Server Patch SSL gegen DROWN Attack absichern

+49 331 231 831 – 0 | [email protected] | August-Bebel-Str. 26-53, 14482 Potsdam

Server Patch SSL gegen DROWN Attack absichern

15. Dezember 2016

Update OpenSSL

apt-get update
apt-get install --only-upgrade libssl1.0.0 openssl

Möglicherweise muss auch OpenSSL aktualisiert werden

siehe dazu Update OpenSSL

HTTP – Apache – /etc/apache2/mods-enabled/ssl.conf

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256
SSLHonorCipherOrder on

Postfix – /etc/postfix/main.cf

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers = high
tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
smtpd_tls_eecdh_grade = ultra

und zusätzlich wahlweise noch
lmtp_tls_protocols = !SSLv2, !SSLv3 tlsproxy_tls_protocols = $smtpd_tls_protocols lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3 tlsproxy_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols smtpd_tls_ciphers = medium smtp_tls_ciphers = medium smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem smtpd_tls_eecdh_grade = strong smtp_tls_exclude_ciphers = EXPORT, LOW, MD5, aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2 smtpd_tls_exclude_ciphers = EXPORT, LOW, MD5, SEED, IDEA, RC2 smtpd_sasl_security_options = noanonymous

Anmerkung: „noplaintext“ bei smtpd_sasl_security_options“ kann zu Problemen beim Versand von Plaintext Emails führen diese werden nicht versendet.
Weiterhin muss der SASL Daemon laufen (/etc/init.d/saslauthd start)

Dovecot – /etc/dovecot/dovecot.conf

ssl_protocols = !SSLv2 !SSLv3

Dovecot – /etc/dovecot/conf.d/10-ssl.conf
ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL

Webmin
Webmin -> Webmin-Konfiguration -> SSL Verschlüsselung
„Erlaubt SSL-Verschlüsselungen“ -> „Nur starke PCI-konforme Schlüssel“

saslauthd

/etc/init.d/saslauthd restart
Weitere Doku:

How to block DROWN attack – Fix SSL vulnerability in Linux, Apache, Nginx, Exim and other servers

Testen kann man hier:
https://www.ssllabs.com
https://pentest-tools.com/network-vulnerability-scanning/drown-ssl-scanner

Für den Fall, dass aus Usermin nicht mehr Emails gesendet werden können:

failed : 530 5.7.0 Must issue a STARTTLS command first

Lösung: /etc/postfix/main.cf
smtpd_tls_security_level = encrypt
zu
smtpd_tls_security_level = may
ändern und postfix neu starten

Published by

pasch

Themen:

Betrieb & Hosting, Technik

Schlagworte:

Apache, Dovecot, Postfix, SSL, Technik, Ubuntu

Server Patch SSL gegen DROWN Attack absichern

Server Patch SSL gegen DROWN Attack absichern

Schreibe einen Kommentar Antworten abbrechen

Unsere Themen

Neueste Beiträge

Neueste Kommentare

Server Patch SSL gegen DROWN Attack absichern

Server Patch SSL gegen DROWN Attack absichern

Schreibe einen Kommentar Antworten abbrechen

Unsere Themen

Neueste Beiträge

Neueste Kommentare

Weitere Beiträge

WordCamp 2024 Review

WordPress-basierter Webshop für die Welterberegion Wartburg-Hainich

Dein Sprungbrett in die Tech-Welt: Ausbildung zum Mathematisch-Technischen Softwareentwickler (MaTSE) (m/w/d) bei VCAT!

Effiziente Verwaltung mit vtiger: Neues CRM für DEHOGA Mecklenburg-Vorpommern