SSL/TSLプロトコルの中のSSL3.0プロトコルでは第3者に暗号化通信の一部を盗聴される脆弱性(CVE-2014-3566)が存在します。
Red Hat公式ページや有志(とあるサーバエンジニアの忘備録)の方々により対応情報がアップされていますのでこれを参考にメールサーバとWebサーバに対策を行います。
1.Postfixへの対策
main.cfに以下の4行を追加します。
|
1 2 3 4 5 6 |
vi /etc/postfix/main.cf #↓追加行 smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_protocols = !SSLv2, !SSLv3 smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_protocols = !SSLv2, !SSLv3 |
保存後、再起動をして設定を反映させます。
systemctl restart postfix.service
2.Dovecotへの対策
/etc/dovecot/conf.d/10-ssl.confに以下の1行を追加します。
|
1 2 3 |
vi /etc/dovecot/conf.d/10-ssl.conf #↓追加行 ssl_protocols = !SSLv2 !SSLv3 |
保存後、再起動をして設定を反映させます。
systemctl restart dovecot.service
3.Nginxへの対策
WebサーバでSSL通信を有効にしている場合は対策を行います。せっかくの暗号化通信が盗聴されては意味をなさないですから。参考にしたのは、こちらのサイトです。かなり詳しく説明されています。
修正するファイルは、サーバ全体で設定するのであれば「/etc/nginx/nginx.conf」個別に設定すのであれば、「/etc/nginx/conf.d/hogehoge.conf」となります。
serverディレクティブで#POODLE SSL 3.0 対応 以下の行を追加又は修正します。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
server { #その他設定 #各種設定 ssl on; ssl_certificate /etc/pki/tls/certs/WWW.crt; ssl_certificate_key /etc/pki/tls/certs/www3.key; # ↓ POODLE SSL 3.0対応 ssl_prefer_server_ciphers on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE+RSAGCM:ECDH+AESGCM: DH+AESGCM:ECDH+AES256:DH+AES256: ECDH+AES128:DH+AES: !EXPORT:!DES:!3DES:!MD5:!DSS; } |
4.まとめ
以上で脆弱性(CVE-2014-3566)対策は完了です。今後新たな脆弱性が発見されたら速やかに対策を施していくのが私たちサーバ運用者の責任になりますね。脆弱性情報は以下のリンクなどを参考に常にウオッチしておかないとです。