Pages : 1
#1 Le 21/04/2016, à 01:33
- oliver2004
Configuration SSL sur serveur dédié au bureau
Bonjour à tous,
Je cherche à transformer mon intranet en extranet.
J'ai donc ouvert mon routeur pour pouvoir avoir accès depuis l'extérieur sur mon appli web. J'ai réussi hier à avoir le site en ligne, ainsi qu'une connexion ssh depuis l'extérieur, internet donc.
Donc sympa mais cela me posait quelques doute quant à la sécurité, du coup, j'ai commencé à voir ce que je pouvais faire, sécuriser les différents répertoires d'apaches et aussi j'ai commencé à sécuriser via ssl.
J'ai donc installé openssl en suivant d'abord la doc: https://doc.ubuntu-fr.org/tutoriel/secu … 2_avec_ssl
J'ai créé un Certificat auto signé à l'aide de ce tuto: https://doc.ubuntu-fr.org/tutoriel/comm … ificat_ssl
et j'ai configuré le fichier /etc/apache2/sites-available/default-ssl.conf comme ceci (J'ai enlevé les commentaires):
<IfModule mod_ssl.c>
<VirtualHost _default_:443>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html/domain
ServerName www.domain.com
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
SSLEngine on
SSLCertificateFile /etc/ssl/server.crt
SSLCertificateKeyFile /etc/ssl/server.key
<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory /usr/lib/cgi-bin>
SSLOptions +StdEnvVars
</Directory>
BrowserMatch "MSIE [2-6]" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
</VirtualHost>
</IfModule>
# vim: syntax=apache ts=4 sw=4 sts=4 sr noetJe lance sudo a2enmod ssl et redémarre apache2
Aucune erreur lorsque je redémarre apache
Je n'ai plus accès au site ni à ssh depuis l'extérieur, ça mouline... en réseau local, aussi bien ssh que l'accès au site est ok...
Un sudo netstat -tpl me donne ceci:
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 localhost:mysql *:* LISTEN 1856/mysqld
tcp 0 0 *:sunrpc *:* LISTEN 923/rpcbind
tcp 0 0 *:59346 *:* LISTEN 1744/rpc.mountd
tcp 0 0 localhost:domain *:* LISTEN 1634/dnsmasq
tcp 0 0 pukanina:domain *:* LISTEN 1634/dnsmasq
tcp 0 0 *:ssh *:* LISTEN 1559/sshd
tcp 0 0 localhost:smtp *:* LISTEN 1862/master
tcp 0 0 *:nfs *:* LISTEN -
tcp 0 0 *:40803 *:* LISTEN 1744/rpc.mountd
tcp 0 0 *:44355 *:* LISTEN 985/rpc.statd
tcp 0 0 *:36196 *:* LISTEN -
tcp 0 0 *:42021 *:* LISTEN 1744/rpc.mountd
tcp6 0 0 [::]:40744 [::]:* LISTEN -
tcp6 0 0 [::]:41418 [::]:* LISTEN 1744/rpc.mountd
tcp6 0 0 [::]:sunrpc [::]:* LISTEN 923/rpcbind
tcp6 0 0 [::]:http [::]:* LISTEN 14815/apache2
tcp6 0 0 [::]:56689 [::]:* LISTEN 1744/rpc.mountd
tcp6 0 0 localhost:domain [::]:* LISTEN 1634/dnsmasq
tcp6 0 0 [::]:ssh [::]:* LISTEN 1559/sshd
tcp6 0 0 localhost:smtp [::]:* LISTEN 1862/master
tcp6 0 0 [::]:https [::]:* LISTEN 14815/apache2
tcp6 0 0 [::]:51968 [::]:* LISTEN 1744/rpc.mountd
tcp6 0 0 [::]:nfs [::]:* LISTEN -
tcp6 0 0 [::]:34721 [::]:* LISTEN 985/rpc.statd C'est bizarre je ne vois pas le port 443?
J'ai loupé quelque chose?
Dernière modification par oliver2004 (Le 21/04/2016, à 01:43)
Bureaux: Ubuntu Serveur Edition 18.04.4 LTS, Kubuntu, Xubuntu sur portables 18.04 LTS ou 20.04 LTS
Déjà 13 ans que toutes les machines sont LINUX dans mon entreprise...
Hors ligne
#2 Le 21/04/2016, à 14:14
- αjet
Re : Configuration SSL sur serveur dédié au bureau
Je n'ai plus accès au site ni à ssh depuis l'extérieur, ça mouline... en réseau local, aussi bien ssh que l'accès au site est ok...
En local, est-ce que tu accedes a ton site en http ou https ?
Quel est le port pour ta connection ssh ?
Un sudo netstat -tpl me donne ceci:
Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 *:ssh *:* LISTEN 1559/sshd tcp6 0 0 [::]:http [::]:* LISTEN 14815/apache2 tcp6 0 0 [::]:https [::]:* LISTEN 14815/apache2C'est bizarre je ne vois pas le port 443?
J'ai loupé quelque chose?
netstat liste que les port http, https et ssh ecoutent.
Si tu veux voir les no de port, rajoute l'option n pour numerique. Si tu as les ports standards (22 pour sshd, 443 pour https, 80 pour http) cela devrait retourner
sudo netstat -tpln
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 *:22 *:* LISTEN 1559/sshd
tcp6 0 0 [::]:80 [::]:* LISTEN 14815/apache2
tcp6 0 0 [::]:443 [::]:* LISTEN 14815/apache2 Verifie sur ton routeur qu'il redirige bien les ports ssh et https vers ton serveur (22 et 443 si configuration par defaut).
Sur ton serveur voir si tu as un firewall d'activé qui rejetterais les connections dont l'origine est autre que ton intranet.
Dernière modification par αjet (Le 21/04/2016, à 14:14)
αjet: ça se prononce alfajet, bordel ! | GMT+1 | Viens poueter avec moi, bordel ! | Mes photos | Shaarli | Fluidbuntu-fr
Hors ligne
#3 Le 21/04/2016, à 17:37
- oliver2004
Re : Configuration SSL sur serveur dédié au bureau
Bonjour, merci pour la réponse,
En local, est-ce que tu accedes a ton site en http ou https ?
Quel est le port pour ta connection ssh ?
Dans le réseau internet, (IP genre 192.168.1.35), on accède en http de façon fluide, je n'ai pas essayé d'y acer en https, je ne suis pas au burau en ce moment, je vais essayer toute à l'heure pour voir.
Idem pour le ssh, ceci par le port 22 qui est le port par défaut, en local, j'accède au seveur normalement.
netstat liste que les port http, https et ssh ecoutent.
Si tu veux voir les no de port, rajoute l'option n pour numerique.
Je vais essayer et je reviens avec le résultat
Verifie sur ton routeur qu'il redirige bien les ports ssh et https vers ton serveur (22 et 443 si configuration par defaut).
Sur ton serveur voir si tu as un firewall d'activé qui rejetterais les connections dont l'origine est autre que ton intranet.
Oui, ok, je vais voir si effectivement c'est ouvert pour https aussi bien que http... effectivement...
Je reviens sous peu... 
Bureaux: Ubuntu Serveur Edition 18.04.4 LTS, Kubuntu, Xubuntu sur portables 18.04 LTS ou 20.04 LTS
Déjà 13 ans que toutes les machines sont LINUX dans mon entreprise...
Hors ligne
#4 Le 21/04/2016, à 18:41
- oliver2004
Re : Configuration SSL sur serveur dédié au bureau
Bonjour à nouveau,
Me voici de retour avec les résultats.
Pour le routeur, effectivement, le port 443 pour openssl n'était pas ouvert (hônte à moi 
, j'aurais dû y penser avant...). J'ai donc ouvert le port en créant une entrée pour https, qui ouvre le port 443 et qui route vers l'IP du serveur.
Du coup, quand je fais un https://IP_DU_SERVEUR, le routeur ne mouline plus mais je tombe pas sur le site mais sur la page e login du routeur, ce qui n'est pas ce qui est souhaité, c'est bizarre... ça doit être un problème de config du routeur, je vais chercher, mais c'est bizarre qu'en http:// le routeur routait bien... 
Le sudo netstat -tpln me donne ceci:
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 1856/mysqld
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 923/rpcbind
tcp 0 0 0.0.0.0:59346 0.0.0.0:* LISTEN 1744/rpc.mountd
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 1634/dnsmasq
tcp 0 0 192.168.0.1:53 0.0.0.0:* LISTEN 1634/dnsmasq
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1559/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1862/master
tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:40803 0.0.0.0:* LISTEN 1744/rpc.mountd
tcp 0 0 0.0.0.0:44355 0.0.0.0:* LISTEN 985/rpc.statd
tcp 0 0 0.0.0.0:36196 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:42021 0.0.0.0:* LISTEN 1744/rpc.mountd
tcp6 0 0 :::40744 :::* LISTEN -
tcp6 0 0 :::41418 :::* LISTEN 1744/rpc.mountd
tcp6 0 0 :::111 :::* LISTEN 923/rpcbind
tcp6 0 0 :::80 :::* LISTEN 15060/apache2
tcp6 0 0 :::56689 :::* LISTEN 1744/rpc.mountd
tcp6 0 0 ::1:53 :::* LISTEN 1634/dnsmasq
tcp6 0 0 :::22 :::* LISTEN 1559/sshd
tcp6 0 0 ::1:25 :::* LISTEN 1862/master
tcp6 0 0 :::443 :::* LISTEN 15060/apache2
tcp6 0 0 :::51968 :::* LISTEN 1744/rpc.mountd
tcp6 0 0 :::2049 :::* LISTEN -
tcp6 0 0 :::34721 :::* LISTEN 985/rpc.statd Pour ssh, je vois que c'est sshd... faut il modifier la config de ssh ou installer un paquet lorsque les transactions sont en ssl?
Bureaux: Ubuntu Serveur Edition 18.04.4 LTS, Kubuntu, Xubuntu sur portables 18.04 LTS ou 20.04 LTS
Déjà 13 ans que toutes les machines sont LINUX dans mon entreprise...
Hors ligne
#5 Le 22/04/2016, à 15:22
- αjet
Re : Configuration SSL sur serveur dédié au bureau
Bonjour à nouveau,
Me voici de retour avec les résultats.
Pour le routeur, effectivement, le port 443 pour openssl n'était pas ouvert (hônte à moi
Je ne suis pas sur de bien comprendre ce que tu fais. Ce qu'il faut faire sur ton routeur c'est une redirection de port, ce qui signifie que tout le traffic entrant sur le port 443 doit etre redirigé vers ton serveur web.
Du coup, quand je fais un https://IP_DU_SERVEUR, le routeur ne mouline plus mais je tombe pas sur le site mais sur la page e login du routeur, ce qui n'est pas ce qui est souhaité, c'est bizarre...
Que veux tu dire par "https://IP_DU_SERVEUR"?
Il faut que tu testes en dehors de ton réseau (par exemple, un smartphone avec une connexion 3G ça peut le faire pour ce genre de tests) et que tu mettes l’adresse IP publique (externe) de ta passerelle.
Si tu ne la connais pas, tu peux par exemple te connecter a cette page depuis ton réseau et relever l'adresse IP: http://lehollandaisvolant.net/tout/tools/browser/
En aucun cas, c'est directement l'IP de ton serveur qui n'est pas accessible directement depuis l’extérieur, enfin je parles en IP v4.
ça doit être un problème de config du routeur, je vais chercher, mais c'est bizarre qu'en http:// le routeur routait bien...
Verifie que tu as bien fait une redirection de port.
Le sudo netstat -tpln me donne ceci:
Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1559/sshd tcp6 0 0 :::80 :::* LISTEN 15060/apache2 tcp6 0 0 :::22 :::* LISTEN 1559/sshd tcp6 0 0 :::443 :::* LISTEN 15060/apache2Pour ssh, je vois que c'est sshd... faut il modifier la config de ssh ou installer un paquet lorsque les transactions sont en ssl?
Je ne comprends pas du tout ce que tu veux dire. sshd c'est le daemon (le service) de ssh. ssh et https n'ont strictement rien avoir, ce sont deux services séparés. Que ton serveur http (apache) serve ou non du contenu de manière encryptée, ssh sera toujours encrypté. ssh est un acronyme pour Secure SHell.
Sinon tu as bien apache2 (ton serveur http) qui écoute bien sur les ports 80 et 443.
Dernière modification par αjet (Le 22/04/2016, à 15:24)
αjet: ça se prononce alfajet, bordel ! | GMT+1 | Viens poueter avec moi, bordel ! | Mes photos | Shaarli | Fluidbuntu-fr
Hors ligne
#6 Le 25/04/2016, à 13:27
- oliver2004
Re : Configuration SSL sur serveur dédié au bureau
Bonjour,
Du coup, par manque de temps car je dois partir en déplacement pendant quelques mois et j'avais plein de trucs à mettre au point autres avant, j'ai trouvé quelqu'un de plus calé que moi pour faire le travail. Il a eu du mal (mon orgueil n'en a pas trop souffert) et a réussi à faire ce qu'il fallait, ouvrir mon serveur sur l'extérieur, configurer la connexion en https:// plutôt sympa et également me donner l'accès au ssh...
Dire exactement ce qu'il a fait, difficile, je ne pourrait donc pas faire de rapport dessus... en tout cas, merci bien αjet de t'être penché sur mon cas
Bureaux: Ubuntu Serveur Edition 18.04.4 LTS, Kubuntu, Xubuntu sur portables 18.04 LTS ou 20.04 LTS
Déjà 13 ans que toutes les machines sont LINUX dans mon entreprise...
Hors ligne
#7 Le 25/04/2016, à 13:31
- αjet
Re : Configuration SSL sur serveur dédié au bureau
OK, ben si tu as le temps une fois rentré de deplacement ce serait bien que donnes un retour, des fois que ca aide une personne dans une situation similaire.
αjet: ça se prononce alfajet, bordel ! | GMT+1 | Viens poueter avec moi, bordel ! | Mes photos | Shaarli | Fluidbuntu-fr
Hors ligne
Pages : 1