Ubuntu系统OpenSSL安全策略设置

以下是Ubuntu系统OpenSSL安全策略设置要点：

1. 更新系统与软件包
   定期执行 sudo apt update && sudo apt upgrade，确保OpenSSL及系统补丁为最新版本。
2. 配置安全参数
   编辑配置文件 /etc/ssl/openssl.cnf，在 [system_default_sect] 中设置：
   • 禁用不安全协议：MinProtocol = TLSv1.2（或更高版本）。
   • 选择强密码套件：CipherString = HIGH:!aNULL:!MD5（避免弱算法）。
3. 密钥与证书管理
   • 生成强密钥：使用 openssl req -x509 -newkey rsa:4096 生成RSA密钥（推荐4096位）。
   • 保护私钥权限：通过 chmod 600 限制密钥文件访问，仅授权用户可读。
4. 访问控制与审计
   • 限制配置文件权限：sudo chown root:root /etc/ssl/openssl.cnf，确保仅root可修改。
   • 定期审计配置：检查证书有效期，使用工具（如 sslscan）测试服务端安全。
5. 服务端集成配置
   • 若用于Web服务（如Nginx/Apache），在服务配置中指定证书路径及安全参数，例如Nginx中设置：
     ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5;。
6. 启用安全机制
   • 使用HSTS（HTTP Strict Transport Security）强制HTTPS访问，需在Web服务器配置中添加响应头。
   • 配合防火墙（如 ufw）限制端口访问，仅允许HTTPS（443端口）流量。

参考来源：