Correction de la faille ssl Logjam

ex_rat · 21 mai 2015

Salut
Pour corriger la faille ssl logjam qui vient d'être trouvé.
http://www.nextinpact.com/news/94144-logjam-apres-freak-nouvelle-faille-dans-chiffrement-connexions.htm
On peut faire la verif' ici (en https bien sur):
https://weakdh.org/sysadmin.html

Génération de la clé 2048 bits, peut prendre un peu de temps sur serveur mou du genou...

cd /etc/nginx/ssl
openssl dhparam -out dhparams.pem 2048
chmod 600 dhparams.pem

Création fichier ciphers.conf

nano /etc/nginx/conf.d/ciphers.conf

Et on colle:

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/nginx/ssl/dhparams.pem;

On édite notre fichier de conf nginx:

nano /etc/nginx/sites-enabled/rutorrent.conf

En dessous de:

	ssl_certificate /etc/nginx/ssl/server.crt;
	ssl_certificate_key /etc/nginx/ssl/server.key;

On ajoute:

	include /etc/nginx/conf.d/ciphers.conf;

On relance:

service nginx restart

et on peut refaire la verif'.

Le temps d'installation du script va prendre une claque

Ex.

Solinvictus · 21 mai 2015

Merci ex

mirtouf · 21 mai 2015

Il ne faut pas oublier que cette faille concerne aussi les programmes utilisant un DH de taille trop petite par défaut :
- Postfix
- Sendmail
- Dovecot
- HA proxy
- etc.

seb_c_bi1 · 21 mai 2015

ça va je m'attendais à beaucoup plus long que ça. En tout cas merci pour le tuto.

ex_rat · 21 mai 2015

Sur un N2800 je viens de faire 7 minutes, j'ai trouvé ça abominable

Ex.

seb_c_bi1 · 21 mai 2015

ex_rat wrote:Sur un N2800 je viens de faire 7 minutes, j'ai trouvé ça abominable
Ex.

ah oui en effet dans certain cas c'est très long

Je suis bien content d'être monté en gamme

Hardware · 21 mai 2015

Merci ex_rat pour ce post. Je précise que le tuto serveur mail n'est pas touché par cette faille, j'avais déjà renforcé les paramètres Diffie-Hellman avec une clé de 2048 bits et l'utilisation des courbes elliptiques avec ECDHE il y a quelques mois.

L'équivalent pour Postfix est :

smtpd_tls_loglevel            = 1
smtpd_tls_auth_only           = yes
smtpd_tls_security_level      = may
smtpd_tls_received_header     = yes
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1
smtpd_tls_mandatory_ciphers   = high
smtpd_tls_exclude_ciphers     = aNULL, eNULL, EXPORT, MD5, DES, RC4, PSK

tls_random_source = dev:/dev/urandom

smtpd_tls_eecdh_grade  = ultra
tls_eecdh_strong_curve = prime256v1
tls_eecdh_ultra_curve  = secp384r1

smtpd_tls_dh1024_param_file = $config_directory/dh2048.pem

Plus d'info dans le tuto.

mirtouf · 21 mai 2015

Seuls les vrais font openssl dhparam -out dhparams.pem 4096 sur un atom.

BXT · 21 mai 2015

J'ai fait ça y'a 1-2 semaine déjà pour sécuriser encore plus mon installation sur les conseils d'un ami, et en effet, j'ai cru que ça buggait tellement c'était lent

Magicalex · 21 mai 2015

mirtouf wrote:Seuls les vrais font openssl dhparam -out dhparams.pem 4096 sur un atom.

heureusement qu'ils trouvent pas des failles toutes les semaines, c'est un coup à cramer un datacenter lol

Solinvictus · 21 mai 2015

Magicalex wrote:
mirtouf wrote:Seuls les vrais font openssl dhparam -out dhparams.pem 4096 sur un atom.
heureusement qu'ils trouvent pas des failles toutes les semaines, c'est un coup à cramer un datacenter lol

dsxcsman · 21 mai 2015

Merci beaucoup pour ce fix. La MAJ a elle été appliqué sur le script d'installation ?

Magicalex · 21 mai 2015

dsxcsman wrote:Merci beaucoup pour ce fix. La MAJ a elle été appliqué sur le script d'installation ?

tu peux lire les commits c'est à la porté de tous https://bitbucket.org/exrat/install-rutorrent/commits/all

ex_rat · 21 mai 2015

C'est dans les tuyaux pour le script mais pour l'instant je bute sur un p'tit détail bien relou

Pour ajouter le truc, c’est rien de méchant, y'a +/- 2/3 lignes... Oui mais... La création peut-être un peu longue et je veux que l'user puisse voir la progression et pas rester comme un crétin devant sa console figé pendant 10 minutes avec son dedibox premier prix.

Problème, en utilisant les commandes dans un script.sh à part ça marche très bien, j'obtiens bien ça en console:

Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
.......................................................+....................
..+..................................+...........................+..........
................+....................................................+......

C'est vivant, on peut garder espoir devant son Atom tout neuf

Les mêmes commandes dans le script rutorrent et j'ai plus la progression. Le fichier est bien créé et tout marche mais pas d'affichage en console.
Là je sais que la moitié des users vont lâcher en route pendant l'install' en pensant que c'est planté

J'ai tenté plein de choses depuis ce matin mais pour l'instant je bloque la dessus.

Les commandes:

cd /etc/nginx/ssl
openssl dhparam -out dhparams.pem 2048

testé aussi ça + 1 million de dérivés:

cd /etc/nginx/ssl
echo -x | openssl dhparam -out dhparams.pem 2048

Tenté aussi le script bash à part appelé par l'autre, déplacement des commandes en tout debut de script et à droite à gauche, joué avec le nom des dossiers... Ça va me rendre dingue je ne sais plus quoi tenter.
Je vais aller faire de l’intérim dans un abattoir, ça va me détendre

Ex.

BXT · 21 mai 2015

Lance la commande en background dès le début du script ex: http://www.cyberciti.biz/faq/linux-command-line-run-in-background/

wla64 · 21 mai 2015

Salut,
Pour info, 7minutes sur un KS1 pour généré la clé
Tout c'est bien passé.
Merci

NocK · 21 mai 2015

Ty Ex !

ex_rat · 22 mai 2015

BXT wrote:Lance la commande en background dès le début du script ex: http://www.cyberciti.biz/faq/linux-command-line-run-in-background/

Et notre grand gagnant est BXT qui gagne son poids en KS-1

Le kim a un peu saigné du nez mais ça passe, plus qu'à mettre ça au propre et on est bon.
edit: j'ai une install' qui est pas passé, je vais ajouter un contrôle du machin pour faire une session de rattrapage.
Ex.

cocolabombe0 · 22 mai 2015

Il ya plus de 10 minutes sur mon ks2. Mais bon, un rien et il est à 100% lol.

Online:

openssl dhparam -out dhparams.pem 2048
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
.............+...........................++*++*

Même pas dix secondes lol. Mais me manque des ++ lol.
Et je suis bien en 2048 bits

ex_rat · 22 mai 2015

J'ai mis à jour les deux scripts avec un contrôle à la fin.
Si je me suis pris les pieds dans le tapis et que ça ne répond pas en sortie d'install'...

cd /etc/nginx/ssl
openssl dhparam -out dhparams.pem 2048
chmod 600 dhparams.pem
service nginx restart

Ça doit repartir, signalez en cas de soucis

Ex.

Correction de la faille ssl Logjam

ex_rat

Solinvictus

Mmirtouf

Sseb_c_bi1

ex_rat

Sseb_c_bi1

Hardware

Mmirtouf

BXT

Magicalex

Solinvictus

Ddsxcsman

Magicalex

ex_rat

BXT

Wwla64

NocK

ex_rat

Ccocolabombe0

ex_rat