
candlepin::tls_versions: [ '1.2' ]
# QPID Dispatch
foreman_proxy_content::qpid_router_ssl_protocols: [ 'TLSv1.2' ]
foreman_proxy_content::qpid_router_ssl_ciphers: 'ALL:!aNULL:+HIGH:-SSLv3:!IDEA-CBC-SHA'
3. satellite-installer ツールを引数なしで再実行します。
# satellite-installer
4. satellite-maintain サービスを再起動します。
# satellite-maintain service restart
Capsule の強度の低いの強度の低い SSL 2.0 およびおよび SSL 3.0 暗号化を無効にする手順暗号化を無効にする手順
Capsule の強度の低い暗号化を無効にするには、次の手順を実行します。
1. /etc/foreman-installer/custom-hiera.yaml ファイルを開いて、編集します。
# vi /etc/foreman-installer/custom-hiera.yaml
2. 次のエントリーを追加します。
# Foreman Proxy
foreman_proxy::tls_disabled_versions: [ '1.1' ]
# Dynflow
foreman_proxy::plugin::dynflow::tls_disabled_versions: [ '1.1' ]
# Apache
apache::mod::ssl::ssl_protocol: [ 'ALL' , '-SSLv3' , '-TLSv1' , '-TLSv1.1' , '+TLSv1.2' ]
# QPID Dispatch
foreman_proxy_content::qpid_router_ssl_protocols: [ 'TLSv1.2' ]
foreman_proxy_content::qpid_router_ssl_ciphers: 'ALL:!aNULL:+HIGH:-SSLv3:!IDEA-CBC-SHA'
# PULP
pulp::ssl_protocol: "ALL -SSLv3 -TLSv1 -TLSv1.1 +TLSv1.2"
3. satellite-installer ツールを引数なしで再実行します。
# satellite-installer
4. satellite-maintain サービスを再起動します。
# satellite-maintain service restart
8.2. 64 ビットブロックサイズ暗号スイート (SWEET32) の無効化
Satellite の暗号スイートを更新する場合は、暗号を編集してから、
/etc/foreman-installer/custom-hiera.yaml ファイルに変更を加え、これらの変更を永続化します。
暗号スイートを更新するには、次の手順を使用できます。
以下の暗号のブラウザー最小要件は、Firefox 27 です。
1. /etc/httpd/conf.d/ssl.conf Apache 設定ファイルを開いて、編集します。
# vi /etc/httpd/conf.d/ssl.conf
2. SSLCipherSuite パラメーターの値を更新します。
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-
SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20- POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM- SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
3. httpd サービスを再起動します。
# systemctl restart httpd
4. 別の satellite-installer 実行で変更を永続化するには、 /etc/foreman-installer/custom-hiera.yaml ファイルを開いて、編集します。
# vi /etc/foreman-installer/custom-hiera.yaml
5. apache の次のエントリーを追加します。
apache::mod::ssl::ssl_cipher:
ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA- AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-
POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM- SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
6. satellite-installer ツールを実行して、Apache の設定を変更します。
# satellite-installer --scenario satellite