Memperkuat keamanan SSL di Apache, Dovecot dan Postfix

Pendahuluan:

Setelah mendapat laporan dari OpenVAS bahwa tingkat keamanan SSL server email saya sedang, saya mencari cara untuk memperbaikinya.
Saya menemukan situs yang sangat bagus yang membantu saya melakukan perbaikan ini:
https:/ /weakdh.org/sysadmin.html
https://wiki.dovecot.org/SSL/DovecotConfiguration

Klik untuk mengakses apply-crypto-hardening.pdf

Berdasarkan situs ini dan diperluas untuk mencakup layanan surat dovecot, inilah hasilnya:

Mengeraskan Apache:

Di /etc/Apache2/mods-available/ssl.conf
Ubah parameter berikut sebagai berikut:
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DH+3DES:!RSA+3DES
SSLHonorCipherOrder on

Dovecot Pengerasan:

Catatan:Anda harus memiliki openssl>=1.0.0 dovecot>=2.1.x diperlukan, dovecot lebih baik>=2.2.x karena dukungan ECDHE Dovecot mencoba menggunakan PFS secara default, jadi selain SSL yang diaktifkan hampir tidak ada tindakan yang diperlukan untuk mengubah pengaturan log untuk melihat sandi, ambil untuk login_log_format_elements dalam konfigurasi dovecot dan tambahkan %k ke dalamnya
misalnya:
login_log_format_elements = "user=< %u> method=%m rip=%r lip=%l mpid=%e %c %k"
Konfigurasikan sandi yang diizinkan. Penegakan sisi server hanya berfungsi untuk dovecot>=2.2.6
Di /etc/dovecot/conf.d/ssl.conf
Ubah beberapa parameter sebagai berikut:
ssl_cipher_list = EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4
#only for dovecot >=2.2.6, enforce the server cipher preference
ssl_prefer_server_ciphers = yes
#disable SSLv2 and SSLv3
ssl_protocols = !SSLv2 !SSLv3
Tambahkan parameter berikut:
ssl_dh_parameters_length = 2048
Hapus file /var/lib/dovecot/ssl-parameters.dat
dan mulai ulang layanan Dovecot:
service dovecot restart
Dovecote melihat bahwa parameter Diffie Hellman ditetapkan sepanjang 2048 bit dan bahwa filenya baru saja dihapus, akan membuat yang baru di latar belakang.

Pengerasan Postfix

Di /etc/postfix/main.cf
Ubah atau tambahkan parameter konfigurasi berikut:
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers=high
tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_dh1024_param_file=/etc/ssl/dh2048.pem
Buat file parameter Diffie Hellman baru sebagai berikut:
openssl dhparam -out /etc/ssl/dh2048.pem 2048