User Tools

Site Tools


coursieps:20060602
1. Créez votre propre autorité de certification
2. Configurez /[[Apache2]] pour qu'il gère les connexions en https
3. Configurez un firewall stateful rejetant et loggant les connexins entrantes
4. Configurez syslog pour accepter les connexions distantes
5. Configurez un [[VPN]] entre 2 machines

Installation de base

J'ai d'abord pris un CD-ROM d'installation de Debian Sarge, puis fait une mise à jour (noyau aussi, donc reboot). Ensuite, j'ai installé ssh pour pouvoir travaille d'un poste avec X Window et vim pour avoir un éditeur convenable.

Autorité de certification

cf. 1)

aptitude install openssl
/usr/lib/ssl/misc/CA.pl -newca

PEM phrase: toto

Apache SSL

aptitude install apache2
apache2-ssl-certificate

Mes paramètres:

Country Name (2 letter code) [GB]:BE
State or Province Name (full name) [Some-State]:Brussels
Locality Name (eg, city) []:Brussels
Organization Name (eg, company; recommended) []:DebLab
Organizational Unit Name (eg, section) []:
server name (eg. ssl.domain.tld; required!!!) []:www.deblab.net
Email Address []:carl@zongo.be

Maintenant, on va activer SSL:

a2enmod ssl

Il faut maintenant configurer le virtualhost www.deblab.net. Dans /etc/apache2/sites-enabled/000-default, rajouter en bas:

NameVirtualHost *:443
<VirtualHost *:443>
        ServerAdmin carl@zongo.be
        ServerName www.deblab.net
        DocumentRoot /var/www/deblab/
        SSLEngine on
        SSLCertificateFile /etc/apache2/ssl/apache.pem<VirtualHost *>
</VirtualHost>

Redémarrer le serveur:

/etc/init.d/apache2 force-reload

Sur une autre machine, ajouter dans /etc/hosts:

www.deblab.net 192.168.2.202

Surfer sur https://www.deblab.net/

Regarder le certificat, accepter juste pour cette session-ci.

Ensuite, changer le virtual /etc/init.d/apache2 force-reload

Firewall

Faire un fichier /etc/init.d/firewall:

#!/bin/bash
iptables -F
iptables -A INPUT -m state --state NEW -j LOG
iptables -A INPUT -m state --state NEW -j DROP

Le rendre executable:

chmod u+x /etc/init.d/firewall

Le lancer:

/etc/init.d/firewall

Syslog

dans /etc/init.d/sysklogd, changer la ligne

SYSLOGD=""

par

SYSLOGD="-r"

Puis redémarrer le système:

/etc/init.d/sysklogd restart
1)
20060120
coursieps/20060602.txt · Last modified: 2013/01/30 17:50 by 127.0.0.1