Moin,

ich hab kürzlich mal meine DM800SE gegen meinen Vulnerability Scanner laufen lassen und doch einige schöne Überraschungen erhalten. Nachdem ich dann Samba und vsftpd deinstalliert habe - da ich es ohnehin nicht benötige - Telnet deaktiviert und Dropbear mal auf die aktuelle Version 2015.71 hochgezogen habe, bleiben an sich nur noch die SSL Schwachstellen offen.
Konfigurationsdatei konnte ich zwar eine unter /usr/lib/enigma2/python/Plugins/Extensions/WebInterface/plugin.py finden, allerdings gibts da auch nur Settings für die Generierung von Key und Cert. Zertifikat beziehe ich allerdings ohnehin aus meiner eigenen PKI CA.
Gibts ne Möglichkeit SSLv2!!!! und SSLv3 zu deaktivieren und dagegen TLSv1.1 und TLSv1.2 zu aktivieren? Zudem würde ich die schwachen Cipher ebenfalls deaktivieren und anstelle von CBC auf GCM oder alternativ CTR setzen wollen.

Vorab schon mal Danke.

Nachfolgend noch zwei Screens vor und nach meinen Änderungen.

Zitat von Reichi

Ich setze mir das mal auf meine Liste. Ich persönlich habe einen Reverse Proxy mit ordentlichem Zertifikat vor allen von außen erreichbaren Boxen. Zum einen weil das die Firewall übersichtlicher hält, zum anderen weil die boxen dann ohne Bedenken mit ihren generierten Certs laufen können ohne dass sich ein Browser daran stört. Jetzt wo let's encrypt in der public beta ist eine um so interessantere Option wenn man schon irgendwo daheim nen Apache o. Ä. Laufen hat der mach aussen sichtbar ist.

Aber wie gesagt werde ich mich da mal um sinnvolle default Optionen kümmern.

Top danke. Klar, viele Wege führen nach Rom