Cum să securizăm ISPConfig 3 de SSL attack

ispconfigÎn continuare securizăm serverul ISPConfig 3 de un atac SSL. Este vorba de un server cu Debian 7. Serverul de hosting ISPConfig rulează următoarele servicii: server de web (Nginx), server de mail (Postfix și Dovecot), server FTP (pure-ftpd), care oferă conexiuni SSL / TLS și sunt ținte potențiale pentru un atac.

Nginx Webserver

vim /etc/nginx/nginx.conf

– și adăugăm:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

– după linia:

http {

– după care repornim Nginx:

service nginx restart

 

Postfix mail server

– pentru a forța postfix să nu furnizeze protocolul SSLv2 și SSLv3 rulăm:

postconf -e 'smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3'
 postconf -e 'smtpd_tls_protocols=!SSLv2,!SSLv3'
 postconf -e 'smtp_tls_protocols=!SSLv2,!SSLv3'

– ca idee, asta va adăuga liniile următoare:

smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtp_tls_protocols = !SSLv2,!SSLv3

– în fișierul /etc/postfix/main.cf

– și repornim serviciul:

/etc/init.d/postfix restart

 

Dovecot IMAP / POP3 server

– mai întâi verificăm ce versiune avem ca să vedem dacă avem suport de SSL:

dovecot --version

– ar trebui să zică ceva de genul:

root@server:~# dovecot –version
2.1.7
root@server:~#

vim /etc/dovecot/dovecot.conf

– și adăugăm în rândul următor după linia cu ssl_key:

ssl_protocols = !SSLv2 !SSLv3

– și va arăta ceva de genul:

ssl_key = </etc/postfix/smtpd.key
ssl_protocols = !SSLv2 !SSLv3

– și ca de obicei repornim serviciul:

/etc/init.d/dovecot restart

FTP with pure-ftpd

vim /usr/sbin/pure-ftpd-wrapper

– în linia care urmează după:

‘TLS’ => [‘-Y %d’, \&parse_number_1],

– adăugați linia aceasta:

'TLSCipherSuite' => ['-J %s', \&parse_string],

– și va fi ceva de genul:

.
.
‘TLS’ => [‘-Y %d’, \&parse_number_1],
‘TLSCipherSuite’ => [‘-J %s’, \&parse_string],
.
.

– creăm fișierul care va lăsa ce protocoale dorim:

echo 'HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3' > /etc/pure-ftpd/conf/TLSCipherSuite

– și restartăm serviciul ca de obicei:

/etc/init.d/pure-ftpd-mysql restart

– dacă apare și -J în comanda de restart înseamnă că a mers.

 

Succese


Știri ISPConfig:

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Zi cu cuvintele tale...