TÉLÉCHARGER OPENBSD GRATUIT


11 oct. Les développeurs en charge du développement d'OpenBSD ont annoncé la disponibilité de la version du système d'exploitation Unix. Six mois jour pour jour après avoir publié une version , l'équipe qui développe le système d'exploitation OpenBSD vient de délivrer la. Télécharger sur GNT des logiciels de Unix, en version complète ou d'évaluation, gratuitement pour Windows, Mac et Linux.

Nom: OPENBSD GRATUIT
Format:Fichier D’archive
Version:Nouvelle
Licence:Usage Personnel Seulement
Système d’exploitation: MacOS. Android. iOS. Windows XP/7/10.
Taille:23.27 MB

TÉLÉCHARGER OPENBSD GRATUIT

Si le fichier n'existe pas il faut bien sûr le créer. Une liste des autres mirroirs est disponible à l'adresse http: Evidemment dans ce cas il faudra le faire à chague ouverture de session avant chaque installation de logiciel. Pour l'ensemble de fichier à éditer vous pouvez utiliser nano le plus simple ou vi si vous connaissez les commandes! Plusieurs packs peuvent être installés en une seule ligne de commande.

Télécharger OpenBSD OpenBSD est une distribution Unix libre, basée sur Unix BSD (Berkeley Software Distribution). Le projet OpenBSD fournit un système d'exploitation de type UNIX, Libre, multi plates-formes et basé sur BSD. La communauté OpenBSD concentre ses. Wiki Français d'OpenBSD pour tous Wiki de la Communauté francophone, OpenBSD est disponible gratuitement depuis nos sites de téléchargement.

N'oubliez pas de vérifier la somme de contrôle. À partir d'un système OpenBSD, cela se passe avec cette commande:. Sinon, sur un autre système, calculez la somme de contrôle "sha" puis comparez avec le contenu du fichier SHA présent à cette adresse: Vous pouvez récupérer un outil graphique nommé etcher pour préparer la clé USB plus sereinement si la commande dd ne vous plaît pas. Les utilisateurs de Windows pourront faire la même chose avec le logiciel rufus.

Et hop, on insère tout ça dans le lecteur ou prise USB du PC, puis on redémarre en choisissant de démarrer sur le bon disque boot en anglais. Repérez les messages qui s'affichent du type F Boot Menu ou F7: Setup indiquant les touches qui permettent de faire apparaître les fenêtres bleues des tableaux de réglage du BIOS.

Si au cours de la configuration de l'installation vous vous trompez, pas de panique. Appuyez sur ctrl-C puis entrez la commande install afin de recommencer la configuration au début en retrouvant vos choix précédents.

Le premier écran nous propose d'ajouter des options pour démarrer OpenBSD. Normalement, on n'en a pas besoin, on appuie donc juste sur "Entrée":. Si votre machine a un port série, vous avez besoin d'un retour console. Vous devrez alors préciser ces options:.

Plein de texte sur fond bleu apparaît, indiquant la détection du matériel et autres choses qui ne doivent pas vous inquiéter. Les valeurs proposées pour l'installation sont largement suffisantes dans la plupart des cas. Les choix par défaut sont indiqués entre crochets: À chaque fois, des exemples sont disponibles avec '?

Ensuite, on configure la connexion à Internet. Vous avez la possibilité de définir une IP statique pour votre serveur ou bien utiliser la configuration DHCP par facilité. Pour avoir une IPv6, choisissez autoconf le moment venu pour en avoir une automatiquement. Vous souhaiterez certainement configurer cette partie manuellement par la suite. Laissez les choix par défaut à moins d'avoir un besoin très particulier:. Ensuite, l'installateur vous demande le mot de passe de l'administrateur système dont le petit nom est root.

Choisissez un mot de passe robuste. Vous pouvez ensuite faire en sorte que SSH soit lancé par défaut au démarrage. C'est conseillé pour un serveur afin de pouvoir l'administrer sans écran à partir d'un autre ordinateur.

On nous demande si un serveur X sera utilisé session graphique: Autant attribuer toutes les ressources aux calculs autres que l'affichage. Vous pouvez ajouter un utilisateur si vous le souhaitez en entrant son login.

Vous n'êtes pas obligés, mais je vous le conseille pour vous connecter à votre serveur via SSH. Ainsi, vous éviterez d'utiliser le compte root. On vous demande ensuite si vous voulez autoriser l'utilisateur "root" à se connecter via SSH.

C'est une très mauvaise idée , puisque cet utilisateur a tous les droits et est la cible privilégiée des pirates. Choisissez "no". C'est parti pour le choix du disque sur lequel installer OpenBSD:. Nous voilà à la partie sans doute la plus complexe: Notez que celui par défaut proposé par l'installateur conviendra dans la majorité des cas.

Je tape donc "W" ou "G" dans la suite pour utiliser le disque entier, puis "A" pour le partitionnement automatique. Ensuite, vous pouvez lire le manuel de disklabel si vous êtes perdus. Il faut en général indiquer une action avec une lettre à réaliser sur la partition où il faudra l'effectuer. Par exemple: Ensuite, taper a f permet de re-créer cette partition, et d'en définir la taille. À tous moments, vous pouvez taper p pour afficher les partitions actuelles, histoire de voir où vous en êtes.

Enfin l'installation des composants du système peut commencer. L'installateur doit savoir où aller les chercher: Petite astuce pour choisir un miroir si ça vous intéresse.

Entrez "?

Télécharger sur GNT : Téléchargement gratuit de logiciels de Unix

Quittez cette liste avec "q", puis entrez seulement le numéro du miroir que vous souhaitez utiliser. Pour ajouter un set, saisissez simplement son nom, par exemple game Pour retirer un set, saisissez son nom précédé du signe moins: Ils ne prennent vraiment pas beaucoup de place, je vous conseille de tout laisser coché.

C'est l'un ou l'autre qui sont utilisé, et non pas l'un en plus de l'autre. OpenBSD est suffisamment intelligent pour choisir le noyau optimisé si le matériel le permet, vous n'avez rien à faire. Si vous installez les sets à partir du CD, un avertissement sur la signature apparaît. Rien d'inquiétant, vous pouvez dans ce cas continuer. Pour les personnes souhaitant chiffrer entièrement leur serveur pour protéger les données en cas de cambriolage par exemple , rendez-vous un peu plus loin dans le manuel.

Une fois votre serveur en route, il faudra veiller à ce que tout fonctionne correctement. Ça paraît bête, mais c'est très important. Heureusement, tout est déjà prévu dans OpenBSD pour nous faciliter la vie. En effet, chaque jour un rapport est généré et envoyé à l'administrateur du serveur, cet utilisateur répondant au charmant nom de "root". Vous pourrez y lire un tas d'informations utiles comme:.

Si vous voulez tester que tout fonctionne comme prévu, saisissez la commande suivante pour vous envoyer un mail test:. Editez ce fichier, et mettez, en première ligne, votre nom de domaine. Ainsi, les mails qui seront envoyés par l'utilisateur root partiront avec l'expéditeur " root chezmoi.

Si vous souhaitez surveiller avec davantage de finesse votre serveur, vous voudrez sans doute lire la partie parlant de monitoring ou celle parlant de sécurité.

Eh oui, on va commencer par cet élément essentiel à la sécurité du serveur. Avouez que ce serait dommage de travailler sur une machine vulnérable dès le départ. Donc avant d'aller plus loin: Rassurez-vous, on va parler de choses simples. Sur OpenBSD, le pare-feu s'appelle pf , comme "packet filter".

Avant toutes choses, il faut se demander ce dont on va avoir besoin sur notre serveur. Un serveur web http? Les mails? Un serveur ftp? Selon les réponses à ces questions, nous n'ouvrirons pas les mêmes ports. En effet, pour assurer un maximum de sécurité, on ne va rien laisser passer sauf ce que qui est réellement utile.

Ainsi, écrire www ou 80 revient au même pour pf , mais est plus lisible pour les humains. Les règles que vous allez définir seront appliquées dans l'ordre de lecture du fichier de configuration.

C'est parti pour un exemple détaillé. Nous allons configurer le parefeu pour un simple site web avec accès sur les ports 80 www et https. On commence par tout bloquer, et enregistrer dans le journal les connexions interdites avec le mot log. Afin de nous simplifier la vie, nous allons mettre les ports à ouvrir dans une variable.

Ça sera particulièrement pratique lorsqu'on aura davantage de ports à ouvrir. Ensuite, on autorise les visiteurs éventuels à accéder à votre serveur.

Ce seront des connexions dites "entrantes", on utilisera donc le mot clé " in ". Au lieu de chercher le nom de votre interface réseau qui dépend de votre matériel , nous allons préciser le nom du groupe que portent ces interfaces afin que ça fonctionne sans inquiétudes: D'accord, nous allons expliquer ce que veut dire cette syntaxe.

On peut la traduire la ligne de configuration précédente ainsi: On précise simplement les protocoles autorisés en sortie avec une précaution pour chaque connexion sortante modulate state. Vous l'aurez compris, pf nous permet un contrôle de premier ordre sur notre serveur. Dans un premier temps, vous souhaiterez simplement choisir quels ports doivent être ouverts. Cela fait de nombreuses nouvelles notions, prenez le temps de relire ce qui a été écrit jusqu'ici si besoin.

Lorsque vous serez plus à l'aise, sachez qu'on pourra filtrer le trafic entrant et sortant, et même rediriger une partie de celui-ci vers des services internes par exemple un anti-spam.

Je vous invite à lire la partie " aller plus loin avec pf ". Vous y verrez comment ignorer certaines listes d'IP connues comme nuisibles que l'on enregistrera dans des tables , des règles contre les attaques bruteforce ou encore une proposition d'outil qui ajoute sur liste noire d'éventuels pirates en temps réel.

Partez de l'exemple vu au-dessus puis ajoutez les ports à ouvrir pour commencer. N'hésitez pas à consulter l'exemple fourni à la fin du document. Si le port SSH configuré est le , alors vous aurez dans la configuration de pf:. Certaines adresses IP sont connues pour être les sources d'attaques.

Vous pouvez configurer pf pour qu'il rejette automatiquement toutes les requêtes venant de ces IP. Pour nous faciliter la vie, Stéphane HUC s'est donné la peine d'écrire des outils qui rassemblent des listes d'IP nuisibles de plusieurs sources.

Merci qui? Merci Stéphane! On commence par télécharger les listes, tout en vérifiant leur intégrité. Les "FAIL" correspondent aux fichiers que je n'ai pas récupéré pour l'exemple.

Pas d'inquiétudes à avoir donc pour ces derniers. Et voilà, votre serveur sera nettement allégé à l'avenir.

Pour compléter les listes proposées par Stéphane, vous pouvez consulter celles que je rassemble avec le même projet ainsi que l'outil vilain en suivant ce lien. Une méthode qu'utilisent les pirates pour s'en prendre à un serveur s'appelle "bruteforce". Si vous avez choisi des phrases de passe robustes , vous êtes normalement à l'abri. Toutefois, ces attaques utilisent inutilement des ressources sur votre serveur et peuvent potentiellement réussir un jour avouez que ça serait pas de bol.

Mais soyons honnête, c'est à la fois pénible et chronophage. L'idéal serait un outil qui surveille les journaux à votre place et s'occupe de mettre sur la liste noire de votre parefeu les IP des "attaquants". Ça tombe bien, vous pouvez utiliser vilain ou sshguard qui sont faits pour ça. En attendant, pf intègre déjà une protection qui limite le nombre de connexions sur un port pendant un temps donné. C'est très efficace et reste léger.

Pf dispose d'une fonctionnalité très intéressante: Ça va nous permettre de garder en mémoire certaines adresses IP de pirates qui tenteraient de compromettre le serveur. Par exemple, pour protéger le service SSH, on va procéder ainsi:.

Notez que nous avons enregistré le numéro du port utilisé pour le serveur SSH. Cependant, on peut vouloir changer le port par défaut du serveur SSH, comme décrit dans le chapitre sur ce service. Je me permets de vous proposer un outil que j'ai écrit avec l'aide de Vincent Delft dans le but de mettre sur liste noire d'éventuels pirates lorsque l'attaque a lieu. Notez bien qu'il est encore jeune et que vous devriez savoir ce que vous faites en l'utilisant.

Par ailleurs, vos retours d'utilisation permettront de l'améliorer. Le script en question s'appelle vilain. Vous pouvez suivre le lien suivant pour consulter le code. Voici comment l'installer. Afin que vilain puisse fonctionner, ajoutez une table à la configuration de pf afin de retenir les IP des attaquants. Vous y trouverez quelques exemples de la forme suivante:.

D'autres options sont disponibles, comme le nombre d'échecs avant le bannissement, les IP à ignorer s'il y a une erreur…. Afin de lancer vilain , vous avez besoin de python3. Installez le paquet python Vous pouvez si vous le souhaitez lancer régulièrement cette commande pour retirer les IP bannies depuis trop longtemps:. Contrairement à ce que son nom indique, sshguard est en mesure de vérifier les tentatives de connexions sur plusieurs services, pas seulement SSH.

Son installation sous OpenBSD n'est pas très compliquée à mettre en place. Comme vilain , vous devrez créer une table dans pf qui contiendra toutes les IP mises sur liste noire. Vous voudrez peut-être mettre sur liste blanche quelques adresses IP avec l'option "-w". Procédez ainsi cette option peut être employée plusieurs fois. SSH , c'est magique. Cet outil vous permettra de vous connecter au serveur à partir d'un autre ordinateur.

Vous pourrez alors l'administrer à distance sans devoir y brancher un clavier et un écran. À vrai dire, sauf exception, tous les serveurs sont administrés ainsi, mais vous êtes chez vous après tout, donc vous pouvez faire comme vous voulez. De plus, SSH ne sert pas qu'à ça. Il est capable de créer des tunnels chiffrés vers votre serveur.

Bien que ce protocole soit fiable, ça ne coûte rien de prendre quelques précautions de sécurité. Pour vous connecter à la machine, il faudra créer un utilisateur simple, par exemple toto , avec la commande adduser. Par la suite, pour vous connecter au serveur, vous utiliserez la commande suivante à partir de votre ordinateur dans un terminal, ou avec un client comme putty sous windows:. Ça demandera le mot de passe de l'utilisateur toto, puis vous pourrez administrer le serveur à distance.

Il est tout à fait possible de se connecter en SSH sans utiliser de mot de passe. À la place, on se sert de paire de clés. C'est une bonne idée au moins pour les raisons suivantes:.

Toutefois, cela vous impose d'avoir la clé privée sur l'ordinateur servant à se connecter, ce qui n'est pas forcément le cas.

Maintenant, sur l'ordinateur qui veut accéder au serveur, nous allons générer la paire de clés avec la commande suivante:. L'algorithme ed est utilisé.

Wiki Français d'OpenBSD pour tous

Très sécurisé, il n'est pas supporté par d'anciens serveurs normalement pas votre cas. Pour la forme, notez qu'il est possible d'utiliser une clé RSA ainsi:. Bien sûr, vous modifierez le nom de domaine de votre serveur ainsi que le nom de l'utilisateur qui doit se connecter.

Ensuite, lancez la commande suivante pour copier la clé publique sur le serveur. Dans le cas où l'outil ssh-copy-id ne serait pas disponible, il faut copier la clé publique manuellement. Pour l'afficher, tapez. Une fois ceci fait, vous pouvez vous connecter sans devoir entrer de mot de passe avec simplement la commande:. Si ça fonctionne comme prévu, vous pouvez si vous le souhaitez désactiver l'identification par mot de passe pour de bon afin de ne garder que le jeu de clés comme possibilités.

Vous aurez certainement besoin d'envoyer des fichiers sur votre serveur de temps en temps. Une fois que SSH est configuré, vous pourrez utiliser la commande scp depuis n'importe quel ordinateur afin de copier un fichier vers votre serveur.

Si vous souhaitez toutefois transférer de nombreux fichiers, sauvegarder ou stocker des documents, tournez-vous plutôt vers le protocole SFTP , plus sécurisé et disposant de davantage de fonctionnalités comme la reprise d'un transfert partiel.

Si les fichiers sont trop gros, vous pouvez les découper pour réaliser les transferts en plusieurs fois. Quoi que vous décidiez, c'est toujours une bonne idée de vous assurer que le transfert s'est bien déroulé en vérifiant la somme de contrôle des fichiers envoyés.

Pour en apprendre plus sur la sécurisation et l'utilisation de SSH, vous pouvez lire les pages suivantes:. Je vous invite à mettre en place un outil contre les attaques par bruteforce, notamment avec sshguard ou vilain , deux outils présentés dans ce document.

Pour conserver un système robuste et sécurisé, il est essentiel de le maintenir à jour. Afin d'appliquer les correctifs de sécurité, il faudra mettre à jour:. Cela ne sera pas nécessaire la plupart du temps sauf lors d'un changement de version. En effet, les failles importantes de sécurité sont corrigées dans le système voir paragraphe suivant. Si la faille concerne un paquet, il faut alors passer par les ports pour le mettre à jour. Vous pouvez aussi utiliser le service M: Tier décrit un peu plus loin.

Il peut en effet arriver que des bugs soient découverts. À chaque fois, des correctifs sont rapidement proposés. Il est alors recommandé d'appliquer les patchs de sécurité. Depuis la version 6.

Les patchs binaires sont alors téléchargés et installés. Ça ressemblait à ça sous OpenBSD 6. Cet outil n'est disponible que pour les architectures i , amd64 , et plus récemment arm Vous souhaiterez peut-être utiliser l'ancienne méthode de récupération des sources et installation manuelle décrite succintement par la suite.

Ce dernier n'est pas développé par OpenBSD, son utilisation n'engage que vous. Par ailleurs, rien n'indique qu'ils mettent à jour tous les paquets que vous pourriez avoir installé. Pour l'utiliser:. On va expliquer ci-dessous comment mettre OpenBSD à jour en compilant les sources.

Ce n'est pas très compliqué contrairement à ce que l'on peut penser et parfois nécessaire si vous ne pouvez pas utiliser les solutions proposées précédemment. Il faut se contenter de suivre les étapes unes par unes. En cas de doute, n'hésitez pas à consulter la FAQ dédiée. La première fois, c'est long. Pas d'inquiétudes donc, préparez un petit café pendant ce temps. Si vous aviez déjà les sources, il suffit alors de lancer:. Vous serez peut-être intéressés par les changements effectués dans les sources depuis la dernière fois.

Cette commande permet de consulter ces modifications:. Il faut maintenant redémarrer sur le nouveau noyau commande reboot avant de passer à la suite, où l'on met à jour les fichiers du système après un petit nettoyage.

Une fois que c'est terminé, mettez à jour les fichiers de configurations qui auraient pu changer et recréez les "devices":. Voilà, rien de plus qu'une série de petites commandes. Pour savoir si des mises à jour doivent être appliquées, vous pouvez consulter la page errata qui contient la liste des patchs de sécurité disponibles.

Pour recevoir les messages importants de mises à jour disponibles sur le système, inscrivez-vous aux listes announce et security-announce. Pour ça, on envoie un premier mail à majordomo OpenBSD. Je vous conseille aussi de vous inscrire à la liste indiquant qu'il existe une nouvelle version des ports en vous inscrivant à la liste ports-security en envoyant toujours à la même adresse un message contenant:.

Lorsqu'une nouvelle version majeure d'OpenBSD est disponible, la procédure de mise à jour est toujours détaillée sur le site officiel. Vous pouvez par curiosité consulter les notes de version lors du passage de la 6. On peut utiliser un serveur à la maison pour sauvegarder ses documents. C'est une précaution qui ne fait jamais de mal. Il faut penser aussi à sauvegarder le serveur en cas de défaillance du disque dur qui vieillit un peu, d'un orage virulent ou encore d'un dérapage incontrôlé du chat qui joue derrière les meubles….

Pour l'exemple, nous allons réaliser le tout sur un disque dur supplémentaire disque dur externe que l'on va préparer afin d'avoir deux partitions:. Branchez le disque dur au serveur. Si vous lancez la commande dmesg , vous verrez apparaître quelque chose comme ça:. Maintenant, on peut créer les partitions l'une après l'autre. En cas de doute, appuyez sur p pour afficher l'état actuel du disque.

Pas de panique, tout n'est pas important.

Héberger son serveur avec OpenBSD

Commençons pour une fois par les dernières lignes. Chaque partie décrit une caractéristique de la partition. L'autre point important parce qu'il faut l'avouer, il y a beaucoup d'informations qui ne nous serviront pas , c'est le "duid". OpenBSD a déjà pensé à tout. Si un jour le disque du serveur a une défaillance, vous pourrez quand même démarrer pour le dépanner.

Il faudra alors booter sur la partition de sauvegarde. Vous écrirez à ce moment là:. Si le moment venu vous ne savez plus sur quelle partition se trouve votre sauvegarde, entrez ceci:. Nous allons utiliser la seconde partition du disque externe pour y sauvegarder les autres données qui nous semblent importantes. Tout d'abord, on crée un point de montage:. Vous pouvez changer les droits en écriture sur ce disque avec chmod ou l'attribuer à un utilisateur.

Je vous conseille d'installer l'excellent outil rsync pour vos sauvegardes, qui ne copiera que les fichiers qui ont été modifiés. Voici un exemple d'utilisation sur votre serveur. Si vous ne voulez pas installer rsync , il vous est toujours possible de vous servir des outils présents de base dans OpenBSD:.

N'hésitez pas à consulter la FAQ officielle sur le sujet. Notez que vous pouvez aussi envoyer des données à sauvegarder de votre ordinateur personnel si vous voulez utiliser votre serveur comme espace de stockage. À partir de cet ordinateur, lancez la commande:. On utilise une connexion SSH avec le compte toto pour envoyer tout un dossier sur le serveur. Cette solution peut ne pas convenir, en particulier si vous souhaitez permettre à plusieurs utilisateurs de réaliser des sauvegardes.

Préférez dans ce cas la mise en place d'un chroot SFTP. Il est essentiel que votre serveur dispose d'une date et heure justes. Normalement un système d'exploitation, et OpenBSD fait de même, récupère cette information du matériel carte mère. Néanmoins, dans certains cas cette donnée n'est pas fiable: Afin de maintenir à l'heure votre beau serveur, nous allons utiliser OpenNTPD qui permet de synchroniser notre horloge à intervalles réguliers sur des serveurs de temps de confiance.

Pas d'inquiétude, là encore c'est très simple. Nous devons juste préciser à notre serveur de lancer OpenNTPD au démarrage et se synchroniser aussitôt.

Pour cela, on entre:. Nous allons maintenant passer à l'étape de configuration. Tout se passe dans un seul fichier situé ici: On liste plusieurs serveurs de temps utilisés et on termine par se référer à un site disponible via TLS de confiance pour éviter les attaques "Man in the middle".

Héberger votre propre site web, en voilà une bonne idée! Il ne propose pas de fonctionnalités exotiques, mais sa légèreté le rend d'autant plus simple à configurer et moins sensible à d'éventuelles failles de sécurité.

Il s'avère amplement suffisant dans la plupart des cas. Si vous avez réellement besoin d'un serveur HTTP plus complet, sachez que nginx et apache sont disponibles. Nous évoquerons dans cette partie la mise en place d'un site web , l'utilisation de PHP puis présenterons plusieurs applications.

Ce comportement peut être modifié, mais je vous le déconseille: Ce que l'on appelle un "site simple" est constitué de plusieurs pages html. Voici comment mettre en place votre premier site.

Copiez maintenant les pages de votre site dans ce dossier index. Une fois terminé, on va modifier les droits sur ce dossier pour qu'il appartienne à un utilisateur spécial: Il sera ainsi accessible au serveur web http d mais pas aux autres utilisateurs.

Cette étape est facultative mais recommandée:. Il ne nous reste plus qu'à modifier la configuration du serveur web http d. Vous pourrez constater que sa configuration est très simple. Vous pouvez désormais aller admirer votre site. Petite astuce: Et voilà, c'est suffisant pour un simple site. Afin d'y accéder, n'oubliez pas d'ouvrir le port 80 www dans le parefeu et de le rediriger.

Prévoir un accès avec chiffrement pour votre site n'est pas obligatoire. C'est malgré tout intéressant si:. Nous allons proposer en exemple d'obtenir un certificat via letsencrypt. Sinon, vous pouvez lire le paragraphe dédié pour consulter les autres solutions et en apprendre davantage.

C'est un service absolument génial tout à fait adapté à l'auto-hébergement. En effet, acme-client doit rendre disponible sur votre serveur des "fichiers secrets" pour obtenir le certificat. Cet outil va vérifier que vous avez bien accès au domaine pour lequel vous souhaitez un certificat. Il procède ainsi:. Attention , il faut mettre cette portion pour chaque sous-domaine indiqué dans la partie alternative names du fichier de configuration d'acme-client détaillé ci-dessous.

Il sera donc plus pratique d'utiliser des instructions include dans la configuration d'httpd comme indiqué dans la partie des astuces pour httpd.

Ce n'est pas obligatoire, mais ça permet de démontrer que vous, le propriétaire de ce domaine, avez autorisé letsencrypt à vous donner un certificat.

Ça démontre que le certificat n'est pas là de façon fortuite. Cette étape est une précaution supplémentaire. Dans votre zone, il y aura donc:. Maintenant, nous allons utiliser notre certificat en activant l'accès https dans la configuration de httpd:.

Vous remarquerez que la connexion se fait désormais sur le port https , qu'il faut ouvrir dans le parefeu et rediriger dans le routeur.

L'option hsts rend l'échange des clés et donc la qualité du chiffrement plus sûrs. Pour un mot en plus, ça ne fait pas de mal. Afin de diriger les visiteurs qui arriveraient avec l'adresse http: Il est fort possible que vous souhaitiez ajouter le support de PHP à votre site, surtout si vous voulez héberger un moteur de blog ou un CMS.

Il s'agit d'un langage de programmation offrant davantage de possibilités que de simples pages HTML. Nous pouvons maintenant modifier la configuration de httpd pour lui dire de servir les pages au travers de PHP. Remarquez l'instruction directory index index. Elle permet de rendre l'adresse http: Et voilà, les fichiers ". Cette configuration est suffisante dans la plupart des cas.

Je vous propose dans cette partie d'aller un peu plus loin pour préparer l'installation d'applications plus complètes blog, CMS… en activant des extensions et des options qui ne le sont pas par défaut, toujours dans un souci de sécurité. Ce dernier contient des informations très intéressantes que nous allons appliquer ici. On peut le faire en deux commandes:. Ainsi, toutes les extensions disponibles pour PHP sont activées.

Pensez-y si vous en installez de nouvelles plus tard. La plupart des extensions sont déjà présentes, mais vous voudrez peut-être y ajouter les paquets suivants en adaptant le numéro de version:.

On peut souhaiter modifier la configuration de PHP. Je vous conseille notamment de modifier ces quelques lignes:.

Il est possible que votre site doive récupérer des informations ou données venant d'autres sites. Il a donc besoin de résoudre des noms de domaines, vérifier des certificats, connaître l'heure du système.

Malheureusement, si vous vous souvenez bien, le serveur http est dans un chroot. Où se trouve ce chroot déjà? Ce n'est pas obligatoire, mais parfois nécessaire surtout si vous utilisez des applications PHP. Certaines applications ont besoin d'être capable d'envoyer des mails forums, wikis….

Puisque PHP est dans un chroot, il ne pourra pas communiquer avec le programme responsable de l'envoi des mails: Heureusement, lorsque vous avez installé PHP, l'outil femail-chroot a été lui aussi installé grâce au jeu des dépendances.

Je ne peux m'empêcher de vous inciter à lire le man httpd. On y trouve tout ce qui est écrit ici, et plus encore. Attribuer les permissions adéquates aux fichiers constituant vos sites web est très important d'un point de vue sécurité. Il n'y a cependant pas de règles générales, car cela dépend des besoins de l'application hébergée et des vôtres.

Voici cependant quelques exemples:. Dans tous les cas, la meilleure pratique est de se poser la question concernant les droits. On retire d'abord l'ensemble des permissions. Ensuite, on donne accès en lecture aux dossiers et fichiers. Attention, à cette étape, il s'agit d'un X majuscule. Enfin, on accorde au propriétaire les droits d'écriture dans les dossiers et fichiers. Une gestion fine des entêtes peut vous intéresser. Cela peut notamment servir pour indiquer aux navigateurs de garder en cache plus longtemps les fichiers téléchargés et alléger la charge du serveur, ou encore régler des questions de sécurité.

Httpd n'est pas capable de gérer les entêtes ou headers. Heureusement, tout est prévu: Inutile d'installer quoi que ce soit, relayd est déjà présent dans OpenBSD. Elle est pas belle la vie? Justement, afin que relayd intercepte ce qu' httpd devait initialement recevoir directement, nous devons modifier un petit peu les règles du parefeu.

Après avoir réalisé vos modifications, n'oubliez pas d'activer relayd et de redémarrer les services, ainsi que recharger le parefeu:. Vous pouvez consulter un exemple de configuration à la fin du document. Notez cependant que ces modifications sont valables sur l'ensemble de vos sites, vous ne pouvez pas gérer les entêtes au cas par cas.

Si votre site propose une connexion chiffrée avec une adresse https: Ci-dessous, voici un exemple de configuration de relayd correspondante. Notez les mentions de tls:.

Toutefois, il faut que relayd puisse vérifier les certificats. Ici, l'adresse sur laquelle écoute relayd est " Dans le cas où vous auriez récupéré un certificat avec acme-client , vous pouvez alors faire des liens symboliques ainsi:. Si votre site n'est accessible qu'en http pas de chiffrement , alors je vous conseille vivement de vous prémunir contre une faille connue sous le doux nom de httpoxy.

Les principales nouveautés et améliorations qu'apporte la nouvelle version d'OpenBSD en l'occurrence la version 6.

Cela veut dire que votre noyau est totalement différent de celui d'un autre ordinateur. Dans leur annonce, les développeurs d'OpenBSD ont également présenté les nouvelles versions des outils qui sont intégrés à la toute nouvelle version 6.

Parmi ces outils figurent: Téléchargez la version 6. Que pensez-vous de cette nouvelle version d'OpenBSD et des améliorations qui y ont été intégrées? Allez-vous l'essayer? Une erreur dans cette actualité? Cherche désespérément au moins deux personnes qui l'utilisent!

Tu as pleins de gens qui l'utilisent. Openbsd n'est pas considere comme l'OS le plus securise au monde pour rien. Cela dit, ca n'est clairement pas pour le mec qui se prend pour une "elite" depuis qu'il a installe ubuntu FroSties Date de dernière connexion: Si tu tournes sur un grille pain, je te conseille netbsd, pour le reste, il faut se renseigner au cas par cas. Ze OS. Sécurisé, stable, libre, ultra leger. Perso je l'utilise sur mon desktop mais il excelle essentiellement dans tout ce qui concerne le réseau.

Definitivement pas destiné à ceux qui considerent que linux c'est pas encore tout à fait utilisable par rapport à windows. JoeF Date de dernière connexion: