t'inquiete pas je me suis fais pas mal de doc pour pas passer a coté de quelque chose de bien ou interessant je prefere demander l'avis d'autres personnes
tu connais pas un autre prog que modsecurity pour securiser apache2 ?
j'ai pensé a faire un chroot et a bien configurer httpd.conf mais je veux aller plus loin.
pareil pour la remonté de log je n'ai pas trouvé grand chose alors je demande ici.
j'aurai un seul apache par machine mais plusieurs sites dessus
et oui il faut que je protege d'injection en tout genre ,DOS, etc...
le soucis c'est que les sites sont codé un peu avec les pieds :s
Posté par zorooo .
En réponse au message ldap + tls.
Évalué à 1.
jai l'impression je ca marche :)
par contre mes authentification ssh par ldap ne fonctionne plus
tail -f /var/log/secure
nss_ldap: could not search LDAP server - Server is unavailable
et comme je te disai :p
/usr/bin/slapd -4 lance bien mon serveur
mais service ldap start ne le lance pas error :(
May 30 01:13:29 srvtest3 slapd[32529]: nss_ldap: could not search LDAP server - Server is unavailable
May 30 01:13:29 srvtest3 slapd[32529]: nss_ldap: could not search LDAP server - Server is unavailable
May 30 01:13:29 srvtest3 slapd[32529]: /etc/openldap/slapd.conf: line 39: rootdn is always granted unlimited privileges.
May 30 01:13:29 srvtest3 slapd[32529]: /etc/openldap/slapd.conf: line 44: rootdn is always granted unlimited privileges.
May 30 01:13:29 srvtest3 slapd[32529]: main: TLS init def ctx failed: -1
May 30 01:13:29 srvtest3 slapd[32529]: slapd stopped
Posté par zorooo .
En réponse au message ldap + tls.
Évalué à 1.
dans la doc ldap sur le site officiel ils parlent pas de 177
extrait :
Note that if the TLS-related directives in slapd.conf are properly configured, TLS will be available over port 389 even without specifying '-h ldaps://' on the slapd command line. In fact, this is the way to make TLS available without making ldaps available.
[^] # Re: Sans mod_proxy?
Posté par zorooo . En réponse au message mod_proxy avec ssl. Évalué à 1.
proxy https vers site en http
tu as fais comment ?
[^] # Re: Sans mod_proxy?
Posté par zorooo . En réponse au message mod_proxy avec ssl. Évalué à 1.
proxy https vers site en http
tu as fais comment ?
# mhh
Posté par zorooo . En réponse au message Sécuriser apache2. Évalué à 1.
tu connais pas un autre prog que modsecurity pour securiser apache2 ?
j'ai pensé a faire un chroot et a bien configurer httpd.conf mais je veux aller plus loin.
pareil pour la remonté de log je n'ai pas trouvé grand chose alors je demande ici.
j'aurai un seul apache par machine mais plusieurs sites dessus
et oui il faut que je protege d'injection en tout genre ,DOS, etc...
le soucis c'est que les sites sont codé un peu avec les pieds :s
# compilation modsecurity & apache2
Posté par zorooo . En réponse au message compilation modsecurity 2.5.6 & apache2. Évalué à 1.
rejouter /opt/httpd/modules
[^] # Re: /etc/securetty
Posté par zorooo . En réponse au message probleme de connection en local tty. Évalué à 1.
[^] # Re: /etc/securetty
Posté par zorooo . En réponse au message probleme de connection en local tty. Évalué à 1.
[^] # Re: /etc/securetty
Posté par zorooo . En réponse au message probleme de connection en local tty. Évalué à 1.
[^] # Re: /etc/securetty
Posté par zorooo . En réponse au message probleme de connection en local tty. Évalué à 1.
[^] # Re: /etc/securetty
Posté par zorooo . En réponse au message probleme de connection en local tty. Évalué à 1.
voila mon /etc/securetty
console
vc/1
vc/2
vc/3
vc/4
vc/5
vc/6
vc/7
vc/8
vc/9
vc/10
vc/11
tty1
tty2
tty3
tty4
tty5
tty6
tty7
tty8
tty9
tty10
tty11
il faut que je rajoute quelques choses ?
j'ai regardé un serveur non mit a jour et il a exactement la meme liste
[^] # Re: cn=chezmoicamarche,dc=org
Posté par zorooo . En réponse au message ldap + tls. Évalué à 1.
[^] # Re: cn=chezmoicamarche,dc=org
Posté par zorooo . En réponse au message ldap + tls. Évalué à 1.
mon nsswitch.conf
passwd: files [SUCCESS=return] ldap
shadow: files [SUCCESS=return] ldap
group: files [SUCCESS=return] ldap
le seul truc dont il a besoin c'est sont user ldap et il est dans "files" et si il trouve son bonheur dans files il va pas voir dans ldap
[^] # Re: cn=chezmoicamarche,dc=org
Posté par zorooo . En réponse au message ldap + tls. Évalué à 1.
nss_ldap: could not search LDAP server - Server is unavailable
ca vient de mon /etc/ldap.conf ou /etc/openldap/ldap.conf ?
[^] # Re: cn=chezmoicamarche,dc=org
Posté par zorooo . En réponse au message ldap + tls. Évalué à 1.
nss_ldap: could not search LDAP server - Server is unavailable
ca vient de mon /etc/ldap.conf ou /etc/openldap/ldap.conf ?
[^] # Re: cn=chezmoicamarche,dc=org
Posté par zorooo . En réponse au message ldap + tls. Évalué à 1.
par contre mes authentification ssh par ldap ne fonctionne plus
tail -f /var/log/secure
nss_ldap: could not search LDAP server - Server is unavailable
et comme je te disai :p
/usr/bin/slapd -4 lance bien mon serveur
mais service ldap start ne le lance pas error :(
May 30 01:13:29 srvtest3 slapd[32529]: nss_ldap: could not search LDAP server - Server is unavailable
May 30 01:13:29 srvtest3 slapd[32529]: nss_ldap: could not search LDAP server - Server is unavailable
May 30 01:13:29 srvtest3 slapd[32529]: /etc/openldap/slapd.conf: line 39: rootdn is always granted unlimited privileges.
May 30 01:13:29 srvtest3 slapd[32529]: /etc/openldap/slapd.conf: line 44: rootdn is always granted unlimited privileges.
May 30 01:13:29 srvtest3 slapd[32529]: main: TLS init def ctx failed: -1
May 30 01:13:29 srvtest3 slapd[32529]: slapd stopped
[^] # Re: cn=chezmoicamarche,dc=org
Posté par zorooo . En réponse au message ldap + tls. Évalué à 1.
il parle d'un fichier mais il donne pas d'exemple
server-cert-sign.cnf
[^] # Re: cn=chezmoicamarche,dc=org
Posté par zorooo . En réponse au message ldap + tls. Évalué à 1.
il faut ces trois lignes dans le /etc/openldap/ldap.conf ?
tu as suivi quel tuto pour faire tes certificats ?
[^] # Re: cn=chezmoicamarche,dc=org
Posté par zorooo . En réponse au message ldap + tls. Évalué à 1.
http://www.labo-linux.org/articles-fr/gestion-centralisee-de(...)
[^] # Re: cn=chezmoicamarche,dc=org
Posté par zorooo . En réponse au message ldap + tls. Évalué à 1.
ldap_initialize( ldap://srvtest3.test.org )
ldap_start_tls: Connect error (-11)
additional info: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure
mon /etc/openldap/ldap.conf
#host 127.0.0.1
base dc=mh,dc=org
uri ldap//srvtest3.test.org/
ldap_version 3
TLS_REQCERT allow
#TLS_CACERT /etc/openldap/cacerts/ldap.crt
#TLS_CERT /etc/openldap/cacerts/ldap.crt
#TLS_KEY /etc/openldap/cacerts/ldap.key
[^] # Re: cn=chezmoicamarche,dc=org
Posté par zorooo . En réponse au message ldap + tls. Évalué à 1.
ldap_start_tls: Connect error (-11)
additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
[^] # Re: cn=chezmoicamarche,dc=org
Posté par zorooo . En réponse au message ldap + tls. Évalué à 1.
ldap_start_tls: Connect error (-11)
additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
[^] # Re: cn=chezmoicamarche,dc=org
Posté par zorooo . En réponse au message ldap + tls. Évalué à 1.
extrait :
Note that if the TLS-related directives in slapd.conf are properly configured, TLS will be available over port 389 even without specifying '-h ldaps://' on the slapd command line. In fact, this is the way to make TLS available without making ldaps available.
[^] # Re: cn=chezmoicamarche,dc=org
Posté par zorooo . En réponse au message ldap + tls. Évalué à 1.
tu as quoi dans ton fichier serveur ldap /etc/openldap/ldap.conf ?
moi :
host 127.0.0.1
base dc=mh,dc=org
uri ldap//127.0.0.1/
ldap_version 3
dans mon fichier client : /etc/ldap.conf
# IP du serveur ldap
host 127.0.0.1
#uri ldaps://srvtest3.test.org/
faut remettre l'uri ou pas ? ldap://192.168.2.217:177 ?
dans slapd.conf
#TLSCipherSuite HIGH:MEDIUM:+SSLv2
#TLSCertificateFile /etc/openldap/cacerts/ldap.crt
#TLSCertificateKeyFile /etc/openldap/cacerts/ldap.key
#TLSCACertificateFile /etc/openldap/cacerts/ldap.crt
# Use the following if client authentication is required
# TLSVerifyClient demand
# ... or not desired at all
# TLSVerifyClient never
reste a savoir ce qui est util ou pas
[^] # Re: cn=chezmoicamarche,dc=org
Posté par zorooo . En réponse au message ldap + tls. Évalué à 1.
tu as quoi dans ton fichier serveur ldap /etc/openldap/ldap.conf ?
moi :
host 127.0.0.1
base dc=mh,dc=org
uri ldap//127.0.0.1/
ldap_version 3
dans mon fichier client : /etc/ldap.conf
# IP du serveur ldap
host 127.0.0.1
#uri ldaps://srvtest3.test.org/
faut remettre l'uri ou pas ? ldap://192.168.2.217:177 ?
dans slapd.conf
#TLSCipherSuite HIGH:MEDIUM:+SSLv2
#TLSCertificateFile /etc/openldap/cacerts/ldap.crt
#TLSCertificateKeyFile /etc/openldap/cacerts/ldap.key
#TLSCACertificateFile /etc/openldap/cacerts/ldap.crt
# Use the following if client authentication is required
# TLSVerifyClient demand
# ... or not desired at all
# TLSVerifyClient never
reste a savoir ce qui est util ou pas
[^] # Re: LDAP puis TLS puis NSS
Posté par zorooo . En réponse au message ldap + tls. Évalué à 1.
ldapsearch -x -H ldaps://127.0.0.1 -D "cn=god,dc=mh,dc=org" -w mypassword -b "dc=mh,dc=org"
tout le contenu de mon annuaire s'affiche
ssl fonctionne mais pas tls visiblement non ?
de bidouiller ldap pour ssl & tls ca ma ouvert deux ports en plus par rapport a ldap simple
22/tcp open ssh
80/tcp open http
389/tcp open ldap
443/tcp open https
636/tcp open ldapssl
[^] # Re: LDAP puis TLS puis NSS
Posté par zorooo . En réponse au message ldap + tls. Évalué à 1.