Кассандра 4 и наборы шифров

Пробуем использовать Cassandra 4 для зашифрованной связи между узлами.

Следующие настройки выполняются в cassandra.yaml

      server_encryption_options:
    internode_encryption: all
    optional: false
    enable_legacy_ssl_storage_port: true
    keystore: conf/.keystore
    keystore_password: password
    require_client_auth: true
    truststore: conf/.truststore
    truststore_password: password
    require_endpoint_verification: false
    # More advanced defaults below:
    protocol: TLS
    store_type: JKS
    cipher_suites: [TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384]

Однако эти шифры не перечислены с nmap --script +ssl-enum-ciphers -p 7000 <hostname>

Не видел этой проблемы с более ранней версией Cassandra 3.11.x. Есть ли какие-то дополнительные настройки, кроме cassandra.yaml, которые здесь отсутствуют для Cassandra 4?

Источник

1 ответ

Ладно, кажется, я вижу, что происходит. До Cassandra 4.0 для межузлового SSL-трафика использовался порт 7001. Однако Cassandra 4.0 допускает как зашифрованную, так и незашифрованную связь между узлами через порт 7000...

... если вы явно не включите устаревший порт SSL...

      enable_legacy_ssl_storage_port: true

Два возможных решения здесь:

  • Запустите порт 7001, и вы должны увидеть доступные шифры.
  • Установлен enable_legacy_ssl_storage_port: false, перезагрузите и npmпротив порта 7000 должно работать.
Источник
Другие вопросы по тегам