Исправление уязвимости logjam в курьере
Сайт weakdh.org объясняет, как исправить постфикс против слабой атаки Диффи-Хеллмана, называемой "logjam".
Но разве я не должен починить курьера тоже? Или я должен перейти на dovecot, чтобы быть безопасным для logjam?
2 ответа
Я нашел этот пост в блоге, который объясняет это довольно хорошо.
Чтобы ускорить это, сначала проверьте, если у вас уже есть хорошие параметры в /etc/ssl/certs/dhparams.pem проверить с
openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem
если это так, скопируйте их в /etc/courier/dhparams.pem с
cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem
иначе генерировать с
openssl dhparam -out /etc/courier/dhparams.pem 4096
Курьер версии 4.15 удаляет параметр TLS_DHCERTFILE из файлов конфигурации imap и pop3d. Параметры DH и только параметры DH считываются из нового файла TLS_DHPARAMS (а другая функциональная возможность TLS_DHCERTFILE для сертификатов DSA объединяется в TLS_CERTFILE). После обновления запустите сценарий mkdhparams, чтобы создать новый файл TLS_DHPARAMS.
Так что проверьте установленную версию с
apt-cache show courier-imap-ssl|grep Version
Если у вас есть по крайней мере версия 4.15, теперь отредактируйте /etc/courier/imapd-ssl и установить
TLS_DHPARAMS=/etc/courier/dhparams.pem
перезапустите courier-imap-ssl:
/etc/init.d/courier-imap-ssl restart
проверьте соединение с openssl версии 1.0.2a.
openssl s_client -host <yourhost.org> -port 993
При использовании курьера необходимо убедиться, что параметры Диффи-Хеллмана в /etc/courier/dhparams.pem генерируются с более чем 768 бит по умолчанию. Я думаю, что 2048 или 4096 бит должны делать.
Вместо того, чтобы использовать mkdhparams чтобы генерировать dhparams.pem (по умолчанию всего 768 бит!) Вы можете сделать это так:
openssl dhparam -out /etc/courier/dhparams.pem 2048
service courier-mta-ssl restart
Вот некоторая информация (на немецком языке) и дальнейшее чтение о том, как смягчить Logjam-атаку на Courier-MTA.