Настройка параметров TLS для хранилища резервных копий

Для фильтрации подключений к хранилищу резервных копий можно указать допустимые версии протокола TLS и криптографические алгоритмы.

Чтобы ограничить использование протоколов TLS 1.0 и 1.1

Укажите соответствующее значение для параметра advanced.min_tls_version в файле /etc/vstorage/abgw.config. Можно использовать следующие значения:

  • 0: разрешить использование версий 1.0, 1.1 и 1.2 протокола TLS
  • 1: разрешить использование версий 1.1 и 1.2 протокола TLS
  • 2: разрешить использование только версии 1.2 протокола TLS

Например, чтобы разрешить использование всех версий протокола TLS, установите значение 0 следующим образом:

advanced.min_tls_version = 0

Чтобы разрешить подключения к хранилищу резервных копий только с использованием определенных криптографических алгоритмов

Укажите их в параметре advanced.tls_ciphers файла /etc/vstorage/abgw.config. Если клиент не использует ни один из указанных алгоритмов, подключение будет сброшено. Сведения о формате и полный набор алгоритмов см. на странице руководства по алгоритмам.

По умолчанию используются следующие алгоритмы:

  • ECDHE-ECDSA-CHACHA20-POLY1305
  • ECDHE-RSA-CHACHA20-POLY1305
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-RSA-AES128-SHA256
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-SHA256
  • ECDHE-RSA-AES256-SHA
  • ECDHE-ECDSA-AES128-SHA
  • ECDHE-RSA-AES128-SHA
  • DHE-RSA-AES128-SHA
  • AES128-GCM-SHA256
  • AES128-SHA256
  • AES128-SHA

Обратите внимание на следующее:

  • Если вы указали один алгоритм (например, RSA-AES128) и он не поддерживается, подключение будет сброшено.
  • Если вы указали два алгоритма (например, CAMELIA и RSA-AES128) и поддерживается только один из них (например, CAMELIA), для подключения будет использован поддерживаемый алгоритм (в данном случае CAMELIA).
  • Если указать пустое значение, все подключения будут завершаться сбоем.

Например, чтобы ограничить использование алгоритмов только алгоритмами ECDHE-ECDSA-CHACHA20-POLY1305 и ECDHE-RSA-CHACHA20-POLY1305, укажите их следующим образом, разделив двоеточием:

advanced.tls_ciphers = ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305
Значок ссылки на похожие темыСм. также