Сканирование уязвимостей nmap сообщает об уязвимости «smtps на порту 465 ssl-dh-params» на веб-сервере Ubuntu 20.04. Как закрыть уязвимость?
Я использую почтовый/веб-сервер Ubuntu 20.04 LEMP (Linux, Nginx, MariaDb, PHP). Я также провожу некоторые тесты уязвимостей nmap на своем клиентском компьютере MacOS. В MacOS я использую Oh My Zsh! с включенным плагином nmap. Чтобы провести несколько тестов уязвимостей на моем сервере Ubuntu с моего клиентского компьютера MacOS, я ввел команду:
nmap_check_for_vulns my.server.ip.address
это псевдоним команды для
nmap --script=vuln
После ввода команды с IP-адресом моего сервера nmap сообщил о следующих уязвимостях:
465/tcp open smtps
| ssl-dh-params:
| VULNERABLE:
| Anonymous Diffie-Hellman Key Exchange MitM Vulnerability
| State: VULNERABLE
| Transport Layer Security (TLS) services that use anonymous
| Diffie-Hellman key exchange only provide protection against passive
| eavesdropping, and are vulnerable to active man-in-the-middle attacks
| which could completely compromise the confidentiality and integrity
| of any data exchanged over the resulting session.
| Check results:
| ANONYMOUS DH GROUP 1
| Cipher Suite: TLS_DH_anon_WITH_AES_128_CBC_SHA
| Modulus Type: Safe prime
| Modulus Source: Unknown/Custom-generated
| Modulus Length: 2048
| Generator Length: 8
| Public Key Length: 2048
| References:
|_ https://www.ietf.org/rfc/rfc2246.txt
На сервере выводsudo -ss lnptявляется:
LISTEN 0 100 0.0.0.0:465 0.0.0.0:* users:(("smtpd",pid=586529,fd=6),("master",pid=2078,fd=29))
Предоставленная ссылка на nmap https://www.ietf.org/rfc/rfc2246.txt не содержит ссылки на эту КОНКРЕТНУЮ уязвимость, которую я могу найти.
Мой вопрос: что означает эта уязвимость, какой процесс ее использует и как я могу устранить эту уязвимость на своем сервере Ubuntu 20.04, не отключая порт 456? Нужно ли мне исправить проблему Диффи-Хеллмана на SMTP-серверах postfix/dovecot, и если да, то как мне это сделать?