Παρασκευή, 25 Νοεμβρίου 2016

ΠΩΣ ΘΑ ΠΡΟΣΤΑΤΕΨΩ ΤΟ DEBIAN SERVER ΜΟΥ ΜΕΡΟΣ 2


Στο παρακάτω οδηγό θα περιγράψουμε όλες τις ενέργειες για την προστασία του διακομιστή σας κατά poodle επίθεση SSL. Θα χρησιμοποιήσω για παράδειγμα ένα ISPConfig 3 server στο Debian 8. Ενας ISPConfig hosting server εκτελεί τις ακόλουθες υπηρεσίες: Webserver (Nginx ή apache), Mailserver (Postfix και Dovecot / Courier), FTP-διακομιστή (pure-ftpd) που προσφέρουν SSL / TLS συνδέσεις και είναι πιθανοί στόχοι για μία poodle επίθεση. Υποθέτω ότι είστε συνδεδεμένοι στο διακομιστή σας ως χρήστης root

1. Apache web server

Aνοίξτε το /etc/apache2/mods-available/ssl.conf αρχείο σε ένα πρόγραμμα επεξεργασίας


# nano /etc/apache2/mods-available/ssl.conf


μετακινηθείτε προς τα κάτω μέχρι να δείτε τις γραμμές:


 # enable only secure protocols: SSLv3 and TLSv1, but not SSLv2
SSLProtocol all -SSLv2


και να τους αλλάξετε:



# enable only secure protocols: but not SSLv2 and SSLv3
SSLProtocol all -SSLv2 -SSLv3


και 


# service apache2 restart


2. Nginx Web server

Ανοίξτε το /etc/nginx/nginx.conf αρχείο σε ένα πρόγραμμα επεξεργασία


# nano /etc/nginx/nginx.conf

και προσθέστε τη γραμμή:


ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

μετά τη γραμμή:


 http {




Στη συνέχεια, κάντε επανεκκίνηση nginx:


# service nginx restart


3.  Postfix mail server 
Για το πρωτόκολλο SSLv2 και SSLv3, εκτελέστε αυτές τις εντολές:


# postconf -e 'smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3'
# postconf -e 'smtpd_tls_protocols=!SSLv2,!SSLv3'
# postconf -e 'smtp_tls_protocols=!SSLv2,!SSLv3'

και 


# service postfix restart



4. Dovecot IMAP / POP3 server
Το Dovecot υποστηρίζει ρυθμίσεις πρωτόκολλο SSL. Έτσι, το πρώτο βήμα είναι


# nano /etc/dovecot/dovecot.conf


και προσθέστε τη γραμμή


 ssl_protocols = !SSLv2 !SSLv3


αμέσως μετά την ssl_key γραμμή, έτσι ώστε το αρχείο σας θα πρέπει να μοιάζει με αυτό:



ssl_key = </etc/postfix/smtpd.key
ssl_protocols = !SSLv2 !SSLv3

και, τέλος, κάντε επανεκκίνηση να εφαρμοστούν οι αλλαγές:


# service dovecot restart


5.  Courier POP3 / IMAP server 
Τα αρχεία ρυθμίσεων courier είναι στο / etc / courier / φάκελο. Πρώτα ξεκινάμε με το αρχείο ρυθμίσεων του deamon IMAP: 


# nano /etc/courier/imapd-ssl

Προσθήκη ή αντικατάσταση στις ακόλουθες γραμμές:



IMAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
TLS_PROTOCOL=TLS1
TLS_STARTTLS_PROTOCOL=TLS1


Στη συνέχεια, επεξεργαστείτε το αρχείο ρυθμίσεων του POP3 Daemon


# nano /etc/courier/pop3d-ssl

 Προσθήκη ή αντικατάσταση στις ακόλουθες γραμμές:


POP3STARTTLS=YES
POP3_TLS_REQUIRED=1
TLS_PROTOCOL=TLS1
TLS_STARTTLS_PROTOCOL=TLS1

Τέλος κάντε επανεκκίνηση των couriers deamons


# service courier-imap-ssl restart
# service courier-pop-ssl restart


6.  FTP με pure-ftpd


# nano /usr/sbin/pure-ftpd-wrapper

 και μετακινηθείτε προς τα κάτω στη γραμμή



 'TLS' => ['-Y %d', \&parse_number_1],


και να προσθέσετε αυτή τη νέα γραμμή αμέσως μετά:


 'TLSCipherSuite' => ['-J %s', \&parse_string],

Τέλος έχουμε δημιουργήσει ένα αρχείο ρυθμίσεων που περιέχει τα πρωτόκολλα SSL που θέλουμε να επιτραπούν:


# echo 'HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3' > /etc/pure-ftpd/conf/TLSCipherSuite



Για να εφαρμοστούν οι αλλαγές, κάντε επανεκκίνηση pure-ftpd. Στον server μου, μπορώ να χρησιμοποιήσω pure-ftpd με MySQL, έτσι το όνομα του δαίμονα είναι pure-ftpd-MySQL και όχι μόνο pure-ftpd.


# service pure-ftpd-mysql restart




το αποτέλεσμα θα πρέπει να είναι παρόμοιο με το συγκεκριμένο:



root@server1:~# service pure-ftpd-mysql restart
Restarting ftp server: Running: /usr/sbin/pure-ftpd-mysql-virtualchroot -l mysql:/etc/pure-ftpd/db/mysql.conf -l pam -Y 1 -8 UTF-8 -H -J HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3 -D -b -O clf:/var/log/pure-ftpd/transfer.log -E -u 1000 -A -B
root@server1:~#


η επιλογή -J έχει προστεθεί με επιτυχία στην ακολουθία εκκίνησης του δαίμονα.