minio изменение cipher suite

Для новичков как вообще в Linux, так и в конкретной теме, к которой относится вопрос.

Модератор: Bizdelnick

safronowmax
Сообщения: 103

minio изменение cipher suite

Сообщение safronowmax »

Здравствуйте, подскажите пожалуйста, есть настроенный кластер minio с поддержкой TLS, хочу изменить cipher suite, хочу использовать только 2 cipher suite: TLS_AES_256_GCM_SHA384 и TLS_AES_128_GCM_SHA256. Пробовал разные варианты (добавлял в конфиг /etc/default/minio):

Код: Выделить всё

tls:
  enabled: on
  cipher_suites:
    - TLS_AES_256_GCM_SHA384
    - TLS_AES_128_GCM_SHA256

Код: Выделить всё

tls:
  enabled: on
  certificate: /home/minio/.minio/certs/public.crt
  key: /home/minio/.minio/certs/private.key
  cipher_suites:
    - TLS_AES_256_GCM_SHA384
    - TLS_AES_128_GCM_SHA256

Код: Выделить всё

"tls": {
"enabled": true,
"cipherSuites": ["TLS_AES_256_GCM_SHA384", "TLS_AES_128_GCM_SHA256"]
}
Но в итоге testssl все равно показывает, что доступно больше chipher suite по порту 9000:

Код: Выделить всё

Negotiated cipher TLS_AES_128_GCM_SHA256, 253 bit ECDH (X25519)
Cipher order
TLSv1.2: ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-CHACHA20-POLY1305
Как все-таки можно оставить только необходимые криптопротоколы?

Ниже мой конфиг /etc/default/minio, в который я пробовал добавлять cipher suite

Код: Выделить всё

# Volume to be used for MinIO server.
MINIO_VOLUMES="http://s3node{1...4}:9000/s3/disk{1...4}"
# Use if you want to run MinIO on a custom port.
MINIO_OPTS="--address :9000 --console-address :9001"
# Root user for the server.
MINIO_ROOT_USER="admin"
# Root secret for the server.
MINIO_ROOT_PASSWORD="12345678"
MINIO_SERVER_URL="http://s3node1:9000"
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20934
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: minio изменение cipher suite

Сообщение Bizdelnick »

Ни разу не имел дела с minio, но в конечном счёта всё должно упираться сюда.

Код: Выделить всё

	// TLS 1.3 cipher suites.
	TLS_AES_128_GCM_SHA256       uint16 = 0x1301
	TLS_AES_256_GCM_SHA384       uint16 = 0x1302
Note that TLS 1.3 ciphersuites are not configurable.
То есть для TLS 1.2 эти алгоритмы неприменимы, а для 1.3 конфиг не работает в принципе.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали: