ubuntu – 针对Postfix的端口25上的BEAST(针对SSL / TLS的浏览器漏洞利用)漏洞

前端之家收集整理的这篇文章主要介绍了ubuntu – 针对Postfix的端口25上的BEAST(针对SSL / TLS的浏览器漏洞利用)漏洞前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我没有通过PCI兼容扫描.我已成功使用RC4密码进行Apache设置,但我的Postfix配置仍然没有修复.我应该在main.cf文件中使用什么TLS配置.

我目前的配置如下

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
tls_preempt_cipherlist = yes
smtpd_tls_protocols = !SSLv2
smtpd_tls_mandatory_protocols = !SSLv2,SSLv3
smtpd_tls_cipherlist = RC4-SHA:+TLSv1:!SSLv2:+SSLv3:!aNULL:!NULL
smtp_tls_cipherlist = RC4-SHA:+TLSv1:!SSLv2:+SSLv3:!aNULL:!NULL
smtpd_tls_security_level = encrypt
您的审核员知道BEAST中的B代表BROWSER对吗?
对于像MUA这样的非浏览器客户端泄漏足够的信息来破坏安全性是非常不切实际的(虽然是,但并非完全不可能).

也就是说,您应该能够像使用Apache那样使用各种_cipherlist参数.你应该确保你没有提供任何易受攻击的密码(我相信你现在使用的是密码列表,但我不是在查看扩展列表,所以我可能错了).

您可能还想关闭tls_preempt_cypherlist,以防引起密码协商问题.

正如其他人所指出的那样,您的邮件服务器应该是一个孤立的基础设施(因此通常不在PCI审计的范围之内).如果您的审核员正在四处寻找它可能更容易修补它以关闭它们,但如果您的邮件服务器本身不是一个岛屿,您真的需要重新设计它以便它.这只是标准的安全最佳实践.

猜你在找的Ubuntu相关文章