Server Patch SSL gegen DROWN Attack absichern

Update OpenSSL

apt-get update
apt-get install --only-upgrade libssl1.0.0 openssl

Möglicherweise muss auch OpenSSL aktualisiert werden

siehe dazu Update OpenSSL

HTTP – Apache – /etc/apache2/mods-enabled/ssl.conf

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256
SSLHonorCipherOrder on

Postfix – /etc/postfix/main.cf

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers = high
tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
smtpd_tls_eecdh_grade = ultra

und zusätzlich wahlweise noch

lmtp_tls_protocols = !SSLv2, !SSLv3
tlsproxy_tls_protocols = $smtpd_tls_protocols
lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3
tlsproxy_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols
smtpd_tls_ciphers = medium
smtp_tls_ciphers = medium
smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem
smtpd_tls_eecdh_grade = strong
smtp_tls_exclude_ciphers = EXPORT, LOW, MD5, aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2
smtpd_tls_exclude_ciphers = EXPORT, LOW, MD5, SEED, IDEA, RC2
smtpd_sasl_security_options = noanonymous

Anmerkung: „noplaintext“ bei smtpd_sasl_security_options“ kann zu Problemen beim Versand von Plaintext Emails führen diese werden nicht versendet.
Weiterhin muss der SASL Daemon laufen (/etc/init.d/saslauthd start)

Dovecot – /etc/dovecot/dovecot.conf

ssl_protocols = !SSLv2 !SSLv3

Dovecot – /etc/dovecot/conf.d/10-ssl.conf

ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL

Webmin
Webmin -> Webmin-Konfiguration -> SSL Verschlüsselung
„Erlaubt SSL-Verschlüsselungen“ -> „Nur starke PCI-konforme Schlüssel“

saslauthd


/etc/init.d/saslauthd restart

Weitere Doku:

How to block DROWN attack – Fix SSL vulnerability in Linux, Apache, Nginx, Exim and other servers

Testen kann man hier:
https://www.ssllabs.com
https://pentest-tools.com/network-vulnerability-scanning/drown-ssl-scanner

Für den Fall, dass aus Usermin nicht mehr Emails gesendet werden können:

failed : 530 5.7.0 Must issue a STARTTLS command first

Lösung: /etc/postfix/main.cf
smtpd_tls_security_level = encrypt
zu
smtpd_tls_security_level = may
ändern und postfix neu starten

Über Patrick Schwalger 24 Artikel
Patrick Schwalger ist Gründer und Geschäftsführer bei VCAT. Im Rahmen seines Aufgabenbereiches ist er verantwortlich für Prozesse und die technischen Umsetzungen sowie serverseitige Strukturen. Diese Themen begleiten ihn ständig:

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*