Marwan KHELIF » Sécurité

Authentification SSH par clé privée/clé publique

mkhelif — Mon, 24 Nov 2008 14:36:44 +0000

En voyant l’intérêt que les visiteurs de mon blog porte à l’installation d’un serveur de mail multi-domaines, j’ai décidé d’écrire un autre tutoriel sur la configuration d’un serveur SSH pour utiliser une connexion par clé publique/clé privée.

Fonctionnement

L’objectif d’une authentification par clés est de supprimer l’envoi de mots de passe par le réseau. Pour cela il faut deux clés : une clé privée (seul l’utilisateur doit pouvoir y avoir accès) et une clé publique (doit être déployée sur toutes les machines où l’on souhaite se connecter).

La clé publique peut crypter les données et seule la clé privée peut les décrypter. Dans l’autre sens la clé privée signe les messages, la clé publique permet alors de s’assurer que le message vient bien du bon utilisateur. C’est le cryptage asymétrique.

Pour SSH, c’est exactement la même chose. Le serveur envoi un challenge au client : message crypté à partir de la clé publique. La connexion ne sera acceptée uniquement si le client répond correctement à ce message (c’est à dire qu’il a réussi à décrypter le message).

Configuration du serveur SSH

Par défaut le serveur SSH n’accepte pas les connections par clés mais uniquement par mot de passe. On va donc activer cette méthode d’authentification :

Dans le fichier : /etc/ssh/sshd_config

RSAAuthentication    yes
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys

Pour des questions de sécurité vous pouvez désactiver la connexion avec le login root :

PermitRootLogin no

Il suffit de redémarrer le serveur SSH : /etc/init.d/ssh restart

Si vous souhaitez refuser l’authentification par mot de passe (pour éviter les attaques bruteforce et ainsi que les logs se remplissent pour rien) il faut positionner l’option suivante :

PasswordAuthentication no

Création des clés

Il y a deux manières pour créer les clés :

Sur un poste Linux :
1. Lancer la commande suivante : ssh-keygen -t rsa
2. Laisser les noms par défaut et entrer le mot de passe pour la clé privée.
Sur un poste Windows :
1. Utiliser PuttyGen pour générer les clés.

Ensuite il faut copier la clé publique id_rsa.pub sur le serveur auquel on souhaite se connecter et conserver la clé privée sur le poste client.

Dans le répertoire de l’utilisateur on crée un répertoire .ssh (répertoire par défaut où le serveur SSH va chercher les clés publiques) et on renomme le fichier en authorized_keys.

Ensuite il faut absolument que ce fichier ai les droits suivants : chmod 600 authorized_keys.

À partir de ce moment toutes les personnes ayant la clé privée et le mot de passe ayant servi à la générer peuvent se connecter au serveur.

Première connexion

Afin de se connecter avec Putty vous devez spécifier la clé privée : Connection / SSH / Auth.

Si vous avez créé votre paire de clés grâce à ssh-keygen, vous devez convertir votre clé privée au format Putty. Pour cela vous devez utiliser PuttyGen : menu Conversions / Import key, entrer alors le mot de passe de la clé, puis Save private key.

Lors de chaque connexion Putty vous demande le mot de passe de la clé, quel intérêt alors de se connecter en utilisant une paire de clé si on doit rentrer à chaque fois le mot de passe de la clé privée. C’est là qu’intervient Pageant, c’est un outils de la suite Putty qui permet de stocker pour une clé privée son mot de passe. L’utilisation de ce programme est extrêmement simple, je n’en parlerai donc pas ici. Pour Linux il suffit d’installer ssh-agent qui joue exactement le même rôle.

Pour suivre votre lecture

Oracle : faille critique dans WebLogic [corrigé]

mkhelif — Wed, 30 Jul 2008 14:45:43 +0000

Une faille critique vient d’être découverte dans le module mod_server, permettant la connexion de Apache à WebLogic (racheté à BEA par Oracle). Elle permettrait d’avoir accès à distance aux données du serveur sans aucune authentification.

Cette faille est notée comme très élevée (1.0 sur l’échelle CVSS Common Vulnerability Scoring System) et un correctif est déjà en préparation par Oracle.

Les versions de Oracle WebLogic Server affectées par cette faille sont : 6.1, 7.0, 8.1, 9.0, 9.1, 9.2, 10.0.

Voir le bulletin d’alerte de Oracle.

Mise à jour 08/08/2008 : Oracle a fourni un correctif à cette faille.

Pour suivre votre lecture

Apache2 : système de blacklist

mkhelif — Mon, 23 Jun 2008 14:43:06 +0000

Après avoir installé mon serveur web (Apache) et un serveur d’applications J2EE (GlassFish) je me suis vite rendu compte, après une semaine d’exécution, que les logs du serveur prennaient de plus en plus de place.

En regardant rapidement les fichiers de logs on se rend très vite compte que le serveur se fait « spammer » des URL du type : phpmyadmin, admin, mysql, …

J’ai décidé de mettre en place un système de blacklistage instégré à Apache.

Configuration de Apache

Pour cela il faut installer le module mod_rewrite (inclus par défaut avec Apache2).

On ajoute donc les règles dans le fichier de configuration d’apache (/etc/apache2/sites-avaible/)

RewriteEngine On

RewriteMap hosts-deny txt:/etc/apache2/hosts.deny
RewriteCond ${hosts-deny:%{REMOTE_HOST}|NOT-FOUND} !=NOT-FOUND [OR]
RewriteCond ${hosts-deny:%{REMOTE_ADDR}|NOT-FOUND} !=NOT-FOUND
RewriteRule ^/.* - [F]

Ainsi les adresses IP ou nom de domaine listés dans le fichier /etc/apache2/hosts.deny recevront le code réponse : 403 Forbidden.

On crée le fichier /etc/apache2/hosts.deny :

adresse_ip -
nom_de_domaine -

Penser à ajouter le tiret « - » à la fin de chaque entrée dans ce fichier.

Page d’erreur personnalisée

Si vous voulez rediriger les adresses blacklilstées vers une page personnalisée il faut modifier les règles dans le fichier de configuration de Apache :

Remplacez :
RewriteRule ^/.* - [F]

Par :
RewriteRule ^/.* /blacklisted.html [L]

Créez alors le fichier blacklisted.html.

Source : http://httpd.apache.org/docs/2.0/misc/rewriteguide.html

Pour suivre votre lecture

Serveur de mails multi-domaines

mkhelif — Fri, 23 May 2008 17:57:58 +0000

Ayant voulu créer un serveur de mail avec des comptes et des domaines virtuels je me suis très vite rendu compte que les différents tutoriels ne fonctionnaient pas dans ma configuration.

J’ai donc décidé de créer ce billet pour présenter le fonctionnement d’une telle infrastructure et comment la mettre en place.

Infrastructure du serveur

Le serveur va se composer de quatre services : l’agent de livraison (Postfix), le serveur de mails IMAP (Courier) et le serveur web (Apache + PHP) et la base de données (MySQL). Pour accéder au mails j’ai décidé d’utiliser RoundCube et PostfixAdmin pour administrer les utilisateurs, les alias et les domaines.

Création du compte virtuel

On va d’abord créer un utilisateur sur le serveur qui stockera les mails des utilisateurs :

1 2	addgroup --gid 20001 virtual adduser --uid 20001 --gid 20001 virtual

Installation des services

On va commencer par le plus simple : Apache et MySQL. On va tout simplement les récupérer dans les dépots :

1	apt-get install apache2 mysql-server-5.0 php5 php5-mysql php5-gd

Je n’aborderai pas ici la configuration d’Apache ni de PHP (penser juste à activer l’extension pour MySQL si ce n’est pas fait).

Base de données

Il faut créer la base de données que vont utiliser les autres services pour identifier les utilisateurs. Il suffit d’exécuter le script SQL suivant : PostfixMySQL.sql. Penser à modifier l’identifiant et le mot de passe pour le compte (ici : postfix / postfix).

mysql
...
mysql>CREATE DATABASE postfix;
mysql>GRANT ALL PRIVILEGES ON postfix.* TO 'postfix'@'localhost' IDENTIFIED BY 'postfix';
mysql>\. PostfixMySQL.sql

On ajoute l’administrateur de PostfixAdmin directement dans la base de données :

mysql>INSERT INTO domain (domain, description)
      VALUES ('mkhelif.fr', 'Domaine personnel');
Query OK, 1 row affected (0.00 sec)
 
mysql>INSERT INTO admin (username, password, active)
      VALUES ('postmaster@mkhelif.fr', '$1$CeeAzXb...J8njWAw1', '1');
Query OK, 1 row affected (0.00 sec)
 
mysql>INSERT INTO domain_admins (username, domain, active)
      VALUES ('postmaster@mkhelif.fr', 'ALL', '1');
Query OK, 1 row affected (0.00 sec)
 
mysql>INSERT INTO mailbox (username, password, name, maildir, domain, active)
      VALUES ('postmaster@mkhelif.fr', '$1$ExhxBRG6$...qhF/unIwe0Kk1',
              'Marwan KHELIF', 'postaster@mkhelif.fr/', 'mkhelif.fr', '1');
Query OK, 1 row affected (0.00 sec)

Note : le mot de passe est hashé en MD5 avec du sel. Voici un script PHP pour encoder votre mot de passe :

1
2
3


    echo crypt ('password');
?>

On vérifie que l’utilisateur que l’on vient de créer a bien accès à la base de données :

mysql postfix -u postfix -p
Enter password: postfix
...
mysql>

Voilà la base de données est prête à être utilisée par les différents services.

Postfix

On commence par installer Postfix et le module de connexion à la base de données. Attention lors de l’installation si Exim4 est installé il sera supprimé et remplacé par Postfix.

1	apt-get install postfix postfix-mysql

Note : pendant l’installation sélectionner Site Internet.

Une fois installé il faut modifier le fichier suivant : /etc/postfix/main.cf. Rajouter les propriétés suivantes à la fin du fichier :

virtual_transport = maildrop
virtual_mailbox_base = /home/virtual
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid = 20001
virtual_uid_maps = static:20001
virtual_gid_maps = static:20001

On crée alors les fichiers de mapping avec la base de données :

Fichier : /etc/postfix/mysql_virtual_alias_maps.cf
user = postfix
password = postfix
hosts = localhost
dbname = postfix
query = SELECT goto FROM alias WHERE address = '%s' and active = '1'

Fichier : /etc/postfix/mysql_virtual_domains_maps.cf
user = postfix
password = postfix
hosts = localhost
dbname = postfix
query = SELECT domain FROM domain WHERE domain = '%s' and active = '1'

Fichier : /etc/postfix/mysql_virtual_mailbox_maps.cf
user = postfix
password = postfix
hosts = localhost
dbname = postfix
query = SELECT maildir FROM mailbox WHERE username = '%s' and active = '1'

Modifier le fichier /etc/postfix/master.cf afin de modifier la livraison par maildrop :

Remplacer la ligne :
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
 
par :
maildrop  unix  -       n       n       -       -       pipe
   flags=DRhu user=virtual argv=/usr/bin/maildrop -w 90 -d ${user}@${nexthop}
   ${extension} ${recipient} ${user} ${nexthop} ${sender}

On redémarre alors le service :

1	/etc/init.d/postfix restart

Maildrop

On va alors installer le livreur de mails : maildrop.

1	apt-get install maildrop

On créer le fichier /home/virtual/.mailfilter de livraison, si vous souhaitez spécifier certaines règles de livraisons (mailinglists, spams, …) vous devez modifier ce fichier ou en créer un dans les dossiers de vos utilisateurs :

Fichier : /home/virtual/.mailfilter
logfile "/home/virtual/.maildrop.log"
`[ -d $DEFAULT ] || (maildirmake $DEFAULT && maildirmake -f Spam $DEFAULT && maildirmake -f sent-mail $DEFAULT && maildirmake -f SpamToLearn $DEFAULT &&
maildirmake -f SpamFalse $DEFAULT)`
 
`test -r $HOME/$DEFAULT.mailfilter`
if( $RETURNCODE == 0 )
{
    log "(==)  Including $HOME/$DEFAULT.mailfilter"
    exception {
        include $HOME/$DEFAULT.mailfilter
    }
}

Une fois ce fichier créé il faut modifier les droits à ce fichier :

1	chmod 600 .mailfilter

Courier

On installe de la même façon Courier et le module de connexion à la base de données :

1	apt-get install courier-imap courier-authlib-mysql

Note : pendant l’installation choisissez NON lorsqu’il vous propose de créer les répertoires Web.

Modifier les paramètres dans les fichiers suivants :

Fichier : /etc/courier/authdaemonrc
authmodulelist="authmysql"
 
Fichier : /etc/courier/authmysqlrc
MYSQL_SERVER	localhost
MYSQL_USERNAME	postfix
MYSQL_PASSWORD	postfix
MYSQL_SOCKET	/var/run/mysqld/mysqld.sock
MYSQL_PORT	3306
MYSQL_OPT	0
 
MYSQL_DATABASE	postfix
MYSQL_USER_TABLE	mailbox
MYSQL_CRYPT_FIELD	password
MYSQL_LOGIN_FIELD	username
MYSQL_HOME_FIELD	'/home/virtual'
MYSQL_UID_FIELD		'20001'
MYSQL_GID_FIELD		'20001'
MYSQL_NAME_FIELD	name
MYSQL_MAILDIR_FIELD	maildir
MYSQL_WHERE_CLAUSE	active='1'

Note : vérifier qu’il n’y ai que des tabulations entre le nom et la valeur d’une propriété.

Il faut donner les accès à l’utilisateur virtual :

1 2	chown virtual /usr/lib/courier/authdaemon chmod 750 /usr/lib/courier/authdaemon

On redémarre alors les services IMAP et AuthDaemon de Courier :

1 2	/etc/init.d/courier-imap restart /etc/init.d/courier-authdaemon restart

Pour vérifier que le serveur IMAP arrive bien à se connecter à la base de données on exécute un test d’authentification :

authtest postmaster@mkhelif.fr
Authentication succeeded.
 
     Authenticated: postmaster@mkhelif.fr  (uid 20001, gid 20001)
    Home Directory: /home/virtual
           Maildir: postmaster@mkhelif.fr/
             Quota: 0S
Encrypted Password: $1$CeeAzXb...J8njWAw1
Cleartext Password: (none)
           Options: (none)

Maintenant tous les services sont configurés et communiquent entre eux, on peut configurer les accès Web.

PostfixAdmin et Roundcube

Tout d’abord on récupère les archives (récupérer les dernières versions depuis RoundCube et PostfixAdmin) :

1 2	wget http://garr.dl.sourceforge.net/sourceforge/roundcubemail/roundcubemail-0.1.1.tar.gz wget http://dfn.dl.sourceforge.net/sourceforge/postfixadmin/postfixadmin_2.2.0.tar.gz

On extrait alors les sources :

1 2	tar -xzf roundcubemail-0.1.1.tar.gz tar -xzf postfixadmin_2.2.0.tar.gz

Configuration de PostfixAdmin

Pour configurer PostfixAdmin il faut modifier les paramètres suivants du fichier config.inc.php et supprimer le fichier setup.php :

$CONF['configured'] = true;
$CONF['postfix_admin_url'] = 'http://www.mkhelif.fr/';
$CONF['create_default_folders'] = true;
$CONF['database_type'] = 'mysqli';
$CONF['database_host'] = 'localhost';
$CONF['database_user'] = 'postfix';
$CONF['database_password'] = 'postfix';
$CONF['database_name'] = 'postfix';

Vous pouvez modifier les autres propriétés selon vos besoins.

Configuration de RoundCube

On va tout d’abord créer la base de données que va utiliser RoundCube :

mysql
...
mysql>CREATE DATABASE roundcube;
Query OK, 1 row affected (0.00 sec)
 
mysql>GRANT ALL PRIVILEGES ON roundcube.* TO 'roundcube'@'localhost' IDENTIFIED BY 'roundcube';
Query OK, 1 row affected (0.00 sec)

Pour configurer RoundCube il faut déplacer les fichiers :

1 2	mv ./config/db.inc.php.dist ./config/db.inc.php mv ./config/main.inc.php.dist ./config/main.inc.php

Et modifier les paramètres :

Fichier : config/db.inc.php
$rcmail_config['db_dsnw'] = 'mysqli://roundcube:roundcube@localhost/roundcube';
 
Fichier : config/main.inc.php
$rcmail_config['default_host'] = 'localhost';

Problèmes rencontrés

La commande authtest échoue

Cela signifie généralement que le serveur IMAP n’arrive pas à accéder à la base de données. Vérifier tous les paramètres du fichier /etc/courier/authmysqlrc et que le nom et la valeur des propriétés soient bien séparés par des tabulations et pas des espaces.

Pour activer les logs au niveau de Courier il faut modifier le fichier /etc/courier/authdaemonrc et positionner le paramètre DEBUG_LOGIN à 1.

J’obtiens l’erreur suivante : imapd: authentication error: Input/output error

J’avais rencontré ce problème car IMAP n’arrivai pas à se connecter à la base de données (mauvais mot de passe). Il faut vérifier le fichier /etc/courier/authmysqlrc.

RoundCube n’authentifie pas les utilisateurs

J’ai rencontré ce problème dans le cas où Apache n’a pas accès pour créer les répertoire par défaut d’un utilisateur (Inbox, Sent, Trash, Spam, Drafts), vérifier bien que le dossier existe et que le propriétaire est bien virtual. Sinon créer les répertoires grâce à la commande : maildirmake en vérifiant les droits : 755.

Conclusion

Voilà votre serveur de mails multi-domaines est prêt. Vous pouvez ajouter d’autres services : antispam (SpamAssassin), antivirus (ClamAV), gestion de quotas, …Mais je n’aborderai pas ces points là dans ce tutoriel.

Pour suivre votre lecture

Chiffre de César

mkhelif — Thu, 17 Jan 2008 15:05:44 +0000

Le chiffre de César consiste simplement à décaler les lettres de l’alphabet de quelques crans vers la droite ou la gauche.Le chiffre de César (on parle aussi d’alphabet décalé) est un cas particulier d’alphabet désordonné.

Par exemple si nous décidons que le décalage est de 5 vers la droite, nous aurons pourrons chiffrer un message avec un nouvel alphabet :

Alphabet	a	b	c	d	e	f	g	h	i	j	k	l	m	n	o	p	q	r	s	t	u	v	w	x	y	z
Chiffré	f	g	h	i	j	k	l	m	n	o	p	q	r	s	t	u	v	w	x	y	z	a	b	c	d	e

On peut donc chiffrer un texte :

  Le mot  : chiffre de cesar
  Devient : hmnkkwj ij hjxfw

Le problème de cette méthode vient du fait que lorsque l’on chiffre un texte assez important, il est assez facile de revenir au texte clair sans avoir le chiffre de César.
En effet toutes les lettres de l’alphabet ont une fréquence d’apparition. On peut donc analyser le texte est retrouver les lettres d’origines.

Image Wikipedia de la répartition des lettres en français.

Pour suivre votre lecture

Chiffre de Vigénère

mkhelif — Thu, 17 Jan 2008 15:04:51 +0000

Le chiffre de Vigenère est une amélioration décisive du chiffre de César. Sa force réside dans l’utilisation non pas d’un, mais de 26 alphabets décalés pour chiffrer un message.

On peut résumer ces décalages avec un carré de Vigenère. Ce chiffre utilise une clef qui définit le décalage pour chaque lettre du message (A: décalage de 0, B: 1, C: 2, …, Z: 25).

Voici un exemple simple :

Texte en clair     : chiffre de vigenere
Clé de chiffrement : secret

On construit alors la table suivante :

Clair	c	h	i	f	f	r	e	d	e	v	i	g	e	n	e	r	e
Clé	s	e	c	r	e	t	s	e	c	r	e	t	s	e	c	r	e
Décalage	17	4	2	17	4	19	17	17	4	2	17	4	19	17	17	4	2
Chiffré	u	l	k	w	j	k	w	h	g	m	m	z	w	r	g	i	i

L’intérêt de cette méthode par rapport au chiffre de César est que chaque lettre peut être chiffré de façons différentes. Si on calcule les fréquences des lettres d’une fable de la Fontaine on obtient des résultats marquants :

Texte clair :

Texte chiffré :

Source des images : Ars Cryptographica

Pour suivre votre lecture

Chiffre de Beaufort

mkhelif — Wed, 16 Jan 2008 15:07:51 +0000

Le chiffre de Beaufort est une variante du chiffre de Vigenère. Il utilise le carré de Vigenère d’une autre manière. Au lieu d’additionner la clef au message clair, Beaufort soustrait le message clair de la clef.