修復OpenSSL CVE-2014-0160資安漏洞後必做工作

修復OpenSSL CVE-2014-0160資安漏洞後必做工作

OpenSSL的CVE-2014-0160漏洞被揭露之後,我們除了要進行OpenSSL的更新之外,還要避免我們原本的SSL Key在修復前就被偷走的風險,因此建議做以下的防護動作。

[ideabox] 更新SSH Host Key [/ideabox]
sudo ssh-keygen -f /etc/ssh/ssh_host_rsa_key -b 4096 -t rsa
sudo ssh-keygen -f /etc/ssh/ssh_host_dsa_key -b 1024 -t dsa
[ssbluelist]
  • -b 是指Key的長度,建議至少設置在2048以上
  • dsa 的長度則一定是1024
[/ssbluelist] [ideabox] 更新使用者的key [/ideabox]
切換到該使用者之後
ssh-keygen -b 4096 -t rsa
[ssbluelist]
  • -b 是指Key的長度,建議至少設置在2048以上
  • 如果這位使用者原本的key,有存放在另外其它主機的authorized_keys,記得其它主機的authorized_keys也要一併更新
[/ssbluelist] [ideabox] 更新網站SSL憑證所使用的Key和CSR [/ideabox]
openssl req -new -newkey rsa:4096 -nodes -sha256 -out [NAME].csr -keyout [NAME].key
[ssbluelist]
  • 請將 [NAME] 換成你自己常用的名稱,建議跟原本的名稱一樣,這樣後面可以少做一些修改
  • rsa:4096 是指private key的長度,可以選擇2048, 3072, 4096三種長度
  • -sha256 加上這個參數是用來產生SHA-256的CSR,並且用來產生SHA-2的SSL憑證
  • 記得先備份原本的SSL憑證相關檔案: key, csr, crt和bundle crt這幾個檔案
  • 如果忘記原本csr的內容,可以打開現在csr的檔案,把內容貼到CSR Decoder這個網站去做反解,得到當初填寫的內容
  • 到申請SSL的網站進行re-key,然後把csr貼上去
  • 等待大約5分鐘,就會拿到新的crt
  • 修改Web Server SSL相關的設定,以Apache為例就是修改 /etc/httpd/conf.d/ssl.conf
  • 重新啟動Web Server
[/ssbluelist]

阿維

阿維雜記本的偷懶維護者

2 Comments