vsftpdでTLS 1.1 **最小**を有効にする方法
Securitymetrics.comを使用して、PCI-DSS標準を満たすようにインフラストラクチャを保護しようとしています。この規格では、TLS 1.1の最低限の使用を義務付けています(CBC暗号を使用)。 TLS 1.0は許可されていません。
Ftp(vsftpd)を保護している間、sslv2とsslv3を無効にしましたが、TLS 1.1とTLS 1.2も無効にしないとTLS 1.0をブロックできませんでした。 config file にはssl_tlsv1オプションをYESまたはNOに設定できますが、1.0とそれ以降のバージョンを区別する方法がわかりません。
TLS 1.1以降のみを有効にするにはどうすればよいですか?
回答が投稿されていないので、残りはフォローアップしたいと思いました...
TLSv1.0を無効にしてTLSv1.1とTLSv1.2を有効にするには、次の2行を追加して3行目を変更します。
ssl_tlsv1_2=YES
ssl_tlsv1_1=YES
ssl_tlsv1=NO
これらのオプションはvsftpdのパッチバージョンでのみ利用可能であり、CentOSにのみインストールされているようで、特にUbuntuではnotであることに注意してください。他のディストリビューションにもパッチが適用されたバージョンがある場合があります。
接続をTLSv1.2に制限できるように見えるため、現在の公式バージョン3.0.3はRHELパッチなしで実際に正常に動作しているようです。
@ Chris Kennedyが書いているように、config-fileで次のオプションを設定できます。
#Options: SSLv3, TLSv1.0, TLSv1.2, HIGH (see man ciphers)
ssl_ciphers=TLSv1.2
WinSCPクライアントテスト結果:
クライアントをMax SSL 3.0に設定します。
接続に失敗しました
クライアントをMax TLS 1.0に設定します。
接続に失敗しました
クライアントをMax TLS 1.1に設定する
接続に失敗しました
クライアントをMax TLS 1.2に設定します。
接続に成功しました!
WinSCP ver。からのログTLS 1.2接続の5.15.3:
...
. 2020-02-06 15:50:21.774 TLS connect: SSLv3 read server hello A
. 2020-02-06 15:50:21.775 TLS connect: SSLv3 read finished A
. 2020-02-06 15:50:21.775 TLS connect: SSLv3 write change cipher spec A
. 2020-02-06 15:50:21.775 TLS connect: SSLv3 write finished A
. 2020-02-06 15:50:21.775 TLS connect: SSLv3 flush data
. 2020-02-06 15:50:21.775 Using TLSv1.2, cipher TLSv1/SSLv3: ECDHE-RSA-AES256-GCM- SHA384, 2048 bit RSA, ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
. 2020-02-06 15:50:21.775 TLS connection established
私は他のTLSv1.2、TLSv1.0、SSLv3オプション値もいじっていましたが、それらは尊重されているようです。
VSFTPDをTLS 1.2に制限するには、次の設定を試してください。ssl_ciphers = TLSv1.2
接続をTLS 1.1および1.2に制限する簡単な方法があるかどうかはわかりません。
ssl_tlsv1_1およびssl_tlsv1_2のvsftpdオプションは、RHELベースのディストリビューションのvsftpdソースコードに含まれているvsftpd-2.2.2-tlsv1_2.patchというパッチで導入されたようです(CentOSでチェック) 7)。 Ubuntuリポジトリの公式のvsftpd Webサイトとソースコードには、このパッチまたはこれらの調整可能なオプションが含まれていないようです(Ubuntu 18.04で確認)。