主页 / server / 问题 / 693496
Accepted
rubo77
Asked: 2015-05-21 23:10:23 +0800 CST

修复 courier 中的 logjam 漏洞

  • 772

网站weakdh.org解释了如何修复postfix 以抵御称为“logjam”的弱Diffie-Hellman 攻击。

但是我也不必修理快递吗?还是我必须迁移到 dovecot 才能避免出现僵局?

ssl

2 个回答

  1. Best Answer

    我发现这篇博文很好地解释了它。

    为了加快速度,首先检查,如果你已经/etc/ssl/certs/dhparams.pem检查了好的参数

    openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem

    /etc/courier/dhparams.pem如果是这样,将它们复制到

    cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem

    否则生成

    openssl dhparam -out /etc/courier/dhparams.pem 4096

    Courier 4.15 版从 imap 和 pop3d 配置文件中删除了 TLS_DHCERTFILE 参数。DH 参数和仅 DH 参数从新的 TLS_DHPARAMS 文件中读取(对于 DSA 证书,TLS_DHCERTFILE 的其他功能已合并到 TLS_CERTFILE 中)。升级后,运行 mkdhparams 脚本创建一个新的 TLS_DHPARAMS 文件。

    所以检查你安装的版本

     apt-cache show courier-imap-ssl|grep Version

    如果您至少有 4.15 版,现在编辑/etc/courier/imapd-ssl并设置

    TLS_DHPARAMS=/etc/courier/dhparams.pem

    重新启动 courier-imap-ssl:

    /etc/init.d/courier-imap-ssl restart

    检查与 openssl 版本 1.0.2a 的连接。

    openssl s_client -host <yourhost.org> -port 993
    • 2

  2. 使用 courier 时,需要确保生成的 Diffie-Hellman 参数/etc/courier/dhparams.pem大于默认的 768 位。我想 2048 或 4096 位应该可以。

    而不是mkdhparams用于生成dhparams.pem(默认情况下只有 768 位!),您可以这样做:

    openssl dhparam -out /etc/courier/dhparams.pem 2048

service courier-mta-ssl restart

    这是一些信息(德语)和一些关于如何减轻对 Courier-MTA 的 Logjam 攻击的进一步阅读。

    • 0

相关问题