Jak wyłączyć szyfr RC4 podczas korzystania z Syslog-NG 3.5 jako Syslog Server przez TCP / TLS?

Syslog-ng 3.5.6 to najnowsza wersja oferowana obecnie przez Debian stable (jessie).

Nie jestem pewien, jak umieścić na czarnej liście szyfry w tej wersji.

Nowsze wersje Syslog-ng wydają się oferować bardziej wyrafinowaną dyrektywę cipher-suite () i ssl-options ().

Nie jestem pewien, jak interpretować to, co jest napisane w dokumentacji Syslog-ng 3.5: cipher-suite ()

Idealnie chciałbym wyłączyć szyfrowanie TLSv1.0 i RC4 dla syslog-ng 3.5

— PhilippN
źródło

Użyj komendy openssl ciphers -v, aby zobaczyć, które szyfry obsługuje Twój system, wybierz taki, który obsługuje TLSv1.2 i ustaw go w opcji cipher-suite ().

Lub możesz uaktualnić do nowszej wersji syslog-ng, możesz pobrać aktualne pliki binarne syslog-ng dla Debiana .

— Robert Fekete
źródło

Dziękuję Ci. Działa przy użyciu ciągów z openssl ciphers -v. Czy można podać listę szyfrów? (zwykle są one ograniczone przez dwukropki, ale to nie działa). Dostarczenie tylko jednego pakietu szyfrów może prowadzić do problemów, które nie powiodły się podczas uzgadniania ssl, ponieważ nie można było wynegocjować pasujących szyfrów.

— PhilippN

Cześć, lista dostępnych szyfrów zależy od wersji biblioteki OpenSSL użytej do kompilacji syslog-ng. Niestety nie możemy dołączyć listy poprawek do dokumentacji.

— Robert Fekete

Nie o to prosiłem. Obecnie używam cipher-suite(AES128-SHA256)w mojej konfiguracji. Co działa, ale usługa oferuje teraz tylko jeden pakiet szyfrów. Nie wiem, jak określić więcej niż jeden pakiet w dyrektywie. cipher-suite(AES128-SHA256:AES256-SHA256)nie działa. Czy to w ogóle możliwe, a jeśli tak, to jaki jest ogranicznik?

— PhilippN

Rozumiem. Wypróbuj pakiet szyfrów („AES128-SHA256: AES256-SHA256”).

— Robert Fekete,

Tak, działało idealnie. Nie wiem, dlaczego sam nie próbowałem tego zacytować. Byłaś bardzo dużą pomocą. Dziękuję Ci bardzo.

— PhilippN