Poodle SSL 공격으로부터 ISPConfig 3 서버를 보호하는 방법

버전 1.2
저자: Till Brehm
howtoforge를 트위터에서 팔로우하세요
발행일 2014-10-16

다음 가이드에서는 최근의 poodle SSL 공격으로부터 서버를 보호하는 단계를 설명하겠습니다. 예시로 Debian 7에서 ISPConfig 3 완벽한 서버를 사용할 것이지만, 동일한 단계는 다른 모든 리눅스 배포판에서도 작동합니다. 기본 ISPConfig 호스팅 서버는 다음 서비스를 실행합니다: 웹서버 (Nginx 또는 apache), 메일서버 (Postfix 및 Dovecot / Courier), FTP-서버 (pure-ftpd)로 SSL / TLS 연결을 제공하며 poodle 공격의 잠재적 대상입니다.

서버에 root 사용자로 로그인했다고 가정합니다. Ubuntu에서 작업 중이고 root로 로그인하지 않았다면 모든 명령 앞에 “sudo”를 추가하거나 “sudo -“를 실행하여 root 사용자로 전환하세요.

Apache 웹서버

apache 웹서버를 보호하려면, 각 SSL vhost에 다음 줄을 추가해야 합니다.

SSLProtocol all -SSLv2 -SSLv3

SSLProtocol 설정이 vhost에서 명시적으로 설정되지 않은 경우, 전역 설정이 적용됩니다. ISPConfig 3 서버의 경우, vhosts가 해당 설정을 재정의하지 않으므로 SSLProtocol 설정을 전역적으로 설정할 수 있습니다. Debian 또는 Ubuntu 서버에서 /etc/apache2/mods-available/ssl.conf 파일을 편집기로 엽니다.

nano /etc/apache2/mods-available/ssl.conf

아래로 스크롤하여 다음 줄을 찾습니다:

SSLProtocol all -SSLv2

그리고 다음과 같이 변경합니다:

SSLProtocol all -SSLv2 -SSLv3

그런 다음 apache를 재시작합니다.

service apache2 restart

Nginx 웹서버

nginx 웹서버의 경우, 각 SSL server { } 섹션에 다음 줄을 추가해야 합니다.

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

SSLProtocol 설정이 server { } 섹션에서 명시적으로 설정되지 않은 경우, http { } 섹션의 전역 설정이 적용됩니다. ISPConfig 3 서버의 경우, server { } 섹션이 해당 설정을 재정의하지 않으므로 http { } 섹션에서 SSLProtocol 설정을 전역적으로 설정할 수 있습니다. Debian 또는 Ubuntu 서버에서 /etc/nginx/nginx.conf 파일을 편집기로 엽니다.

nano /etc/nginx/nginx.conf

그리고 다음 줄을 추가합니다:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

http { 다음 줄에 추가합니다:

그런 다음 nginx를 재시작합니다:

service nginx restart

Postfix 메일 서버

Postfix가 SSLv2 및 SSLv3 프로토콜을 제공하지 않도록 강제하려면, 다음 명령을 실행합니다:

postconf -e ‘smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3’
postconf -e ‘smtpd_tls_protocols=!SSLv2,!SSLv3’
postconf -e ‘smtp_tls_protocols=!SSLv2,!SSLv3’

이렇게 하면 다음 줄이 추가됩니다:

smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtp_tls_protocols = !SSLv2,!SSLv3

/etc/postfix/main.cf 파일에. 그런 다음 이 명령을 실행하여 새 구성을 적용합니다:

service postfix restart

Dovecot IMAP / POP3 서버

Dovecot은 2.1 버전 이상에서 SSL 프로토콜 설정을 지원합니다. 따라서 첫 번째 단계는 사용 중인 dovecot 버전을 확인하는 것입니다. 명령은:

dovecot –version

내 서버에서 다음 결과를 얻었습니다:

root@server1:~# dovecot –version
2.1.7
root@server1:~#

이는 내 서버가 ssl_protocol 설정을 지원함을 나타냅니다.

dovecot 구성 파일을 편집합니다.

nano /etc/dovecot/dovecot.conf

그리고 ssl_key 줄 바로 뒤에 다음 줄을 추가합니다.

ssl_protocols = !SSLv2 !SSLv3

따라서 파일은 다음과 같아야 합니다:

ssl_key = ssl_protocols = !SSLv2 !SSLv3

마지막으로 변경 사항을 적용하기 위해 dovecot을 재시작합니다:

service dovecot restart

Courier POP3 / IMAP 서버

courier imap 및 pop3 서버는 기본적으로 SSLv3 프로토콜을 통해 연결을 제공합니다. 따라서 재구성해야 합니다. courier 구성 파일은 /etc/courier/ 폴더에 있습니다. 먼저 IMAP 데몬의 구성 파일부터 시작합니다:

nano /etc/courier/imapd-ssl

다음 줄을 추가하거나 교체합니다:

IMAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
TLS_PROTOCOL=TLS1
TLS_STARTTLS_PROTOCOL=TLS1

그런 다음 POP3 데몬의 구성 파일을 편집합니다:

nano /etc/courier/pop3d-ssl

다음 줄을 추가하거나 교체합니다:

POP3STARTTLS=YES
POP3_TLS_REQUIRED=1
TLS_PROTOCOL=TLS1
TLS_STARTTLS_PROTOCOL=TLS1

마지막으로 courier 데몬을 재시작합니다:

service courier-imap-ssl restart
service courier-pop-ssl restart

pure-ftpd로 FTP

Debian 및 Ubuntu에서 pure-ftpd를 보호하는 것은 /usr/sbin/pure-ftpd-wrapper 스크립트가 pure-ftpd가 SSL 프로토콜을 설정하는 데 사용하는 -J 스위치를 지원하지 않기 때문에 조금 더 복잡합니다. 따라서 첫 번째 단계는 wrapper 스크립트에서 -J 옵션에 대한 지원을 추가하는 것입니다. 이는 Debian 6에서는 작동하지 않으며, Debian 6의 pure-ftpd 버전이 너무 오래되어 SSL 프로토콜에 대한 설정이 없습니다. 따라서 Debian 6 사용자의 유일한 옵션은 Debian 7로 업그레이드하는 것입니다. 파일을 엽니다.

nano /usr/sbin/pure-ftpd-wrapper

그리고 다음 줄로 스크롤합니다:

‘TLS’ => [‘-Y %d’, \&parse_number_1],

그리고 그 바로 뒤에 이 새로운 줄을 추가합니다:

‘TLSCipherSuite’ => [‘-J %s’, \&parse_string],

마지막으로 허용할 SSL 프로토콜을 포함하는 구성 파일을 생성합니다:

echo ‘HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3’ > /etc/pure-ftpd/conf/TLSCipherSuite

변경 사항을 적용하려면 pure-ftpd를 재시작합니다. 내 서버에서는 pure-ftpd를 mysql과 함께 사용하므로 데몬의 이름이 pure-ftpd-mysql입니다.

service pure-ftpd-mysql restart

결과는 다음과 유사해야 합니다:

root@server1:~# service pure-ftpd-mysql restart
ftp 서버를 재시작하는 중: 실행 중: /usr/sbin/pure-ftpd-mysql-virtualchroot -l mysql:/etc/pure-ftpd/db/mysql.conf -l pam -Y 1 -8 UTF-8 -H -J HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3 -D -b -O clf:/var/log/pure-ftpd/transfer.log -E -u 1000 -A -B
root@server1:~#

따라서 -J 옵션이 데몬의 시작 시퀀스에 성공적으로 추가되었습니다.

링크

• SSL poodle 공격
• ISPConfig