Назад | Перейти на главную страницу

Шифры, специфичные для VSFTPD

Я ищу способ определить собственный набор шифров для VSFTPD на сервере Ubuntu.

Я обнаружил, что могу указывать шифры через HIGH / MEDIUM / LOW. Однако мне этого мало, так как мне нужно настроить все шифры вручную.

Есть ли способ сделать это?

из руководства vsftpd.conf я могу прочитать

ssl_ciphers
              This option can be used to select which SSL ciphers vsftpd  will
              allow  for  encrypted  SSL connections. See the ciphers man page
              for further details. Note that restricting ciphers can be a use‐
              ful  security precaution as it prevents malicious remote parties
              forcing a cipher which they have found problems with.

              Default: DES-CBC3-SHA

Затем, если я проверю руководство по шифрованию (часть openssl), оно дает все типы шифров, которые вы можете использовать. На самом деле LOW / MEDIUM / HIGH определяются так

HIGH
    "high" encryption cipher suites. This currently means those with key lengths larger than 128
           bits, and some cipher suites with 128-bit keys.

MEDIUM
    "medium" encryption cipher suites, currently some of those using 128 bit encryption.

LOW 
    "low" encryption cipher suites, currently those using 64 or 56 bit encryption algorithms but
           excluding export cipher suites.

Таким образом, вы можете использовать любую из строк шифра, указанных в руководстве по шифрованию.

Недавно я узнал, что определять собственные шифры вполне возможно; возьмем этот пример:

## Select which SSL ciphers `vsftpd` will allow for encrypted SSL connections (required by FileZilla).
ssl_ciphers=ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256

Кроме того, не то, чтобы ОП просил, но я чувствую, что могу поделиться другой возможностью безопасности.

Это включение только TLSv1.2 и TLSv1.3. Этого можно добиться с помощью:

## The following might look strange as
## it does not seem to allow any protocol;
## But it does allow TLSv1.2 + TLSv1.3.

# disallow SSLv2 protocol
ssl_sslv2=NO
# disallow SSLv3 protocol
ssl_sslv3=NO
# disallow TLSv1.0+TLSv1.1 protocols
ssl_tlsv1=NO

В конце я рекомендую протестировать вашу конфигурацию например на ImmuniWeb, где вы можете легко отладить свою конфигурацию.

Это всего лишь образец: