Serveur dédié : installer la dernière version d’OpenSSL sous Debian

Aujourd’hui, on s’intéresse à la mise à jour d’OpenSSL sur un serveur Debian, en utilisant les dépôts sid.

Cela va nous permettre d’installer la dernière mise à jour d’OpenSSL, responsable du chiffrement des connexions de plusieurs services (serveur de fichier, serveur mail, serveur DNS…), pour plus de sécurité sur le serveur.

Ce tutoriel ne prend que quelques minutes et quatre étapes mais il faut bien le suivre jusqu’au bout.

Vérification de la version d’OpenSSL

On commence par vérifier la version d’OpenSSL installée sur notre Debian, pourtant à jour :

openssl version

résultat :

OpenSSL 1.0.1e 11 Feb 2013Code language: CSS (css)

Ouch! Ah oui, ça date un peu! Vérifions les versions disponibles :

apt-cache policy openssl

résultat :

openssl:
  Installed: 1.0.1e-2+deb7u14
  Candidate: 1.0.1e-2+deb7u14
  Version table:
 *** 1.0.1e-2+deb7u14 0
        500 http://security.debian.org/ wheezy/updates/main amd64 Packages
        100 /var/lib/dpkg/status
     1.0.1e-2+deb7u13 0
        500 http://mirror.ovh.net/debian/ wheezy/main amd64 PackagesCode language: JavaScript (javascript)

Nous avons la dernière version stable qui correspond aux dernières mises à jour de notre distribution mais c’est loin d’être la dernière version disponible.

Mise à jour de nos dépôts avec la version sid (unstable)

Nous allons tous simplement installer la dernière version d’OpenSSL qui se trouve dans les dépôts sid, réputés instables car non-testés de manière exhaustive.

On édite la liste de nos dépôts :

nano  /etc/apt/sources.listCode language: PHP (php)

et on y ajoute les dépôts sid :

deb http://ftp.debian.org/debian sid main
deb-src http://ftp.debian.org/debian sid mainCode language: JavaScript (javascript)

On met à jour nos dépôts:

apt-get updateCode language: JavaScript (javascript)

On vérifie les versions d’OpenSSL disponibles :

apt-cache policy openssl

Résultat :

openssl:
  Installed: 1.0.1e-2+deb7u14
  Candidate: 1.0.1k-1
  Version table:
     1.0.1k-1 0
        500 http://ftp.debian.org/debian/ sid/main amd64 Packages
 *** 1.0.1e-2+deb7u14 0
        500 http://security.debian.org/ wheezy/updates/main amd64 Packages
        100 /var/lib/dpkg/status
     1.0.1e-2+deb7u13 0
        500 http://mirror.ovh.net/debian/ wheezy/main amd64 PackagesCode language: JavaScript (javascript)

Pas mal : nous pouvons passer de la version 1.0.1e à la version 1.0.1k et donc bénéficier de tous les mises à jour récentes d’OpenSSL.

Vérifions maintenant ce qui change au niveau des dépendances de cette nouvelle version :

apt-cache show openssl

Résultat :

Package: openssl
Version: 1.0.1k-1
Installed-Size: 1101
Maintainer: Debian OpenSSL Team <pkg-openssl-devel@lists.alioth.debian.org>
Architecture: amd64
Depends: libc6 (>= 2.15), libssl1.0.0 (>= 1.0.1)
Suggests: ca-certificates
Description-en: Secure Sockets Layer toolkit - cryptographic utility
 This package is part of the OpenSSL project's implementation of the SSL
 and TLS cryptographic protocols for secure communication over the
 Internet.
 .
 It contains the general-purpose command line binary /usr/bin/openssl,
 useful for cryptographic operations such as:
  * creating RSA, DH, and DSA key parameters;
  * creating X.509 certificates, CSRs, and CRLs;
  * calculating message digests;
  * encrypting and decrypting with ciphers;
  * testing SSL/TLS clients and servers;
  * handling S/MIME signed or encrypted mail.
Description-md5: 9b6de2bb6e1d9016aeb0f00bcf6617bd
Tag: implemented-in::c, interface::commandline, protocol::ssl, role::program,
 scope::utility, security::cryptography, security::integrity,
 use::checking
Filename: pool/main/o/openssl/openssl_1.0.1k-1_amd64.deb
Size: 676816

Package: openssl
Version: 1.0.1e-2+deb7u14
Installed-Size: 1082
Maintainer: Debian OpenSSL Team <pkg-openssl-devel@lists.alioth.debian.org>
Architecture: amd64
Depends: libc6 (>= 2.7), libssl1.0.0 (>= 1.0.1e-2+deb7u5), zlib1g (>= 1:1.1.4)
Suggests: ca-certificates
Description-en: Secure Socket Layer (SSL) binary and related cryptographic tools
 This package contains the openssl binary and related tools.
 .
 It is part of the OpenSSL implementation of SSL.
 .
 You need it to perform certain cryptographic actions like:
  -  Creation of RSA, DH and DSA key parameters;
  -  Creation of X.509 certificates, CSRs and CRLs;
  -  Calculation of message digests;
  -  Encryption and decryption with ciphers;
  -  SSL/TLS client and server tests;
  -  Handling of S/MIME signed or encrypted mail.
Filename: pool/updates/main/o/openssl/openssl_1.0.1e-2+deb7u14_amd64.deb
Size: 700838</pkg-openssl-devel@lists.alioth.debian.org></pkg-openssl-devel@lists.alioth.debian.org>Code language: HTML, XML (xml)

Apparemment, tout devrait bien se passer.

Mise à jour d’OpenSSL

On lance la mise à jour d’OpenSSL, ainsi que sa librairie :

apt-get install openssl libssl1.0.0 libssl-devCode language: CSS (css)

Résultat :

Setting up libc6-i386 (2.19-15) ...
Setting up libc-dev-bin (2.19-15) ...
Setting up libc6-dev:amd64 (2.19-15) ...
Setting up openssl (1.0.1k-1) ...
Setting up libssl1.0.0:amd64 (1.0.1k-1) ...
Checking for services that may need to be restarted...done.
Checking for services that may need to be restarted...done.
Checking init scripts...

Restarting services possibly affected by the upgrade:
[ ok ] Stopping Postfix Mail Transport Agent: postfix.
[ ok ] Starting Postfix Mail Transport Agent: postfix.
[ ok ] Restarting OpenBSD Secure Shell server: sshd.
[ ok ] Stopping domain name service: lwresd.
[ ok ] Starting domain name service: lwresd.
Stopping Courier POP3-SSL server: pop3d-ssl.
Starting Courier POP3-SSL server: pop3d-ssl.
[ ok ] Stopping Courier IMAP-SSL server: imapd-ssl.
[ ok ] Starting Courier IMAP-SSL server: imapd-ssl.
[....] Stopping domain name service...: bind9waiting for pid 2668 to die
. ok 
[ ok ] Starting domain name service...: bind9.
[ ok ] Restarting web server: apache2 ... waiting .

Services restarted successfully.
Setting up libssl-dev:amd64 (1.0.1k-1) ...Code language: CSS (css)

L’installation redémarre tous les services qui dépendent d’OpenSSL : Apache, BIND9, le serveur de mail… Tout cela ne prend que quelques secondes.

Vérifions maintenant notre version d’OpenSSL :

openssl version

Résultat :

OpenSSL 1.0.1k 8 Jan 2015Code language: CSS (css)

Parfait !

Nettoyage et suppression des dépôts sid

Il ne nous reste plus qu’à retirer les dépôts sid que nous avions éjouté à notre liste de dépôts dans l’étape 1.

Si on oublie, on prend le risque de transformer toute notre installation en version sid, avec les bugs inhérents qui vont de pair.

On édite la liste de nos dépôts :

nano  /etc/apt/sources.listCode language: PHP (php)

et on y retire les dépôts sid :

# deb http://ftp.debian.org/debian sid main
# deb-src http://ftp.debian.org/debian sid mainCode language: PHP (php)

Dernier petit nettoyage : lors de l’installation d’OpenSSL, le paquet locales a été retiré. OpenSSL étant maintenant à jour, j’ai remis le paquet avec un simple :

apt-get install localesCode language: JavaScript (javascript)

Et voilà, vous venez de mettre OpenSSL à jour en quelques minutes sur votre serveur Debian.

Report a typo