ssl сервисов alma9.3

Защита сервера от взлома, антивирус, файрвол, SSL-сертификаты и прочие вопросы, связанные с безопасностью данных.
Аватара пользователя
alenka
Сообщения: 2194
Зарегистрирован: Ср сен 27, 2017 11:10 am

Re: ssl сервисов alma9.3

Сообщение alenka » Ср янв 17, 2024 3:17 pm

Проверим на данной версии ос.

Аватара пользователя
alenka
Сообщения: 2194
Зарегистрирован: Ср сен 27, 2017 11:10 am

Re: ssl сервисов alma9.3

Сообщение alenka » Чт янв 18, 2024 4:06 pm

в логе сообщение imap-login: Error: Failed to initialize SSL server context: Unknown ssl_min_protocol setting '!SSLv3': user=<>, rip=84.53.229.189, lip=192.168.0.95,
В файле /etc/dovecot/conf.d/exim-dovecot-mysql_config.conf
Пропишите ssl_min_protocol = TLSv1.2
и перегрузите довекот systemctl restart dovecot

Аватара пользователя
pomoyka
Сообщения: 239
Зарегистрирован: Вт фев 08, 2022 6:40 am

Re: ssl сервисов alma9.3

Сообщение pomoyka » Чт янв 18, 2024 4:17 pm

alenka писал(а):
Чт янв 18, 2024 4:06 pm
в логе сообщение imap-login: Error: Failed to initialize SSL server context: Unknown ssl_min_protocol setting '!SSLv3': user=<>, rip=84.53.229.189, lip=192.168.0.95,
В файле /etc/dovecot/conf.d/exim-dovecot-mysql_config.conf
Пропишите ssl_min_protocol = TLSv1.2
и перегрузите довекот systemctl restart dovecot
А летcенскрипт сертификаты выдает 1.2? Или уже может 1.3? Может cerbot старенький? Или это не связано?

Еще к стати при установке панели весь экран завален сообщениями - обновите jailkit

upd
В файле /etc/dovecot/conf.d/exim-dovecot-mysql_config.conf поправил

по 993 порту отказывается работать

imap-login: Error: Failed to initialize SSL server context: Can't load SSL certificate (ssl_cert setting): error:25066067:DSO support routines:dlfcn_load:could not load the shared library: filename(libproviders.so): libproviders.so: cannot open shared object file: No such file or directory, error:25070067:DSO support routines:DSO_load:could not load the shared library, error:0E07506E:configuration file routines:module_load_dso:error loading dso: module=providers, path=providers, error:0E076071:configuration file routines:module_run:unknown module name: module=providers: user=<>,

по пути
ssl_cert = </etc/brainy/ssl/imap.crt
ssl_key = </etc/brainy/ssl/imap.key

сертификаты присутствуют.

Аватара пользователя
sbury
Сообщения: 1463
Зарегистрирован: Вт фев 06, 2018 7:51 am

Re: ssl сервисов alma9.3

Сообщение sbury » Пт янв 19, 2024 10:24 am


Аватара пользователя
pomoyka
Сообщения: 239
Зарегистрирован: Вт фев 08, 2022 6:40 am

Re: ssl сервисов alma9.3

Сообщение pomoyka » Пт янв 19, 2024 12:04 pm

sbury писал(а):
Пт янв 19, 2024 10:24 am
viewtopic.php?f=9&t=5253&p=16184&hilit=providers#p16184

При новой установке ничего делать не надо


Да , я читал, но там написано, что при новой установке панели этого делать не нужно.
Панель я накатывал заново, сайты переносил.
Так на вновь установленной тоже нужно?

Аватара пользователя
sbury
Сообщения: 1463
Зарегистрирован: Вт фев 06, 2018 7:51 am

Re: ssl сервисов alma9.3

Сообщение sbury » Пт янв 19, 2024 12:14 pm

посмотрите что данная строка закоментирована

Код: Выделить всё

#providers = provider_sect
тут
/etc/ssl/openssl.cnf
и еще тут
/etc/pki/tls/openssl.cnf
Если это не так, закоментите их и перезапустите dovecot

Аватара пользователя
alenka
Сообщения: 2194
Зарегистрирован: Ср сен 27, 2017 11:10 am

Re: ssl сервисов alma9.3

Сообщение alenka » Пт янв 19, 2024 1:02 pm

Еще тут /etc/crypto-policies/back-ends/opensslcnf.config
Закомментировать строку rh-allow-sha1-signatures = yes
После всех манипуляций перегрузить сервер.

Аватара пользователя
pomoyka
Сообщения: 239
Зарегистрирован: Вт фев 08, 2022 6:40 am

Re: ssl сервисов alma9.3

Сообщение pomoyka » Пт янв 19, 2024 1:54 pm

alenka писал(а):
Пт янв 19, 2024 1:02 pm
Еще тут /etc/crypto-policies/back-ends/opensslcnf.config
Закомментировать строку rh-allow-sha1-signatures = yes
После всех манипуляций перегрузить сервер.
/etc/pki/tls/openssl.cnf не было, закомментировал
по 993 не работает не в каких вариантах
коннектится только по 143 с ( Безопасность НЕТ)
imap-login: Error: Failed to initialize SSL server context: Can't load SSL certificate (ssl_cert setting): error:14187180:SSL routines:ssl_do_config:bad value: section=system_default, cmd=Groups, arg=X25519:secp256r1:X448:secp521r1:secp384r1:ffdhe2048:ffdhe3072:ffdhe4096:ffdhe6144:ffdhe8192: user=<>, rip=84.53.238.189, lip=192.168.0.95, session=<zhvWukwPsOtUNe69>
Jan 19 16:48:06 server dovecot[1054]: imap-login: Disconnected: TLS initialization failed. (no auth attempts in 0 secs): user=<>, rip=84.53.238.189, lip=192.168.0.95, session=<zhvWukwPsOtUNe69>

Аватара пользователя
alenka
Сообщения: 2194
Зарегистрирован: Ср сен 27, 2017 11:10 am

Re: ssl сервисов alma9.3

Сообщение alenka » Пт янв 19, 2024 2:58 pm

Вы сгенерировали сертификаты летсенскрипт с галочкой для почты?
Cгенерировали серты для imap и smtp летсенскрипт?
Правки сделали в 4 файлах?
/etc/ssl/openssl.cnf
/etc/pki/tls/openssl.cnf
/etc/crypto-policies/back-ends/opensslcnf.config
/etc/dovecot/conf.d/exim-dovecot-mysql_config.conf
После правок сервер перегружали?
Мы только можем проверить на алме9.0, и с внесенными правками, ошибок нет.

Аватара пользователя
pomoyka
Сообщения: 239
Зарегистрирован: Вт фев 08, 2022 6:40 am

Re: ssl сервисов alma9.3

Сообщение pomoyka » Пт янв 19, 2024 3:22 pm

alenka писал(а):
Пт янв 19, 2024 2:58 pm
Вы сгенерировали сертификаты летсенскрипт с галочкой для почты?
Cгенерировали серты для imap и smtp летсенскрипт?
Правки сделали в 4 файлах?
/etc/ssl/openssl.cnf
/etc/pki/tls/openssl.cnf
/etc/crypto-policies/back-ends/opensslcnf.config
/etc/dovecot/conf.d/exim-dovecot-mysql_config.conf
После правок сервер перегружали?
Мы только можем проверить на алме9.0, и с внесенными правками, ошибок нет.
Все перепроверил, еще раз
все серты с почтой
сервисы тоже ок(imap smtp)
4 файла перепроверил.
перезагрузил.

ошибки есть

udp
еще один сервер с алмой 9,3+brainy- та же беда

upd
rh-allow-sha1-подписи
Если значение не задано, оно ведет себя так, как если бы оно было установлено в yes.
Может быть все-таки no?

Ответить