forum.opennet.ru

Составление сообщения

Исходное сообщение

"Раздел полезных советов: Отключение SSLv2 для защиты сервера..."
Отправлено auto_tips, 02-Мрт-16 10:24

Отключаем SSLv2 для защиты от атаки [[https://www.opennet.ru/opennews/art.shtml?num=43971 DROWN]], позволяющей с MITM-хоста получить доступ к защищённому каналу связи между клиентом и уязвимым сервером. Уязвимость проявляется если сервер поддерживает SSLv2 (не важно какой протокол используется в текущем сеансе, какая реализация библиотеки шифрования используется и какие протоколы поддерживает клиент).

Отключение SSLv2 в nginx (в версиях 0.7.64, 0.8.18 и младше SSLv2 включен по умолчанию):
   ssl_protocols TLSv1 TLSv1.1 TLSv1.2

Отключение SSLv2 в Apache httpd (в httpd 2.2.x и младше SSLv2 включен по умолчанию ):
   SSLProtocol All -SSLv2 -SSLv3
Отключение SSLv2 в Postfix (в версиях  2.9.13, 2.10.7, 2.11.5, 3.0.1 и младше SSLv2 включен по умолчанию)):
    smtpd_tls_protocols = !SSLv2, !SSLv3
    smtp_tls_protocols = !SSLv2, !SSLv3
    lmtp_tls_protocols = !SSLv2, !SSLv3
    tlsproxy_tls_protocols = $smtpd_tls_protocols
    smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
    smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
    lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3
    tlsproxy_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols

    smtpd_tls_ciphers = medium
    smtp_tls_ciphers = medium

    smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem
    smtpd_tls_eecdh_grade = strong

    smtp_tls_exclude_ciphers =
        EXPORT, LOW, MD5,
        aDSS, kECDHe, kECDHr, kDHd, kDHr,
        SEED, IDEA, RC2
    smtpd_tls_exclude_ciphers =
        EXPORT, LOW, MD5, SEED, IDEA, RC2
URL: https://drownattack.com
Обсуждается: http://www.opennet.ru/tips/info/2944.shtml

Исходное сообщение
"Раздел полезных советов: Отключение SSLv2 для защиты сервера..." Отправлено auto_tips, 02-Мрт-16 10:24
Отключаем SSLv2 для защиты от атаки [[https://www.opennet.ru/opennews/art.shtml?num=43971 DROWN]], позволяющей с MITM-хоста получить доступ к защищённому каналу связи между клиентом и уязвимым сервером. Уязвимость проявляется если сервер поддерживает SSLv2 (не важно какой протокол используется в текущем сеансе, какая реализация библиотеки шифрования используется и какие протоколы поддерживает клиент). Отключение SSLv2 в nginx (в версиях 0.7.64, 0.8.18 и младше SSLv2 включен по умолчанию): ssl_protocols TLSv1 TLSv1.1 TLSv1.2 Отключение SSLv2 в Apache httpd (в httpd 2.2.x и младше SSLv2 включен по умолчанию ): SSLProtocol All -SSLv2 -SSLv3 Отключение SSLv2 в Postfix (в версиях 2.9.13, 2.10.7, 2.11.5, 3.0.1 и младше SSLv2 включен по умолчанию)): smtpd_tls_protocols = !SSLv2, !SSLv3 smtp_tls_protocols = !SSLv2, !SSLv3 lmtp_tls_protocols = !SSLv2, !SSLv3 tlsproxy_tls_protocols = $smtpd_tls_protocols smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3 tlsproxy_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols smtpd_tls_ciphers = medium smtp_tls_ciphers = medium smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem smtpd_tls_eecdh_grade = strong smtp_tls_exclude_ciphers = EXPORT, LOW, MD5, aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2 smtpd_tls_exclude_ciphers = EXPORT, LOW, MD5, SEED, IDEA, RC2 URL: https://drownattack.com Обсуждается: http://www.opennet.ru/tips/info/2944.shtml

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Отключаем SSLv2 для защиты от атаки [[https://www.opennet.ru/opennews/art.shtml?num=43971 
> DROWN]], позволяющей с MITM-хоста получить доступ к защищённому каналу связи между 
> клиентом и уязвимым сервером. Уязвимость проявляется если сервер поддерживает SSLv2 (не 
> важно какой протокол используется в текущем сеансе, какая реализация библиотеки шифрования 
> используется и какие протоколы поддерживает клиент).

> Отключение SSLv2 в nginx (в версиях 0.7.64, 0.8.18 и младше SSLv2 включен 
> по умолчанию):

>    ssl_protocols TLSv1 TLSv1.1 TLSv1.2

> Отключение SSLv2 в Apache httpd (в httpd 2.2.x и младше SSLv2 включен 
> по умолчанию ):

>    SSLProtocol All -SSLv2 -SSLv3

> Отключение SSLv2 в Postfix (в версиях  2.9.13, 2.10.7, 2.11.5, 3.0.1 и 
> младше SSLv2 включен по умолчанию)):

>     smtpd_tls_protocols = !SSLv2, !SSLv3 
>     smtp_tls_protocols = !SSLv2, !SSLv3 
>     lmtp_tls_protocols = !SSLv2, !SSLv3 
>     tlsproxy_tls_protocols = $smtpd_tls_protocols

>     smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 
>     smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 
>     lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3 
>     tlsproxy_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols

>     smtpd_tls_ciphers = medium 
>     smtp_tls_ciphers = medium

>     smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem 
>     smtpd_tls_eecdh_grade = strong

>     smtp_tls_exclude_ciphers = 
>         EXPORT, LOW, MD5, 
>         aDSS, kECDHe, kECDHr, kDHd, 
> kDHr, 
>         SEED, IDEA, RC2 
>     smtpd_tls_exclude_ciphers = 
>         EXPORT, LOW, MD5, SEED, 
> IDEA, RC2

> URL: https://drownattack.com 
> Обсуждается: http://www.opennet.ru/tips/info/2944.shtml

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру