Cum să securizăm ISPConfig 3 de SSL attack
În continuare securizăm serverul ISPConfig 3 de un atac SSL. Este vorba de un server cu Debian 7. Serverul de hosting ISPConfig rulează următoarele servicii: server de web (Nginx), server de mail (Postfix și Dovecot), server FTP (pure-ftpd), care oferă conexiuni SSL / TLS și sunt ținte potențiale pentru un atac.
Nginx Webserver
vim /etc/nginx/nginx.conf
– și adăugăm:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
– după linia:
http {
– după care repornim Nginx:
service nginx restart
Postfix mail server
– pentru a forța postfix să nu furnizeze protocolul SSLv2 și SSLv3 rulăm:
postconf -e 'smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3' postconf -e 'smtpd_tls_protocols=!SSLv2,!SSLv3' postconf -e 'smtp_tls_protocols=!SSLv2,!SSLv3'
– ca idee, asta va adăuga liniile următoare:
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtp_tls_protocols = !SSLv2,!SSLv3
– în fișierul /etc/postfix/main.cf
– și repornim serviciul:
/etc/init.d/postfix restart
Dovecot IMAP / POP3 server
– mai întâi verificăm ce versiune avem ca să vedem dacă avem suport de SSL:
dovecot --version
– ar trebui să zică ceva de genul:
root@server:~# dovecot –version
2.1.7
root@server:~#
vim /etc/dovecot/dovecot.conf
– și adăugăm în rândul următor după linia cu ssl_key:
ssl_protocols = !SSLv2 !SSLv3
– și va arăta ceva de genul:
ssl_key = </etc/postfix/smtpd.key
ssl_protocols = !SSLv2 !SSLv3
– și ca de obicei repornim serviciul:
/etc/init.d/dovecot restart
FTP with pure-ftpd
vim /usr/sbin/pure-ftpd-wrapper
– în linia care urmează după:
‘TLS’ => [‘-Y %d’, \&parse_number_1],
– adăugați linia aceasta:
'TLSCipherSuite' => ['-J %s', \&parse_string],
– și va fi ceva de genul:
.
.
‘TLS’ => [‘-Y %d’, \&parse_number_1],
‘TLSCipherSuite’ => [‘-J %s’, \&parse_string],
.
.
– creăm fișierul care va lăsa ce protocoale dorim:
echo 'HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3' > /etc/pure-ftpd/conf/TLSCipherSuite
– și restartăm serviciul ca de obicei:
/etc/init.d/pure-ftpd-mysql restart
– dacă apare și -J în comanda de restart înseamnă că a mers.
Succese
Știri ISPConfig:
- Install WireGuard VPN on Debian 12
- How to Install Mattermost with Nginx proxy and free Let's Encrypt SSL on Ubuntu 24.04
- How to Install Graylog on Ubuntu 24.04
- How to Install Zabbix on Ubuntu 24.04
- How to Install and Use Vuls Vulnerability Scanner on Debian 12
- How to Use Rsnapshot for Backup and Restore on Linux Servers
- How to Monitor MySQL or MariaDB with Prometheus and Grafana
- How to Install Mattermost on Rocky Linux 9
- How to Install and Use Vuls Vulnerability Scanner on Ubuntu 24.04
Leave a Reply
Want to join the discussion?Feel free to contribute!