Rke2 apiServer 如何关闭DES和3DES算法

环境信息:
RKE2 版本: v1.24.8+rke2r1

问题描述:
安全扫描到apiServer使用DES和3DES算法
安全扫描安全描述:TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据

已经找到方法了
在配置文件/etc/rancher/rke2/config.yaml 添加如下内容:

kube-apiserver-arg:
  - --tls-cipher-suites=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305

然后重启rke2-server服务即可
再次用nmap工具查看已经不存在3DES加密算法了

nmap工具命令如下:

nmap --script ssl-enum-ciphers -p 6443  127.0.0.1

后面1.25版本的好像不存在这种弱算法漏洞了

1 个赞