|
如何利用 SSL/TLS 保護你的 Linux 郵件服務作者:Marc Skinner 譯者:Acceleratorrrr 通常,不管你是通過簡單郵件傳輸協議(Simple Mail Transport Protocol)(SMTP)或者互聯網消息訪問協議(Internet Message Access Protocol)(IMAP)或郵局協議(Post Office Protocol)(POP)發送或者接受郵件,郵件服務默認都是以無保護的明文來傳輸數據。近來隨著數據加密成為越來越多程序的共識,你需要安全套接層(Secure Sockets Layer)/傳輸層安全性(Transport Layer Security)(SSL/TLS)的安全證書來保護你的郵件服務。 首先,快速回顧一下郵件服務和協議的基本流程。郵件通過 SMTP 從 TCP 端口 25 發出。這個協議依靠 DNS郵件交換服務器(Mail eXchanger)(MX)記錄的地址信息來傳輸郵件。當郵件到達郵件服務器后,可以被以下兩種服務中的任意一種檢索:使用 TCP 端口 143 的 IMAP,或者使用 TCP 端口 110 的 POP3(郵局協議第 3 版)。然而,以上服務都默認使用明文傳輸郵件和認證信息。這非常的不安全! 為了保護電子郵件數據和認證,這些服務都增加了一個安全功能,使它們可以利用 SSL/TLS 證書對數據流和通訊進行加密封裝。SSL/TLS 是如何加密數據的細節不在本文討論范圍,有興趣的話可以閱讀 Bryant Son 關于互聯網安全的文章了解更多細節。概括的說,SSL/TLS 加密是一種基于公鑰和私鑰的算法。 通過加入這些安全功能后,這些服務將監聽在新的 TCP 端口: < 如顯示不全,請左右滑動 >
file:///C:\Users\Administrator.WIN-STED6B9V5UI\AppData\Local\Temp\ksohtml4336\wps17.png 生成 SSL/TLS 證書 OpenSSL 可以生成免費的 SSL/TLS 證書,或者你也可以從公共證書頒發機構(Certificate Authoritie)(CA)購買。過去,生成自簽發證書十分簡單而且通用,但是由于安全被日益重視,大部分的郵件客戶端是不信任自簽發證書的,除非手動設置。 如果你只是自己使用或者做做測試,那就使用自簽發證書省點錢吧。但是如果很多人或者客戶也需要使用的話,那最好還是從受信任的證書頒發機構購買。 不管是哪種情況,開始請求新證書的過程是使用 Linux 系統上的 OpenSSL 工具來創建一個證書簽發請求(CSR):(Certificate Signing Request) 1. $ openssl req -new -newkey rsa:2048 -nodes -keyout mail.mydomain.key -out mail.mydomain.csr 這個命令會為你想保護的服務同時生成一個新的 CSR 文件和一個私匙。它會詢問你一些證書相關的問題,如:位置、服務器的完全合規域名(Fully Qualified Domain Name)(FQDN)、郵件聯系信息等等。當你輸入完這些信息后,私鑰和 CSR 文件就生成完畢了。 file:///C:\Users\Administrator.WIN-STED6B9V5UI\AppData\Local\Temp\ksohtml4336\wps18.png 如果你想生成自簽發證書 如果你想要生成自簽發證書的話,在運行以上 CSR 命令之前,你必須先創建一個自己的根 CA。你可以通過以下方法創建自己的根 CA。 1. $ openssl genrsa -des3 -out myCA.key 2048 命令行會提示你輸入一個密碼。請輸入一個復雜點的密碼而且不要弄丟了,因為這將會是根 CA 私鑰的密碼,正如其名稱所示,它是你的證書中所有信任關系的根。 接下來,生成根 CA 證書: 1. $ openssl req -x509 -new -nodes -key myCA.key -sha256 -days 1825 -out myCA.pem 在回答完一些問題后,你就擁有一個有效期為 5 年的根 CA 證書了。 用之前生成的 CSR 文件,你可以請求生成一個新證書,并由您剛才創建的根 CA 簽名。 1. $ openssl x509 -req -in mail.mydomain.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial -out mail.mydomain.pem -days 1825 -sha256 輸入你的根 CA 私鑰的密碼來創建和簽署證書。 現在你有了配置電子郵件服務以增強安全性所需的兩個文件:私匙文件 mail.mydomain.key和公開證書文件 mail.mydomain.pem。 file:///C:\Users\Administrator.WIN-STED6B9V5UI\AppData\Local\Temp\ksohtml4336\wps19.png 如果你愿意購買證書 如果你愿意從機構購買證書,則需要上傳 CSR 文件到證書頒發機構的系統中,它將會被用于生成 SSL/TLS 證書。證書可作為文件下載,比如 mail.mydomain.pem。很多 SSL 機構也需要你下載一個中間證書。如果是這樣的話,你必須把這個兩個證書合并成一個,這樣電子郵件服務就可以將這兩個證書結合起來處理。可以使用以下命令把你的證書和第三方中間證書合并在一起: 1. $ cat mail.mydomain.pem gd_bundle-g2-g1.crt > mail.mydomain.pem 值得一提的是 .pem 文件后綴代表隱私增強郵件(Privacy-Enhanced Mail)。 現在你就有全部的設置郵件服務安全所需文件了:私匙文件 mail.mydomain.key 和組合的公開證書文件 mail.mydomain.pem。 file:///C:\Users\Administrator.WIN-STED6B9V5UI\AppData\Local\Temp\ksohtml4336\wps20.png 為你的文件生成一個安全的文件夾 不管你是的證書是自簽發的或者從機構購買,你都需要生成一個安全的,管理員擁有的文件夾用于保存這兩個文件。可以使用以下命令來生成: 1. $ mkdir /etc/pki/tls 2. $ chown root:root /etc/pki/tls 3. $ chmod 700 /etc/pki/tls 在復制文件到 /etc/pki/tls 后,再次設置這些文件的權限: 1. $ chmod 600 /etc/pki/tls/* file:///C:\Users\Administrator.WIN-STED6B9V5UI\AppData\Local\Temp\ksohtml4336\wps21.png 配置你的 SMTP 和 IMAP 服務 接下來,讓 SMTP 和 IMAP 服務使用新的安全證書。我們用 postfix 和 dovecot 來作為例子。 用你順手的編輯器來編輯 /etc/postfix/main.cf 文件。添加以下幾行: 1. smtpd_use_tls = yes 2. smtpd_tls_cert_file = /etc/pki/tls/mail.mydomain.pem 3. smtpd_tls_key_file = /etc/pki/tls/mail.mydomain.key file:///C:\Users\Administrator.WIN-STED6B9V5UI\AppData\Local\Temp\ksohtml4336\wps22.png 自定義選項 以下選項可以啟用或禁用各種加密算法,協議等等: 1. smtpd_tls_eecdh_grade = strong 2. smtpd_tls_protocols= !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 3. smtpd_tls_mandatory_protocols= !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 4. smtpd_tls_mandatory_ciphers = high 5. smtpd_tls_security_level=may 6. smtpd_tls_ciphers = high 7. tls_preempt_cipherlist = yes 8. smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 , DES, ADH, RC4, PSD, SRP, 3DES, eNULL 9. smtpd_tls_exclude_ciphers = aNULL, MD5 , DES, ADH, RC4, PSD, SRP, 3DES, eNULL 10. smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 11. smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 編輯 /etc/dovecot/dovecot.conf 文件,添加以下三行: 1. ssl = required 2. ssl_cert = 3. ssl_key = 添加下列更多選項來啟用或禁用各種加密算法、協議等等(我把這些留給你來理解): 1. ssl_cipher_list = EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:ALL:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SSLv2 2. ssl_prefer_server_ciphers = yes 3. ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1 4. ssl_min_protocol = TLSv1.2 file:///C:\Users\Administrator.WIN-STED6B9V5UI\AppData\Local\Temp\ksohtml4336\wps23.png 設置 SELinux 上下文 如果你的 Linux 發行版啟用了 SELinux,請為你的新證書文件設置正確的 SELinux 上下文。 對于 Postfix 設置 SELinux: 1. $ chcon -u system_u -t cert_t mail.mydomain.* 對于 Dovecot 設置 SELinux: 1. $ chcon -u system_u -t dovecot_cert_t mail.mydomain.* 重啟這些服務,并與你相應更新過的電子郵件客戶端配置連接。有些電子郵件客戶端會自動探測到新的端口,有些則需要你手動更新。 file:///C:\Users\Administrator.WIN-STED6B9V5UI\AppData\Local\Temp\ksohtml4336\wps24.png 測試配置 用 openssl 命令行和 s_client 插件來簡單測試一下: 1. $ openssl s_client -connect mail.mydomain.com:993 2. $ openssl s_client -starttls imap -connect mail.mydomain.com:143 3. $ openssl s_client -starttls smtp -connect mail.mydomain.com:587 這些測試命令會打印出很多信息,關于你使用的連接、證書、加密算法、會話和協議。這不僅是一個驗證新設置的好方法,也可以確認你使用了適當的證書,以及在 postfix 或 dovecot 配置文件中定義的安全設置正確。 保持安全! |
