Como desabilitar SSLv2 e SSLv3 no pure-ftpd

2

Estou rodando o pure-ftpd assim:

/usr/sbin/pure-ftpd -A -c10 -B -C3 -z -D -e -fftp -H -I15 -lpam -L2000:8 -m4 -p30000:30100 -s -u40 -x -r -i -k99 -G -Z -Y1 -J'HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3'

mas no monitoramento do syslog-ng recebo um erro:

pure-ftpd: (?@?) [ERROR] SSL/TLS: Invalid TLSCipherSuite specified 'HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3'

Eu tentei várias variações sem sorte. O único que funcionou sem problema foi este (no arquivo de configuração):

TLSCipherSuite          HIGH:MEDIUM:+TLSv1:!SSLv2:+SSLv3

execute:

/usr/sbin/pure-config.pl /etc/pure-ftpd/pure-ftpd.conf

Em execução: / usr / sbin / pure-ftpd -A -c10 -B -C3 -d -z -D -e -fftp -H-I15 -lpam -L2000: 8 -m4 -p30000: 30100 -s - u40 -x -r -i -k99-G-Z-Y1-JHIGH: MÉDIO: + TLSv1:! SSLv2: + SSLv3

mas com este, apenas o SSLv2 está desativado.

Eu encontrei este comando em: link e ai diz:

'-J ': Sets the list of ciphers that will be accepted for SSL/TLS connections.

For example: -J HIGH:MEDIUM:+TLSv1:!SSLv2:+SSLv3

Prefixing the list with -S: totally disables SSLv3.

Acho que esse -S pode resolver meu problema, mas não consigo descobrir como usá-lo.

    
por drpaneas 19.11.2014 / 11:04

2 respostas

1

Para poder desativar o SSLv * e usar o TLS, isso é o que eu faço com as versões 1.0.33 e 1.0.38:

Coloque isso em /usr/sbin/pure-ftpd-wrapper.patch (ou substitua a opção -J global por -S ):

--- pure-ftpd-wrapper   2012-10-29 10:45:31.000000000 +0000
+++ pure-ftpd-wrapper.modified  2015-11-12 15:23:31.104156082 +0000
@@ -87,6 +87,7 @@
            'Quota' => ['-n %d:%d', \&parse_number_2],
            'SyslogFacility' => ['-f %s', \&parse_word, 99],
            'TLS' => ['-Y %d', \&parse_number_1],
+           'TLSCipherSuite' => [ '--tlsciphersuite=-S%s', \&parse_string],
            'TrustedGID' => ['-a %d', \&parse_number_1],
            'TrustedIP' => ['-V %s', \&parse_ip],
            'Umask' => ['-U %s:%s', \&parse_umask],

então:

cd /usr/sbin
patch < pure-ftpd-wrapper.patch && rm -f pure-ftpd-wrapper.patch

e:

cat<<EOF>/etc/pure-ftpd/conf/TLSCipherSuite
:ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:!SEED-SHA:!DHE-RSA-SEED-SHA:+HIGH+MEDIUM
EOF

Ou sua própria configuração clássica de .

em seguida, execute um teste ssl com testssl :

./testssl --starttls ftp YOUR-FTPS-DOMAIN:21

e você espera especialmente isso:

 SSLv2      not offered (OK)
 SSLv3      not offered (OK)
 TLS 1      offered
 TLS 1.1    offered
 TLS 1.2    offered (OK)

Para entender por que -S (desativar ssl, não documentado) em vez de -J , você precisa ler este changelog. :

  • Add SSL_OP_NO_SSLv3 to SSL options if the list of ciphers is prefixed by -S: , needed by Brad.
    
por 12.11.2015 / 21:29
0

Você deve tentar o seguinte formato:

-S:HIGH:MEDIUM:+TLSv1
    
por 10.12.2014 / 19:32