Différences

Ci-dessous, les différences entre deux révisions de la page.

--- fr:securite_sysadmin [2017/11/29 19:33] – [Cacher la version d'apache] zatalyz
+++ fr:securite_sysadmin [2023/06/21 06:30] (Version actuelle) – Transfert des infos sur une page dédiée zatalyz
@@ Ligne 2: / Ligne 2: @@
 Cet article s'adresse aux personnes qui gèrent l'infrastructure et le système des serveurs : les sysadmin. Il concerne un système sous Linux (dans nos exemple, Debian stable). C'est un pense-bête plus qu'un vrai cours.
-<WRAP center round help 60%>
+<WRAP center round info 60%>
-Ce serait pas mal de faire un vrai bon tour d'horizon des bonnes pratiques sur la partie sécu pure... mais en même temps ça couvre tellement de chose, renvoyer vers les bons ouvrages seraient aussi bien ? Faut que je retrouve les liens et que je n'oublie pas de les mettre ici !
+Voir aussi
+  * [[fr:consignes_securite_people]]
- --- //[[wiki:user:zatalyz|zatalyz]] 2016/09/14 17:34//
+  * [[fr:consignes_securite_admins]]
+  * [[fr:consignes_securite_sysadmins]]
 </WRAP>
@@ Ligne 107: / Ligne 109: @@
 ==== HTTPS ====
-Sauf cas très particulier, toutes les pages web devraient être accessibles uniquement via https. C'est absolument incontournable lorsque le serveur et le client échangent des informations, afin que les mots de passe ne soient pas en clair.
+Sauf cas très particulier, toutes les pages web devraient être accessibles uniquement via https. C'est absolument incontournable lorsque le serveur et le client échangent des informations, afin que les mots de passe ne soient pas transmis en clair sur le réseau.
 Donc on configure bien son https. Voir [[fr:https_ssl|l'article détaillé]].
 ==== Apache2 ====
-[[wpfr>Apache_HTTP_Server|Apache]] n'est pas une obligation ; il existe d'autres très bons serveurs http, comme [[wpfr>Nginx|Nginx]]. Mais comme les tutoriels et les logiciels sont souvent paramétrés pour Apache, c'est plus facile pour les débutants d'utiliser ce dernier. Donc, quitte à l'utiliser, autant faire quelques manipulations de base.
+Voir la page dédiée [[fr:apache]].
-Apache a un avantage dans le cas d'une architecture "pare-feu qui protège des serveurs", il est assez facile d'avoir une communication mixte entre le pare-feu et les serveurs, avec et sans chiffrement. Certains logiciels ont besoin que toutes les communications soient protégés ; par exemple Teampass ne fonctionne pas sans https sur le serveur où il est installé (même si le pare-feu, lui, sert l'accès à l'internaute en https).
+{{tag> Serveur Sysadmin Sécurité }}
-Pour Apache, il y a des modules à activer quoi qu'il arrive :
-  a2enmod headers ssl
-Et dans le cas d'utilisation de proxy (typiquement si vous passez par un pare-feu) :
-  a2enmod proxy proxy_http
-Pour connaître sa version d'apache et d'openssl :
-  apache -v
-  openssl version
-À utiliser sur [[https://mozilla.github.io/server-side-tls/ssl-config-generator/|Mozilla SSL Configuration Generator]] pour générer les options de base à mettre dans sa configuration, ce sera probablement plus à jour que ce tutoriel au fil du temps.
-Liens utiles :
-  * [[https://blog.adminrezo.fr/2016/12/securiser-serveur-apache-https-headers/|Rouler en classe A avec Apache]]
-  * [[https://f4fia.wordpress.com/2015/08/09/configurer-son-serveur-web-en-https/|Configurer son serveur web en HTTPS]]
-=== Cacher la version d'apache ===
-En principe nos serveurs sont à jours, hein. Mais en cas d'oubli, ne facilitons pas la tâche des observateurs :
-  nano /etc/apache2/apache2.conf
-<code># Cacher la version d'Apache2
-ServerTokens Prod
-ServerSignature Off</code>
-  service apache2 restart
-À refaire sur chacun de ses serveurs !
-<WRAP center round tip 60%>
-On peut aussi paramétrer (et modifier) ces options dans ''/etc/apache2/conf-available/security'' ; ''apache2.conf'' semble prendre la préséance.
-</WRAP>
-=== Module header ===
-Activer les headers dans Apache si ce n'est pas déjà fait :
-  a2enmod headers
-Puis modifiez le fichier ''/etc/apache2/mods-enabled/headers.conf'' :
-<code>
-# Ce qui suit vient de
-# https://blog.adminrezo.fr/2016/12/securiser-serveur-apache-https-headers/
-# controler l'acces des bots de facon plus fine qu'avec robots.txt :
-Header set X-Robots-Tag "index,follow,noarchive"
-# Evite que le contenu soit interprete differemment que definit dans le mime Type
-Header set X-Content-Type-Options nosniff
-# Protection contre le clickjacking
-Header set X-Frame-Options "SAMEORIGIN"
-# Protection contre les failles X-XSS
-Header set X-XSS-Protection "1; mode=block"
-# Faille specifique IE8
-Header set X-Download-Options noopen;
-# Interdire l'embarquement de tout ou partie de votre site dans un site ou logiciel tiers
-Header set X-Permitted-Cross-Domain-Policies none
-# Enfin, les CSP permettent de vérifier l'origine des éléments du site
-# CSP, pour eviter de charger des scripts d'ailleurs.
-Header set Content-Security-Policy "default-src 'self' "
-</code>
-Les explications :
-  * Header set X-Robots-Tag : http://robots-txt.com/x-robots-tag/
-  * CSP : https://ole.michelsen.dk/blog/secure-your-website-with-content-security-policy.html .
-<WRAP center round info 90%>
-Note à propos de CSP :
-Il est difficile de faire marcher les CMS tout en ayant une politique sécurisée sur les CSP.
-L'option suivante permet à Dokuwiki et Simple Machine Forum de marcher, mais pas à Etherpad, et ne vaut rien aux yeux de [[https://observatory.mozilla.org/|l'Observatoire Mozilla]].
-  Header set Content-Security-Policy "default-src 'self' *khaganat.net; script-src 'self' 'unsafe-inline' *khaganat.net; style-src 'self' 'unsafe-inline'; img-src * "
-En effet, le paramètre ''unsafe-inline'' est, comme son nom l'indique, pas vraiment sécurisé, sans parler de ''img-src *'' qui accepte tout (mais sans ça, bonjour pour accepter les images en lien...).
-</WRAP>
-<WRAP center round todo 60%>
-Travail en cours, on va trouver l'option ultime pour CSP, qui permette sécurité, A+ et fonctionnalités :-)
-Pour le moment, cependant, etherpad bloque un csp de qualité. Même l'etherpad de Mozilla ne fait pas mieux.</WRAP>
-=== Module ssl ===
-Activer le module ssl dans Apache si ce n'est pas déjà fait :
-  a2enmod ssl
-Puis modifiez le fichier ''/etc/apache2/mods-available/ssl.conf'' suivant ces informations :
-  * Enlever le protocole SSL3 et SSLv2 qui ne sont plus considérés comme sûrs (notez le "-" devant SSLv3 et SSLv2)
-  * Interdire la compression d'échanges chiffrés (oui oui cela introduit une possibilité d'attaque)
-  * Lister la liste des algorithmes de chiffrement autorisés et interdits
-  * Imposer de négocier ces protocoles dans l'ordre, donc du plus sûr au moins sûr (notez le "!" devant certains nom d'algorithme pour les interdire, par exemple : !PSK, !RC4, etc... et le + devant ceux à favoriser)
-  * Le dernier morceau concerne OCSP qui accélère un peu les échanges en https, voir aussi [[https://www.octopuce.fr/accelerer-votre-ssl-tls-avec-ocsp-stapling/|Accélérer votre réponse SSL/TLS avec l’OCSP Stapling]]
-<code>
-SSLProtocol all -SSLv2 -SSLv3
-SSLCompression off
-SSLCipherSuite ALL:!aNULL:!eNULL:!LOW:!MEDIUM:!EXP:!RC4:!3DES:!MD5:!PSK:+HIGH
-SSLHonorCipherOrder On
-# OCSP Stapling, only in httpd 2.3.3 and later
-SSLUseStapling          on
-SSLStaplingResponderTimeout 5
-SSLStaplingReturnResponderErrors off
-SSLStaplingCache        shmcb:/var/run/ocsp(128000)
-</code>
-Pour la liste ''SSLCipherSuite'', consulter les préconisations de [[https://mozilla.github.io/server-side-tls/ssl-config-generator/|Mozilla SSL Configuration Generator]] et lire tranquillement l'explication si dessous avant de modifier la proposition ''ALL:!aNULL:!eNULL:!LOW:!MEDIUM:!EXP:!RC4:!3DES:!MD5:!PSK:+HIGH''
-À partir de la version 2.4.11 d'apache, vous pouvez ajouter dans le fichier ''/etc/apache2/mods-available/ssl.conf'' :
-<code>
-SSLSessionTickets Off
-</code>
-== Explications ==
-<WRAP center round info 60%>
-Ce qui suit est extrait d'une conversation avec TychoBrahe ; j'ai conservé son style fleuri si savoureux.
- --- //[[wiki:user:zatalyz|zatalyz]] 2016/12/30 13:27//
-</WRAP>
-Une ciphersuite est un ensemble de 4 algorithmes différents, chacun servant à un rôle distinct :
-  * 1 pour faire un échange de clés
-  * 1 pour faire du chiffrement asymétrique
-  * 1 pour faire du chiffrement symétrique
-  * 1 pour le contrôle
-Un exemple : DHE-RSA-AES256-SHA256
-  * DHE : diffie hellman, c'est l'échange de clés
-  * RSA pour l'asymétrique, en particulier pour la signature
-  * AES avec une clé de 256 bits pour le chiffrement symétrique
-  * et enfin sha256 pour calculer les empreintes des sommes de contrôle
-On pourrait croire qu'il y a 5 algorithmes, par exemple avec ECDHE-RSA-AES128-GCM-SHA256. En fait, GCM est un des modes de fonctionnement d'AES, donc AES128-GCM désigne de l'AES en mode GCM avec une clé de 128 bits. Pour info, les EC devant ECDHE et parfois ECDSA c'est pour //elliptic curve//, donc l'utilisation de courbes elliptiques au lieu de nombres premiers.
-SSL et TLS permettent d'utiliser non pas une seule combinaison, mais plusieurs, ce qui fait que ces protocoles intègrent une phase de négociation de la cipher suite. Chaque version de SSL ou TLS autorise ou non certaines cipher suites etc, bref c'est le bordel, sachant qu'il faut, avant ça, négocier la version de SSL ou TLS utilisée. Soit dit en passant, il existe une cipher suite NULL qui dit qu'il n'y a aucun chiffrement, du coup cette phase de négociation a été attaqué, un MITM(([[wpfr>Attaque_de_l'homme_du_milieu|Man In The Middle]])) permettant de forcer une cipher suite (genre NULL ou une faible).
-Afin d'éviter les ennuis, on va dire au serveur de n'utiliser que certaines cipher suites et pas d'autres : c'est l'option SSLCipherSuite. Chaque cipher suite est séparée par '':'' et s'il y a un ''!'' devant son nom, c'est pour explicitement l'interdire.
-Le site de Mozilla cite toutes les ciphersuites, c'est sans doute bien, mais ils ont juste oublié un truc : à tout citer explicitement, il faut faire évoluer la liste avec les avancées en matière de recherche. Personnellement j'utilise et recommande d'utiliser des familles. Ces familles sont définies par la librairie SSL/TLS utilisée :
-  * ALL <- on autorise tout
-  * !aNULL:!eNULL <- on interdit les familles de NULL
-  * !LOW:!MEDIUM <- on interdit les cipher suites disposant d'une clé de 128 bits (MEDIUM) ou moins (LOW)
-  * !EXP <- ce sont les variantes d'exportation, donc fortement affaiblies, de certains algos
-  * !RC4 <- RC4 est un algo de chiffrement symétrique qui a été démoli mais un truc bien grave alors qu'il était très populaire
-  * !3DES <- pareil, on interdit cette merde
-  * !MD5 <- celui qui utilise encore md5 pour du checksum crypto est un grand malade
-  * !PSK <- pareil, une merde de plus de virée
-  * +HIGH <- et enfin on autorise la famille des cipher suites reconnues comme fortes
-Du coup on fait confiance dans les familles définies dans les lib crypto, mais en imposant des restrictions sur certains trucs trop limites pour y être inclus mais qui ont des chances de tout de même s'y retrouver.
-Les librairies ont un outil pour lister les familles, qui liste soit toutes les cipher suites supportées, soit, si on précise, la liste de ce qui est autorisé :
-  openssl ciphers
-  openssl ciphers HIGH
-  openssl ciphers 'HIGH:!AES'
-Voir aussi
-  man 1 ciphers
-=== Les fichiers de site-enabled (vhost) ===
-Une fois https configuré (let's encrypt lancé, les fichiers ''/etc/apache2/site-enabled/MONSITE-le-ssl.conf'' automatiquement configurés, vérifiez ces derniers. Là, deux possibilités : soit l'architecture "de base", où on a un seul serveur, sur la même machine que le pare-feu, soit deux machines, l'un étant le pare-feu et l'autre hébergeant les services web.
-Dans le cas d'un pare-feu sur un autre serveur que les serveurs de base, chaque vhost sur le serveur du pare-feu doit contenir ceci :
-<code>
-ServerName sousdomaine.monserveur.net
-# Proxy : permet de renvoyer vers l'adresse ip du serveur. Ici l'exemple est
-# dans le cas de VM Xen, c'est donc une adresse locale.
-ProxyPass / http://192.168.20.43/
-ProxyPassReverse / http://192.168.20.43/
-ProxyRequests off
-ProxyPreserveHost on
-                <Proxy *>
-                Options FollowSymLinks MultiViews
-                AllowOverride All
-                Order allow,deny
-                allow from all
-                </Proxy>
-# SSL
-SSLEngine on
-SSLCertificateFile /etc/letsencrypt/live/MONSITE.COM/certificate.pem
-SSLCertificateChainFile /etc/letsencrypt/live/MONSITE.COM/chain.pem
-SSLCertificateKeyFile /etc/letsencrypt/live/MONSITE.COM/privkey.pem
-Include /etc/letsencrypt/options-ssl-apache.conf
-# HSTS (mod_headers requis) (15768000 seconds = 6 months)(63072000 = 24 mois)
-Header set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
-</code>
-HSTS (module Header) permet de déclarer au client directement dans la réponse HTTP qu'il faut communiquer en HTTPS. Cet en-tête permet d'éviter le vol de cookies et le downgrade SSL.
-<WRAP center round todo 60%>
-<code># Le paramètre suivant est valide si vous avez amélioré la clé Diffie Hellman
-SSLDHParametersFile /etc/letsencrypt/live/MONSITE.COM/dhparams.pem</code>
-Je n'ai sans doute pas tout compris, ou alors ce n'est pas compatible avec ma version d'apache, mais si je l'ajoute ça me fait une erreur.
- --- //[[wiki:user:zatalyz|zatalyz]] 2017/01/01 18:33//
-</WRAP>
-{{tag> Serveur Administration Sécurité }}