Betrieb & Hosting

Server Patch SSL gegen DROWN Attack absichern

Update OpenSSL

apt-get update
apt-get install --only-upgrade libssl1.0.0 openssl

Möglicherweise muss auch OpenSSL aktualisiert werden

siehe dazu Update OpenSSL

HTTP – Apache – /etc/apache2/mods-enabled/ssl.conf

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256
SSLHonorCipherOrder on

Postfix – /etc/postfix/main.cf

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers = high
tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
smtpd_tls_eecdh_grade = ultra

und zusätzlich wahlweise noch

lmtp_tls_protocols = !SSLv2, !SSLv3
tlsproxy_tls_protocols = $smtpd_tls_protocols
lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3
tlsproxy_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols
smtpd_tls_ciphers = medium
smtp_tls_ciphers = medium
smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem
smtpd_tls_eecdh_grade = strong
smtp_tls_exclude_ciphers = EXPORT, LOW, MD5, aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2
smtpd_tls_exclude_ciphers = EXPORT, LOW, MD5, SEED, IDEA, RC2
smtpd_sasl_security_options = noanonymous

Anmerkung: „noplaintext“ bei smtpd_sasl_security_options“ kann zu Problemen beim Versand von Plaintext Emails führen diese werden nicht versendet.
Weiterhin muss der SASL Daemon laufen (/etc/init.d/saslauthd start)

Dovecot – /etc/dovecot/dovecot.conf

ssl_protocols = !SSLv2 !SSLv3

Dovecot – /etc/dovecot/conf.d/10-ssl.conf

ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL

Webmin
Webmin -> Webmin-Konfiguration -> SSL Verschlüsselung
„Erlaubt SSL-Verschlüsselungen“ -> „Nur starke PCI-konforme Schlüssel“

saslauthd


/etc/init.d/saslauthd restart

Weitere Doku:

How to block DROWN attack – Fix SSL vulnerability in Linux, Apache, Nginx, Exim and other servers

Testen kann man hier:
https://www.ssllabs.com
https://pentest-tools.com/network-vulnerability-scanning/drown-ssl-scanner

Für den Fall, dass aus Usermin nicht mehr Emails gesendet werden können:

failed : 530 5.7.0 Must issue a STARTTLS command first

Lösung: /etc/postfix/main.cf
smtpd_tls_security_level = encrypt
zu
smtpd_tls_security_level = may
ändern und postfix neu starten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Scroll Up