问题：

我们最近的VA报告显示，在Kubernetes etcd端口上可能会被TLS/SSL Birthday攻击。

建议的解决方案是将服务器配置为禁用对3DES套件的支持。

问题是：

• 如何禁用对3DES套件的支持？
• 这个配置将如何影响我们运行的Kubernetes服务？
• 如何配置服务器以禁用对静态密钥密码套件的支持？

答案1：

密码套件可以通过密码套件参数：

$ etcd 


 --cipher-suites TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

这里说这些密码套件应该是安全的。

编辑：

在Ubuntu-18.04 LTE上的Kubernetes中运行etcd修复此问题。

编辑：/etc/etcd.env添加此行：

ETCD_CIPHER_SUITES=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384