Устраните уязвимость затора в курьере
weakdh.org сайта объясняет, как зафиксировать постфикс против слабого нападения Diffie-Hellman, названного "затором".
Но разве я не должен фиксировать курьера также? Или я должен мигрировать на голубятню для затора?
Я нашел этот пост в блоге , который довольно хорошо объясняет.
Чтобы ускорить это, сначала проверьте, есть ли у вас уже хорошие параметры в / etc /ssl/certs/dhparams.pem проверьте с помощью
openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem
, если да, скопируйте их в /etc/courier/dhparams.pem с помощью
cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem
, в противном случае сгенерируйте с помощью
openssl dhparam -out /etc/courier/dhparams.pem 4096
Версия Courrier 4.15 удаляет Параметр TLS_DHCERTFILE из файлов конфигурации imap и pop3d. Параметры DH и только параметры DH считываются из нового файла TLS_DHPARAMS (а другие функции TLS_DHCERTFILE для сертификатов DSA объединяются в TLS_CERTFILE). После обновления запустите сценарий mkdhparams, чтобы создать новый файл TLS_DHPARAMS.
Поэтому проверьте установленную версию с помощью
apt-cache show courier-imap-ssl|grep Version
. Если у вас версия не ниже 4.15, теперь отредактируйте / etc / courier / imapd-ssl и установите
TLS_DHPARAMS=/etc/courier/dhparams.pem
restart courier-imap-ssl:
/etc/init.d/courier-imap-ssl restart
проверьте соединение с openssl версии 1.0.2a.
openssl s_client -host <yourhost.org> -port 993
При использовании курьера необходимо убедиться, что параметры Диффи-Хеллмана в /etc/courier/dhparams.pem генерируются с более чем 768 битами по умолчанию. Думаю, подойдет 2048 или 4096 бит.
Вместо использования mkdhparams для генерации dhparams.pem (по умолчанию всего 768 бит!) Вы можете сделать это следующим образом:
openssl dhparam -out /etc/courier/dhparams.pem 2048
service courier-mta-ssl restart
Вот некоторая информация (на немецком языке) и дополнительная информация о том, как смягчить атаку Logjam на Courier-MTA.