GNU/Linux >> Linux の 問題 >  >> Linux

Apache、Dovecot、PostfixでのSSLセキュリティの強化

はじめに:

OpenVASからメールサーバーのSSLセキュリティレベルが中程度であるという報告を受けた後、これを改善する方法を探しました。
これらの改善に役立つ非常に優れたサイトを見つけました:
https:/ /weakdh.org/sysadmin.html
https://wiki.dovecot.org/SSL/DovecotConfiguration

クリックしてapplied-crypto-hardening.pdfにアクセスします

このサイトに基づいて、dovecotメールサービスをカバーするように拡張すると、結果は次のようになります。

Apacheの強化:

/etc/apache2/mods-available/ssl.conf
次のパラメータを次のように変更します。
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE -ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH + AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE -RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA -AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256 :AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5 :!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DH + 3DES:!RSA + 3DES
SSLHonorCipherOrder on

硬化ダブコット:

注:openssl> =1.0.0 dovecot> =2.1.xが必要ですが、ECDHEサポートによりDovecot> =2.2.xが必要です。DovecotはデフォルトでPFSを使用しようとします。したがって、有効なSSL以外に、アクションはほとんど必要ありません。設定をログに記録して暗号を確認し、dovecot configsのlogin_log_format_elementsをgrepして、それに%kを追加します
例:
login_log_format_elements ="user =<%u> method =%m rip =%r lip =%l mpid =%e%c%k "
許可される暗号を構成します。サーバー側の強制は、dovecot> =2.2.6
/etc/dovecot/conf.d/ssl.confでのみ機能します
いくつかのパラメータを次のように変更します。 + aRSA + SHA256:EECDH + aRSA + RC4:EECDH:EDH + aRSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4
#dovecot> =2.2.6の場合のみ、サーバー暗号設定を適用します
ssl_prefer_server_ciphers =yes
#disableSSLv2およびSSLv3
ssl_protocols =!SSLv2!SSLv3
次のパラメータを追加します:
ssl_dh_parameters_length =2048
ファイルを削除します/var/lib/dovecot/ssl-parameters.dat
そしてDovecotサービスを再起動します:
サービスdovecot再起動
Dovecoteは、Diffie Hellmanパラメーターが2048ビット長に割り当てられており、そのファイルが削除されたばかりであることを確認すると、バックグラウンドで新しいパラメーターが再生成されます。

強化後置

/etc/postfix/main.cf
次の構成パラメーターを変更または追加します。
smtpd_tls_mandatory_protocols =!SSLv2、!SSLv3
smtpd_tls_mandatory_ciphers =high
tls_high_cipherlist =EDH + CAMELLIA:EDH + aRSA:EECDH + aRS + AESGCM:EECDH + aRSA + SHA384:EECDH + aRSA + SHA256:EECDH:+ CAMELLIA256:+ AES256:+ CAMELLIA128:+ AES128:+ SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP: !PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
smtpd_tls_exclude_ciphers =aNULL、eNULL、EXPORT、DES、RC4、MD5、PSK、 aECDH、EDH-DSS-DES-CBC3-SHA、EDH-RSA-DES-CBC3-SHA、KRB5-DES、CBC3-SHA
smtpd_tls_dh1024_param_file =/ etc / ssl / dh2048.pem
次のように新しいDiffieHellmanパラメータファイルを生成します。
openssl dhparam -out /etc/ssl/dh2048.pem 2048


Linux

  1. 完璧なサーバー-Apache、PHP、MySQL、PureFTPD、BIND、Postfix、Dovecot、ISPConfig3を搭載したUbuntu15.10(Wily Werewolf)

  2. 完璧なサーバー-Apache、PHP、MySQL、PureFTPD、BIND、Postfix、Dovecot、ISPConfig3.1を搭載したUbuntu16.10(Yakkety Yak)

  3. 完璧なサーバー-Apache、PHP、MySQL、PureFTPD、BIND、Postfix、Dovecot、ISPConfig3.1を搭載したUbuntu17.04(Zesty Zapus)

  1. 完璧なサーバー-Apache、PHP、MySQL、PureFTPD、BIND、Postfix、Dovecot、ISPConfig3を搭載したUbuntu15.04(Vivid Vervet)

  2. 完璧なサーバー-Apache、PHP、MySQL、PureFTPD、BIND、Postfix、Dovecot、ISPConfig3.1を搭載したUbuntu17.10(Artful Aardvark)

  3. JiraとConfluenceで管理者セキュリティパスワードの確認を無効にする

  1. 完璧なサーバー-Ubuntu14.04(nginx、BIND、MySQL、PHP、Postfix、Dovecot、ISPConfig 3)

  2. 完璧なサーバー-Apache、PHP、MySQL、PureFTPD、BIND、Postfix、Dovecot、ISPConfig3.1を搭載したUbuntu16.04(Xenial Xerus)

  3. 完璧なサーバー-Apache、PHP、MySQL、PureFTPD、BIND、Postfix、Dovecot、ISPConfig3.1を搭載したUbuntu18.04(Bionic Beaver)