Aujourd’hui, on s’intéresse à la mise à jour d’OpenSSL sur un serveur Debian, en utilisant les dépôts sid.
Cela va nous permettre d’installer la dernière mise à jour d’OpenSSL, responsable du chiffrement des connexions de plusieurs services (serveur de fichier, serveur mail, serveur DNS…), pour plus de sécurité sur le serveur.
Ce tutoriel ne prend que quelques minutes et quatre étapes mais il faut bien le suivre jusqu’au bout.
Vérification de la version d’OpenSSL
On commence par vérifier la version d’OpenSSL installée sur notre Debian, pourtant à jour :
openssl version
résultat :
OpenSSL 1.0.1e 11 Feb 2013
Code language: CSS (css)
Ouch! Ah oui, ça date un peu! Vérifions les versions disponibles :
apt-cache policy openssl
résultat :
openssl:
Installed: 1.0.1e-2+deb7u14
Candidate: 1.0.1e-2+deb7u14
Version table:
*** 1.0.1e-2+deb7u14 0
500 http://security.debian.org/ wheezy/updates/main amd64 Packages
100 /var/lib/dpkg/status
1.0.1e-2+deb7u13 0
500 http://mirror.ovh.net/debian/ wheezy/main amd64 Packages
Code language: JavaScript (javascript)
Nous avons la dernière version stable qui correspond aux dernières mises à jour de notre distribution mais c’est loin d’être la dernière version disponible.
Mise à jour de nos dépôts avec la version sid (unstable)
Nous allons tous simplement installer la dernière version d’OpenSSL qui se trouve dans les dépôts sid, réputés instables car non-testés de manière exhaustive.
On édite la liste de nos dépôts :
nano /etc/apt/sources.list
Code language: PHP (php)
et on y ajoute les dépôts sid :
deb http://ftp.debian.org/debian sid main
deb-src http://ftp.debian.org/debian sid main
Code language: JavaScript (javascript)
On met à jour nos dépôts:
apt-get update
Code language: JavaScript (javascript)
On vérifie les versions d’OpenSSL disponibles :
apt-cache policy openssl
Résultat :
openssl:
Installed: 1.0.1e-2+deb7u14
Candidate: 1.0.1k-1
Version table:
1.0.1k-1 0
500 http://ftp.debian.org/debian/ sid/main amd64 Packages
*** 1.0.1e-2+deb7u14 0
500 http://security.debian.org/ wheezy/updates/main amd64 Packages
100 /var/lib/dpkg/status
1.0.1e-2+deb7u13 0
500 http://mirror.ovh.net/debian/ wheezy/main amd64 Packages
Code language: JavaScript (javascript)
Pas mal : nous pouvons passer de la version 1.0.1e à la version 1.0.1k et donc bénéficier de tous les mises à jour récentes d’OpenSSL.
Vérifions maintenant ce qui change au niveau des dépendances de cette nouvelle version :
apt-cache show openssl
Résultat :
Package: openssl
Version: 1.0.1k-1
Installed-Size: 1101
Maintainer: Debian OpenSSL Team <pkg-openssl-devel@lists.alioth.debian.org>
Architecture: amd64
Depends: libc6 (>= 2.15), libssl1.0.0 (>= 1.0.1)
Suggests: ca-certificates
Description-en: Secure Sockets Layer toolkit - cryptographic utility
This package is part of the OpenSSL project's implementation of the SSL
and TLS cryptographic protocols for secure communication over the
Internet.
.
It contains the general-purpose command line binary /usr/bin/openssl,
useful for cryptographic operations such as:
* creating RSA, DH, and DSA key parameters;
* creating X.509 certificates, CSRs, and CRLs;
* calculating message digests;
* encrypting and decrypting with ciphers;
* testing SSL/TLS clients and servers;
* handling S/MIME signed or encrypted mail.
Description-md5: 9b6de2bb6e1d9016aeb0f00bcf6617bd
Tag: implemented-in::c, interface::commandline, protocol::ssl, role::program,
scope::utility, security::cryptography, security::integrity,
use::checking
Filename: pool/main/o/openssl/openssl_1.0.1k-1_amd64.deb
Size: 676816
Package: openssl
Version: 1.0.1e-2+deb7u14
Installed-Size: 1082
Maintainer: Debian OpenSSL Team <pkg-openssl-devel@lists.alioth.debian.org>
Architecture: amd64
Depends: libc6 (>= 2.7), libssl1.0.0 (>= 1.0.1e-2+deb7u5), zlib1g (>= 1:1.1.4)
Suggests: ca-certificates
Description-en: Secure Socket Layer (SSL) binary and related cryptographic tools
This package contains the openssl binary and related tools.
.
It is part of the OpenSSL implementation of SSL.
.
You need it to perform certain cryptographic actions like:
- Creation of RSA, DH and DSA key parameters;
- Creation of X.509 certificates, CSRs and CRLs;
- Calculation of message digests;
- Encryption and decryption with ciphers;
- SSL/TLS client and server tests;
- Handling of S/MIME signed or encrypted mail.
Filename: pool/updates/main/o/openssl/openssl_1.0.1e-2+deb7u14_amd64.deb
Size: 700838</pkg-openssl-devel@lists.alioth.debian.org></pkg-openssl-devel@lists.alioth.debian.org>
Code language: HTML, XML (xml)
Apparemment, tout devrait bien se passer.
Mise à jour d’OpenSSL
On lance la mise à jour d’OpenSSL, ainsi que sa librairie :
apt-get install openssl libssl1.0.0 libssl-dev
Code language: CSS (css)
Résultat :
Setting up libc6-i386 (2.19-15) ...
Setting up libc-dev-bin (2.19-15) ...
Setting up libc6-dev:amd64 (2.19-15) ...
Setting up openssl (1.0.1k-1) ...
Setting up libssl1.0.0:amd64 (1.0.1k-1) ...
Checking for services that may need to be restarted...done.
Checking for services that may need to be restarted...done.
Checking init scripts...
Restarting services possibly affected by the upgrade:
[ ok ] Stopping Postfix Mail Transport Agent: postfix.
[ ok ] Starting Postfix Mail Transport Agent: postfix.
[ ok ] Restarting OpenBSD Secure Shell server: sshd.
[ ok ] Stopping domain name service: lwresd.
[ ok ] Starting domain name service: lwresd.
Stopping Courier POP3-SSL server: pop3d-ssl.
Starting Courier POP3-SSL server: pop3d-ssl.
[ ok ] Stopping Courier IMAP-SSL server: imapd-ssl.
[ ok ] Starting Courier IMAP-SSL server: imapd-ssl.
[....] Stopping domain name service...: bind9waiting for pid 2668 to die
. ok
[ ok ] Starting domain name service...: bind9.
[ ok ] Restarting web server: apache2 ... waiting .
Services restarted successfully.
Setting up libssl-dev:amd64 (1.0.1k-1) ...
Code language: CSS (css)
L’installation redémarre tous les services qui dépendent d’OpenSSL : Apache, BIND9, le serveur de mail… Tout cela ne prend que quelques secondes.
Vérifions maintenant notre version d’OpenSSL :
openssl version
Résultat :
OpenSSL 1.0.1k 8 Jan 2015
Code language: CSS (css)
Parfait !
Nettoyage et suppression des dépôts sid
Il ne nous reste plus qu’à retirer les dépôts sid que nous avions éjouté à notre liste de dépôts dans l’étape 1.
Si on oublie, on prend le risque de transformer toute notre installation en version sid, avec les bugs inhérents qui vont de pair.
On édite la liste de nos dépôts :
nano /etc/apt/sources.list
Code language: PHP (php)
et on y retire les dépôts sid :
# deb http://ftp.debian.org/debian sid main
# deb-src http://ftp.debian.org/debian sid main
Code language: PHP (php)
Dernier petit nettoyage : lors de l’installation d’OpenSSL, le paquet locales
a été retiré. OpenSSL étant maintenant à jour, j’ai remis le paquet avec un simple :
apt-get install locales
Code language: JavaScript (javascript)
Et voilà, vous venez de mettre OpenSSL à jour en quelques minutes sur votre serveur Debian.
Synopsis » Monter un serveur dédié de A à Z
- Serveur dédié : installation d’Apache, PHP, MySQL et Webmin
- Serveur dédié : créer la base de données MySQL et importer WordPress
- Serveur dédié : créer et activer un Virtual Host sous Apache
- Serveur dédié : changer les DNS du nom de domaine et le faire pointer vers le serveur
- Serveur dédié : sécurisation des services avec iptables et fail2ban
- Serveur dédié : sécurisation de la couche TCP/IP
- Serveur dédié : création d’un serveur mail Postfix (sécurisé avec Saslauthd et certificat SSL) et Courier (accès POP et IMAP) utilisant une base MySQL d’utilisateurs/domaines virtuels
- Serveur dédié : sécuriser Apache 2 avec ModSecurity
- Serveur dédié : CHMOD récursif sur des fichiers ou répertoires en ligne de commande
- Serveur dédié : installer APC comme système de cache et configurer Varnish comme reverse-proxy pour Apache pour améliorer les performances
- Serveur dédié : afficher la véritable IP derrière un reverse-proxy comme Varnish
- Serveur dédié : intégrer SSH à WordPress pour mettre à jour le core, les plugins et les thèmes
- Serveur dédié : installer la dernière version d’APC par SVN
- Serveur dédié : analyse des performances du serveur
- Serveur dédié : mettre à jour le noyau Debian de la Kimsufi
- Serveur dédié : sauvegarde automatique des fichiers avec Backup Manager sur le serveur de sauvegarde OVH
- Serveur dédié : configurer la limite mémoire pour PHP et Suhosin
- Bash : supprimer tous les fichiers et sous-répertoires d’un répertoire
- Serveur dédié : impossible de se connecter à un port distant
- Rsync: rapatrier les fichiers du serveur à la maison
- Bash : réparer les tables MySQL en cas de crash
- Serveur dédié : création d’une seedbox avec Transmission
- Serveur dédié : des paquets LAMP à jour sous Debian
- Serveur dédié : mise à jour vers Debian 7 Wheezy
- Serveur dédié : activer X11 forwarding pour SSH
- Serveur dédié : optimiser toutes les images JPG et PNG avec OptiPNG et JpegOptim
- Postfix : résoudre l’erreur “fatal: www-data(33): message file too big”
- Serveur dédié : mise en place de l’IPv6
- WordPress : accorder les bonnes permissions aux fichiers et dossiers avec chown et chmod
- WordPress : héberger les images sur un sous-domaine
- Serveur dédié : ajouter l’authentification SPF, Sender-ID et DKIM à Postfix et Bind9 avec opendkim
- Apache : lorsque le domaine seul (sans WWW) renvoie une erreur 403
- Serveur dédié : sécuriser Apache avec HTTPS (HTTP avec la couche TLS/SSL) en Perfect Forward Secrecy
- Serveur dédié : passer WordPress en HTTPS (TLS/SSL)
- Serveur dédié : configurer Webmin en TLS avec un certificat SSL
- Serveur dédié : configurer Transmission pour accéder au WebUI via TLS-SSL
- Serveur dédié : installer et configurer Varnish 4
- Serveur dédié : passage au mod FastCGI et PHP-FPM avec Apache MPM Worker
- Récupérer un serveur Kimsufi après un plantage de kernel avec le mode rescue OVH
- Serveur dédié : configurer Postfix et Courier pour utiliser TLS-SSL en Perfect Forward Secrecy
- Serveur dédié : retirer Varnish, devenu inutile avec HTTPS
- Serveur dédié : installer la dernière version d’OpenSSL sous Debian
- Serveur dédié : activer l’IP canonique du serveur sous Apache
- Serveur dédié : mise à jour vers PHP 5.6
- MySQL : convertir les tables MyISAM au format InnoDB
- Serveur dédié : optimiser toutes les images GIF avec GIFsicle
- Serveur dédié : migration de MySQL vers MariaDB
- BASH : lister, bloquer et débloquer des adresses IP avec iptables
- Serveur dédié : produire une meilleure réserve d’entropie avec haveged
- Serveur dédié : mettre en place DNSSEC pour sécuriser les DNS du domaine
- Serveur dédié : mise en place du protocole DANE
- 8 règles d’or pour bien déployer DNSSEC et DANE
- Serveur dédié : installer PHP7 FPM avec FastCGI sous Debian
- Serveur dédié : optimiser la couche TCP
- Fail2Ban: protéger Postfix contre les attaques DoS de types AUTH, UNKNOWN et EHLO
- Serveur dédié : mettre à jour Apache pour HTTP/2
- Serveur dédié : ajouter le domaine à la liste HSTS preload
- Serveur dédié : ajouter l’authentification DMARC à Postfix et BIND
- Serveur dédié : à la recherche de l’inode perdue ou comment résoudre le problème “no space left on device”
- Serveur dédié : installer NginX avec support HTTP2 et certificat SSL, PHP, MariaDB sous Debian
Recherchez-vous un expert WordPress ou WooCommerce sur qui vous pouvez compter? Ne cherchez plus.
Mise à jour : ajout du paquet
libssl-dev
.Merci cela m’a été très utile ! ca m’évite de passer de debian 6 à 8 !
Je t’en prie Swyxe!
Ps : je trouve Debian 8 très stable, aucun problème de mise à jour de 7 à 8.
Cette mise à jour installe la libc de sid dans une wheezy, faut aimer le risque…
Bonjour,
A l’époque le serveur tournait sous wheezy, qui était la dernière version stable. Je n’ai constaté aucun problème entre la libc stable et la libc sid.