Retrouver les tutoriels regroupement des projet d'AlexonBalangue.me

[MàJ] Plesk 12.5.30 + faille de sécurité LogJam et DH


Odin Plesk 12.0.18 est enfin disponible, vous pouvez rencontrées quelques problèmes cité après la mise à jours et la faille de sécurité LogJam faut encore corriger.
  • Impossible d'aller sur le panneaux de configuration admin de plesk
  • encore corriger cette faille LogJam


Ancienne article (correction plesk 12.0.18)

Comment corriger les failles de sécurité Logjam SSL, tous le monde est touchée par cette faille.

Votre ordinateur/Smartphone

Vous ne savez pas encore si vous êtes touchées par cette faille aller y sur SSL LABS
J'ai trouvé aller sur cette pages https://weakdh.org/ tous en bas de la pages.
Vous avez juste à faire la mise à jours récente de votre navigateur internet vérifier de temps en temps.

Votre Serveur

Vous ne savez pas encore si vous êtes touchées par cette faille aller y sur SSL LABS.
J'ai trouvé aller sur cette pages http://adf.ly/1X5tuq pour corriger sur votre serveur.

J'ai testé de corriger cette faille en utilisant même méthode équivalente, et de configurer de chaque partie puis vérifier, Tous est OK.
Votre Serveur des logiciel installé ou du systèmes, doit être toujours à jours fait
root@serveur~# sudo apt-get update && upgrade (Debian/Ubuntu)
root@serveur~# yum update && upgrade (CentOS/red Had)

Générales opinion

Les testes déjà procéder fonctionne absolument.
root@serveur~# cd /etc/nginx
root@serveur~# openssl dhparam -out dhparams.pem 2048
root@serveur~# chmod 600 dhparams.pem

Postfix (SMTP)



root@serveur~# nano /etc/postfix/main.cf
root@serveur~#sudo service postfix reload

Dovecot (IMAP/¨POP3)


 
root@server~#nano /etc/dovecot/dovecot.conf
root@server~#sudo service dovecot reload

Apache



root@server~#nano /etc/apache2/mods-available/ssl.conf
root@server~#apache2 -v
root@server~#openssl -v
root@server~#sudo service apache2 reload

Nginx



(Je pense d'être tromper de l'emplacement "je connais pas trop Nginx", à mettre entre les "http{..ici..}") dans l'image ci-dessus.
root@server~#nano /etc/nginx/nginx.conf
root@server~#sudo service nginx reload
ne sert à un enfin rien compte!!! (si vous utilisiez le serveur web Apache du Plesk 12)

Parallele Plesk 12


root@serveur~# nano /etc/sw-cp-server/conf.d/plesk.conf
root@serveur~# service sw-cp-server restart



root@server~#cp /usr/local/psa/admin/conf/templates/default/ /usr/local/psa/admin/conf/templates/custom/ # Pas besoin de le faire
root@server~#cp /usr/local/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php # Pas besoin de le faire
root@server~#nano /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php
root@server~#/usr/local/psa/admin/bin/httpdmng --reconfigure-all
Si vous rencontrez des erreur dès lors un redémarrage d'un des services: apache2, nginx, postfix, dovecot et plesk.
N'oubliez pas de vidé votre Cookie/Cache.




Solution facile (Plesk 12.5.x)

Impossible d'aller sur le panneaux de configuration admin de plesk:
Il faut juste redémarré Plesk
root@server~: services sw-cp-server restart Après cela, vous avez des message d'erreur
root@server~: nginx: [emerg] "ssl_ciphers" directive is duplicate in /etc/sw-cp-server/conf.d/ssl.conf:1sw-
root@server~: nginx: configuration file /etc/sw-cp-server/config test failed
A suivre sur http://kb.odin.com/en/126774 faire de nouveaux
root@server~: services sw-cp-server restart

Solution difficile

(Plesk 12.5.x)

Cette faille de sécurité face 2 est plutôt dur à corriger, j'ai trouvé une petit partie.
Pour commencé il y a une guide pratique pour toutes systèmes avec ou sans Plesk https://weakdh.org/sysadmin.html.
il vous suffit de suivre ce lien http://kb.odin.com/en/125741
root@server~# wget http://kb.odin.com/Attachments/kcs-51784/SSLfix.zip
root@server~# unzip SSLfix.zip
root@server~# chmod +x SSLfix.sh
Si vous êtes sous apache n'oublier pas ajouter dans le fichier "ssl.conf"
SSLCompression off puis http://forum.odin.com/threads/how-to-disable-tls-1-0.335047/


J'ai finalement trouvé la réponse depuis 4 jours j’essayai par différentes méthodes (=la méthode sous mon nez)
root@server~#nano /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php
root@server~#/usr/local/psa/admin/bin/httpdmng --reconfigure-all


Je teste depuis ssllabs.com La note est [B]. Je dois encore corriger pour trouver des solution, merci de patientez!!
Rester sur SSLLabs la note est bien "A". c'est fait est corriger, c'est "A+" mais "A" c'est mieux que "B".

Mise à jours



Si vous avez activer le SSL de votre site, faut activement HSTS c'est une obligation pour avoir A+ de plus vous pouvez ajouter OCSP et HPKP peut-être utile (Ne pas utiliser avec Let's Encrype), N'oublier pas aussi activer le HTTP/2 sous apache ou sous nginx.

HTTP/2 fonctionne qu'avec openssl 1.0.1f/e et non avec openssl 1.0.2h/d = j'ai déjà testé sous ngninx et apache (j'attends les update)

Sous Apache 2.4.x+:
Nom de domaine -> paramètre d'apache & nginx:

Directives supplémentaires pour HTTP

<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</IfModule>
ou
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTPS} !=off
    RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]
</IfModule>


Directives supplémentaires pour HTTPS
Header always set Strict-Transport-Security "max-age=63072000; preload"//sous-domaine non incluse
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"//sous-domaine incluse

Directives supplémentaires Nginx
 gzip_proxied any;

Aucun commentaire :

Enregistrer un commentaire