사이트Weakdh.org"logjam"이라는 약한 Diffie-Hellman 공격에 대해 postfix를 수정하는 방법을 설명합니다.
그런데 택배도 고쳐야 하지 않나요? 아니면 정체로부터 안전하려면 비둘기장으로 마이그레이션해야 합니까?
답변1
나는 찾았다이 블로그 게시물그것은 그것을 아주 잘 설명합니다.
속도를 높이려면 먼저 다음을 통해 이미 좋은 매개변수가 있는지 확인하세요 /etc/ssl/certs/dhparams.pem.
openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem
그렇다면 다음으로 복사하십시오 /etc/courier/dhparams.pem.
cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem
그렇지 않으면 생성
openssl dhparam -out /etc/courier/dhparams.pem 4096
Courier 버전 4.15에서는 TLS_DHCERTFILE 매개변수가 제거되었습니다.imap 및 pop3d 구성 파일에서. DH 매개변수 및 DH 매개변수만 새 TLS_DHPARAMS 파일에서 읽혀집니다(DSA 인증서에 대한 TLS_DHCERTFILE의 다른 기능은 TLS_CERTFILE로 병합됩니다). 업그레이드 후 mkdhparams 스크립트를 실행하여 새 TLS_DHPARAMS 파일을 생성하십시오.
따라서 설치된 버전을 확인하십시오.
apt-cache show courier-imap-ssl|grep Version
버전 4.15 이상이면 이제 편집 /etc/courier/imapd-ssl하고 설정하세요.
TLS_DHPARAMS=/etc/courier/dhparams.pem
courier-imap-ssl을 다시 시작하십시오:
/etc/init.d/courier-imap-ssl restart
openssl 버전 1.0.2a와의 연결을 확인하십시오.
openssl s_client -host <yourhost.org> -port 993
답변2
/etc/courier/dhparams.pemCourier를 이용할 경우, 의 Diffie-Hellman 매개변수가 기본 768비트 이상으로 생성되는지 확인해야 합니다 . 2048이나 4096비트가 적당할 것 같습니다.
mkdhparams생성하는 데 사용하는 대신 dhparams.pem(기본적으로 768비트만!) 다음과 같이 할 수 있습니다.
openssl dhparam -out /etc/courier/dhparams.pem 2048
service courier-mta-ssl restart
여기에 몇 가지 정보(독일어)와 방법에 대한 추가 자료가 있습니다.Courier-MTA에 대한 Logjam 공격을 완화합니다.