Automatisation de la gestion des certificats TLS sur NGINX avec Let’s Encrypt sous Debian GNU/Linux stable

J’en parlais ici, mais je n’avais pas encore pris le temps de parcourir les 10e de documentations existantes pour mettre en application la chose.

Je me suis finalement basé sur “Automatic certificates from Let’s Encrypt with Certbot and nginx” par Aleksander Skraastad, qui est une méthode simple et propre, que je retranscris/traduis partiellement ci-dessous, en apportant quelques petites précisions

Continue reading Automatisation de la gestion des certificats TLS sur NGINX avec Let’s Encrypt sous Debian GNU/Linux stable

Supervision de l’exécution de scripts bash

Petit auto promotion pour annoncer la publication d’une bibliothèque pour superviser l’exécution de script bash (pour l’instant uniquement avec zabbix) en modifiant seulement quelques lignes sur un script existant.

Exemple avec un script qui fait juste des “ls”, mais des “ls” tellement importants qu’il faudrait remonter le resultat de leur execution dans Zabbix :

  • Script initial
echo "Begin..."
ls /nonexistant_dir
echo "middle.."
ls /nonexistant_dir2
echo "End"
  • Script adapté (quelques lignes au début, quelques lignes à la fin, mais AUCUNE MODIFICATION du bloc de script initial)
### Environnement de remontee des erreurs 
# Penser à positionner "-s" ou "-c CPT_ERR" sur error_check_trap
# Voir la définition de la fonction "error_check_trap" dans supervision_for_bash.sh pour une description des parametres
SCRIPTDIR="/usr/share/bash_script_monitoring" ; source ${SCRIPTDIR}/bash_script_monitoring.sh
trap 'error_check_trap -c CPT_ERR -p $_' ERR ; set -o errtrace ; export SCRIPT_PARAMS="$*";CPT_ERR=0
### Fin Environnement de remontee des erreurs

echo "Begin..."
ls /nonexistant_dir
echo "middle.."
ls /nonexistant_dir2
echo "End"

### Environnement de remontee des erreurs
# Execution du script sans erreur -> on informe la supervision
[[ $CPT_ERR -eq 0 ]] && ${execution_status_report_ok}
### Fin Environnement de remontee des erreurs

Quand un “ls” du script déclenche une erreur, le script s’arrête (ou continue si « -s » est remplacé par « -c CPT_ERR ») et zabbix est informé -> l’élément passe à 1
Si aucune erreur n’a bloqué le script, zabbix est informé -> l’élément passe à 0

Il faut évident disposer d’un environnement zabbix fonctionnel.

Plus d’informations ou pour participer au projet : https://framagit.org/lucs/bash_script_monitoring

Let’s Encrypt – Nouvelle autorité de certification gratuite, automatisée et ouverte

Let’s Encrypt” est un service fourni par l’Internet Security Research Group (ISRG – Mozilla, Akamai, Université du Michigan, Ecole de Droit de Standford, Cisco, Electronic Frontier Foundation, CoreOS, OVH…).

Les principes clés de Let’s Encrypt sont :

  • Gratuité : n’importe quel possesseur de nom de domaine peut utiliser Let’s Encrypt pour obtenir un certificat de confiance à un prix nul
  • Automatisation : les logiciels fonctionnant sur un serveur web peuvent interagir avec Let’s Encrypt pour obtenir un certificat sans effort, le configurer de facon sécurisé pour son utilisation, et s’occuper automatiquement de son renouvellement
  • Securité : Let’s Encrypt sert de plateforme pour promouvoir les bonnes pratiques de sécurité de TLS, aussi bien du côté de l’autorité de certification (CA) qu’en aidant les opérateurs de site à sécuriser correctement leurs serveurs
  • Transparence : tout certificat délivré ou révoqué est enregistré publiquement et disponible à la consultation par tous
  • Ouverture : le protocole de délivrance et de révocation automatique est publié comme un standard ouvert
  • Coopération : de la même façon que les protocoles internet, Let’s Encrypt est un effort commun pour un bénéfice communautaire, au delà du contrôle de toute organisation.

Il existe plusieurs clients permettant d’automatiser plus ou moins les tâches d’installation/délivrance.

Linux Pratique n°94 Mars/Avril 2015 comporte 8 pages d’introduction par Christophe Brocas (p.30 “Let’s Encrypt : Le chiffrement gratuit, ouvert et automatisé sur Internet”)

Recommandations de sécurité relatives à un système GNU/Linux, par l’ANSSI

Des règles de configuration incontournables, recommandées par l’Agence Nationale de la Sécurité des Systèmes d’Information, permettent d’obtenir un système raisonnablement sûr, tout en conservant les fonctionnalités requises, par le respect et l’application de certains principes fondamentaux.”

Elles se répartissent en 2 documents :

  • Recommandations de configuration d’un système GNU/Linux (50 pages, dernière version publiée en janvier 2016)
  • Recommandations de sécurité relatives à un système GNU/Linux (7 pages, publiées en juillet 2012)

Ensemble de ressources sur les systèmes, les réseaux, la sécurité informatique