Úvod:
Poté, co jsem dostal zprávu od OpenVAS, že moje úroveň zabezpečení SSL poštovního serveru je střední, hledal jsem způsoby, jak to zlepšit.
Našel jsem velmi dobré stránky, které mi pomáhají s těmito vylepšeními:
https:/ /weakdh.org/sysadmin.html
https://wiki.dovecot.org/SSL/DovecotConfiguration
Kliknutím získáte přístup k souboru apply-crypto-hardening.pdf
Na základě tohoto webu a rozšíření na poštovní službu dovecot je výsledek:
Hardening Apache:
V /etc/apache2/mods-available/ssl.conf
Změňte následující parametry následovně:SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DH+3DES:!RSA+3DES
SSLHonorCipherOrder on
Tužící holubník:
Poznámka:měli byste mít openssl>=1.0.0 holubník>=2.1.x vyžadován, lepší holubník>=2.2.x kvůli podpoře ECDHE Dovecot se snaží používat PFS ve výchozím nastavení, takže kromě povoleného SSL nejsou vyžadovány téměř žádné akce změnit nastavení protokolu, abyste viděli šifru, grep pro login_log_format_elements v konfiguracích dovecotu a přidejte do něj %k
např.:login_log_format_elements = "user=< %u> method=%m rip=%r lip=%l mpid=%e %c %k"
Nakonfigurujte povolené šifry. Vynucení na straně serveru funguje pouze pro dovecot>=2.2.6
V /etc/dovecot/conf.d/ssl.conf
Některé parametry změňte následovně:ssl_cipher_list = EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4
#only for dovecot >=2.2.6, enforce the server cipher preference
ssl_prefer_server_ciphers = yes
#disable SSLv2 and SSLv3
ssl_protocols = !SSLv2 !SSLv3
Přidejte následující parametr:ssl_dh_parameters_length = 2048
Smažte soubor /var/lib/dovecot/ssl-parameters.dat
a restartujte službu Dovecot:service dovecot restart
Holubník, když vidí, že parametry Diffie Hellmana jsou dlouhé 2048 bitů a že jeho soubor byl právě smazán, vygeneruje na pozadí nový.
Hardening Postfix
V /etc/postfix/main.cf
Změňte nebo přidejte následující konfigurační parametry:smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers=high
tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_dh1024_param_file=/etc/ssl/dh2048.pem
Vygenerujte nový soubor parametrů Diffie Hellman následovně:openssl dhparam -out /etc/ssl/dh2048.pem 2048
-
The Perfect Server - Ubuntu 16.10 (Yakkety Yak) s Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot a ISPConfig 3.1
-
The Perfect Server - Ubuntu 17.04 (Zesty Zapus) s Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot a ISPConfig 3.1
-
The Perfect Server - Ubuntu 16.04 (Xenial Xerus) s Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot a ISPConfig 3.1
-
The Perfect Server – Ubuntu 15.04 (Vivid Vervet) s Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot a ISPConfig 3
-
The Perfect Server - Ubuntu 15.10 (Wily Werewolf) s Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot a ISPConfig 3
-
The Perfect Server - Ubuntu 18.04 (Bionic Beaver) s Apache, PHP, MySQL, PureFTPD, BIND, Postfix, Dovecot a ISPConfig 3.1