因为RSA的密钥交换漏洞的原因,需要在宝塔面板中去掉对应的RSA密钥交换算法
网站部分
网站部分的很好去掉,只需要在nginx配置上,去掉ssl_ciphers 中的RSA相关内容就可以,并且只保留TLS1.2和TLS1.3
如下
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:EECDH+AES256:EECDH+3DES:!MD5;面板部分
这部分是比较麻烦的,因为面板本身并是使用宝塔自身所运行的服务的,证书及算法也是在其脚本中设定,所以只能去面板启动脚本中设置。
网络上并没有相关的面板服务文件的所在位置或者要相关说明,这个只能通过自己来查找了。
经过查找,发现其启动服务的文件为/www/server/panel/BT-Panel这个文件
打开后查找set_ciphers或者ssl相关设置,可以定位到是在180行(可能不同版本的会不一样,可搜索一下)的这段代码
# 设置加密套件
ssl_context.set_ciphers("ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE")我们需要在其中追加一个!RSA设置,即可以禁用掉RSA算法。
# 设置加密套件
ssl_context.set_ciphers("ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE:!RSA")修改后重启面板就可以了