https://agir.april.org/https://agir.april.org/favicon.ico?15861920342013-10-06T12:38:53ZGestionnaire de projets de l'AprilAdmins - Anomalie #1369: niveau de sécurité httpshttps://agir.april.org/issues/1369?journal_id=47702013-10-06T12:38:53ZNicolas Vinotnvinot@april.org
<ul><li><strong>Difficulté</strong> changé de <i>2 Facile</i> à <i>4 Fastidieux</i></li></ul><p>J'ai essayé de faire les corrections nécessaires pour augmenter notre protection SSL.<br />Les versions de OpenSSL et de Nginx sont trop anciennes pour comprendre TLSv1.1 et TLSv2.</p>
<pre>
Starting nginx: [warn]: invalid value "TLSv1.1" in /etc/nginx/sites-enabled/01_www.april.org:43
ii nginx 0.7.67-3+squeeze3 small, but very powerful and efficient web server and mail proxy
ii openssl 0.9.8o-4squeeze13 Secure Socket Layer (SSL) binary and related cryptographic tools
</pre>
<p>Les versions à jour seraient nginx 1.2.1-2.2 et openssl 1.0.1e-2.</p>
<p>Il faudrait donc commencer par mettre à jour les machines et les sortir de wheezy.</p>
<pre>
Les paquets suivants seront ENLEVÉS :
libept1
Les NOUVEAUX paquets suivants seront installés :
aptitude-common cpio debconf-utils dmidecode gcc-4.7-base git-man krb5-locales
libapt-inst1.5 libapt-pkg4.12 libasprintf0c2 libbind9-80
libboost-iostreams1.49.0 libclass-isa-perl libdb5.1 libdns88 libept1.4.12
libffi5 libfreetype6 libgd2-noxpm libisc84 libisccc80 libisccfg82 libjpeg8
liblockfile-bin liblwres80 liblzma5 libmount1 libp11-kit0 libpam-modules-bin
libpipeline1 libpng12-0 libprocps0 librtmp0 libruby1.9.1 libsemanage-common
libsemanage1 libssl1.0.0 libswitch-perl libsystemd-login0 libtinfo5
libustr-1.0-1 libxslt1.1 libyaml-0-2 multiarch-support nginx-common nginx-full
python2.7 python2.7-minimal ruby-json ruby-shadow ruby1.9.1
Les paquets suivants seront mis à jour :
adduser apt apt-utils apt-xapian-index aptitude augeas-lenses augeas-tools
base-files base-passwd bash bash-completion bind9-host bsdmainutils bsdutils
bzip2 ca-certificates coreutils cron cron-apt curl dash dbus dctrl-tools debconf
debconf-i18n debian-archive-keyring debian-goodies debianutils deborphan dialog
diffutils dmsetup dnsutils dpkg e2fslibs e2fsprogs emacs23-bin-common
emacs23-common emacs23-nox emacsen-common etckeeper facter file findutils
gcc-4.4-base geoip-database gettext-base git git-core gnupg gnupg-curl gpgv grep
groff-base gzip heirloom-mailx hostname ifupdown info initscripts insserv
install-info iproute iputils-ping iso-codes less libacl1 libasound2 libattr1
libaugeas-ruby1.8 libaugeas0 libblkid1 libbsd0 libbz2-1.0 libc-bin libc6 libcap2
libcomerr2 libcurl3 libcurl3-gnutls libcwidget3 libdbus-1-3 libdevmapper1.02.1
libedit2 libexpat1 libgcc1 libgcrypt11 libgdbm3 libgeoip1 libgnutls26
libgpg-error0 libgpm2 libgssapi-krb5-2 libidn11 libk5crypto3 libkeyutils1
libkrb5-3 libkrb5support0 libldap-2.4-2 liblocale-gettext-perl liblockfile1
libmagic1 libncurses5 libncursesw5 libnewt0.52 libpam-modules libpam-runtime
libpam0g libpci3 libpcre3 libpopt0 libreadline5 libreadline6 libruby libruby1.8
libsasl2-2 libsasl2-modules libselinux1 libsepol1 libshadow-ruby1.8
libsigc++-2.0-0c2a libslang2 libsqlite3-0 libss2 libssh2-1 libstdc++6 libtasn1-3
libtext-charwidth-perl libtext-iconv-perl libudev0 libusb-0.1-4 libuuid1
libwrap0 libx11-6 libx11-data libxapian22 libxau6 libxcb1 libxdmcp6 libxext6
libxml2 libxmuu1 locales lockfile-progs login logrotate lsb-base lsb-release
lsof lzma man-db manpages mawk mime-support mktemp molly-guard mount
ncurses-base ncurses-bin net-tools netbase netcat netcat-traditional nginx
openssh-blacklist openssh-blacklist-extra openssh-client openssl passwd patch
pciutils perl perl-base perl-modules postfix procps puppet puppet-common python
python-apt python-apt-common python-central python-chardet python-debian
python-minimal python-support python-xapian python2.6 python2.6-minimal
readline-common rsync rsyslog ruby ruby1.8 screen sed sensible-utils sgml-base
ssl-cert sysv-rc sysvinit sysvinit-utils tar tcpd tig tzdata update-inetd
util-linux vim vim-common vim-runtime wget whiptail xauth xml-core xz-utils
zlib1g
217 mis à jour, 51 nouvellement installés, 1 à enlever et 0 non mis à jour.
Il est nécessaire de prendre 146 Mo dans les archives.
Après cette opération, 26,7 Mo d'espace disque supplémentaires seront utilisés.
</pre>
<p>Ça en devient beaucoup plus sensible que de toucher à 2 fichiers de config… :(</p> Admins - Anomalie #1369: niveau de sécurité httpshttps://agir.april.org/issues/1369?journal_id=47712013-10-06T14:43:26ZNicolas Vinotnvinot@april.org
<ul></ul><p>Sur les conseils de vx, j'ai cloné le vserver nginx pour tenter une migration.<br />L'upgrade en lui-même semble bon, mais pas mal de fichiers sont modifiés entre les 2 versions (cron-apt, logrotate, puppet, nginx)<br />La non régression devient importante à vérifier.<br />Je remarque au passage des choses installées qui sont bizarres pour un serveur (debian-goodies, emacs, dbus).<br />Le nouveau fichier de config de nginx nécessite aussi de migrer les déclarations ssl du nginx.conf vers chaque vhost, sous peine d'un<br /><pre>Restarting nginx: nginx: [emerg] no "ssl_certificate" is defined for the "ssl" directive in /etc/nginx/sites-enabled/libreassociation.info:23</pre><br />On pourrait envisager d'installer proprement un nginx from scratch dans Openstack au lieu de chercher à upgrader l'ancien aux forceps.<br />Mais on risque d'avoir plusieurs obstacles :
* pas d'inventaire fiable des services
* par exemple la présence de lighthttpd sur les nginx est quelque chose d'absolument pas documenté et pourtant est utilisé pour les stats des sites web (awstats)
* pas de migration des apache dans Openstack
* Est-ce que c'est possible de faire causer un nginx openstack avec un apache vserver ?
* Quid de la latence ?
* Est-ce qu'on aurait pas un double travail à faire, avec une puppetisation « hard-codée » suivie d'une repuppetisation quand les apache seront à leur tour puppetissés ?</p> Admins - Anomalie #1369: niveau de sécurité httpshttps://agir.april.org/issues/1369?journal_id=65882016-10-04T15:03:35ZFrançois Poulain
<ul><li><strong>Description</strong> mis à jour (<a title="Voir les différences" href="/journals/6588/diff?detail_id=6443">diff</a>)</li><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>Fermé</i></li></ul><p>Problème corrigé par la nouvelle infra et un peu d'amour.</p> Admins - Anomalie #1369: niveau de sécurité httpshttps://agir.april.org/issues/1369?journal_id=212102020-12-25T23:20:00ZChristian P. Momoncmomon@april.org
<ul><li><strong>Assigné à</strong> mis à <i>François Poulain</i></li></ul>