Як забезпечити інсталяцію Spiceworks за допомогою SSL - Як

Як забезпечити інсталяцію Spiceworks за допомогою SSL

** Цей посібник було оновлено 16.03.2015 для включення запропонованої зміни за допомогою https://community.spiceworks.com/profile/show/Utegrad, який надав правильний спосіб перезаписувати зовнішні підключення до HTTPS (оскільки деякі запити Spiceworks) використовуйте 127.0.0.1 як URL-адресу, якщо вони змушені до SSL, то він порушує сертифікат SSL) **

Цей короткий How-to пояснить, як поліпшити безпеку установок Spiceworks, змусивши кожного використовувати SSL для підключення, а також встановити деякі мінімальні вимоги до того, який тип SSL-з'єднань ми хочемо прийняти.
Це видалить деякі з менш безпечних варіантів, які дозволили деякі з старих версій SSL, наприклад, взагалі не використовувати шифр SSL (дозволяючи перехоплювати весь трафік).

Я не претендую на безпеку шифрів, які ми дозволяємо, щоб ви все ще хотіли зробити власні дослідження та додатково увімкнути / вимкнути шифри.

Загалом 3 кроки

Крок 1: Примушуйте всі з'єднання використовувати SSL


Оскільки Spiceworks використовує Apache, ми можемо легко змусити всі з'єднання використовувати SSL, застосовуючи правило перезапису URL.

Для цього потрібно змінити файл httpd.conf, який містить конфігурацію Apache. Це зберігається у папці інсталяції Spiceworks під httpd: conf.

Прокрутіть вниз до кінця файлу httpd.conf і навколо рядка 147 шукайте рядки, які містять:

FcgidMaxProcessesPerClass 1
FcgidMinProcessesPerClass 1

Потім під цим рядком додайте таке:

RewriteEngine On
#Force SSL на всіх з'єднаннях
RewriteCond% {HTTPS} вимкнено
RewriteCond% {REMOTE_HOST}! ^ 0 0 .1
RewriteRule (. *) Https: //% {HTTP_HOST}% {REQUEST_URI}

Крок 2. Змініть параметри SSL


Тепер ми хочемо сказати Apache, які протоколи SSL ми будемо приймати і відключати деякі з менш захищених шифрів, які можна використовувати.

Для цього перейдіть до самого нижнього краю файлу httpd.conf і знайдіть розділ, який починається з:

Всередині цього або коментар або видалити рядок, який починається з "SSLCipherSuite".
Тепер додайте ці два рядки на своє місце:

SSLПротокол -ALL + SSLv3 + TLSv1
SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LOW:! EXP: RC4 + RSA: + HIGH: + MEDIUM

Це в основному говорить Apache, що ми хочемо тільки прийняти SSL версії 3 і TLS версії 1, а також обмеження, що шифри можуть бути використані для обробки шифрування, в цьому випадку ми відключаємо такі речі, як NULL шифри (без шифрування).

Трохи подальших досліджень може дозволити вам редагувати цей список ще більше в залежності від ваших вимог безпеки.

Крок 3. Зберегти та застосувати зміни

Збережіть зміни httpd.conf, а потім застосуйте їх, перезапустіть Spiceworks.
Ви можете переконатися, що вони працюють, намагаючись дістатися до Spiceworks Install, просто скориставшись посиланням http: //.

Тепер ви використовуєте SSL для всього, що ви можете розглянути, використовуючи "правильний" сертифікат SSL, який не створює попереджень у веб-переглядачі. Існує два способи зробити це, або придбати публічний SSL-сертифікат, звідки-небудь GoDaddy, це найкраще робити, якщо ви маєте намір мати зовнішніх користувачів (наприклад, клієнтів), які мають доступ до Spiceworks. Крім того, якщо ви використовуєте Spicework, ви можете створити власний сертифікат SSL, який підписано належним чином, а потім поширювати його всім користувачам вручну або через групову політику.