Testssl.sh — тестирование шифрования TLS/SSL в любом месте на любом порту
testssl.sh — это бесплатный многофункциональный инструмент командной строки с открытым исходным кодом, используемый для проверки служб с поддержкой шифрования TLS/SSL на наличие поддерживаемых шифров, протоколов и некоторых криптографических недостатки на серверах Linux/BSD. Его можно запустить в macOS X и Windows с помощью MSYS2 или Cygwin.
Особенности Testssl.sh
- Простота установки и использования; производит четкий вывод.
- Очень гибкий, его можно использовать для проверки включенных SSL/TLS и служб STARTTLS.
- Выполните общую проверку или отдельные проверки.
- Поставляется с несколькими параметрами командной строки для различных категорий одиночных проверок.
- Поддерживает различные типы вывода, включая цветной вывод.
- Поддерживает проверку идентификатора сеанса SSL.
- Поддерживает проверку нескольких сертификатов сервера.
- Обеспечивает абсолютную конфиденциальность: результат можете видеть только вы, а не третье лицо.
- Поддерживает вход в (плоский) формат JSON + CSV.
- Поддерживает массовое тестирование в последовательном (по умолчанию) или параллельном режимах.
- Поддерживает предварительную настройку параметров командной строки через переменные среды и многое другое.
Важно! Вам следует использовать bash (который предустановлен в большинстве дистрибутивов Linux), а также рекомендуется использовать более новую версию OpenSSL (1.1.1). для эффективного использования.
Как установить и использовать Testssl.sh в Linux
Вы можете установить testssl. sh, клонировав этот репозиторий git, как показано.
git clone --depth 1 https://github.com/drwetter/testssl.sh.git
cd testssl.sh
После клонирования testssl.sh обычно используется просто запуск следующей команды для проверки веб-сайта.
./testssl.sh https://www.google.com/
Чтобы запустить проверку протоколов с поддержкой STARTTLS: ftp, smtp, pop3, imap, xmpp, telnet, ldap, postgres, mysql, используйте опцию -t
.
./testssl.sh -t smtp https://www.google.com/
По умолчанию все массовые тесты выполняются в последовательном режиме, параллельное тестирование можно включить с помощью флага --parallel
.
./testssl.sh --parallel https://www.google.com/
Если вы не хотите использовать системную программу openssl по умолчанию, используйте флаг –openssl, чтобы указать альтернативу.
./testssl.sh --parallel --sneaky --openssl /path/to/your/openssl https://www.google.com/
Возможно, вы захотите сохранить журналы для последующего анализа. testssl.sh имеет --log
(сохранять файл журнала в текущем каталоге) или --logfile
(укажите расположение файла журнала).
./testssl.sh --parallel --sneaky --logging https://www.google.com/
Чтобы отключить поиск DNS, который может увеличить скорость тестирования, используйте флаг -n
.
./testssl.sh -n --parallel --sneaky --logging https://www.google.com/
Запустите одиночные проверки с помощьюtestssl.sh
Вы также можете запускать отдельные проверки протоколов, настроек сервера по умолчанию, настроек сервера, заголовков, различных типов уязвимостей и многих других тестов. Для этого предусмотрено несколько вариантов.
Например, флаг -e
позволяет удаленно проверять каждый локальный шифр. Если вы хотите сделать тест намного быстрее, используйте флаг --fast
; при этом некоторые проверки будут пропущены. Если вы используете openssl для всех шифров, отображается только первый предложенный шифр.
./testssl.sh -e --fast --parallel https://www.google.com/
Опция -p
позволяет тестировать протоколы TLS/SSL (включая SPDY/HTTP2).
./testssl.sh -p --parallel --sneaky https://www.google.com/
Вы можете просмотреть параметры и сертификат сервера по умолчанию, используя опцию -S
.
./testssl.sh -S https://www.google.com/
Далее, чтобы увидеть предпочтительный протокол+шифр сервера, используйте флаг -P
.
./testssl.sh -P https://www.google.com/
Опция -U
поможет вам протестировать все уязвимости (если применимо).
./testssl.sh -U --sneaky https://www.google.com/
К сожалению, мы не можем использовать здесь все параметры. Используйте команду ниже, чтобы просмотреть список всех параметров.
./testssl.sh --help
Дополнительную информацию можно найти в репозитории testssl.sh на Github: https://github.com/drwetter/testssl.sh.
Заключение
testssl.sh — это полезный инструмент безопасности, который должен иметь каждый системный администратор Linux и использовать для тестирования служб с поддержкой TSL/SSL. Если у вас есть какие-либо вопросы или мысли, которыми вы можете поделиться, воспользуйтесь формой комментариев ниже. Кроме того, вы также можете поделиться с нами любыми похожими инструментами, с которыми вы столкнулись.