Présentation :
Après avoir reçu un rapport d'OpenVAS indiquant que mon niveau de sécurité SSL du serveur de messagerie était moyen, j'ai cherché des moyens d'améliorer cela.
J'ai trouvé de très bons sites qui m'aident à apporter ces améliorations :
https:/ /weakdh.org/sysadmin.html
https://wiki.dovecot.org/SSL/DovecotConfiguration
Cliquez pour accéder au-crypto-hardening-appliqué.pdf
Basé sur ce site et s'étendant pour couvrir le service de courrier dovecot, voici le résultat :
Apache renforcé :
Dans /etc/apache2/mods-available/ssl.conf
Modifiez les paramètres suivants comme suit :SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DH+3DES:!RSA+3DES
SSLHonorCipherOrder on
Dovecot de durcissement :
Remarque:vous devriez avoir openssl> =1.0.0 dovecot> =2.1.x requis, mieux dovecot> =2.2.x en raison de la prise en charge ECDHE Dovecot essaie d'utiliser PFS par défaut, donc en plus du SSL activé, presque aucune action n'est requise changer le paramètres de journalisation pour voir le chiffrement, grep pour un login_log_format_elements dans les configurations dovecot et ajoutez-y %k
par exemple :login_log_format_elements = "user=< %u> method=%m rip=%r lip=%l mpid=%e %c %k"
Configurez les chiffrements autorisés. L'application côté serveur ne fonctionne que pour dovecot>=2.2.6
Dans /etc/dovecot/conf.d/ssl.conf
Modifiez certains paramètres comme suit :ssl_cipher_list = EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4
#only for dovecot >=2.2.6, enforce the server cipher preference
ssl_prefer_server_ciphers = yes
#disable SSLv2 and SSLv3
ssl_protocols = !SSLv2 !SSLv3
Ajoutez le paramètre suivant :ssl_dh_parameters_length = 2048
Supprimez le fichier /var/lib/dovecot/ssl-parameters.dat
et redémarrez le service Dovecot :service dovecot restart
Dovecote voyant que les paramètres de Diffie Hellman sont assignés à une longueur de 2048 bits et que son fichier vient d'être supprimé, va en régénérer un nouveau en arrière-plan.
Suffixe durcissant
Dans /etc/postfix/main.cf
Modifiez ou ajoutez les paramètres de configuration suivants :smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers=high
tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_dh1024_param_file=/etc/ssl/dh2048.pem
Générez un nouveau fichier de paramètres Diffie Hellman comme suit :openssl dhparam -out /etc/ssl/dh2048.pem 2048