Der Standortschwachdh.orgerklärt, wie man Postfix gegen den schwachen Diffie-Hellman-Angriff namens „Logjam“ schützt.
Aber muss ich nicht auch Courier reparieren? Oder muss ich zu Dovecot migrieren, um Logjam-sicher zu sein?
Antwort1
ich fanddieser Blog-Beitragdas erklärt es ganz gut.
Um dies zu beschleunigen, prüfen Sie zunächst, ob Sie bereits gute Parameter im /etc/ssl/certs/dhparams.pemCheck haben mit
openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem
wenn ja, kopieren Sie sie in /etc/courier/dhparams.pemmit
cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem
sonst generieren mit
openssl dhparam -out /etc/courier/dhparams.pem 4096
Courrier Version 4.15 entfernt den Parameter TLS_DHCERTFILEaus IMAP- und POP3D-Konfigurationsdateien. DH-Parameter, und nur DH-Parameter, werden aus der neuen TLS_DHPARAMS-Datei gelesen (und die andere Funktionalität von TLS_DHCERTFILE für DSA-Zertifikate wird in TLS_CERTFILE integriert). Führen Sie nach dem Upgrade das Skript mkdhparams aus, um eine neue TLS_DHPARAMS-Datei zu erstellen.
Überprüfen Sie daher Ihre installierte Version mit
apt-cache show courier-imap-ssl|grep Version
Wenn Sie mindestens Version 4.15 haben, bearbeiten /etc/courier/imapd-sslund setzen Sie jetzt
TLS_DHPARAMS=/etc/courier/dhparams.pem
Courier-IMAP-SSL neu starten:
/etc/init.d/courier-imap-ssl restart
Überprüfen Sie die Verbindung mit OpenSSL Version 1.0.2a.
openssl s_client -host <yourhost.org> -port 993
Antwort2
Wenn Sie Courier verwenden, müssen Sie sicherstellen, dass die Diffie-Hellman-Parameter /etc/courier/dhparams.pemmit mehr als den standardmäßigen 768 Bit generiert werden. Ich denke, 2048 oder 4096 Bit sollten genügen.
Anstatt mkdhparamszum Generieren zu verwenden dhparams.pem(standardmäßig mit nur 768 Bit!), können Sie es auch folgendermaßen machen:
openssl dhparam -out /etc/courier/dhparams.pem 2048
service courier-mta-ssl restart
Hier finden Sie Informationen und weitere Informationen zum ThemaMildern Sie den Logjam-Angriff auf Courier-MTA.