Renouveler son certificat StartSSL

Pour mon site perso, j’ai choisi de sécuriser la connexion en mettant en place un certificat. Les informations entre le navigateur et le site sont donc chiffrées. Pour l’utilisation que j’en fais c’est amplement suffisant. L’avantage avec StartSSL, c’est qu’en en plus d’être complètement gratuit (c’est le seul à le faire), il n’y aura plus de message d’erreur quand la page web du site s’ouvrira (le petit cadenas apparaitra dorénavant en vert sous chrome et en gris sous firefox). Après un an d’utilisation, j’avoue être satisfait de cette solution que j’ai mis en place sur mes 3 serveurs (un sous Debian Wheezy, un sous Debian Jessie et le dernier sous FreeBSD 10.1). Ces certificats sont valables un an, il faut donc les renouveler. Cela demande juste un peu de temps et un peu d’huile de coude mais ce n’est pas insurmontable, je trouve la méthode simple. Je n’expliquerai pas la création du certificat sur StartSSL (vous pouvez suivre un bon tutoriel ici) et sa mise en place sous apache2, cela fera peut être l’objet d’un autre billet. Je me contenterai simplement de développer la marche à suivre pour son renouvellement, un renouvellement est en fait une demande de nouveau certificat :

  • S’identifier avec le même pc avec lequel la première inscription a été faite sur StartSSL (pour que le certificat défini par son email fonctionne). Sans cela la connexion à la page de gestion des certificats ne fonctionne pas. On peut aussi exporter le certificat et le sauvegarder précieusement afin de pouvoir l’installer sur un autre ordinateur
  • Redemander la validation de son nom mail (Validation wizard –> Email) (valide 30 jours)
  • Redemander la validation de son nom de domaine (Validation wizard –> domain name) (valide 30 jours)
  • Renouveller d’abord le certificat de connexion pour son navigateur (Certificate wizard –> s/mine) (valide 1 an). L’accès à l’interface de gestion se fait directement via le navigateur, aucun login et mot de passe à rentrer.
  • Renouveller tous les noms de domaine (Certificate wizard –> Web server) (valide 1 an). Cela doit être fait pour tous les sous domaines si l’on en a plusieurs (www, admin, etc…)
  • Aujourd’hui, un certificat 2048 bits est le minimum requis, avec une signature sha2 ou sha256 (sinon un message d’erreur apparaîtra lors de l’ouverture de votre page web), et utiliser le certificat intermédiaire de startssl en sha2 est mieux, il se trouve ici (sub.class1.server.sha2.ca.pem) et le certificat racine (Autorité de Certification StartSSL) se trouve (ca-sha2.pem).
    Votre pouvez maintenant sécuriser votre (ou vos) site(s) web..
Categories: Non classé Tags:

Installation de spamassassin sous Debian GNU/Linux Wheezy ou Jessie

Ce document est basé sur les deux dernières versions Debian (7.5 / Wheezy – 8.1 / Jessie), ce qui devrait lui assurer une bonne durée de vie. La source de ce tutorial est ici . Toutes les applications utilisées sont disponibles sous forme de packages officiels (c’est plus simple pour les mises à jour).

Les pré-requis sont les suivants :

  • Une distribution Debian GNU/Linux 8.0 fonctionnelle ;
  • Un serveur Postfix en état de fonctionnement et configuré selon vos besoins (ce document ne traitera pas de la configuration de Postfix – mais si vous avez des questions je pourrais peut être vous aider …).

Petit rappel sur les différents éléments utilisés :

  • ClamAV : anti-virus Open Source (plus d’infos ICI)
  • SpamAssassin : anti-spam Open Source (plus d’infos ICI)
  • Amavisd-New : module réalisant l’interface entre Postfix les modules de filtrage SpamAssassin et ClamAV (plus d’infos ICI)

C’est parti …

  • Installation Amavisd-New et ClamAV

apt-get install amavisd-new clamav clamav-daemon

L’installeur va vous poser des questions, normalement les réponses par défaut devraient convenir.

  • Il faut ajouter l’utilisateur clamav au groupe amavis

addgroup clamav amavis

  • Il faut modifier le fichier /etc/amavis/conf.d/15-content_filter_mode
  • Décommentez les deux lignes suivantes (pour autoriser le filtrage anti-virus) :

@bypass_virus_checks_maps = (
\%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);

  • Et celles-ci (pour autoriser le filtrage anti-spam) :

@bypass_spam_checks_maps = (
\%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);

  • Téléchargez et installez “spamassassin

apt-get install spamassassin

  • Dans “/etc/default/spamassassin

modifiez “ENABLED=1″
modifiez “OPTIONS=”–max-children 5 –helper-home-dir” (remplacez 5 par le nombre de process de “spamd” devant fonctionner simultanéement)

  • Ajoutez la ligne suivante dans le fichier “/etc/postfix/main.cf

content_filter = smtp-amavis:[127.0.0.1]:10024

  • Ajoutez les lignes suivantes dans le fichier “/etc/postfix/master.cf

(attention à bien conserver un espace avant chaque “-o”)

smtp-amavis unix - - y - 2 smtp
      -o smtp_data_done_timeout=1200
      -o disable_dns_lookups=yes

127.0.0.1:10025 inet    n       -       y       -       -       smtpd
      -o content_filter=
      -o local_recipient_maps=
      -o relay_recipient_maps=
      -o smtpd_restriction_classes=
      -o smtpd_client_restrictions=
      -o smtpd_helo_restrictions=
      -o smtpd_sender_restrictions=
      -o smtpd_recipient_restrictions=permit_mynetworks,reject
      -o mynetworks=127.0.0.0/8
      -o strict_rfc821_envelopes=yes
  • Et enfin pour bénéficier de toutes les fonctionnalités d’Amavis, il faut lui indiquer le (ou les) domaines gérés sur ce serveur (en terme de courrier bien sûr)
  • Ajouter dans le fichier “/etc/amavis/conf.d/05-domain_id” :

@local_domains_maps = ( [ ‘.domain1.com’, ‘.domain2.com’, ‘.domain3.com’ ] );

  • On relance tout le bazar :

/etc/init.d/spamassassin restart
/etc/init.d/clamav-daemon restart
/etc/init.d/amavis restart
postfix reload

  • Pour s’assurer qu’Amavis prenne bien en charge ClamAV et Spamassassin, aprés avoir relancé Amavis (étape précédente) on doit retrouver les lignes suivantes dans les logs du serveur de mail (normalement /var/log/mail.info)

Feb 1 21:44:37 hostname amavis[26709]: ANTI-VIRUS code loaded
Jul 21 21:44:37 hostname amavis[26709]: ANTI-SPAM-SA code loaded
Jul 21 21:44:37 hostname amavis[26709]: Using internal av scanner code for (primary) ClamAV-clamd
Jul 21 21:44:37 hostname amavis[26709]: Found secondary av scanner ClamAV-clamscan at /usr/bin/clamscan

  • Il est également plus prudent de tester un envoi de mail avec la chaîne de test “EICAR” (allez faire un tour sur www.eicar.com), puis allez jeter un oeil sur les logs de Postfix :

Jul 21 22:22:41 hostname amavis[13251]: (13251-01) Blocked INFECTED (Eicar-Test-Signature), [192.168.0.55] <nom@domaine.fr> -> <test@testmail.fr>, quarantine: virus-lFDtkSo0b4vz, Message-ID: <20070509120235.D8AF02AA74@hostname>, mail_id: lFDtkSo0b4vz, Hits: -, 125 ms

  • On peut également tester l’anti-spam avec l’envoi d’un message contenant la chaine de test suivante : XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
  • On doit retrouver un truc comme ça dans les logs de Postfix:

 

Jul 21 22:24:45 hostname amavis[6446]: (06446-02) Blocked SPAM, [192.168.0.55] <nom@domaine.fr> -> <test@testmail.fr>, quarantine: spam-atCf69YINh+q.gz, Message-ID: <20070509122435.87ED32AA74@hostname>, mail_id: atCf69YINh+q, Hits: 1004.184, 2128 ms

Vous disposez désormais d’une solution de filtrage anti-virus et anti-spam fonctionnelle!
Source : http://www.collet-matrat.com/?p=270

Categories: Non classé Tags:

Renouveler son certificat StartSSL

Pour mon site perso, j’ai choisi de sécuriser la connexion en mettant en place un certificat. Les informations entre le navigateur et le site sont donc chiffrées. Pour l’utilisation que j’en fais c’est amplement suffisant. L’avantage avec StartSSL, c’est qu’en en plus d’être complètement gratuit (c’est le seul à le faire), il n’y aura plus de message d’erreur quand la page web du site s’ouvrira (le petit cadenas apparaitra dorénavant en vert sous chrome et en gris sous firefox). Après un an d’utilisation, j’avoue être satisfait de cette solution que j’ai mis en place sur mes 3 serveurs (un sous Debian Wheezy, un sous Debian Jessie et le dernier sous FreeBSD 10.1). Ces certificats sont valables un an, il faut donc les renouveler. Cela demande juste un peu de temps et un peu d’huile de coude mais ce n’est pas insurmontable, je trouve la méthode simple. Je n’expliquerai pas la création du certificat sur StartSSL (vous pouvez suivre un bon tutoriel ici) et sa mise en place sous apache2, cela fera peut être l’objet d’un autre billet. Je me contenterai simplement de développer la marche à suivre pour son renouvellement, un renouvellement est en fait une demande de nouveau certificat :

  • S’identifier avec le même pc avec lequel la première inscription a été faite sur StartSSL (pour que le certificat défini par son email fonctionne). Sans cela la connexion à la page de gestion des certificats ne fonctionne pas. On peut aussi exporter le certificat et le sauvegarder précieusement afin de pouvoir l’installer sur un autre ordinateur
  • Redemander la validation de son nom mail (Validation wizard –> Email) (valide 30 jours)
  • Redemander la validation de son nom de domaine (Validation wizard –> domain name) (valide 30 jours)
  • Renouveller d’abord le certificat de connexion pour son navigateur (Certificate wizard –> s/mine) (valide 1 an). L’accès à l’interface de gestion se fait directement via le navigateur, aucun login et mot de passe à rentrer.
  • Renouveller tous les noms de domaine (Certificate wizard –> Web server) (valide 1 an). Cela doit être fait pour tous les sous domaines si l’on en a plusieurs (www, admin, etc…)
  • Aujourd’hui, un certificat 2048 bits est le minimum requis, avec une signature sha2 ou sha256 (sinon un message d’erreur apparaîtra lors de l’ouverture de votre page web), et utiliser le certificat intermédiaire de startssl en sha2 est mieux, il se trouve ici (sub.class1.server.sha2.ca.pem) et le certificat racine (Autorité de Certification StartSSL) se trouve (ca-sha2.pem).
    Votre pouvez maintenant sécuriser votre (ou vos) site(s) web..
Categories: Non classé Tags: