2015-10-19

Splunk 6.1.3 如何關閉 SSLv3

從 Splunk 4 用到 Splunk 6.1.3

其實,就以 log server 來說,只要該軟體能做到查詢快,可自製 template 和可分類…也沒有一定要用 splunk …話說最近有測 nreporter

因為去年的 SSL 風波很大條,所以大部份有帶 web service 的東西現在都會被很注意 ssl 加密的版本…目前一般資安等級會要求要將 sslv2, sslv3 停用,至少使用到 TLSv1 但最好是用到 TLSv1.1 或 TLSv1.2

目前瀏覽器 chrome 好像會將 TLSv1.2 視為「預設」,只要你的網站有支援,它就不會使用低版本的。

各大資安弱掃的也會將你的網站支援 ssl 加密的版本當作掃描條件。

splunk 因為本身會自帶 web 服務 (預設好像是 8000 port) ,還有 host listener (預設好像是 8089 port) ,也因為如此,這一次資安弱掃有掃到 8000 和 8089 有支援 sslv2, sslv3 ,建議要將這兩個版本給關閉…因為 ssl 漏洞的資安等級不小,以單位定義的則測是「中」以上的等級就要修補…所以就開始翻資料。

資料參考1:How to disable SSL protocol in Splunk to mitigate poodle vulnerability
資料參考2:splunk 6.1.3 官方文件說明庫 - web.conf
資料參考3:splunk 6.1.3 官方文件說明庫 - server.conf