Я ищу способ определить собственный набор шифров для VSFTPD на сервере Ubuntu.
Я обнаружил, что могу указывать шифры через HIGH / MEDIUM / LOW. Однако мне этого мало, так как мне нужно настроить все шифры вручную.
Есть ли способ сделать это?
из руководства vsftpd.conf я могу прочитать
ssl_ciphers
This option can be used to select which SSL ciphers vsftpd will
allow for encrypted SSL connections. See the ciphers man page
for further details. Note that restricting ciphers can be a use‐
ful security precaution as it prevents malicious remote parties
forcing a cipher which they have found problems with.
Default: DES-CBC3-SHA
Затем, если я проверю руководство по шифрованию (часть openssl), оно дает все типы шифров, которые вы можете использовать. На самом деле LOW / MEDIUM / HIGH определяются так
HIGH
"high" encryption cipher suites. This currently means those with key lengths larger than 128
bits, and some cipher suites with 128-bit keys.
MEDIUM
"medium" encryption cipher suites, currently some of those using 128 bit encryption.
LOW
"low" encryption cipher suites, currently those using 64 or 56 bit encryption algorithms but
excluding export cipher suites.
Таким образом, вы можете использовать любую из строк шифра, указанных в руководстве по шифрованию.
Недавно я узнал, что определять собственные шифры вполне возможно; возьмем этот пример:
## Select which SSL ciphers `vsftpd` will allow for encrypted SSL connections (required by FileZilla).
ssl_ciphers=ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256
Кроме того, не то, чтобы ОП просил, но я чувствую, что могу поделиться другой возможностью безопасности.
Это включение только TLSv1.2 и TLSv1.3. Этого можно добиться с помощью:
## The following might look strange as
## it does not seem to allow any protocol;
## But it does allow TLSv1.2 + TLSv1.3.
# disallow SSLv2 protocol
ssl_sslv2=NO
# disallow SSLv3 protocol
ssl_sslv3=NO
# disallow TLSv1.0+TLSv1.1 protocols
ssl_tlsv1=NO
В конце я рекомендую протестировать вашу конфигурацию например на ImmuniWeb, где вы можете легко отладить свою конфигурацию.
Это всего лишь образец: