HTTP 严格传输安全性

HTTP 严格传输安全性 (HSTS) 是帮助防范网站遭受中间人攻击(例如协议降级攻击和 Cookie 劫持)的策略机制。

SUSE Manager 允许启用 HSTS。要为 SUSE Manager Server 启用 HSTS,请执行以下操作:

过程

  1. 使用以下命令创建新的配置文件:

    mgrctl exec -- echo 'Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"' >/etc/apache2/conf.d/zz-spacewalk-www-hsts.conf

  2. 使用以下命令重启动 Apache:

    mgrctl exec -- systemctl restart apache2

要为 SUSE Manager Proxy 启用 HSTS,请执行以下操作:

过程

  1. 创建新的配置文件,例如 /etc/uyuni/custom-httpd.conf

  2. 添加以下一行:

     `Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains`.

  3. 运行命令:

    mgrpxy install podman --tuning-httpd /etc/uyuni/custom-httpd.conf config.tar.gz

为新配置文件 <filename>.conf 命名时,请确保它能在正确的时间加载。例如,要覆盖 spacewalk-www.conf 中定义的某些设置,新文件需位于此文件之后(按字母顺序)。有关 Apache 如何加载文件的详细信息,请参见 https://httpd.apache.org/docs

在使用 SUSE Manager 生成的默认 SSL 证书或自我签名证书的情况下启用 HSTS 后,浏览器将拒绝通过 HTTPS 进行连接,除非用于为此类证书签名的 CA 受浏览器信任。如果您使用的是 SUSE Manager 生成的 SSL 证书,可以通过将 http://<服务器主机名>/pub/RHN-ORG-TRUSTED-SSL-CERT 中的文件导入到所有用户的浏览器来信任该证书。