Rodrigue Marie

Galaxy Suisse Boudin

2013

DOCUMENTATION

TECHNIQUE

Rodrigue Marie

2

Description de la ressource

Propriétés Description

Intitulé Fiches techniques de la mise en service d’un Serveur sous Debian

Présentation

Vous trouverez dans cette documentation de l'assistance pour manipuler les outils suivants

:

Oracle VM VirtualBox Page 3

Debian Page 6

Serveur Web Apache Page 10

PHP5 Page 12

SGBD MySQL Page 14

PhpMyAdmin Page 16

Serveur FTP ProFTPd Page 18

Cryptage SSL/TLS avec Open SSL Page 20

Composition des parties :

Une procédure à l’installation et utilisation de celle-ci

Une partie présentation, descriptive et explicative

3

Virtualisation

Présentation

La virtualisation consiste à réservé des ressources de l’ordinateur physique à un logiciel simulant le

fonctionnement d’un ordinateur. Il permet donc de faire fonctionner un ou plusieurs systèmes d'exploitation, sur un

même ordinateur, et les faire fonctionner si l’on souhaite en même temps.

Dans notre cas, nous faisons appel à ce concept pour héberger un serveur Debian sur un ordinateur physique.

Qu’est qu’une machine virtuelle :

Une machine virtuelle est une machine simulée sur un ordinateur physique, ce dernier lui réservant de ses propres

ressources.

Avantages de la virtualisation

Les intérêts de la virtualisation sont multiples.

Tout d'abord, cela permet de pourvoir faire fonctionner un programme prévu initialement sur un système

d'exploitation différent de celui que vous utilisez habituellement.

De même, la virtualisation permet de créer une machine virtuelle destinée à installer et tester différents

programme sans pour autant "polluer" son environnement de travail principal.

Côté sécurité, cette machine virtuelle permet également de surfer de manière totalement sécurisé puisque les

éventuelles infections contractées se feront au niveau de la machine virtuelle et non de la machine hôte.

S'il existe différentes solutions de virtualisation comme par exemple Virtual PC, VMWare ou encore Parallels

Desktop, nous avons choisi de vous présenter ici VirtualBox. Notre choix s'est arrêté sur ce logiciel édité par oracle

pour différentes raisons. Tout d'abord, VirtualBox est libre et gratuit, ce qui n'est pas le cas toutes les solutions

existantes. De plus, le logiciel est simple d'utilisation et supporte de nombreux systèmes d'exploitation.

Et enfin, dernier argument et non des moindres, VirtualBox est disponible en français.

Logiciel de virtualisation

Oracle VM VirtualBox, logiciel développé par Oracle.

Disponible sur le site du constructeur :

https://www.virtualbox.org/wiki/Downloads

4

INSTALLATION MACHINE VIRTUELLE

Création d'une machine virtuelle

A cette première étape, il est préférable de spécifier un nom de votre choix qui sera attribué à la machine virtuelle.

Pour plus de clarté, il est conseillé d'indiquer le nom du système d'exploitation que l'on installera par la suite.

Ensuite, le second menu déroulant permet de choisir le type du système d'exploitation qui sera installé.

Enfin, sachez que quelque soit le système qui sera installé sur la machine virtuelle, l'utilisation du programme reste

la même.

Dans notre cas, nous choisirons « Linux », puis la version « Debian 64bit »

Cliquez ensuite sur le bouton Suivant.

Cette étape nous permet de déterminer quelle quantité de mémoire sera attribuée à la machine virtuelle. La valeur

recommandée par VirtualBox est de 256Mo. Pour faire fonctionner notre machine virtuelle avec plus de souplesse,

nous avons choisi de lui attribuer 1024Mio.

Ce choix doit se faire en fonction de la "gourmandise" en RAM de votre système hôte et celui de votre machine

virtuelle. Il faut en effet garder à l'esprit que la quantité de mémoire que nous allons attribuer à notre machine

virtuelle sera alors manquante à la machine hôte puisque les deux systèmes tourneront en parallèle.

VirtualBox recommande des tailles de mémoire vive à allouer en fonction de votre choix du système à installer

Pour nous, VirtualBox proposera une quantité allouée de 384Mio pour Debian, mais nous allons allouer 1024Mio.

5

Création d'un disque virtuel

L'assistant de création d'un disque virtuel apparaît, cliquez sur « suivant », car VDI VirtualBox Disk Image est

présélectionné.

Nous avons ici la possibilité de choisir entre deux types de disques virtuels :

Image dynamique : la taille allouée à votre machine virtuelle n'est pas définie à l'avance mais s'adaptera

automatiquement à vos besoins. Image à taille fixe : la taille du disque virtuel est fixée dès le départ.

Afin de ne pas gaspiller inutilement de l'espace disque, nous choisissons l'image dynamique. Cliquez ensuite sur le

bouton Suivant.

Nous avons choisi 10Go. Cliquez sur « suivant » puis sur « créer ».

Finalisation de la machine virtuelle

Nous venons de créer notre disque d'amorçage, nous allons maintenant terminer la création de la machine virtuelle

qui accueillera notre système d'exploitation

Car si vous démarrez la machine virtuelle maintenant, voilà ce qui se passera :

Donc, choisissez à partir d’une image, dans configuration, stockage, et dans contrôleur SATA, sélectionner votre

image.

Choix du Système d’exploitation

Obtenir l’image du de système d’exploitation proposé ci-dessous pour la mise en place d’un serveur Web • Debian Serveur

Debian est un excellent système d’exploitation réputé pour sa stabilité et sa gratuité.

6

Configuration carte réseau de la machine

Configuration Réseau :

Carte 1 : NAT

On active le mécanisme de NAT sur les routeurs faisant le lien entre les réseaux privées et publics. Le principe

général est de remplacer l'adresse IP source privée de la machine par l'adresse IP publique du routeur.

Carte 2 : Cocher « Activer la carte réseau », la mettre en Accès par pont.

Ce mode crée un pont vers la carte réseau du système hôte. Dans le réseau local, la machine virtuelle est

visible, elle est vue exactement comme n'importe quel autre ordinateur de ce réseau. Elle a donc accès à toutes

les ressources réseau (y compris internet) que les autres ordinateurs du réseau local

./ ! \ N’oubliez surtout pas d’aller dans « Avancé » en déroulant le menu avec la petite flèche et réinitialiser

les adresses Mac des 2 cartes.

7

DEBIAN

Présentation

Debian est un système d'exploitation libre pour un ordinateur.

Un système d'exploitation représente les programmes de base et des

utilitaires qui permettent à un ordinateur de fonctionner.

Debian est une distribution GNU/Linux non commerciale, lancée en 1993.

La version 6.0, Squeeze, sortie le 6 février 2011, est aujourd'hui en version oldstable (n’est pas la dernière version sortie mais elle est la plus stable/complète) et inclut les éléments suivants :

noyau Linux 2.6.32 ; X.Org 7.5 ;

GNOME 2.30 ;

KDE 4.4.5 ;

Xfce 4.6 GNU Compiler Collection (gcc) 4.4.5 ;

apt 0.8.10

prise en charge de l'ext4 de manière native.

Avantages de la virtualisation

Sécurité : D'une manière générale la sécurité est réputée être un point fort de Debian.

Stabilité : Il y a beaucoup d'exemples de machines qui tournent depuis plus d'un an sans redémarrage.

Prix : Debian est un système d’exploitation libre et gratuit

Téléchargement de l’image du système

Le site est directement accessible sur le site du concepteur :

http://www.debian.org/distrib/netinst

8

Installation de Debian

Voici l’écran d’accueil lorsque nous lançons l’image.

Deux options nous sont proposées :

- Install

- Graphical Install

Cela revient au même mis à part que la deuxième option permettra un meilleur dialogue « homme-machine »

grâce à une interface plus soignée.

Sélection de la langue

Ensuite, pour Situation Géographique sélectionner « France »

Sélectionner aussi « Français » pour le clavier

Attribution des noms

Nom Ordinateur : Serv-Debian

Mot de passe super utilisateur (root) : btssio Utilisateur : util

Le mot de passe utilisateur : btssio

Organisation du disque dur On divise le disque dur en 3 partitions principale :

On installe les logiciels nécessaires

On laisse l’installation se dérouler, et finalement on arrive sur la page d’accueil.

9

Configuration des cartes réseaux sur Debian

Précédemment, nous avons configuré la carte réseau sur la machine virtuelle, il est désormais nécessaire de le

faire sur le système d’exploitation.

Pour ce faire, allez dans :

Système Préférences Connexions réseaux :

Configuration de la carte :

Modifier Renommez la en « Accès par pont » dans « Nom de la connexion ».

Allez dans l’onglet « Paramètre IPv4 », passez la méthode en « Manuel », faite « ajouter » et ensuite il faut

renseignez les informations suivantes :

Adresse : 172.16.X.Y (X même chiffre que votre machine hôte, Y un chiffre dont aucune de

vos machine utilise).

Dans notre cas, ce sera « 172.16.33.5 ».

Ensuite cliquez sur le masque de réseau qui devrait se remplir automatiquement

Accès par pont Permet à la machine virtuelle de communiquer vers l’extérieur via la machine hôte

Permet de pouvoir configurer soit même la carte réseau : adresse IP /passerelle..

Vérification des cartes-réseaux

Une fois la configuration des cartes finis, il faut faire des vérifications entre vos 2 machines.

Sous Debian, aller dans le terminal et faite un Ping vers votre machine hôte :

« ping 172.16.33.1 ».

Sur une autre machine du réseau, faites également un ping :

« ping 172.16.33.5 ».

Il se peut que des problèmes subsistent sous Windows 7, malgré la bonne configuration des cartes. Il sera

préconisé alors d’aller désactiver votre pare feu :

Démarrer écrivez « Pare-feu » et sélectionnez « pare-feu Windows » allez dans l’onglet « Activer ou

désactiver le Pare-feu Windows » cochez « Désactiver le Pare-feu Windows ».

Si votre problème persiste, alors :

Eteignez votre serveur.

Dans Virtual Box, décocher les 2 cartes réseaux dans les configurations (même endroit que lors de la

configuration des cartes durant l’installation).

Réinitialiser les adresses MAC des cartes

Rallumez votre serveur pour qu’il prenne en compte les cartes désactivé et il faut encore l’éteindre.

Retournez cocher vos carte et retournez faire vos test Ping.

10

Installation des paquetages

Pour simplifiez l’utilisation de la session administrateur, aller dans application, accessoires et lancez le

« terminal administrateur », il vous proposera de mettre un mot de passe et mettez « Se souvenir du mot de

passe pour cette session ».

Ceci permettra de mettre une seule fois le mot de passe lors d’une connexion et avoir un gain de temps

durant les futures utilisations de terminal.

Terminal Administrateur

Le terminal est un programme qui ouvre une console dans une interface graphique, il permet de lancer des

commandes.

Il est parfois plus simple de taper une commande que d'effectuer des manipulations demandant beaucoup de clics de souris dans une interface graphique. En revanche, elle est moins intuitive et est surement plus

compliqué à appréhender pour les non-initiés.

Cependant, même si le terminal peut être beaucoup plus efficace qu'une interface graphique sous les doigts

d'un utilisateur avancé, il est moins abordable que les interfaces graphiques.

Sur les fiches suivantes, nous énoncerons les services nécessaires et comment les installer, pour un serveur

web.

APACHE

Présentation

Apache est un logiciel open source permettant de construire un serveur http, c’est le plus populaire des serveurs

http. Il est produit par « Apache Sotfware Foundation ».

Il est destiné pour les systèmes d’exploitation tels qu’UNIX et Windows IT.

Les avantages d’Apache version 2 :

Apache2 est open sources, c'est-à-dire qu’il est gratuit et modifiable pour ceux qui le souhaite.

Il gère HTTPS, les serveurs virtuels, CGI, SSI, IPv6, l'intégration facile de scripts et de bases de

données, le filtrage des requêtes/réponse, de nombreuses méthodes d'authentification flexibles et bien plus encore.

Il permet l’ajout d’une multitude de module.

Voici une documentation exhaustive et complète d’apache2

http://doc.ubuntu-fr.org/apache2

11

Installation Apache

Installation du package apache2

Installation du paquetage principal: • apt-get install apache2

Module complémentaire

Apache2-utils

apache2.2-common

apache2-mpm-prefork

libapache2-mod-chroot

libapache2-mod-auth-pam

libapache2-mod-auth-sys-group

Vérification de l’installation

Nous allons désormais voir si le module apache2 est bel et bien fonctionnel. Tout d’abord, effectuer la commande sur le terminal administrateur (de préférence) :

• service apache2 status Qui nous indiquera son état

Voici ce que cela doit donner

• service apache2 start Permet de démarrer apache2 si celui-ci ne l’était pas • service apache2 restart Permet de redémarrer apache2 si besoin

Redémarrer apache2

Désormais, nous allons vérifier si apache2 fonctionne correctement sur un navigateur, en rentrant son adresse

IP dans l’URL. Dans un premier temps, le tester localement avec « localhost » dans la barre url de votre navigateur web.

Ensuite, le tester sur un autre post, avec l’adresse : 172.16.33.5, et il devra apparaitre :

12

PHP5

Présentation

PHP (Hypertext Preprocessor ) est un langage de programmation, langage script utilisé principalement

pour produire des pages web dynamiques à partir d’un serveur http, dans notre cas, nous utilisons Apache2.

PHP 5 est né le 13 juillet 2004 et a introduit la notion d’objet, cette version est mise à jour

régulièrement. La version 5.2 a été considérée par la communauté comme une version mature (2006).

Les avantages de PHP version 5 :

PHP5 est plus rapide que PHP4

Moins de failles

Il permet d’être incorporé dans un code HTML.

Installation PHP5

Paquetage principale

En installant php5 via le terminal : « Apt-get install php5 » les modules complémentaires s’installent

automatiquement :

php5-common => contient les documentations et des fichiers d'exemples pour tous les autres paquets construits à partir du source php5.

php5-gd, php5-cli => Ce package contient le / usr/bin/php5 interpréteur de commandes, utile pour tester les scripts PHP à partir d'un shell ou d'effectuer des tâches générales de script shell.

libapache2-mod-php5 => Ce paquet fournit le module PHP 5 pour le serveur web Apache 2.

Modules complémentaires

Nous pouvons également installer d’autre module complémentaires tels que :

php5-dev: Fichiers permettant le développement de modules PHP5.

php5-gd : Ajout du support de GD 2 pour le traitement des images en PHP.

php5-mcrypt: Ajout du support de la librairie mcrypt qui ajoute des fonctions de cryptage avancées.

php5-mysql: Le module MySQL pour PHP5.

13

Redémarrer apache2

A travers ce schéma, nous pouvons mieux comprendre l’importance du php et du module php5-gd, php5-cli ,

qui contient l’interpréteur de commande.

Test du service Php

Pour vérifier que le nouveau module est correctement installé, vous devez créer un fichier avec du code PHP que vous allez déposer dans le répertoire par défaut qui est /var/www.

Créez un nouveau fichier dans le dossier « www » avec le clic droit.

Mettez l’extension « .php ».

Ouvrez-le avec « gedit ».

Ecrivez quelques lignes de PHP :

Enregistrez le fichier, puis retourner faire un test sur votre

navigateur :

Machine serveur : http://127.0.0.1/test1.php

Machine hôte : http://172.16.33.5/test1.php

< ?php

echo « Ceci est un test » ;

?>

14

MYSQL-SERVEUR

Présentation

MySQL est le serveur de base de données SQL le plus populaire, c’est un système de gestion de bases

de données. C’est un SGBD sous licence propriétaire mais gratuit.

Les avantages de MySql

MySQL est un logiciel Open Source, ce qui signifie qu’il est gratuit et modifiable. Toutes personnes voulant

acquérir MySQL peuvent le télécharger sur internet et l’utiliser sans payer aucun droit ainsi que le modifier

afin de l’adapter à ses propres besoins.

Le serveur de base de données MySQL est très rapide et fiable, il dispose de fonctionnalités pratiques.

Ces tableaux ci-dessous, présentes une comparaison entre MySQL et d’autre service de gestion de base de

données.

Nous pouvons donc constater qu’en termes de rapidité MySQL est très bien placé.

Installation de MySQL pour Apache

Installation des paquets suivants :

libapache2-mod-auth-mysql Ce paquetage permet de gérer les authentifications sur MySQL.

• php5-mysql: Le module MySQL pour PHP5.

Cela permet les échanges entre le serveur PHP et la base MySQL.

Redémarrer apache2

Effectuer des tests

Pour tester php5-mysql, insérer une connexion à une base MySQL dans un fichier PHP dans le dossier

/var/www.

15

Installation de MySQL serveur

Le serveur de base de données est un outil indépendant d'un serveur Web.

Son rôle est de permettre le stockage, l'exploitation et la sécurisation de données structurées en bases de données (un nom

pour un domaine de gestion) au sein desquelles seront visibles les tables et occurrences.

=> apt-get install mysql-server Login : root

Mot de Passe : btssio

PHPMYADMIN

Présentation de phpMyAdmin

Phpmyadmin un des outils les plus connus permettant de manipuler une base de données MySQL.

C’est une application Web de gestion pour les systèmes de gestion de base de données MySQL réalisé en PHP. Phpmyadmin est

présenté sous forme d’une interface pratique permettant l’exécution facile et rapide sans besoin de grande connaissances dans le

domaine des bases de données.

Les avantages de phpmyadmin :

Système très pratique pour sauvegarder une base de données qui sera sous forme de fichier sql permettant ainsi d’être transféré

très facilement.

Il permet d’exécuter de nombreuses requêtes tel que la création de table de données, d’insertions de données, modifications,

suppressions etc.

INSTALLATION DE PHPMYADMIN

=> apt-get install phpmyadmin

Durant l’installation, il faudra choisir la configuration en type « automatique » d’apache2 parmi les différentes

propositions affichées.

Il faut aussi choisir « oui » dans la configuration de phpmyadmin avec dbconfig-common.

Le mot de passe à mettre sera « btssio ».

Faire maintenant dans le terminal ceci :

ln -s /usr/share/phpmyadmin /var/www

16

Vérification de phpmyadmin

Ensuite il faut faire un test afin de savoir si notre configuration fonctionne :

Machine serveur : http://127.0.0.1/phpmyadmin

Machine hôte : http://172.16.39.5/phpmyadmin

Voici l’interface graphique apportée par phpmyadmin et se connecter en utilisant le compte de MySQL

Le serveur base de données est donc bien configuré !!!

Création utilisateur/Gérer les droits

Il faut savoir que le compte root a tous les droits et n’est à utiliser qu’en cas d’urgence, donc lors de la

première connexion, il faut créer un nouvel utilisateur avec tous les droits

Le compte root ne sera là qu’en cas de roue de secours. Le nouveau compte créé sera donc le nouvel

administrateur de ce serveur.

Une fois connecté en tant que « root » sur phpmyadmin, il faut d’abord aller sur « Privilèges » et cliquer sur

« Ajouter un utilisateur » :

Nom : « Admin ».

Serveur : « localhost ».

Mot de passe : « btssio ».

Privilèges globaux : « Tout cocher ».

Avec ce compte, insérez votre base de données.

17

FTP

Présentation

Le serveur FTP permet le transfert des fichiers entre deux postes par le biais d’un réseau local.

FTP est un service client/serveur, c'est-à-dire que l’un des deux postes joue soit le rôle de serveur et l’autre

client.

Tout utilisateur disposant d’autorisation peut alors accéder au dossier dont ils ont les droits d’accès pouvant

ainsi, lire, modifié, téléchargé, supprimé en fonction des droits qu’ils leurs sont accordé.

Les avantages du FTP :

Pouvoir échanger des fichiers à distance en intranet.

Assurer plus de sécurité : il est possible d’empêcher de remonter dans l’arborescence des fichiers en modifiant

le fichier « proftpd.conf » en spécifier le dossier que l’on veut partager ex : /var/www à la place « ~ ».

Possibilité de se connecter en ftp afin de gérer les fichiers/dossiers via le logiciel FileZilla téléchargeable

depuis le site officiel de FileZilla https://filezilla-project.org/.

Deux utilisations possibles :

Dans ce mode, le client FTP détermine le port de connexion à utiliser pour permettre le transfert des données.

Ainsi, pour que l'échange des données puisse se faire, le serveur FTP initialisera la connexion de son

port de données (port 20) vers le port spécifié par le client.

Le client devra alors configurer son pare-feu pour autoriser les nouvelles connexions entrantes afin

que l'échange des données se fasse.

18

Dans ce mode, le serveur FTP détermine lui-même le port de connexion à utiliser pour permettre le transfert

des données et le communique au client. En cas de présence d'un pare-feu devant le serveur, celui-ci devra être

configuré pour autoriser la connexion de données.

L'avantage de ce mode est que le serveur FTP n'initialise aucune connexion. Dans les nouvelles

implémentations, le client initialise et communique directement par le port 21 du serveur ; cela permet de

simplifier les configurations des pare-feu serveurs.

Paquetage ProFTPD

ProFTPD est un serveur FTP libre, et donc gratuit. Son architecture est modulaire, ce qui a permis d'écrire des

extensions pour le support de la cryptographie SSL/TLS (protocole FTPS) que nous verrons plus tard.

Et c’est ce service que nous allons installer sur le serveur afin de pouvoir utiliser le protocole FTP sur Debian.

Installation ProFTPD

Accédez au terminal afin d’installer les paquetages nécessaire.

Entrez la commande « apt-get install proftpd ».

Durant l’installation, il faudra choisir d’installer « indépendamment » parmi les différentes propositions

affichées

Modifier le répertoire par défaut du FTP

Une fois connecté, on accède au dossier par défaut qui est le répertoire de l’utilisateur « util ».

Nous souhaitons rediriger le chemin de destination vers un autre emplacement. Il faut savoir que cela a

plusieurs avantages dont un qui est non négligeable :

Sécurité : L’utilisateur ne peut pas remonter plus haut dans le chemin de destination

Pour ce faire, il faut se rendre dans le dossier « proftpd.conf » , et modifier ce dernier. Et nous y accèderons

depuis le terminal :

« cd /etc/proftpd »

Ensuite, il faut éditer le fichier « proftpd.conf » :

« gedit proftpd.conf ».

Une fois réalisé, le fichier s’ouvre et il faut rechercher la ligne « # DefaultRoot » :(Petite astuce : Faite un

ctrl+f et taper « # DefaultRoot » afin de trouver plus vite cette ligne.)

Effacez le signe « # » en début de ligne

Car le # place la ligne en « commentaire » , ainsi le morceau de code est ignoré. Ensuite :

Effacez et remplacez le signe « ~ » par le chemin de destination voulu qui est

« /var/www ».

Et enfin, enregistrez le fichier puis fermé le.

19

Vérification du FTP

FTP sur Navigateur

Ouvrez un navigateur, et mettez dans l’url : ftp://172.16.39.5/ ou ftp://localhost/

Entrez les informations suivantes :

Nom : « util ».

Mot de passe : « btssio ».

FTP sur FileZilla

FileZilla Client est un client FTP pour Windows gratuit, léger, en français, offrant une interface intuitive avec

les fonctionnalités suivantes :

Support multilangue.

Sécurité grâce à SFTP over SSH et FTP over SSL/TLS.

Support de la reprise de téléchargement après interruption.

Gestionnaire de site.

Utilisation d'un proxy.

Support 32 et 64bit.

20

OPENSSL

Présentation « OpenSSL »

OpenSSL est une boite à outils de chiffrement comportant deux bibliothèques (une de cryptographie générale

et une implémentant le protocole SSL.

Pourquoi crypter les données ?

Pourquoi utiliser un certificat SSL ?

Voici un tableau qui représente les intérêts d’un tel service pour un serveur et une entreprise

Avantages Internautes Avantages Propriétaires du site

Mise en confiance Fidélisation des internautes qui préfèrent les sociétés en qui ils peuvent placer leur confiance

Ils savent qu’ils placent leurs informations confidentielles sur un site sécurisé appartenant à une véritable société dont

l’existence a été avérée par un audit minutieux

Preuve du sérieux du site, qui prend en considération les inquiétudes des internautes de laisser leurs informations

personnelles et/ou confidentielles

Possibilité de faire le tri entre les sites de confiance et les autres

Baisse du taux d’abandon de panier ; un site sécurisé par une autorité de certification reconnue met l’internaute en

confiance et le rendra plus enclin à déposer une commande

ferme

Si les informations sont interceptées pendant le transfert,

elles ne pourront pas être lues par un pirate. Le

déchiffrement des informations est rendu impossible par le chiffrement SSL

Augmentation du taux de commande

En d’autres termes, la sécurité des informations est importante et l’entreprise doit être rigoureuse à ce niveau-

là.

Transport Layer Security (TLS), et son prédécesseur Secure Sockets Layer (SSL), sont des protocoles de

sécurisation des échanges sur Internet.

La mise en place d'un service sécurisé par TLS permettra d'éviter que l'on puisse exploiter le contenu en cas

d'interception des échanges entre le client et le serveur.

21

Mise en place d’un certificat avec « OpenSSL »

Création d’une clé privée

Il est nécessaire de créer un dossier ou la clé privée sera stockée.

Elles se trouveront dans « etc/ssl/cles ».

Nous allons d’abord nous rendre dans le dossier « ssl », donc via le terminal faites :

« cd /etc/ssl ».

Ensuite nous allons créer notre nouveau dossier nommé « cles » :

« mkdir mesCles ».

Ensuite, nous devons générer une clé privée afin de pouvoir l’utiliser plus tard. Depuis un terminal, écrivez :

Nous allons d’abord nous rendre dans notre nouveau dossier créé :

« cd mesCles».

Ensuite, nous allons générer une clé :

« openssl genrsa –out cleGSB.key 1024”.

Création d’un certificat X509

La clé privée ne doit jamais être diffusée. On va donc générer la partie publique sous forme d'un certificat.

Pour que ce dernier soit accessible aux navigateurs, on a recours au format standard X509.

Nous commencerons se déplacer dans le dossier ou sera stocker créé notre prochain dossier pour stocker les

certificats :

« cd /etc/ssl ».

Ensuite, nous allons donc créer le dossier qui se nommera « certificats » :

« mkdir mesCertifs ».

Apres ces étapes passées, nous somme capable de créer un certificat :

• D’abord, il faut se rendre dans le dossier fait précédemment :

« cd mesCertifs ».

• Maintenant, il faut créer le certificat générique :

« openssl req -new -key ../mesCles/cleGSB.key -out GSBCertGen.csr ».

Le certificat doit être rempli, il contiendra les coordonnées de l’entreprise.

Country Name : « FR ».

State or Province Name: « France ».

Locality Name : « Toulouse ».

Organization Name : « GSB ».

Organizational Unit Name: « GSB ».

Common Name: GSB.

Email Adress : « GSB@gsb.fr ».

Maintenant, il faut convertir le certificat en format « X509 », lancez un terminal :

« openssl x509 –req –days 365 –in GSBCertGen.csr –signkey ../mesCles/cleGSB.key –out

GSBcertif.crt ».

22

Configuration d’Apache avec SSL/TLS

Nous allons activer le module SSL pour Apache :

« a2enmod ssl »

Si le message « Module SSL already enabled » s’affiche, alors le module est déjà actif.

Il faut ensuite ajouter un hôte virtuel pour l’écoute du port 443(HTTPS) :

Il faut modifier un fichier qui se trouve dans « etc/apache2/sites-enabled » :

« cd /etc/apache2/sites-enabled ».

Ensuite, il faut modifier le fichier nommé « 000-default » :

« gedit 000-default ».

Insérer tout en bas, après la balise </VirtualHost> du port 80, ce texte afin qu’Apache trouve la

clé et le certificat créés précédemment :

<VirtualHost *:443>

DocumentRoot /var/www

SSLEngine on

SSLCertificateFile /etc/ssl/mesCertifs/GSBcertif.crt

SSLCertificateKeyFile /etc/ssl/mesCles/cleGSB.key

</VirtualHost>

Maintenant que Apache sait où se trouvent la clé et le certificat, il faut redémarrer le serveur afin qu’il prenne

en compte les modifications apportées :

« service apache2 restart ».

Vérification SSL avec Apache

Allez dans un navigateur et tapez l’adresse suivant dans la barre d’adresse URL :

https://172.16.33.5/

Si une page s’affiche avec comme titre « Cette connexion n’est pas certifiée », alors le certificat est

opérationnel.

23

Configuration de ProfFTP avec SSL/TLS

Maintenant, nous allons configurer le serveur afin de pouvoir nous connecter dessus avec un client FTP mais

uniquement avec le certificat SSL.

(Nous allons commencer par indiquer au fichier « modules.conf » qu’il est nécessaire d’activer le TLS.

Lancez un terminal :

Ce fichier se trouve dans « /etc/proftpd » :

« gedit /etc/proftpd/modules.conf ».

Rajouter à la fin du fichier :

(« LoadModule mod_tls.c ».))

Ensuite, il faut préciser au fichier « proftpd.conf » d’inclure le fichier de configuration de tls :

Ce fichier se trouve au même endroit que le précédent :

« gedit /etc/proftpd/proftpd.conf ».

Effacez le signe « # » au début de la ligne « Include /etc/proftpd/tls.conf ».

Il faut terminer par configurer le fichier « tls.conf ». Lancez un terminal :

Ce fichier se trouve aussi dans le même dossier :

« gedit /etc/proftpd/tls.conf ».

Ensuite, il faut retirer les « # » de plusieurs lignes, modifier les écritures suivant qui sont en rouge. Vous

devez obtenir cela :

<IfModule mod_tls.c> TLSEngine on

TLSLog /var/log/proftpd/tls.log

TLSProtocol SSLv23

TLSRSACertificateFile /etc/ssl/mesCertifs/GSBcertif.crt

TLSRSACertificateKeyFile /etc/ssl/mesCles/cleGSB.key

TLSVerifyClient off

TLSRequired on

</IfModule>

Enfin, il est nécessaire de redémarrer Proftpd :

« service proftpd restart ».

Verification du certificat avec le FTP

Connectez-vous avec un client FTP (Filezilla), la connections ne pourra que se faire que en « Connexion FTP

explicite sur TLS » :

Vous obtiendrez une mise en garde avec un certificat à lire et à accepter