保持系统和OpenSSL更新
定期运行sudo apt update && sudo apt upgrade更新Ubuntu系统和所有相关软件包,确保安全补丁及时应用;通过sudo apt install openssl安装或升级到最新版本的OpenSSL,新版本通常包含关键安全修复。
配置安全的SSL/TLS协议与密码套件
编辑OpenSSL主配置文件(通常为/etc/ssl/openssl.cnf),在[system_default_sect]部分添加或修改以下内容,禁用SSLv2、SSLv3等不安全协议,限制仅使用TLSv1.2及以上版本,并排除弱密码套件(如aNULL、MD5):
MinProtocol = TLSv1.2
CipherString = HIGH:!aNULL:!MD5
若为Web服务器(如Nginx、Apache),还需在对应配置文件中明确指定协议和密码套件,例如Nginx配置中添加:
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'HIGH:!aNULL:!MD5';
ssl_prefer_server_ciphers on;
生成并管理强密钥与证书
使用OpenSSL生成高安全等级的密钥(如RSA 4096位或ECC 256位),避免使用过短或弱算法的密钥:
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
确保证书有效期合理(建议不超过1年),并通过cron作业设置自动续期提醒;私钥需用强密码保护,存储时设置严格权限(chmod 600 key.pem),仅允许root用户访问。
限制OpenSSL访问权限
通过chmod和chown命令限制OpenSSL配置文件及密钥的访问范围,防止未授权用户读取或篡改:
sudo chmod 600 /etc/ssl/openssl.cnf
sudo chown root:root /etc/ssl/openssl.cnf
sudo chmod 600 /path/to/private.key
避免将私钥存储在公共目录(如/tmp),建议存放在/etc/ssl/private/等专用目录。
禁用不安全的功能与算法
在OpenSSL配置或应用程序代码中,禁用已被证明不安全的功能,如SSLv2/SSLv3协议、RC4/DES等弱加密算法、静态DH密钥交换;若使用ECC,选择P-256或更高等级的曲线,避免使用secp192r1等弱曲线。
启用HSTS(HTTP严格传输安全)
若部署Web服务,在服务器配置中添加HSTS头信息,强制浏览器仅通过HTTPS与服务器通信,防止降级攻击(如SSL剥离)。例如Nginx配置中添加:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
设置max-age为1年(31536000秒),并包含子域名,提升安全性。
监控、审计与日志记录
启用OpenSSL日志功能(若配置文件支持),将日志输出到专用文件(如/var/log/openssl.log),便于追踪安全事件;使用sslscan、nmap等工具定期扫描SSL/TLS配置,检测弱协议、弱密码套件等问题:
sudo apt install sslscan
sslscan --tls-version all yourdomain.com
定期审计OpenSSL配置文件的变更(如通过git版本控制),确保未被恶意修改;设置监控告警(如fail2ban),及时响应异常访问。
备份关键数据
定期备份OpenSSL配置文件(/etc/ssl/openssl.cnf)、私钥(key.pem)和证书(cert.pem),建议使用加密备份(如tar+gpg),存储在离线或安全的云存储中,防止数据丢失或泄露。
