Cette semaine, le système d’exploitation du serveur principal passe de Debian 8 Jessie à Debian 9 Stretch.
Mise à jour des paquets du système
La mise à jour s’est faite plutôt simplement pour la majeure partie des paquets :
apt update && apt upgrade
mais il a fallu s’y reprendre à plusieurs fois pour les paquets restants :
apt install
Changements dans la configuration
Quelques changements notables sont à noter.
Configuration apt
On vérifie que tous nos dépôts pointent bien vers la version Stretch:
nano /etc/apt/sources.list
Code language: PHP (php)
On sauvegarde et on lance les mises à jour:
apt update && apt upgrade
Configuration SSH
La configuration SSH a été modifiée et certaines directives ne sont plus valables. Avant de redémarrer le serveur SSH ou de rebooter et de perdre tout accès au serveur SSH, assurez-vous que la configuration est correcte :
sshd -t
Résultats :
/etc/ssh/sshd_config line 25: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 26: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 44: Deprecated option RhostsRSAAuthentication
Il ne vous reste plus qu’à éditer le fichier de configuration SSH:
nano /etc/ssh/sshd_config
J’ai désactivé les lignes qui posaient problème et ai rajouté de nouveaux protocoles de clé :
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
Sauvegardez le fichier puis lancez cette commande pour créer les couples de clés privées/publiques dans /etc/ssl
:
ssh-keygen -A
Résultat:
ssh-keygen: generating new host keys: ECDSA ED25519
Code language: JavaScript (javascript)
Vérifiez une dernière fois qu’il n’y a aucun problème avec le fichier de configuration SSH:
sshd -t
et redémarrez le service SSH:
service ssh restart
Configuration de Courier
C’est le bon moment de revoir la configuration IMAP et POP de Courier.
On commence par renouveler notre fichier Diffie-Hellman en 4096 bits:
cd /etc/courier
openssl dhparam -out dhparams4096.pem 4096
et on revoit la configuration de /etc/courier/imap-ssl
:
SSLPORT=993
SSLADDRESS=0
SSLPIDFILE=/run/courier/imapd-ssl.pid
SSLLOGGEROPTS="-name=imapd-ssl"
IMAPDSSLSTART=YES
IMAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
COURIERTLS=/usr/bin/couriertls
TLS_PROTOCOL=TLS1_2:TLS1_1:TLS1
TLS_STARTTLS_PROTOCOL=TLS1_2:TLS1_1:TLS1
TLS_CIPHER_LIST="ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS"
TLS_KX_LIST=ALL
TLS_COMPRESSION=ALL
TLS_CERTS=X509
TLS_DHCERTFILE=/etc/courier/dhparams4096.pem
TLS_CERTFILE=/etc/courier/skyminds-cert.pem
TLS_TRUSTCERTS=/etc/ssl/certs
TLS_VERIFYPEER=NONE
TLS_CACHEFILE=/var/lib/courier/couriersslcache
TLS_CACHESIZE=524288
MAILDIRPATH=Maildir
Code language: JavaScript (javascript)
Le chemin de SSLPIDFILE a changé donc pensez à le vérifier.
Certificat TLS pour Courier
Depuis que j’utilise les certificats TLS de Let’s Encrypt, il y a une petite modification a exécuter pour que le certificat s’applique aussi à notre serveur de mail : créer automatiquement un certificat pour Courier dès que notre certificat principal est généré.
On crée un script bash pour compiler notre clé privée et notre certificat Let’s Encrypt :
nano /home/scripts/letsencrypt-skyminds-mailserver.sh
avec :
#!/bin/bash
cat /etc/letsencrypt/live/skyminds.net/privkey.pem /etc/letsencrypt/live/skyminds.net/fullchain.pem > /etc/courier/skyminds-cert.pem
Code language: JavaScript (javascript)
et on édite notre fichier Let’s Encrypt pour le renouvellement :
nano /etc/letsencrypt/renewal/skyminds.net.conf
et on ajoute la directive renew_hook
avec notre nouveau script:
[renewalparams]
account = ...
renew_hook = /home/scripts/letsencrypt-skyminds-mailserver.sh
Code language: JavaScript (javascript)
Il ne reste plus qu’à éditer la configuration IMAP:
nano /etc/courier/imapd-ssl
et y mettre :
TLS_CERTFILE=/etc/courier/skyminds-cert.pem
Code language: JavaScript (javascript)
puis redémarrez le service:
service courier-imap-ssl restart
Voilà, ce sont les principales modifications a effectuer lors de la mise à jour vers Debian 9.
Recherchez-vous un expert WordPress ou WooCommerce sur qui vous pouvez compter? Ne cherchez plus.