나는 다음과 같이 pure-ftpd를 실행합니다:
/usr/sbin/pure-ftpd -A -c10 -B -C3 -z -D -e -fftp -H -I15 -lpam -L2000:8 -m4 -p30000:30100 -s -u40 -x -r -i -k99 -G -Z -Y1 -J'HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3'
하지만 syslog-ng 모니터링에서 오류가 발생합니다.
pure-ftpd: (?@?) [ERROR] SSL/TLS: Invalid TLSCipherSuite specified 'HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3'
여러 가지 변형을 시도했지만 운이 없었습니다. 문제가 없는 유일한 것은 이 것입니다(구성 파일에 있음):
TLSCipherSuite HIGH:MEDIUM:+TLSv1:!SSLv2:+SSLv3
그런 다음 다음을 실행하십시오.
/usr/sbin/pure-config.pl /etc/pure-ftpd/pure-ftpd.conf
실행: /usr/sbin/pure-ftpd -A -c10 -B -C3 -d -z -D -e -fftp -H -I15 -lpam -L2000:8 -m4 -p30000:30100 -s -u40 -x -r -i -k99 -G -Z -Y1 -JHIGH:MEDIUM:+TLSv1:!SSLv2:+SSLv3
그러나 이를 위해서는 SSLv2만 비활성화됩니다.
이 명령을 다음에서 찾았습니다.http://download.pureftpd.org/pub/pure-ftpd/doc/README 속담처럼 :
'-J': SSL/TLS 연결에 허용되는 암호 목록을 설정합니다.
예: -J 높음:중간:+TLSv1:!SSLv2:+SSLv3
목록에 접두사 -S를 추가하면 SSLv3가 완전히 비활성화됩니다.
이것이 내 문제를 해결할 수 있을 것 같지만 -S
어떻게 사용하는지 모르겠습니다.
답변1
SSLv*를 비활성화하고 TLS를 사용하기 위해 버전 1.0.33 및 1.0.38에 대해 다음을 수행했습니다.
이것을 입력하십시오 /usr/sbin/pure-ftpd-wrapper.patch
(또는 -J
전역 스위치를 로 바꾸십시오 -S
).
--- pure-ftpd-wrapper 2012-10-29 10:45:31.000000000 +0000
+++ pure-ftpd-wrapper.modified 2015-11-12 15:23:31.104156082 +0000
@@ -87,6 +87,7 @@
'Quota' => ['-n %d:%d', \&parse_number_2],
'SyslogFacility' => ['-f %s', \&parse_word, 99],
'TLS' => ['-Y %d', \&parse_number_1],
+ 'TLSCipherSuite' => [ '--tlsciphersuite=-S%s', \&parse_string],
'TrustedGID' => ['-a %d', \&parse_number_1],
'TrustedIP' => ['-V %s', \&parse_ip],
'Umask' => ['-U %s:%s', \&parse_umask],
그 다음에:
cd /usr/sbin
patch < pure-ftpd-wrapper.patch && rm -f pure-ftpd-wrapper.patch
그리고:
cat<<EOF>/etc/pure-ftpd/conf/TLSCipherSuite
:ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:!SEED-SHA:!DHE-RSA-SEED-SHA:+HIGH+MEDIUM
EOF
아니면 나만의 클래식OpenSSL구성.
그런 다음 SSL 테스트를 실행하십시오.SSL 테스트:
./testssl --starttls ftp YOUR-FTPS-DOMAIN:21
특히 다음과 같은 것을 기대합니다.
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
-S
대신 (SSL 비활성화, 문서화되지 않음) 이유를 이해하려면 -J
다음을 읽어야 합니다.이 변경 로그.:
- 암호 목록 앞에 -S:가 붙는 경우 Brad가 요구하는 SSL_OP_NO_SSLv3을 SSL 옵션에 추가합니다.
답변2
다음 형식을 시도해 보세요.
-S:HIGH:MEDIUM:+TLSv1