SSL/TLS hardening for apache 2.4

Je suis tombé au détour du web sur un super outil de test de votre serveur httpS qui vous dit tous les protocoles et "cipher suites" que votre serveur autorise, ainsi que les cipher suites utilisée par chaque navigateur. Vous pouvez tester votre site httpS ici : https://www.ssllabs.com/ssltest/

Evidemment, en ce qui me concerne, avec la configuration par défaut, le résultat n'a pas été très glorieux : ssl_before

Donc, la question, c'est quelle est "la bonne" configuration à appliquer à son serveur apache pour faire du SSL qui soit un minimum mieux sécurisé que la configuration par défaut.

more ...


dedibox IPv6 reloaded

Cet article fait suite à l'article précédent sur la configuration IPv6 d'une dédibox suite à la disponibilité de nouvelles options

Comme vous l'avez peut-etre vu, depuis jeudi, deux nouvelles fonctionnalités IPv6 sont disponibles sur les serveurs dédiés dedibox chez online.

Une nouvelle plage d'adresses IPv6 2001:xxxx:xxxx été mise en production chez online (précedemment 2a01:xxx:xxx). Ainsi, les nouveaux clients IPv6 auront des adresses dans cette plage.

Vous pouvez désormais découper votre bloc d'adresses IPv6 pour le répartir sur plusieurs serveurs et vous pouvez mettre en place une résolution de nom inverse (reverse DNS) sur vos IPv6. Ces nouvelles fonctionnalités ne sont toutefois disponible que sur la nouvelle plage d'adresses IPv6. Si vous avez un bloc d'adresses dans l'ancienne plage, vous devrez migrer vos adresses dans la nouvelle plage pour en bénéficier.

more ...

Timeout infini de grub après un boot avorté

Si vous avez un serveur sans console hébergé un peu loin, non accessible, et sans KVM, vous pourriez avoir un problème. Si un boot se passe mal (disons pour l'exercice que votre hébergeur, farceur, a eu une coupure de courant pendant un boot), alors grub le détecte et passe dans un mode RECORDFAIL.

Cela peut également survenir sur vous cliquez sur le bouton reboot de votre console de gestion alors que le serveur est déjà en cours de reboot.

Le plus drôle (façon de parler), c'est qu'à cet effet les solution dites de "monitoring proactif" peuvent avoir un effet désastreux suite à une coupure de courant, en provoquant un reboot de votre serveur pendant qu'il est justement en train de booter, et conduisant donc à un boot avorté.

Et il se trouve que par défaut, sous ubuntu, lorsque cela arrive, les boot suivants ont un timeout de grub infini. Cela veut dire que votre machine ne boote pas et que grub attend une interraction sur la console... que vous n'avez pas.

C'est très bien pour une machine de bureau, parce que si un boot s'est mal passé, il est important d'éviter la spirale infernale de reboot en boucle, mais pour un serveur distant sans console, c'est plus embêtant.

Bref, si ça vous arrive, c'est bien la m..., votre machine ne démarre plus.

more ...