Chyby zabezpečení hlášené na portech NetWorker 5432, 5671, 9000, 9001

Summary: Skenování Rapid7 identifikovalo chyby zabezpečení na různých portech NetWorker.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Chyby zabezpečení jsou hlášeny na portech 5671, 9000, 9001.

Port 5671
Server TLS/SSL používající běžně používaná prvočísla

Server TLS podporuje protokol TLS verze 1.1
. X.509 CN předmětu certifikátu neodpovídá názvu entity.
Nedůvěryhodný certifikát
X.509 serveru TLS/SSL Neplatný port certifikátu


TLS/SSL9000
X.509 Předmět CN neodpovídá názvu entity.
Nedůvěryhodný server TLS/SSL Server TLS/SSL s certifikátem
X.509 používá běžně používaná prvočísla.
HTTP OPTIONS Metoda povolena
Server TLS/SSL podporuje použití statických šifer klíčů.


Port 9001
X.509 CN předmětu certifikátu neodpovídá názvu entity.
Nedůvěryhodný server TLS/SSL Server TLS/SSL s certifikátem
X.509 nepodporuje žádné silné šifrovací algoritmy.
Server TLS/SSL podporuje použití statických šifer klíčů.

Cause

Chyba zabezpečení nahlášená bezpečnostním skenerem.

Resolution

 Port 5432

* CN subjektu certifikátu X.509 neodpovídá názvu entity.
* Nedůvěryhodný certifikát
X.509 serveru TLS/SSL* Certifikát

TLS/SSL podepsaný držitelem Řešení:

1. Navštivte adresu C:\Program Files\EMC NetWorker\Management\nmcdb\pgdata\ (Okna);  /nsr/nmc/nmcdb/pgdata/ (Linux)
2. Přejmenovat server.crt a server.key.
3. Zkopírujte server podepsaný certifikační autoritou a soukromý klíč jako "server.crt" a "server.key" do stejné složky.
POZNÁMKA: V systémech Linux se ujistěte, že vlastníkem souborů je nsrnmc: nsrnmc a mají 600 oprávnění. 
chown nsrnmc:nsrnmc /nsr/nmc/nmcdb/pgdata/server.crt
chown nsrnmc:nsrnmc /nsr/nmc/nmcdb/pgdata/server.key

chmod 600 /nsr/nmc/nmcdb/pgdata/server.crt
chmod 600 /nsr/nmc/nmcdb/pgdata/server.key

4. Ověřte, zda jsou cesta a název konzistentní v postgresql.conf.

ssl_cert_file = 'server.crt'
ssl_key_file = 'server.key'
5. Restartovat gst služby:

Linux:  
systemctl restart gst
Windows: 
net stop gstd
net start gstd
 

Port 5671

* Server TLS/SSL používající běžně používaná prvočísla

Řešení:
1. Generování parametrů DH pomocí openssl. Aktualizujte cestu rabbitmq.config se souborem DH.

Linux: /opt/nsr/rabbitmq-server-3.11.16/etc/rabbitmq/rabbitmq.config 
openssl dhparam -out /etc/rabbitmq/dhparam.pem 2048

Windows: C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.7.16\etc\rabbitmq.config. 
openssl.exe dhparam -out "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem" 2048
2048 označuje velikost prvočísla v bitech.

2. Konfigurace rabbitmq.config pro zajištění souboru přidáním konfigurační položky:
Linux:  
{dhfile, "/etc/rabbitmq/dhparam.pem"},
Windows: 
{dhfile, "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem"},
V rámci ssl_options hned po "keyfile" řádek.

Příklad:
Hledat "ssl_options" a přidejte dhfile Nastavení, jak je uvedeno níže: 
     {ssl_options, [{cacertfile,        "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\cacert.pem"}, 
                  {certfile,            "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\cert.pem"}, 
                  {keyfile,             "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\key.pem"}, 
                  {dhfile,                 "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem"},
                  {verify,               verify_none}, 
* Server TLS podporuje verzi TLS 1.1
 
Řešení:
Protokol TLS verze 1.1 lze odstranit z rabbitmq.config. Look Pro následující řádek: 
% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2', 'tlsv1.1']}, 
* CN subjektu certifikátu X.509 neodpovídá názvu entity.
* Nedůvěryhodný certifikát
X.509 serveru TLS/SSL* Neplatný certifikát TLS/SSL

Řešení:
 
1. Navštivte adresu C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-<some number>\etc (Windows). V Linuxu je cesta /etc/rabbitmq
2. Přejmenujte stávající .pem Certifikáty.
3. Zkopírujte certifikáty podepsané certifikační autoritou pod stejným názvem jako originál.

Kde:
cacert.pem = je balíček certifikátů certifikační autority.
cert.pem = je veřejný/serverový certifikát.
key.pem = je soukromý klíč.

4. Ověřte, zda se cesta a názvy správně zobrazují v rabbitmq.config.
    
Windows: 
{ssl_options, [{cacertfile,           "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\cacert.pem"}, 
                  {certfile,             "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\cert.pem"}, 
                  {keyfile,              "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\key.pem"}, 

 Linux:

{ssl_options, [{cacertfile, "/etc/rabbitmq/cacert.pem"},
                    {certfile, "/etc/rabbitmq/cert.pem"},
                    {keyfile, "/etc/rabbitmq/key.pem"},

5. Spusťte službu NetWorker a GST.

POZNÁMKA: V některých scénářích se soubory certifikátů vrátí během spuštění služby, viz: NetWorker: Certifikáty RabbitMQ se po spuštění služby NetWorker vrátí na podepsané držitelem.


Port 9000 a 9001

Informace o nahrazení certifikátů podepsaných držitelem certifikáty podepsanými certifikační autoritou naleznete v následujícím článku: NetWorker: Jak importovat nebo nahradit certifikáty podepsané certifikační autoritou pro službu NMC

* Server TLS/SSL používá běžně používaná prvočísla.
 

  1. Řešení: Generování parametrů DH pomocí openssl.

Windows:

openssl.exe dhparam -out  "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\apachedhparam.pem" 2048

Linux:

openssl dhparam -out "/opt/lgtonmc/apache/conf/apachedhparam.pem" 2048
  1. Přidání "SSLOpenSSLConfCmd DHParameters <location of dhparam.pem>" In httpd.conf

    Windows:
SSLOpenSSLConfCmd DHParameters "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\apachedhparam.pem"

Linux:

<VirtualHost *:9000>
Servername localhost:9000
...
...
SSLCipherSuite HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SSLv2:!SSLv3:!TLSv1.0:!TLSv1.1:!ADH:!MEDIUM:!LOW:@STRENGTH
SSLOpenSSLConfCmd DHParameters /opt/lgtonmc/apache/conf/apachedhparam.pem

</VirtualHost>

* Metoda HTTP OPTIONS povolena

Tato chyba zabezpečení se netýká konzole NMC. mod_rewrite modul není načten NMC.

* Server TLS/SSL podporuje použití statických šifer.

Zakomentování originálu SSLCipherSuite In httpd.conf. Nahraďte jej níže uvedeným.

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!3DES:!MD5:!PSK:!RC4


* Server TLS/SSL nepodporuje žádné silné šifrovací algoritmy

To se neočekává u verzí NetWorker 19.5 a novějších. Platformě NetWorker 19.5 končí životnost podpory (EOSL).

* Server TLS/SSL podporuje použití statických šifer.

Tento problém zatím není na platformě Windows vyřešen. To je vyřešeno v opravě chyb.

Additional Information

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Management Console
Article Properties
Article Number: 000193150
Article Type: Solution
Last Modified: 04 مايو 2026
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.