nginx

Nginx ปล่อย update แก้ไขช่องโหว่ integer overflow อาจทำให้ Information Leakage ได้

1 minute read
165 views
July 13, 2017
by techsuii-admin
No comments

Nginx ประกาศปล่อย patch สำหรับปิดช่องโหว่ CVE-2017-7529 ซึ่งเป็นช่องโหว่เกี่ยวกับ Nginx Range Filter โดยส่งผลให้เกิดช่องโหว่ integer overflow ทำให้ประมวลผลเรื่อง range ของข้อมูลที่จะส่งกลับไปผิดพลาด ทำให้อาจเกิด Information Leakage ได้ เมื่อ Nginx ใช้ module ที่มาโดย default อาจจะทำให้ Hacker สามารถกำหนด range ที่จะส่ง…

View Post

วิธีการ Configure ให้ Website ได้รับ Grade A+ จาก SSLLab

2 minute read
2.1K views
February 18, 2017
by techsuii-admin
No comments

จริงๆเคยโพสต์แบบนี้ไปแล้วตอน techsuii.com version 1 ไปแล้ว แต่เนื่องด้วยเว็บล่มไปแล้ว ดังนั้นเลยเอามาให้ดูกันใหม่ แต่คราวที่แล้วผมพูดถึง Nginx เท่านั้น คราวนี้ผมจะอิงจาก cipherli.st ครับทำให้มันจะมีทั้ง Apache, Nginx, Lighttpd ครับ โดยผมมีการปรับเพิ่มเติมนิดหน่อยให้มันสมบูรณ์มากขึ้นครับ Apache

# if you want the best secure use "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"
SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:EC
DHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES25
6-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
# Disable SSL
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off 
SSLUseStapling on 
SSLStaplingCache "shmcb:logs/stapling-cache(150000)" 
# Requires Apache >= 2.4.11
SSLSessionTickets Off

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

# if you want the best secure use "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"

SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:EC

DHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES25

6-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS

# Disable SSL

SSLProtocol All -SSLv2 -SSLv3

SSLHonorCipherOrder On

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Header always set X-Frame-Options DENY

Header always set X-Content-Type-Options nosniff

# Requires Apache >= 2.4

SSLCompression off

SSLUseStapling on

SSLStaplingCache "shmcb:logs/stapling-cache(150000)"

# Requires Apache >= 2.4.11

SSLSessionTickets Off

Nginx

# Disable SSL
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# openssl dhparam -out dhparams.pem 4096
ssl_dhparam /etc/ssl/dhparam.pem;
# Server chose the best ciphers
ssl_prefer_server_ciphers on;
# If you want the best, you can use "AES256+EECDH:AES256+EDH:!aNULL";
ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:EC
DHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES25
6-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS";
ssl_ecdh_curve secp384r1; # Requires nginx >= 1.1.0
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off; # Requires nginx >= 1.5.9
ssl_stapling on; # Requires nginx >= 1.3.7
ssl_stapling_verify on; # Requires nginx => 1.3.7
# You can use "resolver 8.8.8.8 8.8.4.4"
resolver $DNS-IP-1 $DNS-IP-2 valid=300s; 
resolver_timeout 5s;
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

# Disable SSL

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

# openssl dhparam -out dhparams.pem 4096

ssl_dhparam /etc/ssl/dhparam.pem;

# Server chose the best ciphers

ssl_prefer_server_ciphers on;

# If you want the best, you can use "AES256+EECDH:AES256+EDH:!aNULL";

ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:EC

DHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES25

6-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS";

ssl_ecdh_curve secp384r1; # Requires nginx >= 1.1.0

ssl_session_cache shared:SSL:10m;

ssl_session_tickets off; # Requires nginx >= 1.5.9

ssl_stapling on; # Requires nginx >= 1.3.7

ssl_stapling_verify on; # Requires nginx => 1.3.7

# You can use "resolver 8.8.8.8 8.8.4.4"

resolver $DNS-IP-1 $DNS-IP-2 valid=300s;

resolver_timeout 5s;

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

add_header X-Frame-Options DENY;

add_header X-Content-Type-Options nosniff;

Lighttpd

ssl.honor-cipher-order = "enable"
# If you want the best, you can use "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl.cipher-list = "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:EC
DHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES25
6-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS"
ssl.use-compression = "disable"
setenv.add-response-header = (
    "Strict-Transport-Security" => "max-age=63072000; includeSubDomains; preload",
    "X-Frame-Options" => "DENY",
    "X-Content-Type-Options" => "nosniff"
)
ssl.use-sslv2 = "disable"
ssl.use-sslv3 = "disable"

1

2

3

4

5

6

7

8

9

10

11

12

13

ssl.honor-cipher-order = "enable"

# If you want the best, you can use "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";

ssl.cipher-list = "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:EC

DHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES25

6-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS"

ssl.use-compression = "disable"

setenv.add-response-header = (

"Strict-Transport-Security" => "max-age=63072000; includeSubDomains; preload",

"X-Frame-Options" => "DENY",

"X-Content-Type-Options" => "nosniff"

)

ssl.use-sslv2 = "disable"

ssl.use-sslv3 = "disable"

โดย Configuration เหล่านี้มีผลกับการใช้งาน website ของ Client…

View Post

วิธีการติดตั้ง LEMP ใน Ubuntu 16.04 และการบังคับให้ user ใช้งานแต่ HTTPS เท่านั้น

3 minute read
1.2K views
February 12, 2017
by techsuii-admin
No comments

LEMP คือกลุ่มของ Software ที่ใช้สำหรับการทำเว็บไซด์โดยประกอบไปด้วย Linux + Nginx + MySQL + PHP โดยใน post นี้เราจะไม่เพียงแต่ setup LEMP เท่านั้น เรายังมีการบังคับให้ใช้งานเป็น HTTPS แทนที่จะใช้งานเป็น HTTP ธรรมอีกด้วย โดยตัวอย่างการ set นี้ผมทำใน Ubuntu 16.04 ครับ 1. Install…

View Post

Nginx ปล่อย update แก้ไขช่องโหว่ integer overflow อาจทำให้ Information Leakage ได้

วิธีการ Configure ให้ Website ได้รับ Grade A+ จาก SSLLab

วิธีการติดตั้ง LEMP ใน Ubuntu 16.04 และการบังคับให้ user ใช้งานแต่ HTTPS เท่านั้น

Security References

LINE@Techsuii.com

Facebook

Recent Posts

Recent Comments

Archives

Categories

Meta

Creative Common

Facebook

Latest News

Cyber Security and Privacy Foundation ออก course สอนการเขียน code อย่างไรให้ปลอดภัย

Alien Vault ออกเอกสารการคอย monitor security ให้กับ AWS

VDO: OWASP AppSecUSA 2018

VDO: Malware Analysis จาก University of Cincinnati Computer Science department.

StatCounter ถูกแฮ็คเพื่อใช้โจมตี Cryptocurrency Exchange

nginx

Share

Share

Share

Security References

LINE@Techsuii.com

Facebook

Recent Posts

Recent Comments

Archives

Categories

Meta