On en parle beaucoup et partout depuis quelques jours, la faille qui touche OpenSSL, heartbleed (coeur saignant) de son petit nom, touche également les Raspberry Pi. Comment ? OpenSSL est utilisé dans de nombreux protocoles comme HTTPS…
Pour résumer, une personne mal intentionnée pourrait récupérer des mots de passe via cette faille sans que cela ne laisse de trace sur le serveur. Il est conseillé de mettre à jour les paquets SSL, de régénérer les certificats et ensuite de changer les mots de passe. Oui c’est lourd, mais c’est le prix de la sécurité, et puis comme vous changez régulièrement vos mots de passe, ça rapproche juste l’échéance 😉
Connaitre la version d’OpenSSL installée :
openssl version
Ou pour la version des packages nommés *ssl* :
sudo dpkg -l | grep ssl
Mise à jour de la liste des packages et installation :
sudo apt-get update
sudo apt-get upgrade
Génération de nouveaux certificats pour HTTPS, pour nginx :
cd /etc/nginx/certs/
sudo openssl genrsa -des3 -out nginx2.key 2048
sudo openssl req -new -key nginx2.key -out nginx2.csr
sudo cp nginx2.key nginx2.key.copy
sudo openssl rsa -in nginx2.key.copy -out nginx2.key
sudo openssl x509 -req -days 1000 -in nginx2.csr -signkey nginx2.key -out nginx2.crt
Edition de la configuration de nginx :
sudo vi /etc/nginx/sites-enabled/default
Dans la partie server listen 443, modifiez pour prendre en compte les certificats :
ssl_certificate /etc/nginx/certs/nginx2.crt;
ssl_certificate_key /etc/nginx/certs/nginx2.key;
Un simple « reload » aurait suffit pour cette modification, mais pour que nginx prenne en compte les nouveaux paquets OpenSSL et libSSL, on le redémarre complètement :
sudo service nginx restart
Lors de la prochaine connexion sur votre serveur, il faudra de nouveau accepter votre certificat (auto-signé) pour que tout fonctionne correctement et accéder à vos services.
Il ne reste plus qu’à changer les mots de passe des applications ou comptes utilisés.
Stay tuned !