Diffie-Hellman Modulus vsFTPD


Нигде не смог найти, как отключить в vsFTPD TLS шифрование с помощью Diffie-Hellman.

PCi compliance сканер отказывался пропускать этот сервер, пока мы не пофиксили конфиг vsftp сервера:
Screenshot from 2015-12-30 13:38:08

Автор следующего ресурса расписал как отключить Diffie-Hellman и для Lighttpd, и для Nginx, и для Tomcat, но только не для vsFTPD:
https://weakdh.org/sysadmin.html

Собственно сюда я не буду все репостить, а остановлюcь только на vsftpd. Оговорюсь, что я работал с vsFTPD v.3.0.2. Не уверен сработает ли для предыдущих версий.

Открываем для редактирования конфигурационный файл:

vim /etc/vsftpd/vsftpd.conf

Для начала отключим ssl v1,v2,v3 что бы vsftpd шифровал весь трафик с помощью tls v.1.1 и v.1.2:

ssl_tlsv1=NO
ssl_sslv2=NO
ssl_sslv3=NO

Nessus меня перестал ругать после того, как строка со списком разрешенных и ззапрещенных шифров достигла следующего вида:

ssl_ciphers=ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA256:!DHE-RSA-CAMELLIA128-SHA:!DHE-RSA-CAMELLIA256-SHA

Share Button
(Visited 71 times, 1 visits today)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *