スキップしてメイン コンテンツに移動

脆弱性スキャナーも文句いわない Postfix の SSL 設定

2016年3月10日時点で、
sudo vi /etc/postfix/main.cf を実行して、下記の数行を追加して、

#20160310 時点
smtpd_tls_eecdh_grade = strong
tls_preempt_cipherlist = yes
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1
smtpd_use_tls = yes
smtp_use_tls = yes
smtpd_tls_security_level = may
lmtp_tls_mandatory_ciphers = high
smtp_tls_mandatory_ciphers = high
smtpd_tls_mandatory_ciphers = high
smtp_tls_security_level = may
smtpd_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, AECDH, eNULL
smtpd_tls_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, AECDH, eNULL
smtp_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, AECDH, eNULL
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3

sudo /etc/init.d/postfix restart で再起動すれば、OKです。

コメント

コメントを投稿

このブログの人気の投稿

iPhoneのカレンダーに見知らぬアカウントによるフィティングリンクの恐れ

 昨日突然妻から、iPhoneのカレンダーに怪しい予定はいっぱい書き込まれました。 最初はメールアドレスの盗用されたと思って、メールアカウントのパスワードと、そのメールアドレスのApple IDのパスワードを急遽変更しました。しかし、書き込みが消えず、よくカレンダーの設定のアカウントを調べると下記の画像のような気持ち悪いアカウントがいつの間にか設定されてしまいました。おそらく料理紹介のホームページにある怪しい広告をクリックしたかもしれません。くれぐれもご注意ください。 幸い、このアカウントを削除すれば、書き込みも消えました。なにが違和感を感じたときは、絶対にリンク等をクリックしないほうが身のためでしょう。 さらにnslookupで ylevelsoft.funを調べてみるとIPは13.226.77.* セグメント内の4つのようです。 $ nslookup ylevelsoft.fun Server:         192.168.11.1 Address:        192.168.11.1#53 Non-authoritative answer: Name:   ylevelsoft.fun Address: 13.226.77.19 Name:   ylevelsoft.fun Address: 13.226.77.33 Name:   ylevelsoft.fun Address: 13.226.77.8 Name:   ylevelsoft.fun Address: 13.226.77.15 これらのIPアドレスを調べると、東京にあるIPアドレスがわかって、Amazonにホスティングしてるようです。 13.226.77.19 IP Address Details - IPinfo.io カレンダーのアカウントに登録したサーばをnslookupを調べると13.33.9.*セグメントの4つが使われて、Amazonにホスティングしてるようです。 このホスト名は、server-13-33-9-105.nrt57.r.cloudfront.net 上記のIPのホスト名server-13-...
コメントを投稿
Read more »

さくらインターネットのレンタルサーバにMysqlの大きいdumpファイルのインポート

 さくらインターネットのレンタルサーバはFreeBSDをつかっています。 LAMP の環境が揃っています。 基本的にFTPアカウントが発行されて、Webベースでファイルの転送もデータベースの作成および管理(phpMyAdmin)ができます。 しかし、phpMyAdminは、dumpファイルをインポートする場合、最大16MBのファイルしかアプロードできません。 明確的にSSHアカウントは提示されていないが、実際にSSHでの接続も可能だと確認しました。しかし、SSHで接続してもmysqlでリモートMysqlサーバへの接続はできなかったようです。 そこで、dumpファイルの中身はSQL文なので、 A5m2 というSQLクライアントからインポートすることを試しました。 もちろん、自宅のパソコンから直接Mysqlサーバを接続できるとは思いませんが、一応試してみました。案の定、当たり前に制限がかけられています。 で、よく考えるとレンタルサーバからアクセスできるから、そのIPは許可されているだろうと思います。 なので、SSHトンネルを Bitvise SSH Client で掘ろうと考えていました。 BitviseのSSH設定はそんなに難しくないので、割愛しますが、 C2Sのタブの設定は下記の通りです。 listen interface => 127.0.0.1 List Port => 3306 (ローカルにMysqlが稼働している場合、3326とかに設定してください) Destination Host => レンタルサーバが提供しているMysqlサーバ mysql~.~.ac.jp Dest. Port => 3306 A5m2のデータベース設定は、Mysql直接接続で、IPを127.0.0.1にすれば、接続できるはずです。 それから、Dumpファイルを読み込んで「先頭からすべて」実行をすれば、いまのところ500MB位のファイルでも実行できました。だが、1.2GBのファイルは読み込みの途中にエラーになったが、ファイルが大きい過ぎたか、それともUTF8コードの問題なのか調査中です。結果がわかった次第追記します。
コメントを投稿
Read more »

閉域網の電子カルテにJitsiを稼働させてみた!(続き)

 前回は、 閉域網の電子カルテにJitsiを稼働してみた! を紹介しました。 サーバは古いMacminiですが、今回はインターネット環境のWindows 10のHyper-VでDebian 10を入れて、仮想サーバを電子カルテネットワーク内の、Windows server 2019とWindows server 2008のHyper-Vに移植する試みを紹介します。 Hyper-Vにすることで、新しい研究用仮想基盤や古いサーバ(旧国立大バックアップシステム等)の仮想基盤化で必要数に応じて簡単にJitsiサーバを増やすことが可能という利点があります。それから、故障した場合も簡単に他のHyper-V仮想基盤にすぐ再稼働することが可能なので耐障害になります。 今回利用したDebianのインストーラは、 debian-10.7.0-amd64-netinst.iso です。 基本のDebianのインストールはインストーラの指示通りでできますので、こちらで割愛します。必要なサービスは、VNCやSSHあたりです。GUIが利用したい場合、お好みのデスクトップで構いません。 Jitsi Meetのインストールは、 こちらのサイト(英文) を参考していますが、 こちらの環境では、下記のコマンドでやってみました。ドメイン名を使わず、IPアドレスのみでの設定なので、Hyper-Vのチェックポインの機能でIP変更のたびにJitsiをインストールします。 $ wget https://download.jitsi.org/jitsi-key.gpg.key $ sudo apt-key add jitsi-key.gpg.key $ sudo nano /etc/apt/sources.list.d/jitsi-stable.list #下記の一行を追記 deb https://download.jitsi.org stable/ $ sudo apt update $ sudo apt -d install jitsi-meet #電子カルテから簡単にインターネットからダウンロードできない環境を考えるととりあえず-dでダウンロードオンリーにします #ここでHyper-Vのチェックポインにします。 $ sudo apt install jitsi-meet イン...
コメントを投稿
Read more »