HTTPS に対して安全でない TLS/SSL 暗号スイートなどを許可しているとフラグが立てられているサーバーがいくつかあります。これを修正する必要があります。ただし、それらの Web サーバーは Docker/Kubernetes コンテナーから実行されており、TLS 構成が定義されている場所さえ見つけられないようです。これまでのプロセスは次のとおりです。
- そのポートでリッスンしているプロセスを確認するために、「sudo netstat -tulpn | grep 443」を実行しました。Linux によると、443 でリッスンしているプロセスはありません。ただし、Web サイトを HTTPS で表示できるため、これは正しくありません。
- 「kubectl get svc --all-namespaces -o go-template='{{range .items}}{{range.spec.ports}}{{if .nodePort}}{{.nodePort}}{{.}}{{"\n"}}{{end}}{{end}}{{end}}'」を実行しました。
これは、別の serverfault の質問から取得したものです。結果には以下が含まれていました:
30573map[name:websecure nodePort:30573 port:443 protocol:TCP targetPort:websecure]
websecure は HTTPS トラフィックの Traefik エントリポイントであると聞いています。したがって、このトラフィックを実際に処理しているのは Traefik であると想定する必要があります。 - Traefik がどのポッドで実行されているかを確認するために、「kubectl get pods --all-namespaces」を実行しました。無関係なポッドが大量にあり、「kube-system svclb-traefik-c89bf034-5c9nz 2/2 Running 12 (17d ago) 187d」(最後に異なるランダム セグメントを含む) など、15 個の異なる結果が返され、さらに下には「kube-system traefik-869787b8bc-nfqmt 1/1 Running 6 (17d ago) 186d」という結果が返されました。この段階では、これらの traefik ポッドのうちどれが websecure を実行しているのか、またはすべてが何らかの方法で websecure を処理しているのかどうかはわかりません。さらに、TLS 設定は Traefik の動的構成にあり、動的構成はファイル、Web サイト、またはその他のソースである「プロバイダー」から読み込まれると読みました。しかし、これらのサーバーの場合、それがどこで指定されているのかわかりません。docker-compose.yml ファイルや traefik.toml ファイルなどを探してみましたが、ほとんど見つからず、許可される TLS 暗号を定義しているものや、その設定を指していると思われるものは見つかりませんでした。
そこで質問なのですが、Kubernetes コンテナで実行されている Traefik の TLS 設定を見つけて、弱い暗号スイートを許可しないようにするにはどうすればいいでしょうか? ご協力に感謝いたします。また、この質問のフォーマットに問題がある場合はお詫び申し上げます。このサイトでの最初の質問です。