pure-ftpdでSSLv2とSSLv3を無効にする方法

SSLv *を無効にしてTLSを使用するために、バージョン1.0.33および1.0.38に対して次のことを行いました。

これを入力してください/usr/sbin/pure-ftpd-wrapper.patch（または-Jグローバルスイッチをに置き換えてください-S）。

--- pure-ftpd-wrapper   2012-10-29 10:45:31.000000000 +0000
+++ pure-ftpd-wrapper.modified  2015-11-12 15:23:31.104156082 +0000
@@ -87,6 +87,7 @@
            'Quota' => ['-n %d:%d', \&parse_number_2],
            'SyslogFacility' => ['-f %s', \&parse_word, 99],
            'TLS' => ['-Y %d', \&parse_number_1],
+           'TLSCipherSuite' => [ '--tlsciphersuite=-S%s', \&parse_string],
            'TrustedGID' => ['-a %d', \&parse_number_1],
            'TrustedIP' => ['-V %s', \&parse_ip],
            'Umask' => ['-U %s:%s', \&parse_umask],

それから：

cd /usr/sbin
patch < pure-ftpd-wrapper.patch && rm -f pure-ftpd-wrapper.patch

そして：

cat<<EOF>/etc/pure-ftpd/conf/TLSCipherSuite
:ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:!SEED-SHA:!DHE-RSA-SEED-SHA:+HIGH+MEDIUM
EOF

または自分だけのクラシックOpenSSL構成。

次に、SSLテストを実行します。SSLテスト:

./testssl --starttls ftp YOUR-FTPS-DOMAIN:21

特に次のようなことを楽しみにしています。

 SSLv2      not offered (OK)
 SSLv3      not offered (OK)
 TLS 1      offered
 TLS 1.1    offered
 TLS 1.2    offered (OK)

-S代わりに（SSLを無効にする、文書化されていない）理由を理解するには、-J以下をお読みください。この変更ログ。:

• パスワードリストの前に-S：が付いている場合は、Bradが要求するSSL_OP_NO_SSLv3をSSLオプションに追加します。