版本与更新审计
openssl version -a检查版本,确认是否为已知漏洞版本(如含Heartbleed漏洞的1.0.1系列),及时更新至最新稳定版(如1.1.1/3.0系列)。配置文件审计
/etc/ssl/openssl.cnf,禁用弱协议(SSLv2/SSLv3/TLS 1.0/1.1)和弱加密套件(如MD5/RC4),确保启用TLS 1.2/1.3及强加密算法(如AES-GCM、ECDHE)。证书与密钥审计
openssl x509 -in cert.pem -text验证证书有效期、颁发者及链完整性;用openssl rsa -in key.pem -check检查私钥强度(推荐RSA≥2048位或ECDSA)。漏洞扫描
nmap --script ssl-enum-ciphers -p 443 example.com:检测支持的协议和加密套件。testssl.sh或sslyze:全面检测SSL/TLS配置漏洞(如BEAST、ROBOT攻击)。nmap -p 443 --script ssl-heartbleed:专项检测Heartbleed漏洞。系统日志审计
journalctl -u openssl或grep -i ssl /var/log/syslog查看SSL相关日志,分析异常连接或错误信息。访问控制与权限审计
600,仅授权用户可访问;使用SELinux/AppArmor限制OpenSSL进程权限。自动化与持续监控
参考来源: