我正在尝试强化 El Capitan 服务器上的 L2TP/IPSec VPN。我能找到的所有资源要么只是引导您完成基本设置(添加共享密钥等),要么是针对第三方服务器。我找到的最接近的是这个问题,但它只讨论了默认值,而不是如何覆盖它们。
具体来说,我正在尝试对允许的密码进行以下更改:
- 对称密码 - 仅 AES(由于块大小较短,因此没有基于 DES 的密码),如果 CBC 是最好的密码,但如果可能的话,优先使用 GCM。
- 哈希:如果可能的话,使用 SHA2 系列,特别是在无法使用 GCM 的情况下。
- 密钥交换:使用 2048 位 Diffie-Hellman 组(或更大),或使用 ECDH,或者至少不要使用默认的 1024 位组,因为它应该被 NSA 或类似装备的组织假定已经破解(见弱DH)。
我找不到任何事物关于更改 Mac OS 服务器支持的 VPN 默认密码。我对 Mac 服务器还不熟悉(但对 Unix 命令行很熟悉)。
我发现最接近的东西是/Library/Server/Configuration/services.mobileconfig,其中包含一些有关 VPN 和 IPSec 配置的基本详细信息,但没有任何看起来像是控制密码的内容,以及/Library/Server/Preferences/com.apple.servermgrd.plist,其中包含一个列表forbiddenSSLCipherSuites(仅按整数 ID),但没有关于 IPSec 的任何内容。