环境信息:
RKE2 版本: v1.24.8+rke2r1
问题描述:
安全扫描到apiServer使用DES和3DES算法
安全扫描安全描述:TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据
已经找到方法了
在配置文件/etc/rancher/rke2/config.yaml 添加如下内容:
kube-apiserver-arg:
- --tls-cipher-suites=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
然后重启rke2-server服务即可
再次用nmap工具查看已经不存在3DES加密算法了
nmap工具命令如下:
nmap --script ssl-enum-ciphers -p 6443 127.0.0.1
后面1.25版本的好像不存在这种弱算法漏洞了
1 个赞