pure-ftpd에서 SSLv2 및 SSLv3을 비활성화하는 방법

tag-icon tag-icon pure-ftpd poodle
pure-ftpd에서 SSLv2 및 SSLv3을 비활성화하는 방법

나는 다음과 같이 pure-ftpd를 실행합니다:

/usr/sbin/pure-ftpd -A -c10 -B -C3 -z -D -e -fftp -H -I15 -lpam -L2000:8 -m4 -p30000:30100 -s -u40 -x -r -i -k99 -G -Z -Y1 -J'HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3'

하지만 syslog-ng 모니터링에서 오류가 발생합니다.

pure-ftpd: (?@?) [ERROR] SSL/TLS: Invalid TLSCipherSuite specified 'HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3'

여러 가지 변형을 시도했지만 운이 없었습니다. 문제가 없는 유일한 것은 이 것입니다(구성 파일에 있음):

TLSCipherSuite          HIGH:MEDIUM:+TLSv1:!SSLv2:+SSLv3

그런 다음 다음을 실행하십시오.

/usr/sbin/pure-config.pl /etc/pure-ftpd/pure-ftpd.conf

실행: /usr/sbin/pure-ftpd -A -c10 -B -C3 -d -z -D -e -fftp -H -I15 -lpam -L2000:8 -m4 -p30000:30100 -s -u40 -x -r -i -k99 -G -Z -Y1 -JHIGH:MEDIUM:+TLSv1:!SSLv2:+SSLv3

그러나 이를 위해서는 SSLv2만 비활성화됩니다.

이 명령을 다음에서 찾았습니다.http://download.pureftpd.org/pub/pure-ftpd/doc/README 속담처럼 :

'-J': SSL/TLS 연결에 허용되는 암호 목록을 설정합니다.

예: -J 높음:중간:+TLSv1:!SSLv2:+SSLv3

목록에 접두사 -S를 추가하면 SSLv3가 완전히 비활성화됩니다.

이것이 내 문제를 해결할 수 있을 것 같지만 -S어떻게 사용하는지 모르겠습니다.

답변1

SSLv*를 비활성화하고 TLS를 사용하기 위해 버전 1.0.33 및 1.0.38에 대해 다음을 수행했습니다.

이것을 입력하십시오 /usr/sbin/pure-ftpd-wrapper.patch(또는 -J전역 스위치를 로 바꾸십시오 -S).

--- pure-ftpd-wrapper   2012-10-29 10:45:31.000000000 +0000
+++ pure-ftpd-wrapper.modified  2015-11-12 15:23:31.104156082 +0000
@@ -87,6 +87,7 @@
            'Quota' => ['-n %d:%d', \&parse_number_2],
            'SyslogFacility' => ['-f %s', \&parse_word, 99],
            'TLS' => ['-Y %d', \&parse_number_1],
+           'TLSCipherSuite' => [ '--tlsciphersuite=-S%s', \&parse_string],
            'TrustedGID' => ['-a %d', \&parse_number_1],
            'TrustedIP' => ['-V %s', \&parse_ip],
            'Umask' => ['-U %s:%s', \&parse_umask],

그 다음에:

cd /usr/sbin
patch < pure-ftpd-wrapper.patch && rm -f pure-ftpd-wrapper.patch

그리고:

cat<<EOF>/etc/pure-ftpd/conf/TLSCipherSuite
:ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:!SEED-SHA:!DHE-RSA-SEED-SHA:+HIGH+MEDIUM
EOF

아니면 나만의 클래식구성.

그런 다음 SSL 테스트를 실행하십시오.SSL 테스트:

./testssl --starttls ftp YOUR-FTPS-DOMAIN:21

특히 다음과 같은 것을 기대합니다.

 SSLv2      not offered (OK)
 SSLv3      not offered (OK)
 TLS 1      offered
 TLS 1.1    offered
 TLS 1.2    offered (OK)

-S대신 (SSL 비활성화, 문서화되지 않음) 이유를 이해하려면 -J다음을 읽어야 합니다.이 변경 로그.:

  • 암호 목록 앞에 -S:가 붙는 경우 Brad가 요구하는 SSL_OP_NO_SSLv3을 SSL 옵션에 추가합니다.

답변2

다음 형식을 시도해 보세요.

-S:HIGH:MEDIUM:+TLSv1

관련 정보