Cette semaine, le système d’exploitation du serveur principal passe de Debian 8 Jessie à Debian 9 Stretch.
Mise à jour des paquets du système
La mise à jour s’est faite plutôt simplement pour la majeure partie des paquets :
apt update && apt upgrademais il a fallu s’y reprendre à plusieurs fois pour les paquets restants :
apt install Changements dans la configuration
Quelques changements notables sont à noter.
Configuration apt
On vérifie que tous nos dépôts pointent bien vers la version Stretch:
nano /etc/apt/sources.listOn sauvegarde et on lance les mises à jour:
apt update && apt upgradeConfiguration SSH
La configuration SSH a été modifiée et certaines directives ne sont plus valables. Avant de redémarrer le serveur SSH ou de rebooter et de perdre tout accès au serveur SSH, assurez-vous que la configuration est correcte :
sshd -tRésultats :
/etc/ssh/sshd_config line 25: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 26: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 44: Deprecated option RhostsRSAAuthenticationIl ne vous reste plus qu’à éditer le fichier de configuration SSH:
nano /etc/ssh/sshd_configJ’ai désactivé les lignes qui posaient problème et ai rajouté de nouveaux protocoles de clé :
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_keySauvegardez le fichier puis lancez cette commande pour créer les couples de clés privées/publiques dans /etc/ssl:
ssh-keygen -ARésultat:
ssh-keygen: generating new host keys: ECDSA ED25519Vérifiez une dernière fois qu’il n’y a aucun problème avec le fichier de configuration SSH:
sshd -tet redémarrez le service SSH:
service ssh restartConfiguration de Courier
C’est le bon moment de revoir la configuration IMAP et POP de Courier.
On commence par renouveler notre fichier Diffie-Hellman en 4096 bits:
cd /etc/courier
openssl dhparam -out dhparams4096.pem 4096et on revoit la configuration de /etc/courier/imap-ssl :
SSLPORT=993
SSLADDRESS=0
SSLPIDFILE=/run/courier/imapd-ssl.pid
SSLLOGGEROPTS="-name=imapd-ssl"
IMAPDSSLSTART=YES
IMAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
COURIERTLS=/usr/bin/couriertls
TLS_PROTOCOL=TLS1_2:TLS1_1:TLS1
TLS_STARTTLS_PROTOCOL=TLS1_2:TLS1_1:TLS1
TLS_CIPHER_LIST="ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS"
TLS_KX_LIST=ALL
TLS_COMPRESSION=ALL
TLS_CERTS=X509
TLS_DHCERTFILE=/etc/courier/dhparams4096.pem
TLS_CERTFILE=/etc/courier/skyminds-cert.pem
TLS_TRUSTCERTS=/etc/ssl/certs
TLS_VERIFYPEER=NONE
TLS_CACHEFILE=/var/lib/courier/couriersslcache
TLS_CACHESIZE=524288
MAILDIRPATH=MaildirLe chemin de SSLPIDFILE a changé donc pensez à le vérifier.
Certificat TLS pour Courier
Depuis que j’utilise les certificats TLS de Let’s Encrypt, il y a une petite modification a exécuter pour que le certificat s’applique aussi à notre serveur de mail : créer automatiquement un certificat pour Courier dès que notre certificat principal est généré.
On crée un script bash pour compiler notre clé privée et notre certificat Let’s Encrypt :
nano /home/scripts/letsencrypt-skyminds-mailserver.shavec :
#!/bin/bash
cat /etc/letsencrypt/live/skyminds.net/privkey.pem /etc/letsencrypt/live/skyminds.net/fullchain.pem > /etc/courier/skyminds-cert.pemet on édite notre fichier Let’s Encrypt pour le renouvellement :
nano /etc/letsencrypt/renewal/skyminds.net.confet on ajoute la directive renew_hook avec notre nouveau script:
[renewalparams]
account = ...
renew_hook = /home/scripts/letsencrypt-skyminds-mailserver.shIl ne reste plus qu’à éditer la configuration IMAP:
nano /etc/courier/imapd-sslet y mettre :
TLS_CERTFILE=/etc/courier/skyminds-cert.pempuis redémarrez le service:
service courier-imap-ssl restartVoilà, ce sont les principales modifications a effectuer lors de la mise à jour vers Debian 9.
Vous souhaitez réaliser un nouveau projet WordPress ou WooCommerce, ajouter de nouvelles fonctionnalités, ou améliorer les performances de votre site? Faîtes appel à mon expertise.
