Aujourd’hui, on s’intéresse à la mise à jour d’OpenSSL sur un serveur Debian, en utilisant les dépôts sid.
Cela va nous permettre d’installer la dernière mise à jour d’OpenSSL, responsable du chiffrement des connexions de plusieurs services (serveur de fichier, serveur mail, serveur DNS…), pour plus de sécurité sur le serveur.
Ce tutoriel ne prend que quelques minutes et quatre étapes mais il faut bien le suivre jusqu’au bout.
Vérification de la version d’OpenSSL
On commence par vérifier la version d’OpenSSL installée sur notre Debian, pourtant à jour :
openssl versionrésultat :
OpenSSL 1.0.1e 11 Feb 2013Langage du code : CSS (css)Ouch! Ah oui, ça date un peu! Vérifions les versions disponibles :
apt-cache policy opensslrésultat :
Vous voulez sécuriser votre site avant qu'il soit trop tard ?
Plugins obsolètes, xmlrpc ouvert, uploads non protégés — la plupart des intrusions WordPress exploitent des failles connues et évitables. Un durcissement sérieux prend une demi-journée.
Faites auditer votre sécurité →openssl:
Installed: 1.0.1e-2+deb7u14
Candidate: 1.0.1e-2+deb7u14
Version table:
*** 1.0.1e-2+deb7u14 0
500 http://security.debian.org/ wheezy/updates/main amd64 Packages
100 /var/lib/dpkg/status
1.0.1e-2+deb7u13 0
500 http://mirror.ovh.net/debian/ wheezy/main amd64 PackagesLangage du code : JavaScript (javascript)Nous avons la dernière version stable qui correspond aux dernières mises à jour de notre distribution mais c’est loin d’être la dernière version disponible.
Mise à jour de nos dépôts avec la version sid (unstable)
Nous allons tous simplement installer la dernière version d’OpenSSL qui se trouve dans les dépôts sid, réputés instables car non-testés de manière exhaustive.
On édite la liste de nos dépôts :
nano /etc/apt/sources.listLangage du code : PHP (php)et on y ajoute les dépôts sid :
deb http://ftp.debian.org/debian sid main
deb-src http://ftp.debian.org/debian sid mainLangage du code : JavaScript (javascript)On met à jour nos dépôts:
apt-get updateLangage du code : JavaScript (javascript)On vérifie les versions d’OpenSSL disponibles :
apt-cache policy opensslRésultat :
openssl:
Installed: 1.0.1e-2+deb7u14
Candidate: 1.0.1k-1
Version table:
1.0.1k-1 0
500 http://ftp.debian.org/debian/ sid/main amd64 Packages
*** 1.0.1e-2+deb7u14 0
500 http://security.debian.org/ wheezy/updates/main amd64 Packages
100 /var/lib/dpkg/status
1.0.1e-2+deb7u13 0
500 http://mirror.ovh.net/debian/ wheezy/main amd64 PackagesLangage du code : JavaScript (javascript)Pas mal : nous pouvons passer de la version 1.0.1e à la version 1.0.1k et donc bénéficier de tous les mises à jour récentes d’OpenSSL.
Vérifions maintenant ce qui change au niveau des dépendances de cette nouvelle version :
apt-cache show opensslRésultat :
Package: openssl
Version: 1.0.1k-1
Installed-Size: 1101
Maintainer: Debian OpenSSL Team <pkg-openssl-devel@lists.alioth.debian.org>
Architecture: amd64
Depends: libc6 (>= 2.15), libssl1.0.0 (>= 1.0.1)
Suggests: ca-certificates
Description-en: Secure Sockets Layer toolkit - cryptographic utility
This package is part of the OpenSSL project's implementation of the SSL
and TLS cryptographic protocols for secure communication over the
Internet.
.
It contains the general-purpose command line binary /usr/bin/openssl,
useful for cryptographic operations such as:
* creating RSA, DH, and DSA key parameters;
* creating X.509 certificates, CSRs, and CRLs;
* calculating message digests;
* encrypting and decrypting with ciphers;
* testing SSL/TLS clients and servers;
* handling S/MIME signed or encrypted mail.
Description-md5: 9b6de2bb6e1d9016aeb0f00bcf6617bd
Tag: implemented-in::c, interface::commandline, protocol::ssl, role::program,
scope::utility, security::cryptography, security::integrity,
use::checking
Filename: pool/main/o/openssl/openssl_1.0.1k-1_amd64.deb
Size: 676816
Package: openssl
Version: 1.0.1e-2+deb7u14
Installed-Size: 1082
Maintainer: Debian OpenSSL Team <pkg-openssl-devel@lists.alioth.debian.org>
Architecture: amd64
Depends: libc6 (>= 2.7), libssl1.0.0 (>= 1.0.1e-2+deb7u5), zlib1g (>= 1:1.1.4)
Suggests: ca-certificates
Description-en: Secure Socket Layer (SSL) binary and related cryptographic tools
This package contains the openssl binary and related tools.
.
It is part of the OpenSSL implementation of SSL.
.
You need it to perform certain cryptographic actions like:
- Creation of RSA, DH and DSA key parameters;
- Creation of X.509 certificates, CSRs and CRLs;
- Calculation of message digests;
- Encryption and decryption with ciphers;
- SSL/TLS client and server tests;
- Handling of S/MIME signed or encrypted mail.
Filename: pool/updates/main/o/openssl/openssl_1.0.1e-2+deb7u14_amd64.deb
Size: 700838</pkg-openssl-devel@lists.alioth.debian.org></pkg-openssl-devel@lists.alioth.debian.org>Langage du code : HTML, XML (xml)Apparemment, tout devrait bien se passer.
Mise à jour d’OpenSSL
On lance la mise à jour d’OpenSSL, ainsi que sa librairie :
apt-get install openssl libssl1.0.0 libssl-devLangage du code : CSS (css)Résultat :
Setting up libc6-i386 (2.19-15) ...
Setting up libc-dev-bin (2.19-15) ...
Setting up libc6-dev:amd64 (2.19-15) ...
Setting up openssl (1.0.1k-1) ...
Setting up libssl1.0.0:amd64 (1.0.1k-1) ...
Checking for services that may need to be restarted...done.
Checking for services that may need to be restarted...done.
Checking init scripts...
Restarting services possibly affected by the upgrade:
[ ok ] Stopping Postfix Mail Transport Agent: postfix.
[ ok ] Starting Postfix Mail Transport Agent: postfix.
[ ok ] Restarting OpenBSD Secure Shell server: sshd.
[ ok ] Stopping domain name service: lwresd.
[ ok ] Starting domain name service: lwresd.
Stopping Courier POP3-SSL server: pop3d-ssl.
Starting Courier POP3-SSL server: pop3d-ssl.
[ ok ] Stopping Courier IMAP-SSL server: imapd-ssl.
[ ok ] Starting Courier IMAP-SSL server: imapd-ssl.
[....] Stopping domain name service...: bind9waiting for pid 2668 to die
. ok
[ ok ] Starting domain name service...: bind9.
[ ok ] Restarting web server: apache2 ... waiting .
Services restarted successfully.
Setting up libssl-dev:amd64 (1.0.1k-1) ...Langage du code : CSS (css)L’installation redémarre tous les services qui dépendent d’OpenSSL : Apache, BIND9, le serveur de mail… Tout cela ne prend que quelques secondes.
Vérifions maintenant notre version d’OpenSSL :
openssl versionRésultat :
OpenSSL 1.0.1k 8 Jan 2015Langage du code : CSS (css)Parfait !
Nettoyage et suppression des dépôts sid
Il ne nous reste plus qu’à retirer les dépôts sid que nous avions éjouté à notre liste de dépôts dans l’étape 1.
Si on oublie, on prend le risque de transformer toute notre installation en version sid, avec les bugs inhérents qui vont de pair.
On édite la liste de nos dépôts :
nano /etc/apt/sources.listLangage du code : PHP (php)et on y retire les dépôts sid :
# deb http://ftp.debian.org/debian sid main
# deb-src http://ftp.debian.org/debian sid mainLangage du code : PHP (php)Dernier petit nettoyage : lors de l’installation d’OpenSSL, le paquet locales a été retiré. OpenSSL étant maintenant à jour, j’ai remis le paquet avec un simple :
apt-get install localesLangage du code : JavaScript (javascript)Et voilà, vous venez de mettre OpenSSL à jour en quelques minutes sur votre serveur Debian.
Vous voulez sécuriser votre site avant qu'il soit trop tard ?
Plugins obsolètes, xmlrpc ouvert, uploads non protégés — la plupart des intrusions WordPress exploitent des failles connues et évitables. Un durcissement sérieux prend une demi-journée.
Faites auditer votre sécurité →
Mise à jour : ajout du paquet
libssl-dev.Merci cela m’a été très utile ! ca m’évite de passer de debian 6 à 8 !
Je t’en prie Swyxe!
Ps : je trouve Debian 8 très stable, aucun problème de mise à jour de 7 à 8.
Cette mise à jour installe la libc de sid dans une wheezy, faut aimer le risque…
Bonjour,
A l’époque le serveur tournait sous wheezy, qui était la dernière version stable. Je n’ai constaté aucun problème entre la libc stable et la libc sid.