Postfix 2.11 und smtpd_tls_dh1024_param_file
Patrick Ben Koetter
p at sys4.de
Do Mai 21 11:27:54 CEST 2015
* Django [BOfH] <django at nausch.org>:
> Heyho Patrick,
>
> Ich hab in meiner main.cf folgendes stehen:
> # Django : 2014-10-19 - EDH Server support
> # http://www.postfix.org/FORWARD_SECRECY_README.html
> # Definition des 512 bit Schlüssels (export ciphers)
> # für die obsoleten „Export“-Ciphers und des 2048-bit
> # (non export ciphers) Schlüssels für all die anderen
> # EDH Cipher Suits.
> # default: smtpd_tls_dh512_param_file =
> # smtpd_tls_dh1024_param_file =
> smtpd_tls_dh1024_param_file = /etc/pki/tls/private/dh_2048.pem
> smtpd_tls_dh512_param_file = /etc/pki/tls/private/dh_512.pem
>
> Wann genau lädt der Postfix 2.11. eigentlich diese beiden Dateien?
> Passiert das nur beim initialen Start des master-daemon oder immer dann
> wenn eine TLS-Verbindung initiiert wird?
>
> Du weisst das doch sicherlich, oder? ;)
Zertifikat und Key werden einmalig beim Start einer Instanz (smtpd,smtp,lmtp)
als user 'root' geladen. Sie verbleiben persistent im RAM wo der user
'postfix' sie dann auch lesen kann. Sie sind dort solange bis der Prozess
terminiert.
Anders ist das beim Laden von CA-Zertifikaten. Hier hast Du zwei Möglichkeiten
über ..._CAfile oder ..._CApath:
..._CAfile
Alle Zertifikate konkateniert in einer Datei. Wird wie oben beim Start
geladen und ist persistent. Das ist gut für chroot().
..._CApath
Alle Zertifikate in einem Verzeichnis. Sie werden bei jeder TLS-Anfrage
über index-Links im Dir durchsucht und dann das passende Zertifikat
geladen. Das ist nicht gut für chroot() denn die Zertifikate müssten dazu
im chroot() liegen und wären somit für einen Angreifer im chroot()
erreichbar.
p at rick
--
[*] sys4 AG
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste postfix-users