VSFTPD固有の暗号

Question

UbuntuサーバーでVSFTPDのカスタム暗号スイートを定義する方法を探しています。

HIGH/MEDIUM/LOWで暗号を指定できることがわかりました。ただし、暗号をすべて手動で構成する必要があるため、これでは十分ではありません。

これを行う方法はありますか？

Pierre-Alain TORET · Accepted Answer

vsftpd.confのマニュアルから私は読むことができます

ssl_ciphers This option can be used to select which SSL ciphers vsftpd will allow for encrypted SSL connections. See the ciphers man page for further details. Note that restricting ciphers can be a use‐ ful security precaution as it prevents malicious remote parties forcing a cipher which they have found problems with. Default: DES-CBC3-SHA

次に、暗号のマニュアル（opensslの一部）を確認すると、使用できるすべての種類の暗号が示されています。実際、LOW/MEDIUM/HIGHはこのように定義されています

HIGH "high" encryption cipher suites. This currently means those with key lengths larger than 128 bits, and some cipher suites with 128-bit keys. MEDIUM "medium" encryption cipher suites, currently some of those using 128 bit encryption. LOW "low" encryption cipher suites, currently those using 64 or 56 bit encryption algorithms but excluding export cipher suites.

したがって、基本的には、暗号マニュアルで指定されている任意の暗号文字列を使用できます。

LinuxSecurityFreak · Answer

最近、カスタム暗号を定義することは完全に可能であることがわかりました。この例を見てください：

## Select which SSL ciphers `vsftpd` will allow for encrypted SSL connections (required by FileZilla). ssl_ciphers=ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256

さらに、OPが求めていたわけではありませんが、別のセキュリティの可能性を共有できると思います。

これは、TLSv1.2とTLSv1.3のみを有効にします。これは次の方法で実現できます。

## The following might look strange as ## it does not seem to allow any protocol; ## But it does allow TLSv1.2 + TLSv1.3. # disallow SSLv2 protocol ssl_sslv2=NO # disallow SSLv3 protocol ssl_sslv3=NO # disallow TLSv1.0+TLSv1.1 protocols ssl_tlsv1=NO

最後に、たとえば ImmuniWeb で構成をテストすることをお勧めします。ここでは、構成を簡単にデバッグできます。

これは単なるサンプルです。