Introduzione:
Dopo aver ricevuto un rapporto da OpenVAS che indicava che il mio livello di sicurezza SSL del server di posta era medio, ho cercato dei modi per migliorarlo.
Ho trovato ottimi siti che mi aiutano a fare questi miglioramenti:
https:/ /weakdh.org/sysadmin.html
https://wiki.dovecot.org/SSL/DovecotConfiguration
Fare clic per accedere al file-crypto-hardening applicato.pdf
Basato su questo sito e esteso a coprire il servizio di posta dovecot, ecco il risultato:
Apache temprato:
In /etc/apache2/mods-available/ssl.conf
Modificare i seguenti parametri come segue:SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DH+3DES:!RSA+3DES
SSLHonorCipherOrder on
Piombaia indurente:
Nota:dovresti avere openssl>=1.0.0 dovecot>=2.1.x richiesto, meglio dovecot>=2.2.x a causa del supporto ECDHE Dovecot tenta di usare PFS per impostazione predefinita, quindi oltre all'SSL abilitato non è richiesta quasi nessuna azione cambia il log settings per vedere la cifra, grep per login_log_format_elements in dovecot configs e aggiungi %k ad esso
eg:login_log_format_elements = "user=< %u> method=%m rip=%r lip=%l mpid=%e %c %k"
Configura i codici consentiti. L'applicazione lato server funziona solo per dovecot>=2.2.6
In /etc/dovecot/conf.d/ssl.conf
Modifica alcuni parametri come segue:ssl_cipher_list = EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4
#only for dovecot >=2.2.6, enforce the server cipher preference
ssl_prefer_server_ciphers = yes
#disable SSLv2 and SSLv3
ssl_protocols = !SSLv2 !SSLv3
Aggiungi il seguente parametro:ssl_dh_parameters_length = 2048
Elimina il file /var/lib/dovecot/ssl-parameters.dat
e riavvia il servizio Dovecot:service dovecot restart
Dovecote vedendo che i parametri di Diffie Hellman sono lunghi 2048 bit e che il suo file è stato appena cancellato, ne rigenera uno nuovo in background.
Postfix indurente
In /etc/postfix/main.cf
Modifica o aggiungi i seguenti parametri di configurazione:smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers=high
tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_dh1024_param_file=/etc/ssl/dh2048.pem
Genera un nuovo file di parametri Diffie Hellman come segue:openssl dhparam -out /etc/ssl/dh2048.pem 2048