Gunicorn: --ssl-संस्करण ध्वज में नामित स्थिरांक के लिए समर्थन जोड़ें

को निर्मित 15 सित॰ 2015 · 37टिप्पणियाँ · स्रोत: benoitc/gunicorn

मैं एसएसएल प्रमाणपत्र और कुंजी के साथ गनिकोर्न का उपयोग कर रहा हूं। यह टीएलएस कनेक्शन 1.0 प्रदान करता है। क्या टीएलएस 1.2 का उपयोग करने के लिए गनिकोर्न को कॉन्फ़िगर करना संभव है?

Improvement Documentation help wanted FeaturSSL - Mailing List -

स्रोत

rrajaravi

👍1

सभी 37 टिप्पणियाँ

हाय @rrajaravi , क्या आपने http://docs.gunicorn.org/en/latest/settings.html#ciphers सेट करने का प्रयास किया?

berkerpeksag 15 सित॰ 2015

टक्कर

benoitc 30 अक्तू॰ 2015

यह कैसे निर्धारित करें कि यह काम करता है या नहीं?

Vic020 30 अक्तू॰ 2015

http://superuser.com/questions/109213/how-do-i-list-the-ssl-tls-cipher-suites-a-particle-website-offers

tilgovi 30 अक्तू॰ 2015

क्या हम इस मुद्दे को बंद कर सकते हैं?

benoitc 2 नव॰ 2015

टीएल; डीआर
Gunicorn केवल समर्थन करता प्रतीत होता है:
टीएलएसवी1
एसएसएलवी2

और समर्थन नहीं करता है:
एसएसएलवी3
एसएसएलवी23
टीएलएसवी1_1
टीएलएसवी1_2

@berkerpeksag http://docs.gunicorn.org/en/latest/settings.html#ciphers पर मौजूद दस्तावेज़ सही नहीं लगते हैं।
मुझे ssl.py में प्रोटोकॉल मिले। उनमें से कोई भी, TLSv1 और SSLv2 को छोड़कर, Ubuntu 14.04 LTS, Python 3.5.1, OpenSSL 1.0.1f 6 जनवरी 2014 पर कमांड लाइन विकल्प पर काम करने पर काम करता है।

बाकी त्रुटि के साथ विफल:
[२०१६-०३-२२ ०८:५१:४९ +००००] [२९२४] [त्रुटि] कार्यकर्ता प्रक्रिया में अपवाद:
ट्रेसबैक (सबसे हालिया कॉल अंतिम):
फ़ाइल "/home/me/Envs/myproject/lib/python3.5/site-packages/gunicorn/workers/sync.py", लाइन 126, हैंडल में
self.cfg.ssl_options)फ़ाइल "/usr/local/lib/python3.5/ssl.py", पंक्ति 1064, रैप_सॉकेट मेंसिफर = सिफर)फ़ाइल "/usr/local/lib/python3.5/ssl.py", लाइन 690, **init में
self._context.set_ciphers(सिफर)
ssl.SSLError: ('कोई सिफर नहीं चुना जा सकता।',)

/usr/स्थानीय/lib/python3.5/ssl.py
निम्नलिखित स्थिरांक विभिन्न एसएसएल प्रोटोकॉल वेरिएंट की पहचान करते हैं:

PROTOCOL_SSLv2
PROTOCOL_SSLv3
PROTOCOL_SSLv23
PROTOCOL_TLSv1
PROTOCOL_TLSv1_1
PROTOCOL_TLSv1_2

edwardotis 22 मार्च 2016

इसे ट्राई करने के लिए धन्यवाद, @edwardotis। मैं दस्तावेज़ीकरण को स्पष्ट करने के लिए इसे फिर से खोल रहा हूं।

berkerpeksag 22 मार्च 2016

@berkerpeksag भी हम अच्छे डिफ़ॉल्ट का उपयोग कर रहे हैं?

benoitc 22 मार्च 2016

TLSv1 पुराने पायथन संस्करणों के लिए ठीक दिखता है, लेकिन शायद हम सर्वोत्तम उपलब्ध प्रोटोकॉल (क्लाइंट और सर्वर दोनों के लिए) का उपयोग करने के लिए डिफ़ॉल्ट मान को SSLv23 बदल सकते हैं।

साथ ही, मुझे लगता है कि अगर SSLv2 या SSLv3 का उपयोग Gunicorn 20 में किया जाता है, तो हमें एक अपवाद उठाना चाहिए (अगले 19.x रिलीज में उन्हें पदावनत करना बहुत अच्छा होगा)।

berkerpeksag 22 मार्च 2016

👍1

@berkerpeksag : +1:

benoitc 22 मार्च 2016

क्या किसी ने इन परिवर्तनों को लागू किया है? यदि नहीं, तो मुझे इसे एक शॉट देने और पीआर खोलने में खुशी होगी .. सिफर को किसी चीज़ पर सेट करने में सक्षम होना> टीएलएसवी 1.0 हमारे लिए महत्वपूर्ण है और हम 1 से अधिक टीएलएस के किसी भी संस्करण को देख सकते हैं। यह सेट नहीं किया जा सकता है .. यह सिर्फ 1.0 पर वापस आ जाता है (हमने दस्तावेज़ों में सूचीबद्ध लोगों की कोशिश की और यहां सूचीबद्ध स्थिरांक का कोई फायदा नहीं हुआ) - बस No cipher can be selected आउटपुट करता है

AndrewJHart 29 अप्रैल 2016

@AndrewJHart यह बहुत अच्छा होगा! :) धन्यवाद!

berkerpeksag 29 अप्रैल 2016

अन्य संस्करणों का उपयोग करना संभव है। आपको केवल कमांड लाइन पर --ssl-version लिए एक स्थिरांक निर्दिष्ट करने की आवश्यकता है। ये स्थिरांक ssl stdlib मॉड्यूल से आते हैं।

$ python -c "import ssl; print(ssl.PROTOCOL_SSLv23)"     
  2
$ python -c "import ssl; print(ssl.PROTOCOL_TLSv1_2)"
  5

बस --ssl-version 2 या --ssl-version 5 निर्दिष्ट करें और आपके पास TLS 1.2 सिफर समर्थन होना चाहिए।

यदि आप एसएसएल में कुछ सुधार करना चाहते हैं तो @AndrewJHart #1440 पर एक नज़र डालें। हमें संदर्भ पर बेहतर नियंत्रण के लिए SSLContext का उपयोग करने के लिए स्विच करना चाहिए, जैसे सर्वर सिफर ऑर्डर वरीयता सेट करना। सिंक वर्कर के लिए इसे लागू करना शुरू करने के उदाहरण के साथ मैं उस मुद्दे पर क्षण भर में एक अंतर पोस्ट करूंगा। एसएसएल समर्थन में सुधार के लिए किसी भी मदद की बहुत सराहना की जाएगी।

साथ ही, TLSv1 के बजाय SSLv23 स्थिरांक का उपयोग करने के लिए gunicorn/config.py में डिफ़ॉल्ट मान को बदलने का एक सरल पुल अनुरोध बहुत अच्छा होगा।

tilgovi 29 अप्रैल 2016

क्षमा करें, मेरे कहने का मतलब था #1140

tilgovi 29 अप्रैल 2016

मुझे समझ में नहीं आता कि इस मुद्दे को फिर से क्यों खोला गया। मैंने --ssl-version 2 साथ Gunicorn का परीक्षण किया और पाया कि TLS 1.2 सिफर ठीक काम करते हैं।

मैं बंद कर दूंगा, लेकिन कृपया फिर से खोलें और समझाएं कि क्या आपको लगता है कि मैंने गलती से ऐसा किया है।

tilgovi 29 अप्रैल 2016

मैंने डिफ़ॉल्ट परिवर्तन को ट्रैक करने के लिए #1249 खोला।

tilgovi 29 अप्रैल 2016

मैंने इसे फिर से खोल दिया क्योंकि:

क) उपयोगकर्ता पारित करने के लिए सक्षम होना चाहिए 'SSLv23' या 'TLSv1_2' के बजाय 2 , या 5 ।
b) हमें उपलब्ध विकल्पों को Python डॉक्स पर पुनर्निर्देशित करने के बजाय उनका दस्तावेजीकरण करना चाहिए। https://docs.python.org/3.5/library/ssl.html stdlib में सबसे लंबे दस्तावेज़ों में से एक है और उपयोगकर्ताओं को यह देखने के लिए बहुत अधिक समय नहीं लगाना चाहिए कि कौन से विकल्प उपलब्ध हैं।

berkerpeksag 29 अप्रैल 2016

दस्तावेज़ीकरण लेबल जोड़कर फिर से खोला गया।

tilgovi 29 अप्रैल 2016

मुझे बताएं कि यहां क्या जरूरी है, अगर हम इसे 19.5 रिलीज से पहले बंद कर सकते हैं (यानी शादी से पहले) अच्छा होगा :)

benoitc 2 मई 2016

यह अभी भी केवल नामित स्थिरांक के लिए समर्थन प्रदान करने के लिए खुला है
--एसएसएल-संस्करण ध्वज।

सोम, २ मई २०१६ को ०५:४३ बेनोइट चेसनेउ नोटिफिकेशन @github.com ने लिखा:

मुझे बताएं कि यहां क्या आवश्यक है, अगर हम इसे 19.5 रिलीज से पहले बंद कर सकते हैं
(यानी शादी से पहले) अच्छा रहेगा :)
-
आप इसे प्राप्त कर रहे हैं क्योंकि आपने खुली/बंद स्थिति को संशोधित किया है।
इस ईमेल का सीधे उत्तर दें या इसे GitHub पर देखें
https://github.com/benoitc/gunicorn/issues/1114#issuecomment -216225302

tilgovi 2 मई 2016

👍1

आइए अभी के लिए 3.x संस्करण को भूल जाएं। पायथन के सभी संस्करणों पर इसका समर्थन करने के लिए जोड़ने के लिए निरंतर क्या आवश्यक है?

benoitc 1 फ़र॰ 2017

यहाँ एक अवधारणा का प्रमाण है: https://github.com/benoitc/gunicorn/pull/1454

berkerpeksag 6 फ़र॰ 2017

क्या टीएलएस के विशिष्ट विभिन्न संस्करणों को सक्षम या अक्षम करना संभव है? उदाहरण के लिए, पुराने संस्करणों को अक्षम या सक्षम करने में सक्षम होना आम बात है। दस्तावेज़ीकरण से मुझे यह स्पष्ट नहीं है कि क्या पुराने संस्करणों को अक्षम करने के लिए "--ssl-version" का उपयोग किया जा सकता है या यदि इसे एक से अधिक बार उपयोग किया जा सकता है (उदाहरण के लिए SSL3 को अक्षम करें और TLS1.0 को अक्षम करें)।

rmundkowsky 25 सित॰ 2017

मुझे लगता है कि SSLContext का उपयोग करने के लिए स्विचिंग की आवश्यकता होगी और एक नया विकल्प --ssl-options जोड़ना होगा (हम शायद केवल ssl.create_default_context() का उपयोग करेंगे इसलिए SSLv3 और TLS 1.0 डिफ़ॉल्ट रूप से अक्षम हो जाएंगे) चूंकि वहां बहुत सारे संयोजन हैं जो मुझे नहीं लगता कि --ssl-version नामित स्थिरांक को स्वीकार करेगा लेकिन उपयोगकर्ता इसे अभी भी एक Gunicorn कॉन्फ़िगरेशन फ़ाइल में रख सकते हैं:

ssl_options = ssl.OP_NO_COMPRESSION | ssl.OP_NO_SSLv2 | ssl.OP_NO_SSLv3

berkerpeksag 25 सित॰ 2017

👍1

प्रोटोकॉल _और सटीक संस्करण_ दोनों को निर्दिष्ट करने के लिए PROTOCOL_ * का उपयोग बहिष्कृत हो रहा है। मान लें कि ssl_options वर्तमान में लागू नहीं किया गया है, मैंने #1680 उठाया।

javabrett 11 जन॰ 2018

1890 ने इसे ठीक किया।

benoitc 9 अक्तू॰ 2018

शायद किसी के पास मेरे लिए कुछ मार्गदर्शन हो? मैं कुछ समय से इससे जूझ रहा हूं। यहाँ मेरा पर्यावरण है:

Python 3.4.3
gunicorn==19.9.0
pyOpenSSL==18.0.0
cryptography==2.4.2

मैं गनिकोर्न फ्लैग --ssl-version 5 का भी उपयोग कर रहा हूं

मेरा सर्वर टीएलएस 1.2 की सेवा कर रहा है, लेकिन यह एक टन असुरक्षित सिफर सूट की अनुमति देता है। मैं सिफर सुइट्स को कैसे सीमित कर सकता हूं? मैंने --ciphers ध्वज की कोशिश की, लेकिन इसके साथ कोई भाग्य नहीं था।

धन्यवाद!

pixelrebel 8 जन॰ 2019

👍1

--ssl-version 5 --ciphers ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256
ठीक काम करें:

~# Opensl s_client-कनेक्ट लोकलहोस्ट:443 -सिफर ECDHE-RSA-AES256-GCM-SHA384
कनेक्टेड(00000003)
गहराई = ३...

~# Opensl s_client -कनेक्ट लोकलहोस्ट:443 -सिफर DHE-RSA-AES256-GCM-SHA384
कनेक्टेड(00000003)
१४०४९७५६९८१६६४०: त्रुटि: १४०९४४१० : एसएसएल दिनचर्या: ssl3_read_bytes : sslv3 चेतावनी हाथ मिलाना विफलता:../ssl/record/rec_layer_s3.c : १४०७: एसएसएल चेतावनी संख्या ४०

lemrouch 4 सित॰ 2019

धन्यवाद @lemrouch। सुनिश्चित नहीं है कि यह मेरे लिए पहले क्यों काम नहीं करता था। यह अब मेरे लिए काम कर रहा है!

pixelrebel 4 सित॰ 2019

गनिकोर्न फ्लास्क एप्लिकेशन के लिए TLS1.0 के बजाय TLS 1.2 का उपयोग कैसे करें? क्या कुछ कृपया टर्मिनल कमांड या कोड साझा कर सकते हैं जिसे डालना है?

rkbala 14 जन॰ 2020

@rkbala यह मेरे फ्लास्क ऐप के लिए प्रासंगिक कोड जैसा दिखता है:

...
from ssl import SSLContext, PROTOCOL_TLSv1_2, OP_NO_SSLv3, OP_NO_TLSv1, OP_NO_TLSv1_1
...
ssl = SSLContext(PROTOCOL_TLSv1_2)
ssl.set_ciphers('ECDH+AES256:ECDH+AES128:' + 
                '!aNULL:!eNULL:!MD5:!DSS:!RC4:!SSLv2:!SSLv3:!TLSv1')
ssl.options |= OP_NO_SSLv3
ssl.options |= OP_NO_TLSv1
ssl.options |= OP_NO_TLSv1_1
ssl.load_cert_chain('/etc/letsencrypt/live/fullchain.pem',
                    '/etc/letsencrypt/live/privkey.pem')
...
if __name__ == '__main__':
    app.run(host='0.0.0.0', port='443', ssl_context=ssl)

pixelrebel 15 जन॰ 2020

👍1

@rkbala यह मेरे फ्लास्क ऐप के लिए प्रासंगिक कोड जैसा दिखता है:

...
from ssl import SSLContext, PROTOCOL_TLSv1_2, OP_NO_SSLv3, OP_NO_TLSv1, OP_NO_TLSv1_1
...
ssl = SSLContext(PROTOCOL_TLSv1_2)
ssl.set_ciphers('ECDH+AES256:ECDH+AES128:' + 
                '!aNULL:!eNULL:!MD5:!DSS:!RC4:!SSLv2:!SSLv3:!TLSv1')
ssl.options |= OP_NO_SSLv3
ssl.options |= OP_NO_TLSv1
ssl.options |= OP_NO_TLSv1_1
ssl.load_cert_chain('/etc/letsencrypt/live/fullchain.pem',
                    '/etc/letsencrypt/live/privkey.pem')
...
if __name__ == '__main__':
    app.run(host='0.0.0.0', port='443', ssl_context=ssl)

@pixelrebel धन्यवाद !! मैं इसे आज़मा दूंगा और आपको बता दूंगा।

इस ssl.options |=OP_NO_* का क्या अर्थ है?

क्या हम सिफर बदल सकते हैं? या उपरोक्त set_ciphers यादृच्छिक सिफर सेट करेगा?

rkbala 15 जन॰ 2020

@rkbala मुझे याद नहीं है कि बिटवाइज़-या ऑपरेशन की आवश्यकता क्यों थी। यह आवश्यक नहीं हो सकता है ... एक परीक्षण के लायक।

आप सिफर को TLS 1.2 के साथ संगत किसी भी चीज़ में बदल सकते हैं। मेरे मामले में, मेरा ऐप इसके साथ संवाद करने के लिए स्लैक के लिए एक एपीआई प्रदान करता है। इसलिए मुझे केवल सिफर स्लैकबॉट के उपयोग का समर्थन करने की आवश्यकता थी।

pixelrebel 15 जन॰ 2020

@rkbala IO को स्पष्ट करना चाहिए कि मुझे याद नहीं है कि मुझे उस सिंटैक्स की आवश्यकता क्यों है, लेकिन मेरा मानना है कि उस समय, मुझे अपने ऐप को केवल TLS1.2 का उपयोग करने के लिए OP_NO_* विकल्पों को स्पष्ट रूप से निर्दिष्ट करने की आवश्यकता थी और कोई कम संस्करण नहीं।

pixelrebel 15 जन॰ 2020

👍1

@rkbala मुझे याद नहीं है कि बिटवाइज़-या ऑपरेशन की आवश्यकता क्यों थी। यह आवश्यक नहीं हो सकता है ... एक परीक्षण के लायक।
आप सिफर को TLS 1.2 के साथ संगत किसी भी चीज़ में बदल सकते हैं। मेरे मामले में, मेरा ऐप इसके साथ संवाद करने के लिए स्लैक के लिए एक एपीआई प्रदान करता है। इसलिए मुझे केवल सिफर स्लैकबॉट के उपयोग का समर्थन करने की आवश्यकता थी।

ठीक है धन्यवाद। मुझे लगता है कि अगर हम एक निर्दिष्ट नहीं करते हैं तो गनिकोर्न डिफ़ॉल्ट पायथन सिफर लेता है। अगर मैं ग़लत हूं तो मेरी गलती सुझाएं।

क्या उपरोक्त फ्लास्क कोड केवल TLSv1.2 में फ्लास्क ऐप शुरू करने के लिए गनिकोर्न बनाता है? सवाल इसलिए है क्योंकि मैं गनिकोर्न के जरिए फ्लास्क ऐप चलाना चाहता हूं। मैंने आज ही सीखा है कि गनिकोर्न टर्मिनल कमांड "गनिकोर्न -एसएसएल-वर्जन टीएलएसवी1_2 प्रोजेक्ट: ऐप " टीएलएस v1.2 में फ्लास्क ऐप शुरू करेगा। कौन सा तरीका अधिक कुशल है?

rkbala 15 जन॰ 2020

हाँ, यह केवल TLS 1.2 करता है। बाकी सब कुछ AFAIK को हटा दिया गया है। मुझे लगता है कि उनका एक ही प्रभाव है, लेकिन मुझे लगता है कि कमांड लाइन विकल्पों का उपयोग स्क्रिप्ट में विकल्पों को ओवरराइड करता है। मैं किसी भी तरह से गनिकोर्न का विशेषज्ञ नहीं हूं। तो नमक के दाने के साथ मेरी सलाह लें।

pixelrebel 15 जन॰ 2020

👍1

हाँ, यह केवल TLS 1.2 करता है। बाकी सब कुछ AFAIK को हटा दिया गया है। मुझे लगता है कि उनका एक ही प्रभाव है, लेकिन मुझे लगता है कि कमांड लाइन विकल्पों का उपयोग स्क्रिप्ट में विकल्पों को ओवरराइड करता है। मैं किसी भी तरह से गनिकोर्न का विशेषज्ञ नहीं हूं। तो नमक के दाने के साथ मेरी सलाह लें।

धन्यवाद @pixelrebel मैं उस हिस्से का पता

rkbala 15 जन॰ 2020

क्या यह पृष्ठ उपयोगी था?

0 / 5 - 0 रेटिंग्स

Gunicorn: --ssl-संस्करण ध्वज में नामित स्थिरांक के लिए समर्थन जोड़ें

सभी 37 टिप्पणियाँ

1890 ने इसे ठीक किया।

संबंधित मुद्दों