décembre « 2010

Connexion SSL/HTTPS pour un hôte virtuel Apache

Serveur — décembre 2010 apache, https, ssl —

Mise en place d’une sécurisation SSL obligatoire pour la connexion à un hôte virtuel existant.

Exemple de configuration existante :

cat /etc/apache2/sites-available/example.com

<VirtualHost 123.123.123.123:80>
  ServerName example.com
  DocumentRoot /home/www/example.com/web/web

  ## Logs
  CustomLog /home/www/example.com/log/apache/access.log combined env=!no_log
  ErrorLog /home/www/example.com/log/apache/error.log
  ## / Logs

</VirtualHost>

Activation du module SSL de Apache si nécessaire :

a2enmod ssl

Modifications à apporter sur la configuration SSL du domaine à partir de la configuration existante :

cp /etc/apache2/sites-available/example.com /etc/apache2/sites-available/example.com-ssl
vi /etc/apache2/sites-available/example.com-ssl

<IfModule mod_ssl.c>
<VirtualHost 123.123.123.123:443>
  ServerName example.com
  DocumentRoot /home/www/example.com/web/web

  ## Logs
  CustomLog /home/www/example.com/log/apache/access.log combined env=!no_log
  ErrorLog /home/www/example.com/log/apache/error.log
  ## / Logs

  ## SSL
  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
  SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
  ## / SSL

</VirtualHost>
</IfModule>

Modifications à apporter sur la configuration de base afin de forcer le renvoi de HTTP vers HTTPS :

vi /etc/apache2/sites-available/example.com

<VirtualHost 123.123.123.123:80>
  ServerName example.com
  DocumentRoot /home/www/common/error

  Redirect permanent / https://example.com

</VirtualHost>

Activation de la configuration SSL et contrôle de l’opération :

a2ensite example.com-ssl
apache2ctl graceful
netstat -tap | grep https

doit afficher :

tcp6  0  0 [::]:https  [::]:*  LISTEN  1386/apache2

et la connexion vers http://example.com doit être aussitôt renvoyée vers https://example.com.

Zimbra – zmlogswatchctl is not running

En vrac — décembre 2010 zimbra —

Zimbra ne parvient pas à lancer son module zmlogswatchctl venant remplacer logwatch.

cd /opt/zimbra/
./bin/zmcontrol status

Host example.com
  antispam     Running
  antivirus     Running
  ldap     Running
  logger     Stopped
      zmlogswatchctl is not running
  mailbox     Running
  mta     Running
  snmp     Running
  spell     Running
  stats     Running

Prendre connaissance des informations concernant ce défaut :

cat log/zmlogswatch.out

Si le message suivant est affiché :

Error opening /var/log/zimbra-stats.log: No such file or directory at /opt/zimbra/data/tmp/.swatch_script.24725 line 92

… tenter ceci :

touch /var/log/zimbra-stats.log
./bin/zmcontrol restart

Si le défaut persiste, une piste serait liée à l’absence de syslog qu’il faut simuler en utilisant rsyslog :

ln -s /etc/rsyslog.conf /etc/syslog.conf
./bin/zmcontrol restart

Zimbra – Erreur compte e-mail externe

En vrac — décembre 2010 zimbra —

Lors du paramétrage d’un compte e-mail localisé sur un serveur distant, Zimbra peut afficher cette erreur :

Test Settings

Account Status
utilisateur_distant@example.com Failed
Error:	d2:CN13:mail.example.net1:O19:Dovecot mail server2:OU13:mail.example.net6:accept4:true5:alias31:mail.example.com:A1B2C3D4E5F6G7H8I:fromi123456789012345:host14:mail.example.com3:icn13:mail.example.net2:io19:Dovecot mail server3:iou13:mail.example.net3:md532:A1B2C3D4E5F6G7H8I9J0A1B2C3D4E5F6G:mismatch5:false1:s16:AD1146E274E129054:sha140:A1B2C3D4E5F6G7H8I9J0A1B2C3D4E5F6G7H8I9J0A:toi1234567890000ee
Note:	If you continue to save, account will be marked inactive.
Press Cancel to return to editing accounts.

Elle est due à la présence d’un certificat non reconnu sur le serveur de messagerie Dovecot distant, la connexion avec TLS étant alors refusée.

Accepter les certificats non reconnus dans la configuration de Zimbra :

vi /opt/zimbra/conf/localconfig.xml

<key name="ssl_allow_untrusted_certs">
  <value>true</value>
</key>

Ajout d’une adresse IP / interface réseau

En vrac — décembre 2010 ip —

Pour un système Debian. Permet de répartir les services sur plusieurs adresses IP supplémentaires sur un même serveur.

Modifier le fichier listant les interfaces réseaux de la machine.

vi /etc/network/interfaces

Version originale

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
  address 123.123.123.123
  netmask 255.255.255.0
  network 123.123.123.0
  broadcast 123.123.123.255
  gateway 123.123.123.254

Version modifiée

Ajout du second bloc.

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
  address 123.123.123.123
  netmask 255.255.255.0
  network 123.123.123.0
  broadcast 123.123.123.255
  gateway 123.123.123.254

auto eth0:0
iface eth0:0 inet static
  address 456.456.456.456
  netmask 255.255.255.255
  broadcast 456.456.456.252

Relancer les connexions réseaux :

/etc/init.d/networking restart

Eventuellement, penser à ajouter un hôte virtuel Apache pour les requêtes directes sur l’adresse IP afin que le premier site hébergé ne soit pas servi par défaut.

Axiso