问题:
我们最近的VA报告显示,在Kubernetes etcd端口上可能会被TLS/SSL Birthday攻击。
建议的解决方案是将服务器配置为禁用对3DES套件的支持。
问题是:
- 如何禁用对3DES套件的支持?
- 这个配置将如何影响我们运行的Kubernetes服务?
- 如何配置服务器以禁用对静态密钥密码套件的支持?
答案1:
密码套件可以通过密码套件参数:
$ etcd
--cipher-suites TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
这里说这些密码套件应该是安全的。
编辑:
在Ubuntu-18.04 LTE上的Kubernetes中运行etcd修复此问题。
编辑:/etc/etcd.env
添加此行:
ETCD_CIPHER_SUITES=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
相关文章