我扫描ubuntu 16.4时收到以下错误。在10250港口。
# netstat -nltp | grep 10250
tcp6 0 0 ::: 10250 ::: * LISTEN 849 / kubelet
Anyidea如何解决这个问题?
描述
远程主机支持使用提供中等强度加密的SSL密码。 Nessus认为中等强度是使用密钥长度至少为64位且小于112位的任何加密,否则使用3DES加密套件。
请注意,如果攻击者位于同一物理网络上,则可以更轻松地规避中等强度加密。
最近扫描的输出
中等强度密码(> 64位和<112位密钥,或3DES)
ECDHE-RSA-DES-CBC3-SHA Kx=ECDH Au=RSA Enc=3DES-CBC(168) Mac=SHA1
DES-CBC3-SHA Kx=RSA Au=RSA Enc=3DES-CBC(168) Mac=SHA1
上面的字段是:
{OpenSSL ciphername}
Kx={key exchange}
Au={authentication}
Enc={symmetric encryption method}
Mac={message authentication code}
{export flag}
解决方案如果可能,请重新配置受影响的应用程序,以避免使用中等强度的密码。
Kubelet是一个Kubernetes cluster node component。它使用TLS与Kubernetes集群主节点上的kube-apiserver容器进行通信。
根据Kubelet reference:
--tls-cipher-suites stringSlice 用于服务器的以逗号分隔的密码套件列表。如果省略,将使用default Go cipher suites。
Possible values:
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA,
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,
TLS_ECDHE_RSA_WITH_RC4_128_SHA,
TLS_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_256_GCM_SHA384,
TLS_RSA_WITH_RC4_128_SHA
在使用kubeadm工具创建的集群中,默认情况下不配置此选项。
在Ubuntu上,在kubelet文件中指定/etc/default/kubelet选项很方便:
(这只是参数用法的一个示例。根据您的知识和要求选择kubelet选项。)
KUBELET_EXTRA_ARGS=--tls-cipher-suites=TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256
您必须为群集中的所有节点设置此选项。
重新启动kubelet服务以应用额外的参数。