TLS测评漏洞问题

文章目录环境症状问题原因解决方案环境系统平台银河麒麟 X86_64版本4.5.10症状一、症状描述客户漏扫反馈当前使用的瀚高数据库数据库远程服务接受使用TLS1.0和TLS1.1的加密连接。TLS1.0具有若干加密设计缺陷不能通过安全测评。要求启用TLS1.2或1.3支持禁用 TLS 1.0 支持。问题原因原因一客户操作系统使用的openssl版本过低不支持TLS1.2或1.3。原因二 数据库参数ssl_min_protocol_version和ssl_max_protocol_version两个参数没有设置。 ssl_min_protocol_version设置要使用的最小SSL/TLS协议版本 ssl_max_protocol_version设置要使用的最大SSL/TLS协议版本。解决方案步骤1:让客户自行升级系统openssl版本目前支持openssl1.1.X的版本都支持TLS1.2和1.3。[rootdhdb ~]# openssl version步骤2查看数据库是否开启ssl。[rootdhdb ~]# psql -U sysdba highgo# show ssl;步骤3查看当前TLS参数和当前连接状态。highgo# show ssl_min_protocol_version; highgo# show ssl_max_protocol_version; highgo# select * from pg_stat_ssl;主要查看ssl和version列。步骤4修改两个参数并重载数据库highgo# alter system set ssl_min_protocol_version TLSv1.2; highgo# alter system set ssl_max_protocol_version TLSv1.2; highgo# show ssl_min_protocol_version; highgo# show ssl_max_protocol_version; highgo# select pg_reload_conf();步骤5新建远程连接并查看连接状态。[rootdhdb ~]# psql -h IP地址 -p port -U sysdba -d highgo highgo# select * from pg_stat_ssl;修改后连接成功会有提示信息pg_stat_ssl试图中也有相关信息。