[MàJ] Plesk 12.5.30 + faille de sécurité LogJam et DH


Odin Plesk 12.0.18 est enfin disponible, vous pouvez rencontrées quelques problèmes cité après la mise à jours et la faille de sécurité LogJam faut encore corriger.
  • Impossible d'aller sur le panneaux de configuration admin de plesk
  • encore corriger cette faille LogJam


Ancienne article (correction plesk 12.0.18)

Comment corriger les failles de sécurité Logjam SSL, tous le monde est touchée par cette faille.

Votre ordinateur/Smartphone

Vous ne savez pas encore si vous êtes touchées par cette faille aller y sur SSL LABS
J'ai trouvé aller sur cette pages https://weakdh.org/ tous en bas de la pages.
Vous avez juste à faire la mise à jours récente de votre navigateur internet vérifier de temps en temps.

Votre Serveur

Vous ne savez pas encore si vous êtes touchées par cette faille aller y sur SSL LABS.
J'ai trouvé aller sur cette pages http://adf.ly/1X5tuq pour corriger sur votre serveur.

J'ai testé de corriger cette faille en utilisant même méthode équivalente, et de configurer de chaque partie puis vérifier, Tous est OK.
Votre Serveur des logiciel installé ou du systèmes, doit être toujours à jours fait
[email protected]~# sudo apt-get update && upgrade (Debian/Ubuntu)
[email protected]~# yum update && upgrade (CentOS/red Had)

Générales opinion

Les testes déjà procéder fonctionne absolument.
[email protected]~# cd /etc/nginx
[email protected]~# openssl dhparam -out dhparams.pem 2048
[email protected]~# chmod 600 dhparams.pem

Postfix (SMTP)



[email protected]~# nano /etc/postfix/main.cf
[email protected]~#sudo service postfix reload

Dovecot (IMAP/¨POP3)


 
[email protected]~#nano /etc/dovecot/dovecot.conf
[email protected]~#sudo service dovecot reload

Apache



[email protected]~#nano /etc/apache2/mods-available/ssl.conf
[email protected]~#apache2 -v
[email protected]~#openssl -v
[email protected]~#sudo service apache2 reload

Nginx



(Je pense d'être tromper de l'emplacement "je connais pas trop Nginx", à mettre entre les "http{..ici..}") dans l'image ci-dessus.
[email protected]~#nano /etc/nginx/nginx.conf
[email protected]~#sudo service nginx reload
ne sert à un enfin rien compte!!! (si vous utilisiez le serveur web Apache du Plesk 12)

Parallele Plesk 12


[email protected]~# nano /etc/sw-cp-server/conf.d/plesk.conf
[email protected]~# service sw-cp-server restart



[email protected]~#cp /usr/local/psa/admin/conf/templates/default/ /usr/local/psa/admin/conf/templates/custom/ # Pas besoin de le faire
[email protected]~#cp /usr/local/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php # Pas besoin de le faire
[email protected]~#nano /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php
[email protected]~#/usr/local/psa/admin/bin/httpdmng --reconfigure-all
Si vous rencontrez des erreur dès lors un redémarrage d'un des services: apache2, nginx, postfix, dovecot et plesk.
N'oubliez pas de vidé votre Cookie/Cache.




Solution facile (Plesk 12.5.x)

Impossible d'aller sur le panneaux de configuration admin de plesk:
Il faut juste redémarré Plesk
[email protected]~: services sw-cp-server restart Après cela, vous avez des message d'erreur
[email protected]~: nginx: [emerg] "ssl_ciphers" directive is duplicate in /etc/sw-cp-server/conf.d/ssl.conf:1sw-
[email protected]~: nginx: configuration file /etc/sw-cp-server/config test failed
A suivre sur http://kb.odin.com/en/126774 faire de nouveaux
[email protected]~: services sw-cp-server restart

Solution difficile

(Plesk 12.5.x)

Cette faille de sécurité face 2 est plutôt dur à corriger, j'ai trouvé une petit partie.
Pour commencé il y a une guide pratique pour toutes systèmes avec ou sans Plesk https://weakdh.org/sysadmin.html.
il vous suffit de suivre ce lien http://kb.odin.com/en/125741
[email protected]~# wget http://kb.odin.com/Attachments/kcs-51784/SSLfix.zip
[email protected]~# unzip SSLfix.zip
[email protected]~# chmod +x SSLfix.sh
Si vous êtes sous apache n'oublier pas ajouter dans le fichier "ssl.conf"
SSLCompression off puis http://forum.odin.com/threads/how-to-disable-tls-1-0.335047/


J'ai finalement trouvé la réponse depuis 4 jours j’essayai par différentes méthodes (=la méthode sous mon nez)
[email protected]~#nano /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php
[email protected]~#/usr/local/psa/admin/bin/httpdmng --reconfigure-all


Je teste depuis ssllabs.com La note est [B]. Je dois encore corriger pour trouver des solution, merci de patientez!!
Rester sur SSLLabs la note est bien "A". c'est fait est corriger, c'est "A+" mais "A" c'est mieux que "B".

Mise à jours



Si vous avez activer le SSL de votre site, faut activement HSTS c'est une obligation pour avoir A+ de plus vous pouvez ajouter OCSP et HPKP peut-être utile (Ne pas utiliser avec Let's Encrype), N'oublier pas aussi activer le HTTP/2 sous apache ou sous nginx.

HTTP/2 fonctionne qu'avec openssl 1.0.1f/e et non avec openssl 1.0.2h/d = j'ai déjà testé sous ngninx et apache (j'attends les update)

Sous Apache 2.4.x+:
Nom de domaine -> paramètre d'apache & nginx:

Directives supplémentaires pour HTTP

<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</IfModule>
ou
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTPS} !=off
    RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]
</IfModule>


Directives supplémentaires pour HTTPS
Header always set Strict-Transport-Security "max-age=63072000; preload"//sous-domaine non incluse
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"//sous-domaine incluse

Directives supplémentaires Nginx
 gzip_proxied any;

Publier un commentaire

0 Commentaires