Comment installer et sécuriser eGroupWare Version 0.4

Comment installer et sécuriser
eGroupWare
Version 0.4
Ce document est publié sous:
Creative Commons Attribution-ShareAlike License
Toute extension ou réponse à ce document sont les bienvenues.
Veuillez contacter son auteur.
Auteur: Reiner Jung
Droits d’auteur: Reiner Jung
Contact: r.jung@creativix.net
Traduction française: Antoine Theytaz
Contact: theytaz@users.sourceforge.net
Projet: eGroupWare
Date de publication 13-Jan-05
Reiner Jung
Install and Secure eGroupWare
Page 2 of 68
Index
Index
3
1Checklist d’installation pour eGroupWare
6
2Comment faire une installation rapide
7
3Migration de votre installation de phpGroupWare vers eGroupWare
13
4Mise à jour d’eGroupWare
14
4.1Mise à jour de l’installation eGroupWare
14
4.2Adaptation de votre configuration vers une nouvelle version de header.inc.php
14
5Instructions d’installation
15
5.1Téléchargement des paquetages
15
5.2Pourquoi les paquetages signés GPG et les md5sum sont-ils nécessaires ?
15
5.2.1Installation de la clé GPG pour tar.gz.gpg, tar.bz2.gpg et zip.gpg
15
5.2.2Vérification de la clé GPG
15
5.2.3Installez la clé GPG pour les paquetages RPM
17
5.3Comment faire pour valider un paquetage?
17
5.4Installation des paquetages sur votre serveur
19
5.4.1Recomposition de paquetages RPM avec d’autres chemins
19
5.4.2Installation d’un paquetage non signé sur votre serveur
19
5.4.3Installation d’un paquetage signé GPG sur votre serveur
19
5.4.4Installation depuis CVS
20
6Sécurité de base du serveur
21
6.1La plateforme du serveur
21
6.1.1Vérification de votre serveur pour les services et ports ouverts
21
6.1.1.1Ports qu’eGroupWare a besoin pour fonctionner
21
6.1.1.2Le scanneur de ports
22
6.1.1.3Affichage du résultat d’un scanneur de ports
22
6.1.1.4Désactivation des services non nécessaires
22
6.1.2Désinstallation des logiciels non nécessaires de votre serveur
23
6.1.3Vérifications locales pour les signes d’un rootkit
23
6.1.3.1Extrait de l’affichage du résultat d’un chkrootkit
24
6.1.3.2Installation du RPM chkrootkit
24
6.1.3.3Installation du chkrootkit depuis le fichier tar.gz
25
6.1.4Administration sécurisée de votre serveur
25
6.1.4.1Connexion à votre serveur à travers une session sécurisée
26
6.1.4.2Travailler avec des paires de clés SSH
26
6.1.4.2.1Création d’une paire de clés sécurisée
27
6.1.4.2.2Copie de votre clé publique sur le serveur
27
6.1.4.2.3L’outil ssh-add
27
6.1.4.2.4Sécurisation de votre client SSH
28
6.1.4.2.5Sécurisation de votre SSHD
28
6.1.5Installation de logiciels pour surveiller les journaux de votre serveur
Reiner Jung
Install and Secure eGroupWare
28
Page 3 of 68
6.1.6Environnement de détection d’intrusion
29
6.1.6.1Installation de AIDE
29
6.1.6.2Le fichier de configuration AIDE aide.conf
29
6.1.6.3Création d’un fichier cronjob pour lancer AIDE automatiquement
31
6.1.6.4Exemple de rapport AIDE
33
6.1.6.5Création d’une nouvelle base de données après modifications
34
6.1.7Sécurité des services (daemons)
34
6.1.8Pare-feu
34
6.2Sécurité des Application Internet
35
6.2.1Installation de ModSecurity
35
6.2.2Configuration de base
35
6.2.3Test de ModSecurity
37
6.2.4Exemple de journal de ModSecurity
37
6.3Optimisation et sécurisation du serveur Apache web
38
6.3.1Modules recommandés
38
6.3.2Autres options de configuration Apache
39
6.4Turck MMCache
39
6.4.1Prérequis
39
6.4.1.1Préliminaires pour RedHat Enterprise Linux 3
39
6.4.2Compatibilité
41
6.4.3Installation rapide
41
6.4.4Interface Web
42
6.5Sécurisation de votre installation PHP
43
6.6Création d’un certificat de serveur Web
44
6.6.1Joindre “CA Cert “
45
6.6.2Création de votre requête de signature de certificat
45
6.6.2.1Modification du fichier openssl.cnf
45
6.6.2.2Création de la clé serveur et de la requête de signature
46
6.6.2.3Envoi de la requête de signature à votre autorité de certification
47
6.6.2.4Installation du certificat serveur.
47
6.7Le service web
48
6.8Le service SQL
48
7Configuration d’eGroupWare
50
7.1Création de votre base de données
50
7.2Comment démarrer la configuration?
51
7.3Vérification de l’installation eGroupWare
51
7.4Création de votre header.inc.php
52
7.5Administration Installation / Configuration
53
7.5.1Etape 1 – Gestion simplifiée des applications
53
7.5.2Etape 2 – Configuration
54
7.5.2.1Création du répertoire d’accueil des fichiers
54
7.5.2.2Edition de la configuration actuelle
55
7.5.3Etape 3 – Compte Administrateur
Reiner Jung
Install and Secure eGroupWare
57
Page 4 of 68
7.5.4Etape 4 – Gestion linguistique
58
7.5.5Etape 5 – Gestion avancée des applications
58
8Connectez-vous à eGroupWare
58
9Dépannage
59
9.1Oubli du mot de passe de l’administrateur
59
9.2L’Administrateur ou un autre utilisateur est bloqué
59
9.3Erreur base de données : lock(Array, write) failed
59
9.4Vérification des permissions de fichiers
59
9.5Ne peut pas continuer dans Vérification de l’installation page (1)
60
9.6Ne peut pas continuer dans Vérification de l’installation page (2)
60
9.7[WINDOWS] fudforum/3814******9): Permission denied
60
9.8Sitemgr: mkdir(./sitemgr-link): Permission denied
61
10Références
62
11A faire et Journal des changements
65
11.1A faire pour ce document
65
11.2Journal des changements pour ce document
65
12Contributeurs à ce document
67
13Termes et conditions
68
Reiner Jung
Install and Secure eGroupWare
Page 5 of 68
1
Checklist d’installation pour eGroupWare
Ceci vous donnera une vue d’ensemble rapide de ce dont vous avez besoin pour eGroupWare.
Vous n’avez pas besoin d’un compilateur pour installer eGroupWare car celui-ci n’est composé que de PHP,
d’HTML et de fichiers d’images.
Ce dont vous avez besoin pour
Logiciel exemple
eGroupWare
Vous avez besoin d’un système
Vérifiez vos prérequis
Linux, Unix, *BSD
d’exploitation comme suit:
MAC
WIN NT / 2000 / XP
eGroupWare requiert un serveur web.
IIS
Ici quelques exemples:
Roxen
Apache 1.3 ou 2.0
eGroupWare requiert une base de
MYSQL
données:
MS-SQL
PostgreSQL
Si vous désirez envoyer des emails avec
Postfix
eGroupWare, alors vous avez besoin d’un
Sendmail
serveur SMTP comme:
Exim
Si vous voulez utiliser eGroupWare comme
Cyrus
client de messagerie POP ou IMAP vous
Courier
avez besoin du service correspondant
Dovecot
comme:
eGroupWare requiert PHP:
PHP > 4.1 requis.
PHP > 4.2
recommandé.
Reiner Jung
Install and Secure eGroupWare
Page 6 of 68
2
Comment faire une installation rapide
Ceci va vous donner une courte introduction sur les étapes de configuration d’eGroupWare. Les installations
eGroupWare peuvent être faites en moins de 10 minutes. Si vous voulez avoir une description plus détaillée
sur l’installation et la sécurité, lisez les pages « Sécurité de base du serveur » .
1)
Téléchargez les paquetages eGroupWare depuis la zone de téléchargement de Sourceforge.
En ce moment les paquetages eGroupWare sont fournis au format zip, tar.gz, bz2 et rpm.
2)
[LINUX] Installez les paquetages dans le répertoire correspondant au répertoire racine de votre service
web ou un autre répertoire que vous aimeriez utiliser. Le paquetage RPM sera automatiquement installé
dans le répertoire /var/www/html
[root@server tmp]# rpm –ivh eGroupWare-x.x.xx.xxx-x.rpm
Pour installer n’importe quel autre type de paquetage eGroupWare, allez dans le répertoire racine de votre
service web et extrayez le paquetage.
[root@server tmp]# cd /var/www
[root@server www]#tar xzvf eGroupWare-x.x.xx.xxx-x.tar.gz
[WINDOWS] En utilisant un programme comme Winzip, dézippez le fichier dans n’importe quel
dossier se trouvant dans votre serveur web. En d’autres termes, le répertoire que vous choisissez doit être
accessible depuis Internet.
Soyez certain de conserver la structure des dossiers quand vous décompressez le fichier zip et votre
installation ressemblera à quelque chose comme: D:\websites\yourwebsite\eGroupware\(tous les fichiers
du zip eGroupWare).
Reiner Jung
Install and Secure eGroupWare
Page 7 of 68
3)
[LINUX] Modifiez les permissions de vos fichiers de votre installation eGroupWare.
- Votre compte administrateur doit avoir les permissions de lecture et d’écriture
- Le compte sous lequel le service web fonctionne doit avoir un accès en lecture seule. Votre service
web n’a besoin de droit en écriture que pour le répertoire fudforum
[WINDOWS] maintenant vous devez spécifier les “permissions” correctes pour les fichiers
eGroupWare.
Reiner Jung
Install and Secure eGroupWare
Page 8 of 68
Le compte administrateur a au moins besoin des permissions en lecture et écriture (Read and Write).
Le compte web a besoin de la permission en lecture (Read).
Reiner Jung
Install and Secure eGroupWare
Page 9 of 68
Pour FUDFORUM seulement – le compte web a besoin de read et write
4)
Vérifiez que votre service web ainsi que la base de données soient démarrés.
5)
Pointez votre navigateur vers l’URL http://< adresse_de_votre_serveur>/egroupware/setup
6)
Le script de vérification d’installation devrait démarrer automatiquement.
- Attendez que le script se termine, ensuite corrigez les éventuelles erreurs qui apparaissent
- Après avoir corrigé les éventuelles erreurs, rechargez la page et vérifiez votre installation encore une
fois
- Lorsqu’il n’y a plus d’erreur, défilez vers le bas et cliquez sur “Revenir à la page de l'installateur”
[WINDOWS] Vous pourriez avoir quelques points qui ne se résoudront pas complètement. Par
exemple l’option register_globals = on de votre fichier PHP.ini (en principe sous C:\WINNT). Quelques
scripts requièrent ceci activé tandis que d’autres non. Si vous le désactivez certains de vos sites web
risquent de ne plus fonctionner. La voie la plus sûre est de fixer cette valeur comme eGroupware le
préconise (désactivé - off) et de contrôler vos autres sites. Si ceux-ci ne fonctionnent plus, réactivez
cette option register_globals = on. Veuillez noter qu’eGroupWare ne requiert pas que cette option soit
sur « off » !
Aussi l’extension de base de données MsSQL (Microsoft) ne sera pas chargée si vous utilisez MySQL!
Reiner Jung
Install and Secure eGroupWare
Page 10 of 68
Quand ces conflits sont résolus – vous pouvez cliquer sur “continue to the Header Admin”
7)
Démarrez la Configuration de l'en-tête EgroupWare “Header Admin configuration”.
- Remplissez tous les champs
[WINDOWS] Server Root – Il s’agit de la racine de votre installation eGroupware. C’est-à-dire:
D:\websites\yourwebsite\egroupware
Include Root – mettez le même chemin, c’est-à-dire: D:\websites\yourwebsite\eGroupWare
(Veuillez noter que ce n’est pas votre adresse.com mais le chemin vers votre installation eGroupWare)
- Téléchargez le fichier header.inc.php et enregistrez-le dans la racine de votre installation eGroupware
(exemple /var/www/html/egroupware). Donnez au compte du service web le droit de lire ce fichier.
- Cliquez “Continuer”
[WINDOWS] Choisissez l’option pour télécharger le fichier header.inc.php que vous venez de créer
Ensuite soit vous l’enregistrez dans la racine de votre installation eGroupWare (si vous avez accès au
serveur), soit vous faites un « upload » avec FTP dans ce dossier. C’est-à-dire vers: D:\websites\your
website\eGroupware
 N’oubliez pas votre mot de passe. Celui-ci est encrypté et on ne pourra pas le récupérer.
8)
Allez sur la Page de connexion pour la configuration et l'installation « Setup/Config Admin ».
9)
Créez votre Bases de données / Tables.
- Remplissez le formulaire avec votre compte de base de données root et son mot de passe pour créer
la base de données automatiquement
Reiner Jung
Install and Secure eGroupWare
Page 11 of 68
- Continuez pour créer la base de données
- Re-vérifiez l’installation
- Continuez en créant les tables
[WINDOWS] Ceci devrait être très simple si vous connaissez le nom et le mot de passe pour votre
serveur MySQL. Complétez les informations et cliquez sur Créer la base de données “Create
Database.”
Quand vous cliquez sur Re-vérifier mon installation “Re-check My Installation” – vous verrez que vous
n’avez aucune application installée et aurez l’option d’installer les tables principales et les applications
Admin et Préférences. Allez-y et installez ces tables.
*Voir la section “Dépannage”– si vous avez des erreurs.
Editer la configuration actuelle
- Créez un répertoire à l’extérieur du répertoire racine de votre serveur web et donnez au compte web les
droits en lecture, écriture et exécution correspondants. Par exemple, si le répertoire racine de votre serveur
web est /var/www/html, vous pouvez créer ce répertoire sous /var/www/files
[WINDOWS] Ceci veut dire qu’il faut créer un dossier/répertoire qui n’est pas sous l’installation
D:\websites\yourwebsite\eGroupware. Par exemple si votre installation racine est sur
D:\websites\yourwebsite\eGroupware – vous mettrez ce dossier sur
D:\websites\yourwebsite\nouveauRepertoire. Dès que ce répertoire est créé, vérifiez que le compte
du service web y a bien les permissions en lecture, en écriture et exécution.
10) Création du compte Administrateur
- N’utilisez pas ce compte comme votre compte primaire de gestion de tous les jours. Il doit être utilisé
comme compte de secours et n'est utilisé que pour la configuration initiale.
11) Gestion linguistique
- Installez the langues que vous désirez utiliser.
12) Gérer les Applications
- Désinstallez les applications que vous ne désirez pas utiliser
13) Connexion à eGroupWare
Pointez votre navigateur sur http://nomdevotreserveur/egroupware
Reiner Jung
Install and Secure eGroupWare
Page 12 of 68
3
Migration de votre installation de phpGroupWare vers eGroupWare
Téléchargez les paquetages nécessaires depuis notre page et installez-les comme décrit au Chapitre 2.
Copiez le fichier header.inc.php du répertoire phpGroupWare vers le répertoire eGroupWare et éditez les lignes
suivantes dans header.inc.php:
De:
define('PHPGW_SERVER_ROOT','/var/www/html/phpgroupware');
define('PHPGW_INCLUDE_ROOT','/var/www/html/phpgroupware');
Vers:
define('PHPGW_SERVER_ROOT','/var/www/html/egroupware');
define('PHPGW_INCLUDE_ROOT','/var/www/html/egroupware');
Pointez votre navigateur vers l’URL
https://www.domaine.com/egroupware/setup
Connectez-vous à la Page de connexion pour la configuration et l'installation « Setup/Config
Admin Login»
Cliquez sur Editer la configuration actuelle
et modifiez le contenu du troisième champ (Entrez l'emplacement de l'URL…) en spécifiant:
/egroupware
C’est tout… bon plaisir!
Reiner Jung
Install and Secure eGroupWare
Page 13 of 68
4
Mise à jour d’eGroupWare
4.1
Mise à jour de l’installation eGroupWare
1)
Téléchargez les paquetages depuis notre page à Sourceforge.
2)
Installez les paquetages sur votre serveur:
Pour les paquetages RPM faites ce qui suit:
[root@server tmp]# rpm –Uvh eGroupWare*
Pour les paquetages tar.gz, allez dans le répertoire racine de votre serveur web (au-dessus de l’installation
eGroupWare):
[root@server tmp]# cd /var/www/html
[root@server html]# tar xzvf eGroupWare-x.xx.xxx-x.tar.gz
Pour les paquetages tar.bz2, allez aussi dans le répertoire racine de votre serveur web (au-dessus de
l’installation eGroupWare):
[root@server tmp]# cd /var/www/html
[root@server html]# tar xjvf eGroupWare-x.xx.xxx-x.tar.bz2
Il est possible de faire des mises à jour avec CVS. Faites des mises à jour avec CVS SEULEMENT depuis la
branche stable et pas depuis la branche de développement!!
[root@server tmp]# cd /var/www/html/egroupware
[root@server egroupware]# cvs update -Pd
3)
Connectez-vous à la Page de connexion pour la configuration et l'installation « Setup/Config Admin
Login»
4)
Si nécessaire, eGroupWare vous prévient qu'il doit mettre à jour la base de données.
5)
Vérifiez les mises à jour requises à l’étape 4, Advanced Application Management.
4.2
Adaptation de votre configuration vers une nouvelle version de header.inc.php
1)
Après l’installation vous verrez le message suivant:
Vous devez adapter votre configuration vers une nouvelle version de header.inc.php
2)
Allez à https://votreserveur/egroupware/setup
- Descendez sur "Vérification de l’installation "
- Confirmez les tests et allez sur Configuration de l'en-tête EgroupWare « Header Admin »
3)
Connectez-vous avec le compte et le mot de passe correspondant.
4)
Modifiez les paramètres si nécessaire.
5)
Enregistrez le fichier.
Reiner Jung
Install and Secure eGroupWare
Page 14 of 68
5
Instructions d’installation
5.1
Téléchargement des paquetages
Vous pouvez télécharger les paquetages depuis :
http://sourceforge.net/project/showfiles.php?group_id=78745
Nous fournissons les paquetages suivants dans la zone de téléchargement de Sourceforge:
*.tar.gz
*.tar.bz2
*.zip
Ces paquetages sont signés avec une clé gpg pour des raisons de sécurité :
*.tar.gz.gpg
*.tar.bz2.gpg
*.zip.gpg
Les fichiers RPM fonctionnent sous Red Hat et la plupart des distributions basées sous RPM :
eGroupWare*noarch.rpm
Le paquetage eGroupWare-all-apps*.noarch.rpm contient tous les paquetages disponibles.
Les autres paquetages fournissent les applications dans des paquetages séparés.
5.2
Pourquoi les paquetages signés GPG et les md5sum sont-ils nécessaires ?
Certaines fois, des pirates attaquent des serveurs de développement afin de modifier les paquetages
disponibles en y mettant des chevaux de Troie, des « sniffeurs », etc. Les paquetages signés valident
l’intégrité des paquetages du projet avant que vous n’installiez et fassiez fonctionner les applications sur
votre serveur.
5.2.1
Installation de la clé GPG pour tar.gz.gpg, tar.bz2.gpg et zip.gpg
Installez la clé GPG des paquetages avec lesquels tar.gz.gpg, tar.bz2.gpg, zip.gpg, md5sumeGroupWare-version.txt.asc et les RPMs sont signés.
Sous Linux, vous pouvez utiliser les commandes suivantes pour importer la clé de validation des
paquetages tar.gz.gpg, tar.bz2.gpg, zip.gpg et md5sum*.asc.
[root@server root]# gpg --keyserver blackhole.pca.dfn.de --recv-keys 0xD9B2A6F2
5.2.2
Vérification de la clé GPG
Si vous désirez valider les paquetages, vous devez faire confiance à la clé. Si vous ne le faites pas,
vous recevrez une erreur chaque fois comme quoi la clé n’est pas certifiée.
Listez les clés disponibles dans votre trousseau. Vous devez être capable de consulter les clés
importées ici :
Reiner Jung
Install and Secure eGroupWare
Page 15 of 68
[root@server root]# gpg --list-keys
gpg: Warning: using insecure memory!
gpg: please see http://www.gnupg.org/faq.html for more information
/root/.gnupg/pubring.gpg
-------------------------------pub 1024D/D9B2A6F2 2002-12-22 Reiner Jung <r.jung@creativix.net>
sub 1024g/D08D986C 2002-12-22
Maintenant éditez la clé ayant le numéro D9B2A6F2
[root@server root]# gpg --edit-key D9B2A6F2
gpg (GnuPG) 1.0.7; Copyright (C) 2002 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.
gpg: Warning: using insecure memory!
gpg: please see http://www.gnupg.org/faq.html for more information
gpg: checking the trustdb
gpg: no ultimately trusted keys found
pub 1024D/D9B2A6F2 created: 2002-12-22 expires: never
trust: -/-
sub 1024g/D08D986C created: 2002-12-22 expires: never
(1). Reiner Jung <r.jung@creativix.net>
Vous pouvez, mais n’êtes pas obligé, de vérifier l’empreinte digitale de la clé. L’empreinte digitale de
la clé est:
BBFF 354E CA1F 051E 932D 70D5 0CC3 882C D9B2 A6F2
Command> fpr
pub 1024D/D9B2A6F2 2002-12-22 Reiner Jung <r.jung@creativix.net>
Fingerprint: BBFF 354E CA1F 051E 932D 70D5 0CC3 882C D9B2 A6F2
Maintenant vous pouvez signer la clé
Command>trust
pub 1024D/D9B2A6F2 created: 2002-12-22 expires: never
trust: f/-
sub 1024g/D08D986C created: 2002-12-22 expires: never
(1). Reiner Jung <r.jung@creativix.net>
Please decide how far you trust this user to correctly
verify other users' keys (by looking at passports,
checking fingerprints from different sources...)?
Reiner Jung
Install and Secure eGroupWare
Page 16 of 68
1 = Don't know
2 = I do NOT trust
3 = I trust marginally
4 = I trust fully
5 = I trust ultimately
i = please show me more information
m = back to the main menu
Your decision? 5
Do you really want to set this key to ultimate trust? yes
pub 1024D/D9B2A6F2 created: 2002-12-22 expires: never
trust: u/-
sub 1024g/D08D986C created: 2002-12-22 expires: never
(1). Reiner Jung <r.jung@creativix.net>
Please note that the shown key validity is not necessary correct
unless you restart the program.
Maintenant vous pouvez vérifier la clé au prompt avec “check” ou quitter la session.
5.2.3
Installez la clé GPG pour les paquetages RPM
Pour importer la clé requise pour valider le paquetage RPM, rapatriez la clé D9B2A6F2 depuis le serveur de
clés:
http://www.dfn-pca.de/eng/pgpkserv/
Cliquez le lien “D9B2A6F2.” Dans la nouvelle fenêtre copiez le texte complet, en incluant les lignes suivantes:
----BEGIN PGP PUBLIC KEY BLOCK--------END PGP PUBLIC KEY BLOCK-----
et enregistrez le texte copié dans un fichier nommé:
EGROUPWARE-GPG-KEY
Ensuite importez la clé dans votre trousseau de clés RPM:
[user@server tmp]$ rpm --import EGROUPWARE-GPG-KEY
5.3
Comment faire pour valider un paquetage?
Si vous désirez vérifier le md5sum d’un paquetage, effectuez les points suivants (les étapes montrées
concernent un système Linux) :
Téléchargez le fichier md5sum-eGroupWare-version.txt.asc d’une page de téléchargement de
Sourceforge.
Validez le fichier md5sum-eGroupWare-version.txt.asc:
[user@server tmp]$ gpg --verify md5sum-eGroupWare-version.txt.asc
Reiner Jung
Install and Secure eGroupWare
Page 17 of 68
Trouvez le md5sum du paquetage:
[user@server tmp]$ md5sum eGroupWare-x.x.xx.xxx-x.tar.gz
41bee8f27d7a04fb1c3db80105a78d03 eGroupWare-x.x.xx.xxx-x.tar.gz
Ouvrez le fichier md5sum pour voir le md5sum original (le md5sum ci-dessous n’est qu’un exemple):
user@server tmp]$ less md5sum-eGroupWare-x.x.xx.xxx-x.txt.asc
-----BEGIN PGP SIGNED MESSAGE----Hash: SHA1
md5sum from file eGroupWare-x.x.xx.xxx.tar.gz is:
41bee8f27d7a04fb1c3db80105a78d03
- --------------------------------------md5sum from file eGroupWare-x.x.xx.xxx.tar.bz2 is:
3c561e82996349d596540f476b9624f2
- --------------------------------------md5sum from file eGroupWare-x.x.xx.xxx.zip is:
c3bb1f67ca143236e8603c6995e82db0
-----BEGIN PGP SIGNATURE----Version: GnuPG v1.2.1 (GNU/Linux)
iD8DBQE/WM2wDMOILNmypvIRAm5GAJ0e6IlnellZU0quVQxWOP/pF+QGpwCgptbH
O02LpinLNqnr6epxt9vB9sw=
=OBcn
-----END PGP SIGNATURE----Ici on voit que la clé dans le fichier md5sum et la somme de contrôle de la ligne de commande sont
les mêmes, ainsi le paquetage n’a pas été modifié après sa composition.
Pour vérifier la somme de contrôle des paquetages tar.gz.gpg, tar.bz2.gpg ou zip.gpg, entrez ceci sur la
ligne de command de votre système Linux :
[user@server tmp]$ gpg --verify eGroupWare-x.x.xx.xxx-x.tar.gz.gpg
Pour vérifier la somme de contrôle des paquetages RPM, entrez ceci sur la ligne de command de votre
système Linux :
[user@server tmp]$ rpm --checksig eGroupWare-all-apps-x.x.xx.xxx-x.noarch.rpm
Reiner Jung
Install and Secure eGroupWare
Page 18 of 68
5.4
5.4.1
Installation des paquetages sur votre serveur
Recomposition de paquetages RPM avec d’autres chemins
Vous pouvez recompiler des paquetages pour SuSE Linux. Téléchargez le fichier *.src.rpm et typez
[user@server tmp]$ rpmbuild -–rebuild eGroupWare-x.xx.xxx-x.src.rpm
Ceci va créer un paquetage avec le chemin d’installation “/srv/www/htdocs” pour vous.
Ce paquetage se trouvera pour installation dans /usr/src/packages/RPMS/noarch.
5.4.2
Installation d’un paquetage non signé sur votre serveur
Pour installer un paquetage non signé, non-RPM, faites ceci:
Allez dans dans le répertoire document root de votre serveur web (ou bien où vous voulez installer le
paquetage)
[user@server tmp]$ cd /var/www/html
Faites l’extraction du paquetage dans ce répertoire. Si vous avez un paquetage dans le répertoire /tmp,
vous pouvez l’installer avec une des commandes suivantes, selon quel type de paquetage vous avez :
[user@server tmp]$ tar xzvf /tmp/eGroupWare-x.xx.xxx-x.tar.gz
[user@server tmp]$ tar xjvf /tmp/eGroupWare-x.xx.xxx-x.tar.bz2
[user@server tmp]$ unzip /tmp/eGroupWare-x.xx.xxx-x.zip
5.4.3
Installation d’un paquetage signé GPG sur votre serveur
Pour installer un paquetage signé GPG, non-RPM, faites ceci:
Détachez votre paquetage de votre clé GPG
[user@server tmp]$ gpg -o eGroupWare-X.XX.XXX-X.tar.gz -decrypt
eGroupWare-X.XX.XXX-X.tar.gz.gpg
Allez dans dans le répertoire document root de votre serveur web (ou bien où vous voulez installer le
paquetage)
[user@server tmp]$ cd /var/www/html
Faites l’extraction du paquetage dans ce répertoire. Si vous avez un paquetage dans le répertoire /tmp,
vous pouvez l’installer avec une des commandes suivantes, selon quel type de paquetage vous avez :
[user@server html]$ tar xzvf /tmp/eGroupWare-x.x.xxx-x.tar.gz
[user@server tmp]$ tar xjvf /tmp/eGroupWare-x.xx.xxx-x.tar.bz2
Reiner Jung
Install and Secure eGroupWare
Page 19 of 68
[user@server tmp]$ unzip /tmp/eGroupWare-x.xx.xxx-x.zip
Pour installer un paquetage RPM sur votre serveur, faites ce qui suit:
Vérifiez que le RPM soit valide:
[user@server tmp]$ rpm --checksig /tmp/eGroupWare-x.x.xxx-x.noarch.rpm
Installez le paquetage:
[user@server tmp]$ rpm -ivh /tmp/eGroupWare-all-apps-x.x.xxx-x.noarch.rpm
 si le répertoire document root de votre serveur n’est pas /var/www/html/, vous pouvez installer le RPM
aillleurs.
Pour ce faire, utilisez la commande suivante.
[user@server tmp]$ rpm -ivh –prefix /your_new_server/root /tmp/eGroupWare-all-apps-x.x.xxxx.noarch.rpm
5.4.4
Installation depuis CVS
Pour installer les paquetages depuis notre repository CVS, accomplissez les étapes suivantes:
Allez dans dans le répertoire document root de votre serveur web (ou bien où vous voulez installer le
paquetage):
[root@server tmp]# cd /var/www/html
[root@server html]# cvs –d:pserver:anonymous@cvs.sourceforge.net:/cvsroot/egroupware login
[root@server html]# cvs –z3 –d:pserver:anonymous@cvs.sourceforge.net:/cvsroot/egroupware co
egroupware
[root@server html]# cd egroupware
[root@server egroupware]# cvs co all
[root@server egroupware]# cvs update -Pd
Reiner Jung
Install and Secure eGroupWare
Page 20 of 68
6
Sécurité de base du serveur
6.1
La plateforme du serveur
Il existe beaucoup de manières de sécuriser la plateforme de votre serveur. La plus importante mesure de
sécurité que vous puissiez réaliser est de garder votre installation à jour. Pensez à vous inscrire à la liste de
distribution egroupware-announcement@lists.sourceforge.net. C’est là que nous publions les nouvelles
versions aussi bien que les correctifs de sécurité pour eGroupWare.
6.1.1
Vérification de votre serveur pour les services et ports ouverts
 Un port ouvert indique que votre serveur offre un service au public. Ceci peut être un serveur de fichier, un
serveur DNS, un serveur telnet, un serveur X ou un des nombreux services. Beaucoup des ports ouverts signifie
qu’un agresseur a une meilleure chance d’obtenir un accès à votre serveur. Votre serveur doit avoir seulement
les ports et services disponibles nécessaires pour faire fonctionner eGroupWare. Si vous avez besoin d’autres
ports non nécessaires pour eGroupWare alors vous devez sécuriser votre installation avec un pare-feu ou avec
des « TCP wrappers ». Si cela est possible, autorisez seulement les services ayant le Secure Socket Layer (SSL)
activé.
6.1.1.1
Ports qu’eGroupWare a besoin pour fonctionner
Les ports nécessaires sont:
Port Internet:
HTTP/80
Port Internet SSL:
HTTPS/443
Administration distante, Secure Shell:
SSH/22
Si vous devez faire fonctionner un serveur de messagerie sur la même machine, alors vous aurez besoin d’un
peu plus de ports. Si vous pouvez faire fonctionner votre serveur de messagerie sur une machine séparée,
alors faites-le. Vous aurez besoin des ports additionnels suivants pour un serveur de messagerie:
Serveur Email MTA:
SMTP/25
Serveur Email MTA sécurisé:
SMTPS/465
Pour récupérer les messages E-Mail de votre serveur avec un client (comme les clients eGroupWare), vous
avez besoin des ports suivants:
Serveur IMAP:
IMAP/143
Serveur IMAP SSL:
IMAPS/993
POP-3:
POP-3/110
POP-3 sur SSL:
POP-3/995
Si vous bloquez des ports avec un pare-feu, veuillez vous remémorer que vous devez autoriser un certain
trafic sortant. Ceci peut inclure NTP, DNS lookups, etc.
Reiner Jung
Install and Secure eGroupWare
Page 21 of 68
Conclusion:
6.1.1.2
Ports ouverts minimum (non-SSL):
22, 80, 443
Ports ouverts maximum (avec serveur messagerie):
22, 25, 80, 110, 143, 443, 465, 993, 995
Minimum recommandé (SSL seulement, pas de messagerie):
22, 443
Maximum recommandé (SSL seul., serveur de messagerie):
22, 25, 443, 993, 995
Le scanneur de ports
Il existe plusieurs outils qui vous permettent de vérifier votre installation pour les ports ouverts. Un outils qui est
disponible sous *NIX et Windows est Nmap, qu’on peut trouver ici : http://www.insecure.org/nmap
Installez Nmap sur votre machine et vérifiez les ports ouverts de votre serveur.
6.1.1.3
Affichage du résultat d’un scanneur de ports
Ici un exemple de résultat de scan nmap sur un serveur. Nmap vous montre les ports disponibles pour la
connexion sur ce serveur.
[root@server root]# nmap -sV yourserver.com
Starting nmap 3.45 ( http://www.insecure.org/nmap/ ) at 2003-09-17 00:48 CEST
Interesting ports on xxx.xxx.xx.xxx:
(The 1651 ports scanned but not shown below are in state: closed)
PORT
STATE
SERVICE
VERSION
22/tcp open
ssh
OpenSSH 3.1p1 (protocol 2.0)
80/tcp open
http
Apache httpd 1.3.27 ((Unix) (Red-Hat/Linux) mod_ssl/2.8.12
OpenSSL/0.9.6b PHP/4.1.2 mod_perl/1.26)
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
443/tcp open
ssl
OpenSSL
Nmap run completed -- 1 IP address (1 host up) scanned in 23.000 seconds
6.1.1.4
Désactivation des services non nécessaires
Si Nmap a trouvé des services non nécessaires sur votre serveur, stoppez-les. Après le redémarrage du
serveur le service ne doit pas démarrer automatiquement à nouveau.
Sur une installation Red Hat vous pouvez utiliser la commande suivante pour stopper et désactiver un
service :
[root@server home]# service nom_du_service stop
[root@server home]# chkconfig –level 345 nom_du_service off
Reiner Jung
Install and Secure eGroupWare
Page 22 of 68
Sur une installation Debian vous pouvez utiliser les outils suivants:
Server:~# /etc/init.d/ nom_du_service stop
Server:~# rcconf
6.1.2
Désinstallation des logiciels non nécessaires de votre serveur
La plupart des systèmes d’exploitation installent par défaut une quantité de logiciels, ce qui n’est pas
indispensable. Pour des raisons de sécurité vous devriez effacer ces logiciels de votre serveur. Par exemple
les logiciels non obligatoires incluent les clients ftp, wget, gcc, fichiers d’entêtes et fichiers source.
Pour vérifier quels paquetages sont installés sur une distribution Linux basée sur RPM, faites ce qui suit:
[root@server home]# for i in `rpm –qa`; do rpm –qi $i >> paquetages_rpm; done
[root@server home]# less paquetages_rpm
Effacez les paquetages inutiles:
[root@server home]# rpm –e paquetage
Pour vérifier quels paquetages sont installés sur un Linux basé Debian, vous avez beaucoup d’outils. Par
exemple:
Server:~# aptitude
6.1.3
Vérifications locales pour les signes d’un rootkit
Chkrootkit est un outil pour vérifier localement la présence d’un rootkit. Chkrootkit a été testé sur: Linux 2.0.x,
2.2.x and 2.4.x, FreeBSD 2.2.x, 3.x, 4.x and 5.x, OpenBSD 2.x and 3.x., NetBSD 1.5.2, Solaris 2.5.1, 2.6 and 8.0, HP-UX
11, True64 and BSDI. Ceci contient:
•
chkrootkit: un shell script qui vérifie vos fichiers exécutables pour des modifications rootkit.
Ce qui suit est vérifié:
aliens asp bindshell lkm rexedcs sniffer wted w55808 scalper slapper z2 amd
basename biff chfn chsh cron date du dirname echo egrep env find fingerd gpm
grep hdparm su ifconfig inetd inetdconf init identd killall ldsopreload login ls lsof mail
mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd
slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed traceroute vdir w
write
Reiner Jung
•
ifpromisc.c: vérifie si l’interface réseau est en mode bavard « promiscuous mode».
•
chklastlog.c: vérifie les effacements lastlog.
•
chkwtmp.c: vérifie les effacements wtmp.
•
check_wtmpx.c: vérifie les effacements wtmpx. (Solaris seulement)
Install and Secure eGroupWare
Page 23 of 68
•
chkproc.c: vérifie les signes de chevaux de Troie LKM (Loadable Kernel Module).
•
chkdirs.c: vérifie les signes de chevaux de Troie LKM (Loadable Kernel Module).
•
strings.c: remplacements de chaînes de caractères « quick and dirty » (à la va-vite)
Vous pouvez télécharger chkrootkit comme un paquetage RPM ou comme un paquetage tar.gz en cliquant un
des liens suivants (maintenez Ctrl enfoncé quand vous cliquez):
chkrootkit.tar.gz
chkrootkit RPM
6.1.3.1
Extrait de l’affichage du résultat d’un chkrootkit
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
6.1.3.2
Installation du RPM chkrootkit
Le RPM chkrootkit devrait fonctionner avec toutes les distributions basées sur RPM.
Téléchargez-le depuis l’adresse ci-dessus et installez-le comme suit:
[root@server tmp]# rpm –ivh chkrootkit-x.xx-x.i386.rpm
Après installation, vous pouvez modifier le chkrootkit_cronfile pour mieux garnir vos besoins. Cette étape
n’est pas nécessaire, mais rend votre rapport plus unique.
[root@server tmp]# vi /etc/cron.daily/chkrootkit_cronfile
#!/bin/sh
cd /usr/bin ./chkrootkit 2> /dev/null | mail –s “chkrootkit output” root
Modifiez les valeurs suivantes:
Reiner Jung
Install and Secure eGroupWare
Page 24 of 68
6.1.3.3
“chkrootkit output”
to
“resultat chkrootkit monserveur”
root
to
votre_adresse_email@monserveur.com
Installation du chkrootkit depuis le fichier tar.gz
Décompressez et installez Chkrootkit
[root@server tmp]# cp chkrootkit.tar.gz /usr/local; rm chkrootkit.tar.gz
[root@server tpm]# cd /usr/local/
[root@server local]# tar xzvf chkrootkit.tar.gz
[root@server local]# mv chkrootkit-x.xx chkrootkit
[root@server local]# chown –R root.root chkrootkit
[root@server chkrootkit]# cd chkrootkit
[root@server chkrootkit]# make sense
Afin que chkrootkit vous envoie ses rapports, vous avez deux possibilités: créer un fichier chkrootkit_cronfile
ou ajouter une ligne au fichier crontab.
Pour créer un chkrootkit_cronfile:
[root@server cron.daily]# vi chkrootkit_cronfile
#!/bin/sh
cd /usr/local/chkrootkit ./chkrootkit 2> /dev/null | mail –s “resultat chkrootkit monserveur” votre_adr_email
Ou alors ajoutez la ligne suivante à votre crontab:
0 1
* * * root
(cd /usr/local/chkrootkit; ./chkrootkit 2>&1 | mail –s
" resultat chkrootkit " votre_adr_email)
Maintenant chkrootkit vous enverra un rapport à l’adresse ci-dessus.
6.1.4
Administration sécurisée de votre serveur
Si vous désirez administrer votre serveur en toute sécurité, utilisez SSH (secure shell). Avec SSH, toutes les
connexions sont encryptées, alors qu’avec d’autres protocoles tels que telnet et ftp, les comptes et mots de
passe sont transmis non encryptés (en clair). Le transfert des mots de passe et des informations de compte sont
faciles à « sniffer » pour un agresseur si s’ils sont transmis en clair. Avec les mots de passe « sniffés », un pirate peut
se connecter avec votre compte.
Reiner Jung
Install and Secure eGroupWare
Page 25 of 68
 Si possible, n’utilisez que des connexions SSHv2 et jamais SSHv1. Ce dernier a un trou de sécurité qui peut
permettre le décryptage d’une information par un assaillant. Aussi n’utilisez pas votre compte root pour vous
connecter à votre serveur distant. Connectez-vous avec un utilisateur normal et utilisez su ou sudo pour les
tâches d’administration sur le serveur.
6.1.4.1
Connexion à votre serveur à travers une session sécurisée
Si votre serveur supporte les connexions SSH, alors il est facile de l’administrer à distance. Vous n’avez qu’à
vous connecter à votre serveur avec votre client SSH.
 La première fois que vous vous connectez à un serveur particulier avec SSH, vous recevrez un
avertissement comme suit. Vous devrez acquitter l’avertissement avec yes afin de continuer la
connexion au serveur.
[user@client home]$ ssh votreserveur
The authenticity of host 'votreserveur (100.178.76.207)' can't be established.
RSA key fingerprint is 7e:8e:55:8b:49:57:5d:41:40:ab:93:64:18:af:60:ea.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'votreserveur' (RSA) to the list of known hosts.
Connectez-vous à votre serveur pour de l’administration distante:
[user@client home]$ ssh votreserveur
Copiez des fichiers vers votre serveur avec copie sécurisée (scp):
[user@client home]$ scp votrefichier.txt votreserveur:/home/
Vous pouvez aussi utiliser sftp pour travailler avec un client ftp sécurisé:
[user@client home]$ sftp yourserver
 Avec certaines installations Linux les fonctions scp sont désactivées par défaut (par exemple
dans certaines versions de Debian). Si vous voulez l’activer, vous devez ajouter la ligne suivante
au fichier sshd_config de votre serveur.
Sur un système Debian ajoutez la ligne suivante:
subsystem sftp /usr/lib/sftp-server
Sur un système Red Hat ajoutez la ligne suivante:
subsystem sftp /usr/libexec/openssh/sftp-server
6.1.4.2
Travailler avec des paires de clés SSH
Utiliser des des paires de clés SSH a deux avantages. Le premier est que vous n’avez pas besoin de typer
votre mot de passe chaque fois que vous vous connectez au serveur, et le second est que c’est plus
Reiner Jung
Install and Secure eGroupWare
Page 26 of 68
sécurisé. Quand vous utilisez des paires de clés vous pouvez permettre l’utilisation d’authentification avec un
mot de passe différent que votre compte sur le serveur.
 Vous avez besoin d’une paire de clés séparées pour chaque utilisateur qui doit se connecter au serveur.
6.1.4.2.1
Création d’une paire de clés sécurisée
Vous devez créer la paire de clés ssh du côté client comme suit :
[user@client home]$ ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_dsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /user/.ssh/id_dsa.
Your public key has been saved in /user/.ssh/id_dsa.pub.
The key fingerprint is:
f0:00:f7:95:e9:73:37:11:aa:e8:06:3e:60:9e:0d:25 user@yourserver
6.1.4.2.2
Copie de votre clé publique sur le serveur
Vous devez copier votre nouvelle clé publique (*.pub) de votre client local vers le serveur :
[user@client home]$ scp .ssh/id_dsa.pub useratserver@votreserveur:/home/votreutilisateur/
Installez la clé publique sur votre serveur:
[user@client home]$ ssh votreserveur
[user@server home]$ cat id_dsa.pub >> .ssh/authorized_keys
[user@client home]$ chmod 600 .ssh/authoritzed_keys
Maintenant, si vous vous connectez au serveur, celui-ci vous demande le mot de passe que vous avez typé
quand vous avez créé la paire de clés SSH. Si vous ne voulez pas le typer chaque fois que vous vous
connectez au serveur, vous pouvez utiliser ssh-add.
6.1.4.2.3
L’outil ssh-add
Si vous vous connectez souvent à votre serveur (ou différents serveurs), vous pouvez utiliser l’outil ssh-add
pour stocker le mot de passe de votre clé ssh. Ensuite vous typez votre mot de passe une fois et il est
stocké pour vous durablement :
[user@client home]$ ssh-add
Enter passphrase for /home/votreutilisateur/.ssh/id.dsa:
Identify added: /home/votreutilisateur/.ssh/id.dsa (/home/votreutilisateur/.ssh/id.dsa)
Reiner Jung
Install and Secure eGroupWare
Page 27 of 68
6.1.4.2.4
Sécurisation de votre client SSH
Il y a une ligne importante dans le fichier de configuration de votre client SSH. Vérifiez que la ligne
suivante figure bien dans votre fichier ssh_config:
Protocol 2
Ceci permet à vos connexions clientes seulement la version 2 du protocole SSH.
6.1.4.2.5
Sécurisation de votre SSHD
Pour votre service SSH (SSHD) vous pouvez utiliser les valeurs suivantes pour le rendre plus sécurisé:
Protocol 2
PermitRootLogin no
PubKeyAuthentication yes
PasswordAuthentication no
PermitEmptyPassword no
6.1.5
Installation de logiciels pour surveiller les journaux de votre serveur
L’analyse de vos fichiers de journaux « log files » est une obligation pour chaque administrateur. Si vous ne le
faites pas, vous n’avez aucune chance de repérer les problèmes de sécurité ou les anomalies. Il existe
plusieurs produits sur le marché qui peuvent vous aider à surveiller vos fichiers de journaux :
logcheck
logwatch
logsurfer
Logcheck est recommandé. Logcheck fonctionnera sous Linux, BSD, Sun, et HP-UX. Il est facile à installer et
fabrique des rapports clairs. Pour installer logcheck, typez ce qui suit depuis le répertoire principal logcheck
après avoir « détaré » les fichiers:
[root@server logcheck-1.1.1]# make linux
Pour l’exécuter automatiquement, vous devez ajouter une ligne à votre fichier crontab. Sous RedHat, c’est
/etc/crontab. Ouvrez le fichier et ajoutez la ligne:
00 * * * * root /bin/sh /usr/local/etc/logcheck.sh
Editez le shell script logcheck pour y ajouter le récipient d’envoi du rapport. Le récipient est la valeur de la
variable SYSADMIN dans le script.
[root@egroupware logcheck-1.1.1]# vi /usr/local/etc/logcheck.sh
Pour recevoir des rapports plus détaillés, les utilisateurs avancés peuvent aussi éditer les lignes suivantes:
logcheck.violations
logcheck.violations.ignore
Reiner Jung
Install and Secure eGroupWare
Page 28 of 68
logcheck.hacking
logcheck.ignore
6.1.6
Environnement de détection d’intrusion
Installez un environnement de détection d’intrusion afin de garantir l’intégrité de vos fichiers système et pour
détecter les modifications de votre serveur.
Il existe plusieurs solutions disponibles pour les systèmes basés sur *nix:
AIDE
Tripwire
Samhain
Des trois ci-dessus, AIDE est le plus facile à configurer.
6.1.6.1
Installation de AIDE
La plupart des distributions ont AIDE inclus et vous pouvez l’installer avec un outil standard comme RPM ou
apt-get.
AIDE dépend du paquetage mhas, que vous devez installer aussi. Si aucun paquetage n’est disponible pour
votre plateforme, vous devez le compiler vous-même avec:
./configure
make
make install
6.1.6.2
Le fichier de configuration AIDE aide.conf
Vous devez configurer le fichier aide.conf pour que tous les fichiers importants de votre système soient
vérifiés et pour réduire les fausses alarmes.

Mettez les fichiers /etc/aide.conf, /usr/sbin/aide and /var/lib/aide/aide.db.gz in dans un endroit
sécurisé, c’est-à-dire sur un média en lecture seule (comme un CD-ROM). Aussi, gardez l’empreinte MD5 ou
la signature GPG de ces fichiers dans un endroit sécurisé, ainsi vous avez un moyen de vérifier que personne
n’a modifié ces fichiers.
# Exemple de fichier de configuration pour AIDE.
@@define DBDIR /var/lib/aide
# The location of the database to be read.
database=file:/mnt/floppy/aide.db.gz
# The location of the database to be written.
Reiner Jung
Install and Secure eGroupWare
Page 29 of 68
database_out=file:@@{DBDIR}/aide.db.new.gz
# Whether to gzip the output to the database
gzip_dbout=yes
# Default.
verbose=5
report_url=file:/var/log/aide.log
report_url=stdout
# These are the default rules.
#
#p:
permissions
#i:
inode:
#n:
number of links
#u:
user
#g:
group
#s:
size
#b:
block count
#m:
mtime
#a:
atime
#c:
ctime
#S:
check for growing size
#md5:
md5 checksum
#sha1: sha1 checksum
#rmd160: rmd160 checksum
#tiger: tiger checksum
#haval: haval checksum
#gost: gost checksum
#crc32: crc32 checksum
#R:
p+i+n+u+g+s+m+c+md5
#L:
p+i+n+u+g
#E:
Empty group
#>:
Growing logfile p+u+g+i+n+S
# You can create custom rules like this.
NORMAL = R+b+sha1
DIR = p+i+n+u+g
# Next decide what directories/files you want in the database.
/boot NORMAL
/bin
NORMAL
/sbin NORMAL
Reiner Jung
Install and Secure eGroupWare
Page 30 of 68
/lib
NORMAL
/opt
NORMAL
/usr
NORMAL
/root NORMAL
# Check only permissions, inode, user and group for /etc, but
# cover some important files closely.
/etc
p+i+u+g
!/etc/mtab
/etc/exports NORMAL
/etc/fstab
NORMAL
/etc/passwd NORMAL
/etc/group
NORMAL
/etc/gshadow NORMAL
/etc/shadow NORMAL
Lancez "aide --init" pour construire la base de données initiale.
[root@server root]# /mnt/floppy/aide --init
Copiez /var/lib/aide/aide.db.new.gz vers un endroit sécurisé
[root@server root]# cp /var/lib/aide/aide.db.new.gz /mnt/floppy/var/lib/aide/aide.db.gz
Vérifiez votre système pour trouver des inconsistances grâce à la base de données AIDE. Avant de lancer
une vérification manuelle, soyez bien sûr que les fichiers binaires et la base de données n’aient pas été
modifiés à votre insu.
[root@server root]# /mnt/floppy/aide --check
6.1.6.3
Création d’un fichier cronjob pour lancer AIDE automatiquement
Ce fichier est inclu dans le paquetage AIDE de Debian, donc si vous avez installé AIDE depuis a.deb vous
n’avez pas besoin de créer ce fichier vous-même. Le fichier ci-dessous est un exemple modifié pour RedHat
/ Fedora Linux.
Si vous voulez créer un fichier cron pour une autre distribution vous devrez probablement modifier les
chemins.
#!/bin/sh
PATH="/bin:/usr/sbin:/usr/bin"
LOGFILE="/var/log/aide.log"
CONFFILE="/etc/aide.conf"
ERRORLOG="/var/log/error.log"
[ -f /usr/sbin/aide ] || exit 0
Reiner Jung
Install and Secure eGroupWare
Page 31 of 68
MAILTO=”votrecompte”
DATABASE=`grep "^database=file:/" $CONFFILE | head -1 | cut -d: -f2`
LINES=”1000”
FQDN=`hostname -f`
DATE=`date +"at %X on %x"`
[ -z "$MAILTO" ] && MAILTO="root"
if [ ! -f $DATABASE ]; then
(
echo "Fatal error: The AIDE database does not exist!"
echo "This may mean you haven't created it, or it may mean that someone has removed it."
) | /bin/mail -s "Daily AIDE report for $FQDN" $MAILTO
exit 0
fi
aide --check >$LOGFILE 2>$ERRORLOG
(cat << EOF;
This is an automated report generated by the Advanced Intrusion Detection
Environment on $FQDN ${DATE}.
EOF
if [ -s $LOGFILE ]; then
loglines=`wc -l $LOGFILE | awk '{ print $1 }'`
if [ ${loglines:=0} -gt $LINES ]; then
echo
echo "TRUNCATED (!) output of the daily AIDE run:"
echo "Output is $loglines lines, truncated to $LINES."
head -$LINES $LOGFILE
echo "The full output can be found in $LOGFILE."
else
echo "Output of the daily AIDE run:"
cat $LOGFILE
fi
else
echo "AIDE detected no changes."
fi
if [ -s $ERRORLOG ]; then
errorlines=`wc -l $ERRORLOG | awk '{ print $1 }'`
if [ ${errorlines:=0} -gt $LINES ]; then
echo "TRUNCATED (!) output of errors produced:"
echo "Error output is $errorlines lines, truncated to $LINES."
head -$LINES $ERRORLOG
echo "The full output can be found in $ERRORLOG."
Reiner Jung
Install and Secure eGroupWare
Page 32 of 68
else
echo "Errors produced:"
cat $ERRORLOG
fi
else
echo "AIDE produced no errors."
fi
) | /bin/mail -s "Daily AIDE report for $FQDN" $MAILTO

Il n’est pas recommandé de lancer les vérifications par AIDE sans vérifier vous-même AIDE
fréquemment. De plus, AIDE n’implémente pas de mot de passe ou de protection par encryption pour
protéger ses propres fichiers.
6.1.6.4
Exemple de rapport AIDE
Le rapport que AIDE créée vous montre tous les changements dans votre système de fichiers. Veuillez
comparer le rapport avec les modifications que vous avez faites. (p.ex. installation d’une mise à jour ou
modification de la configuration de votre serveur).
This is an automated report generated by the Advanced Intrusion Detection
Environment on egroupware at 05:27:16 PM on 02/14/2004.
Output of the daily AIDE run:
AIDE found differences between database and filesystem!!
Start timestamp: 2004-02-14 17:27:16
Summary:
Total number of files=34691,added files=2,removed files=0,changed files=5
Added files:
added:/etc/cron.daily/aide
added:/var/log/error.log
Changed files:
changed:/etc/aide.conf
changed:/root
changed:/root/.viminfo
changed:/root/.bash_history
changed:/root/chkrootkit-0.43-1.i386.rpm
Detailed information about changes:
File: /etc/aide.conf
Inode
: 89090
, 89173
Directory: /root
Reiner Jung
Install and Secure eGroupWare
Page 33 of 68
Mtime
: 2004-02-14 16:35:58
, 2004-02-14 17:27:12
Ctime
: 2004-02-14 16:35:58
, 2004-02-14 17:27:12
File: /root/.viminfo
Size
: 6683
, 6513
Mtime
: 2004-02-14 16:35:58
, 2004-02-14 17:27:12
Ctime
: 2004-02-14 16:35:58
, 2004-02-14 17:27:12
Inode
: 111362
, 111363
MD5
: UM0erzXMWPEdiCgKV/t91g==
, l9E0UBQu7PKTCJiS3b2Fzw==
SHA1
: jNlzWrSY/Q4zk3Rd7dnpyth2a0Y=
, R1wFnTg2scWSaRnn47zcZ+syS3E=
File: /root/.bash_history
Size
: 14824
, 14872
Mtime
: 2004-02-14 16:16:30
, 2004-02-14 16:48:32
Ctime
: 2004-02-14 16:16:30
, 2004-02-14 16:48:32
MD5
: zlVCx+39n8XLd3/ip757vA==
, nCs18yzJdwDD/BfsUssuhQ==
SHA1
: Al8brD3i+B6P2RMxpn6IaC+I5fE=
, bWBEjLA0Hnt6XXTszkzKi8gaTZQ=
File: /root/chkrootkit-0.43-1.i386.rpm
Permissions: -rw-r--r--
, -rw-r-----
Ctime
, 2004-02-14 16:51:06
: 2004-01-26 13:43:35
AIDE produced no errors.
6.1.6.5
Création d’une nouvelle base de données après modifications
Après vérification de votre rapport vous devez créer une nouvelle base de données et l’enregistrer vers un
endroit sûr. Lancez la mise à jour de votre base de données après chaque rapport vérifié!
[root@server root]# /mnt/floppy/aide --init
[root@server root]# cp /var/lib/aide/aide.db.new.gz /mnt/floppy/var/lib/aide/aide.db.gz
6.1.7
Sécurité des services (daemons)
Sous *nix faites tourner vos services nécessaires dans un environnement chroot.
Utilisez les TCP Wrappers ou xinetd pour sécuriser vos services.
6.1.8
Pare-feu
Configurez un pare-feu sur votre serveur pour protéger votre système.
Reiner Jung
Install and Secure eGroupWare
Page 34 of 68
6.2
Sécurité des Application Internet
Avec un logiciel de sécurité d’application Internet vous pouvez sécuriser vos applications basées sur le web
comme eGroupWare contre les injonctions SQL « SQL injunction », des scripts traversants « Cross Side Scripting »
et autres attaques. Il y a plusieurs applications sur le marché destinés aux serveurs web Apache et IIS. Deux outils
provenant de l’open source:
ModSecurity (pour Apache Web server 1.3x et 2.x)
IISShield (pour Internet Information Server)
ModSecurity est un moteur open source de détection d’intrusion et de prévention pour les applications web.
Il est intégré dans le serveur web, agissant comme un puissant parapluie – protégeant les applications des
attaques. ModSecurity supporte Apache 1.3x et Apache 2.x.
6.2.1
Installation de ModSecurity
« Détarer » les sources mod_security :
[root@server tmp]# tar xzvf mod_security-x.x.x.tar.gz
Aller dans le répertoire mod_security:
[root@server tmp]# cd mod_security-x.x.x/apache2
Vous pouvez compiler le module comme un module DSO (Dynamic Shared Object) ou statiquement dans le
serveur web. Si vous le compilez en statique, vous devez aussi recompiler Apache. Vous pouvez gagner en
performances, mais en général ce n’est pas énorme. L’exemple suivant vous montre comment compiler
ModSecurity en tant que module DSO:
[root@server apache2]# apxs -cia mod_security.c
Avec Redhat, ajoutez la ligne suivante à votre fichier httpd.conf dans la section de chargement des modules:
[root@server mod_security-1.7.4]# vi /etc/httpd/conf/httpd.conf
Include /etc/httpd/conf.d/mod_security.conf
Vous devez redémarrer votre serveur web Apache pour activer ModSecurity:
[root@server mod_security-1.7.4]# apachectl stop
[root@server mod_security-1.7.4]# apachectl start
6.2.2
Configuration de base
ModSecurity a des fichiers d’exemples de configuration pour vous aider à le configurer. Vous pouvez aussi
convertir des règles Snort afin de les utiliser dans ModSecurity. Des exemples de règles Snort peuvent être
trouvées sur le serveur de projet, ou alors vous pouvez les convertir vous-même.
<IfModule mod_security.c>
# Turn the filtering engine On or Off
Reiner Jung
Install and Secure eGroupWare
Page 35 of 68
SecFilterEngine On
# Make sure that URL encoding is valid
SecFilterCheckURLEncoding On
# The audit engine works independently and
# can be turned On of Off on the per-server or
# on the per-directory basis. "On" will log everything,
# "DynamicOrRelevant" will log dynamic requests or violations,
# and "RelevantOnly" will only log policy violations
SecAuditEngine RelevantOnly
# The name of the audit log file
SecAuditLog logs/audit_log
SecFilterDebugLog logs/modsec_debug_log
SecFilterDebugLevel 0
# Should mod_security inspect POST payloads
SecFilterScanPOST On
# Action to take by default
SecFilterDefaultAction "deny,log,status:500"
# Prevent path traversal (..) attacks
SecFilter "\.\./"
# Weaker XSS protection but allows common HTML tags
SecFilter "<[[:space:]]*script"
# Very crude filters to prevent SQL injection attacks
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
# Require HTTP_USER_AGENT and HTTP_HOST headers
SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$"
</IfModule>

Prudence! La configuration de ModSecurity dépend des autres modules que vous utilisez. Vous devez
régler finement cette configuration quand vous recevez des erreurs. N’utilisez que les filtres requis par votre
Reiner Jung
Install and Secure eGroupWare
Page 36 of 68
serveur. Par exemple, quand vous utilisez un serveur basé sur Linux, vous n’avez pas besoin de tester ou d’utiliser
les règles pour Windows.
6.2.3
Test de ModSecurity
Vous pouvez lancer un test rapide des fonctionnalités de ModSecurity. Allez dans le répertoire de test de
modsecurity et lancez quelques exemples de tests:
[root@server tests]# ./run-test.pl votreAdresseIP 09-directory-traversal-in-parameters.test
11-xss-attack.test 13-sql-injection.test
Test "09 Directory traversal in parameters": Failed (status = 406)
Test "11 XSS attack": Failed (status = 406)
Test "13 SQL injection": Failed (status = 406)
6.2.4
Exemple de journal de ModSecurity
Voici un exemple de journal des tests ci-dessus:
Request: xxx.xxx.xxx.xxx - - [[21/Feb/2004:20:40:29 +0100]] "GET
/cgi-bin/modsec-test.pl?p=../../tmp/file.txt HTTP/1.0" 406 352
Handler: cgi-script
---------------------------------------GET /cgi-bin/modsec-test.pl?p=../../tmp/file.txt HTTP/1.0
Host: xxx.xxx.xxx.xxx :80
User-Agent: mod_security regression test utility
Connection: Close
mod_security-message: Access denied with code 406. Pattern match "\.\./"
at THE_REQUEST.
mod_security-action: 406
HTTP/1.0 406 Not Acceptable
Content-Length: 352
Connection: close
Content-Type: text/html; charset=iso-8859-1
========================================
Request: xxx.xxx.xxx.xxx - - [[21/Feb/2004:20:40:29 +0100]] "GET
/cgi-bin/modsec-test.pl?p=<script>alert('Bang!')</script> HTTP/1.0" 406
352
Handler: cgi-script
---------------------------------------GET /cgi-bin/modsec-test.pl?p=<script>alert('Bang!')</script> HTTP/1.0
Host: xxx.xxx.xxx.xxx:80
User-Agent: mod_security regression test utility
Reiner Jung
Install and Secure eGroupWare
Page 37 of 68
Connection: Close
mod_security-message: Access denied with code 406. Pattern match "<(
|\n)*script" at THE_REQUEST.
mod_security-action: 406
HTTP/1.0 406 Not Acceptable
Content-Length: 352
Connection: close
Content-Type: text/html; charset=iso-8859-1
========================================
Request: xxx.xxx.xxx.xxx - - [[21/Feb/2004:20:40:29 +0100]] "GET
/cgi-bin/modsec-test.pl?p=DELETE%20FRoM+users HTTP/1.0" 406 352
Handler: cgi-script
---------------------------------------GET /cgi-bin/modsec-test.pl?p=DELETE%20FRoM+users HTTP/1.0
Host: xxx.xxx.xxx.xxx
User-Agent: mod_security regression test utility
Connection: Close
mod_security-message: Access denied with code 406. Pattern match
"delete[[:space:]]+from" at THE_REQUEST.
mod_security-action: 406
HTTP/1.0 406 Not Acceptable
Content-Length: 352
Connection: close
Content-Type: text/html; charset=iso-8859-1
6.3
Optimisation et sécurisation du serveur Apache web
Pour sécuriser votre serveur web vous devriez désactiver tous les modules inutiles.
Activez seulement ce dont vous avez besoin pour faire fonctionner vos applications web. Faire tourner
Apache avec moins de modules augmentera aussi ses performance.
6.3.1
Modules recommandés
Ce qui suit est une vue d'ensemble des modules dont vous avez besoin pour utiliser Apache 2 avec
eGroupWare. Tous les autres modules peuvent et doivent être désactivés.
 L’optimisation du serveur Apache web n’est pas destiné aux débutants! Lorsque vous désactivez
quelques modules dans votre fichier httpd.conf vous devez certainement commenter d’autres options. Il est
fortement recommandé de désactiver un module, de stopper Apache et de le redémarrer… faites ceci un à
un! Jetez un œil aux messages d’erreurs chaque fois.
mod_access.so
mod_auth.so
mod_include.so
Reiner Jung
Install and Secure eGroupWare
Page 38 of 68
mod_log_config.so
mod_expires.so
mod_deflate.so
mod_headers.so
mod_unique_id.so
mod_setenvif.so
mod_mime.so
mod_negotiation.so
mod_dir.so
mod_alias.so
6.3.2
Autres options de configuration Apache
Vous pouvez dissimuler l’identité de votre serveur Apache web pour des raisons de sécurité.
Il existe différentes possibilités pour Apache 1.3 et Apache 2.x.
La variable ServerTokens de votre fichier httpd.conf doit avoir la valeur OS, la variable ExtendedStatus la valeur
OFF. ServerSignature doit être sur OFF, le répertoire du manuel /var/www/manual à Deny from all. Si vous
n’avez pas besoin de cgi-bin désactivez-le. AddHandler pour type-map est à commenter avec un symbole #
en début de ligne. Sous /var/www/error spécifiez Order deny,allow avec Deny from all. Les répertoires /serverstatus et /server-info ne doivent jamais être consultables publiquement pour des raisons de sécurité.
6.4
Turck MMCache
Turck MMCache est un accélérateur PHP, un optimiseur, un encodeur et cache de contenu dynamique open
source gratuit pour PHP. Il augmente les performances des scripts PHP en les mettant en cache leur contenu
compilé, ainsi le temps supplémentaire lié à la compilation est pratiquement éliminé. Il utilise aussi de
l’optimisation pour accélérer l’exécution des scripts PHP. Turck MMCache réduit habituellement la charge
serveur et augmente la rapidité de votre code PHP de 1 à 10.
Pour plus d’information sur TurckMMCache visitez leur page d’accueil de développement.
6.4.1
Prérequis
phpize est requis pour ériger le script de configuration. Vérifiez la disponibilité de phpize avec search ou locate.
Sur Fedora Linux vous devez installer php-devel pour compiler mmcache.
 RedHat Enterprise Linux 3 est publié sans le paquetage phpize. Vous devez recompiler le paquetage PHP
et construire deux paquetage de développement.
6.4.1.1
Préliminaires pour RedHat Enterprise Linux 3
Pour créer les paquetages de développement PHP vous avez besoin des paquetages suivants.
bzip2-devel curl-devel db4-devel expat-devel freetype-devel gd-devel gdbm-devel gmp-devel
pspell-devel httpd-devel libjpeg-devel, libpng-devel pam-devel libstdc++-devel libxml2-devel
ncurses-devel openssl-devel zlib-devel pcre-devel imap-devel
Les paquetages pcre-devel et imap-devel ne sont pas fournis par RedHat et vous devez les construire vousmême. Téléchargez les srpm sur votre serveur, copiez-les sur /usr/src/redhat/SRPMS, et créez les paquetages
de développement:
[root@server SRPM]#rpmbuild –rebuild pcre-x.x-xx.src.rpm
Reiner Jung
Install and Secure eGroupWare
Page 39 of 68
[root@server SRPM]#rpmbuild –rebuild imap-x.x-xx.src.rpm
Allez dans le répertoire RPM et installez les RPMs de développement sur votre serveur:
[root@server SRPM]#cd /usr/src/redhat/RPM/i386
[root@server i386]#rpm –ivh pcre-devel-x.x-xx.i386 imap-devel-xxxxx-x.rpm
Installez le RPM source de PHP sur votre serveur et allez dans le répertoire SPEC
[root@server SRPM]#cd /usr/src/redhat/SPEC
Vous devez maintenant éditer le fichier php.spec avec vi ou vim
Après la ligne 55 ajoutez les lignes suivantes au fichier:
%package devel
Group: Development/Libraries
Summary: Files needed for building PHP extensions.
%description devel
The php-devel package contains the files needed for building PHP
extensions. If you need to compile your own PHP extensions, you will
need to install this package.
Modifiez la ligne suivante de:
$RPM_BUILD_ROOT%{_bindir}/{phptar,pearize,php-config,phpextdist,phpize}
Vers:
$RPM_BUILD_ROOT%{_bindir}/{phptar,pearize}
Effacez cette ligne:
rm -rf $RPM_BUILD_ROOT%{_includedir} \
$RPM_BUILD_ROOT%{_libdir}/php
Ajoutez ce bloc après la première section %files:
%files devel
%defattr(-,root,root)
%{_bindir}/php-config
%{_bindir}/phpize
%{_bindir}/phpextdist
%{_includedir}/php
%{_libdir}/php
Enregistrez le fichier, et créez le nouveau paquetage
[root@server SPECS]# rpmbuild –bb php.spec
Installez ce paquetage php-devel sur votre serveur UNIQUEMENT !
Reiner Jung
Install and Secure eGroupWare
Page 40 of 68
6.4.2
Compatibilité
Cette version de Turck MMCache a été testée avec succès avec PHP 4.1.0-4.3.2 sous RedHat Linux 7.0, 7.3, et
8.0; RedHat ES et AS; et sous Windows avec Apache 1.3 et 2.0.
6.4.3
Installation rapide
Compilation de Turck MMCache:
export PHP_PREFIX=”/usr”
$PHP_PREFIX/bin/phpize
./configure –enable-mmcache=shared –with-php-config=
$PHP_PREFIX/bin/php-config
make
Vous devez préciser le préfixe réel où PHP est installé avec la commande “export”. Il peut s’agir de
"/usr", "/usr/local", ou autre.
Installation de Turck MMCache:
make install
Configuration de Turck MMCache:
Turck MMCache peut être installé en tant qu’extension Zend ou PHP. Vous serez amené à
éditer votre fichier php.ini (habituellement /etc/php.ini)
Pour installer une extension Zend:
zend_extension=”/usr/lib/php4/mmcache.so”
mmcache.shm_size=“16“
mmcache.cache_dir=“/tmp/mmcache“
mmcache.enable=“1“
mmcache.optimizer=“1“
mmcache.check_mtime=“1“
mmcache.debug=”0”
mmcache.filter=””
mmcache.shm_max=”0”
mmcache_ttl=”0”
mmcache.shm_prune_period=”0”
mmcache.shm_only=”0”
mmcache.compress=”1”
Si vous utilisez une version thread-safe de PHP vous devez utiliser “zend_extensions_ts” au lieu de
“zend_extension”
Pour installer une extension PHP:
extension=”mmcache.so”
mmcache.shm_size=“16“
Reiner Jung
Install and Secure eGroupWare
Page 41 of 68
mmcache.cache_dir=“/tmp/mmcache“
mmcache.enable=“1“
mmcache.optimizer=“1“
mmcache.check_mtime=“1“
mmcache.debug=”0”
mmcache.filter=””
mmcache.shm_max=”0”
mmcache_ttl=”0”
mmcache.shm_prune_period=”0”
mmcache.shm_only=”0”
mmcache.compress=”1”
mmcache.content
Création du répertoire cache:
mkdir /tmp/mmcache
chmod 0777 /tmp/mmcache
6.4.4
Interface Web
Turck MMCache peut être administré à l’aide du script d’interface web mmcache.php, vous devrez ainsi mettre
ce fichier sur votre site web. Pour des raisons de sécurité, il est recommandé de restreindre l’accès de ce script
à votre IP local.
Depuis la version 2.3.18 l’interface d’administration peut être protégée par mot de passe. Pour générer un mot
de passe, lancez le fichier mmcache_password.php depuis une ligne de commande et suivez les instructions.
Création du mot de passe mmcache:
[root@server turck-mmcache***]# php –q mmcache_password.php
Changing password for Turck MMCache Web Interface (mmcache.php)
Enter admin name: cacheadminname
New admin password: yourpassword
Retype new admin password: yourpassword
Adjoutez les lignes suivantes à votre php.ini et redémarrez HTTPD
mmcache.admin.name="cacheadminname"
mmcache.admin.password="$1$0ScD9gkb$nOEmFerNMvQ576hELeLrG0"
Reiner Jung
Install and Secure eGroupWare
Page 42 of 68
6.5
Sécurisation de votre installation PHP
Sécurisez les répertoires de votre serveur web afin qu’ils ne soient visibles que par le compte du service web.
;;;;;;;;;;;;;;;;;;;
; Language Options ;
;;;;;;;;;;;;;;;;;;;
; open_basedir, if set, limits all file operations to the defined directory
; and below. This directive makes most sense if used in a per-directory
; or per-virtualhost web server configuration file.
open_basedir = /var/www/html:/var/www/files:/tmp:/usr/share/pear:/usr/bin/crontab
; Decides whether PHP may expose the fact that it is installed on the server
; (e.g. by adding its signature to the Web server header). It is no security
; threat in any way, but it makes it possible to determine whether you use PHP
; on your server or not.
expose_php = Off
;;;;;;;;;;;;;;;;;;;
; Resource Limits ;
;;;;;;;;;;;;;;;;;;;
max_execution_time = 30
memory_limit = 24M
; Maximum execution time of each script, inseconds
; Maximum amount of memory a script may consume (8MB)
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
; Error handling and logging ;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
; Print out errors (as a part of the output). For production web sites,
; you're strongly encouraged to turn this feature off, and use error logging
; instead (see below). Keeping display_errors enabled on a production web site
; may reveal security information to end users, such as file paths on your Web
; server, your database schema or other information.
display_errors = Off
; Even when display_errors is on, errors that occur during PHP's startup
; sequence are not displayed. It's strongly recommended to keep
; display_startup_errors off, except for when debugging.
display_startup_errors = Off
; Log errors into a log file (server-specific log, stderr, or erro_ log (below))
; As stated above, you're strongly advised to use error logging in place of
; error displaying on production web sites.
Reiner Jung
Install and Secure eGroupWare
Page 43 of 68
log_errors = On
; Store the last error/warning message in $php_errormsg (boolean).
track_errors = Off
; Log errors to syslog (Event Log on NT, not valid in Windows 95).
error_log = syslog
;;;;;;;;;;;;;;;;;;;
; Data Handling ;
;;;;;;;;;;;;;;;;;;;
register_globals = OFF
 Il est plus prudent de spécifier les chemins pour session.save_path et upload_tmp_dir dans votre
fichier php.ini, et de les inclure dans les restrictions open basedir.
6.6
Création d’un certificat de serveur Web
Pour protéger la confidentialité, vous pouvez utiliser un certificat de serveur quand vous vous connectez à
une installation eGroupWare. Avec un certificat vous pouvez vous connecter au serveur web à travers une
connexion encryptée (https au lieu de http). Sans connexion https, d’autres personnes peuvent “sniffer” votre
mot de passe ou d’autres informations personnelles.
Vous avez plusieurs possibilités lorsque vous créez des certificats de serveurs web :
1.) Créez votre propre autorité de certification et signez votre certificat de serveur vous-même.
(Le niveau de confiance est bas)
2.) Utilisez une autorité de certification à but non lucratif.
https://www.cacert.org
(Le niveau de confiance est haut)
3.) Utilisez une autorité de certification commerciale.
http://www.thawte.com
https://www.verisign.com
(Le niveau de confiance est haut)
 Si vous souhaitez utiliser une autorité de certification commerciale, allez directement au chapitre 6.6.2.2.
Reiner Jung
Install and Secure eGroupWare
Page 44 of 68
6.6.1
Joindre “CA Cert “
La première étape pour recevoir un certificat de serveur est de rejoindre cacert.
Ouvrez votre navigateur et allez à l’URL suivante: https://www.cacert.org
Suivez le lien à gauche pour joindre CA Cert.
Procédez à l’enregistrement.
Remplissez toutes les informations requises pour obtenir votre compte personnel chez CA Cert.
Après avoir soumis votre mot de passe, vous recevrez plus d’instructions par Email.
6.6.2
Création de votre requête de signature de certificat
Sur votre installation serveur vous devez créer une paire de clés et une requête de signature de certificat.
6.6.2.1
Modification du fichier openssl.cnf
 Vous serez amené à modifier votre fichier openssl.cnf si vous désirez utiliser le certificat d’une autorité à
but non lucratif CA Cert. Sous Debian Linux, vous trouverez ce fichier sous /usr/lib/ssl/ et pour Red Hat le
chemin est /usr/share/ssl/
Vérifiez que votre openssl.cnf ressemble à l’exemple suivant. Les lignes importantes ici sont les lignes
commentées ou bien les modifications de la valeur de stateOrProvinceName.
[root@server ssl]# vi openssl.cnf
# For the CA policy
[ policy_match ]
countryName
= match
stateOrProvinceName
= optional
organizationName
= match
organizationalUnitName
= optional
commonName
= supplied
emailAddress
= optional
[ req_distinguished_name ]
Reiner Jung
countryName
= Country Name (2 letter code)
countryName_default
= GB
countryName_min
=2
countryName_max
=2
stateOrProvinceName
= State or Province Name (full name)
#stateOrProvinceName_default
= Berkshire
localityName
= Locality Name (eg, city)
#localityName_default
= Newbury
Install and Secure eGroupWare
Page 45 of 68
6.6.2.2
0.organizationName
= Organization Name (eg, company)
#0.organizationName_default
= My Company Ltd
organizationalUnitName
= Organizational Unit Name (eg, section)
#organizationalUnitName_default
=
Création de la clé serveur et de la requête de signature
Pour obtenir un certificat, vous devez créer une clé serveur et une requête de signature de certificat.
1.) Créez une clé serveur. La clé serveur est placée sous Debian dans le répertoire /etc/ssl/certs/
et sous Red Hat dans /etc/httpd/conf/ssl.csr/
 La commande suivante créée une clé serveur protégée par mot de passe. Si vous n’avez pas d’accès
à la console de votre serveur, NE CREEZ PAS une clé protégée par mot de passe. Votre serveur attendra sur
un mot de passe au démarrage et ne continuera pas tant que vous n’entrerez pas le mot de passe. Si vous
avez accès à la console, utilisez la clé protégée par mot de passe! C’est plus sécurisé.
[root@server ssl]# /usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key
Generating RSA private key, 1024 bit long modulus
.......++++++
................................................................++++++
e is 65537 (0x10001)
Enter PEM pass phrase:
Pour créer une clé non protégée par mot de passe:
[root@server ssl]# /usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key
Modifiez les droits d’accès pour votre clé:
[root@server ssl]# chmod go-rwx /etc/httpd/conf/ssl.key/server.key
2.) Maintenant vous devez créer votre requête de signature de certificat. Veuillez vous rappeler
de modifier les chemins de vos chemins serveur pour les clés.
[root@server ssl]# /usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key
-out /etc/httpd/conf/ssl.csr/server.csr
Using configuration from /usr/share/ssl/openssl.cnf
Enter PEM pass phrase:
Le système vous demande le mot de passe que vous avez donné quand vous avez créé la clé. Si vous avez
créé une clé sans protection par mot de passe, un mot de passe n’est pas requis.
Reiner Jung
Install and Secure eGroupWare
Page 46 of 68
You are about to be asked to enter information that will be incorporated
into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
----Country Name (2 letter code) [GB]:DE
State or Province Name (full name) []:
Locality Name (eg, city) [Newbury]:
Organization Name (eg, company) [My Company Ltd]:egroupware.org
Organizational Unit Name (eg, section) []:
Common Name (your name or server's hostname) []:egroupware.org
Email Address []:yourname@yourdomain.org
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Dans votre répertoire, vous trouverez un fichier nommé server.csr. Ce fichier doit être envoyé à votre
autorité de certification.
6.6.2.3
Envoi de la requête de signature à votre autorité de certification
La requête de signature de certificat doit être envoyée à l’autorité de certification. Ici on l’envoie à CA
Cert.
1.
Ouvrez votre navigateur et allez à l’URL suivante. https://www.cacert.org
2.
Suivez le lien « Server Certificate » -> « Login »
3.
Ajoutez un nouveau domaine.
4.
Confirmez l’email qui vous est envoyé.
5.
Suivez le lien « Certificates » -> « Requests »
6.
Copiez tout le contenu de votre fichier server.csr dans le champ texte.
7.
Approuvez le processus.
6.6.2.4
Installation du certificat serveur.
Après avoir soumis votre requête de signature de certificat, vous recevrez un email de votre autorité de
certification avec votre certificat signé. Le corps entier de l’Email doit être copié vers un fichier nommé
server.crt sur votre serveur.
Après avoir enregistré le fichier, vous devez redémarrer votre service web.
Reiner Jung
Install and Secure eGroupWare
Page 47 of 68
6.7
Le service web
Sécurisez vos répertoires web pour qu’ils ne soient visibles que par le compte du service web.
[root@server html]# chown -R root:web serveruser egroupware
[root@server html]# find egroupware -type d -exec chmod 550 {} \;
[root@server html]# find egroupware -type f -exec chmod 440 {} \;
Nous vous recommandons fortement de sécuriser votre répertoire Apache. Veuillez ajouter les lignes
suivantes à httpd.conf:
<Directory /var/www/html/egroupware>
<Files ~ "\.inc\.php$ | \.tpl$">
Order allow,deny
Deny from all
</Files>
</Directory>
6.8
Le service SQL
MySQL
Assurez-vous que votre service de base de données est actif et qu’ils soit démarré
automatiquement quand votre serveur démarre
Si vous configurez votre base de données MySQL pour la première fois, n’oubliez pas de
spécifier le mot de passe de la base de données MySQL. Dans une installation standard, le mot
de passe est vide!
Pour spécifier un mot de passe MySQL, utilisez la commande suivante:
[root@server html]# mysqladmin –u root password ‘new-password’
Le serveur MySQL inclus une base de données de test. Cette base de données n’est pas
nécessaire dans les environnements de production. Effacez cette base de données.
[root@server html]# mysql –u root –p
Enter Password:
mysql>drop database test;
Query OK, 0 rows affected (0,03 sec)
Reiner Jung
Install and Secure eGroupWare
Page 48 of 68
Pour la base de données MySQL, ajoutez le paramètre suivant pour être certain que votre
service MySQL ne puisse être utilisé que par votre hôte local (localhost). Modifiez votre
/etc/my.cnf et ajoutez la ligne suivante:
[mysqld]
bind-address=127.0.0.1
Reiner Jung
Install and Secure eGroupWare
Page 49 of 68
7
7.1
Configuration d’eGroupWare
Création de votre base de données
 Avec la nouvelle version d’eGroupWare, les scripts de configuration peuvent créer une base de données
automatiquement. Pour l’instant cela ne fonctionne qu’avec les bases de données MySQL et PostGresSQL! Pour
MSSQL, vous devez créer votre base de données manuellement. Si vous voulez qu’ eGroupWare créée votre
base de données automatiquement, allez au point 7.3
MySQL
Créez votre base de données et un compte pouvant se connecter à la base de données.
Créez la base de données:
[root@server html]# mysqladmin –u yourmysqladmin –p create database
Enter password:
Créez le compte et donnez–lui les droits d’accès à la base de données:
[root@server html]# mysql –u yourmysqladmin –p
Enter password:
mysql> grant all on egroupware.* to egroupwaredbuser@localhost
identified by “password”
PostgreSQL
Vérifiez qu’une connection à votre base de données est possible.
Avec le compte ROOT allez au compte postgres:
[root@server html]# su - postgres
Editez le fichier postgresql.conf:
-bash-2.05b$ cd data
-bash-2.05b$ vi postgresql.conf
Votre fichier devrait ressembler à l’exemple ci-dessous:
#Connection Parameter
tcpip_socket = true
#ssl = false
#max_connections = 32
port = 5432
Editez le fichier pg_hba.conf pour qu’il ressemble à cet exemple:
# TYPE DATABASE USER IP_ADDRESS MASK AUTH_TYPE AUTH_ARGUMENT
local egroupware trust
host egroupwaredbname all 127.0.0.1 255.255.255.255 md5
Reiner Jung
Install and Secure eGroupWare
Page 50 of 68
 La valeur “User” n’est disponible que depuis PostgreSQL 7.3.X
Redémarrez votre service PostgreSQL et testez sa connectivité:
[root@server html]# /etc/init.d/postgresql restart
[root@server html]# su - postgres
bash-2.05b$ psql -h localhost template1
Fermez la connectivité base de données:
template1=# \q
Configurez votre base de données PostgreSQL.
Créez un utilisateur qui a le droit d’accès à la base de données eGroupWare:
bash-2.05b$ createuser yourdbusername –P
Répondez aux questions suivantes avec yes:
bash-2.0.5b$ Shall the new user be allowed to create databases?
(y/n) Y
bash-2.0.5b$ Shall the new user be allowed to create more new
users? (y/n) N
Créez la nouvelle base de données eGroupWare:
bash-2.05b$ createdb -U yourdbusername yourdatabasename
7.2
Comment démarrer la configuration?
Pointez votre navigateur à l’URL de votre serveur afind d’ouvrir les menus de configuration:
https://www.votreserveur.com/egroupware/setup
Vous serez redirigé vers une vérification de l’installation eGroupWare qui est la prochaine étape.
7.3
Vérification de l’installation eGroupWare
Si aucun fichier header.inc.php n’est créé, eGroupWare vérifie quelques paramètres dans vos fichiers php.ini
et votre système de fichiers local. La vérification vous montre les erreurs et les avertissements.
 Les erreurs s’affichent en rouge et doivent être corrigées par vous-même!
Les avertissement peuvent être ignorés. Par exemple, vous pourriez voir un avertissement au sujet du
safe_mode. Si vous savez comment configurer les restrictions du safe_mode, ce ne sera pas un problème
pour vous, mais pour les nouveaux utilisateurs il serait mieux de désactiver cette fonction.
Reiner Jung
Install and Secure eGroupWare
Page 51 of 68
7.4
Création de votre header.inc.php
La plupart des parties de configuration de votre header.inc.php sont assez explicites. Ce menu est
disponible dans d’autres langues que l’anglais, mais il se pourrait que cela ne soit pas encore traduit dans
votre langue.
Pour l’instant eGroupWare supporte les bases de données MySQL, PostgreSQL et MSSQL.
Avec la boîte de sélection de domaine, vous pouvez configurer plus d’un environnement eGroupWare. Par
exemple vous pouvez avoir un environnement pour la production et un domaine séparé pour la formation.
 Si vous installez votre base de données manuellement, comme à l’étape 6.1, vous avez spécifié un nom
de base de données, un utilisateur et un mot de passe. Si vous voulez qu’eGroupWare créée la base de
données automatiquement, vous devez auparavant renseigner ses valeurs ici.
Les champs suivants décrivent quelle base de données vous désirez utiliser pour eGroupWare et quels
utilisateurs peuvent s’y connecter. N’utilisez pas le compte administrateur pour vous connecter à la base de
données. Créez un compte séparé !
DB Host
Si votre base de données fonctionne sur la
même machine que votre installation
eGroupWare ce sera localhost.
Vous pouvez utiliser un serveur séparé pour
DB Name
accueillir votre base de données.
Le nom de la base de données que vous
voulez créer sur votre serveur de base de
DB User
DB Password
DB Type
données.
Le compte avec lequel eGroupWare se
connecte à la base de données.
Le mot de passe de l’utilisateur de la base de
données.
Sélectionnez le type de base de données.
Téléchargez le fichier header.inc.php créé sur votre machine locale, copiez-le dans votre répertoire racine
eGroupWare, et modifiez les droits d’accès pour que seul le serveur web puisse le lire.
Reiner Jung
Install and Secure eGroupWare
Page 52 of 68
[user@server tmp]$ scp header.inc.php youregwserver:/tmp
[user@server tmp]$ ssh youregwserver
[user@youregwserver user]$ su –
Password:
[root@server root]# mv /tmp/header.inc.php /var/www/html/egroupware; chmod 400
/var/www/html/egroupware/header.in.php;
chown apache /var/www/html/egroupware/header.in.php
Continuez avec votre navigateur pour aller à l’étape suivante.
7.5
Administration Installation / Configuration
Après que vous ayez terminé la création du fichier header.inc.php et avez continué, vous verrez une
nouvelle fenêtre qui vous permet de vous connecter. Connectez vous à Administration Installation /
Configuration « Setup/Config Admin Login » avec l’utilisateur et mot de passe que vous avez spécifié à
l’étape précédente (7.4)
7.5.1
Etape 1 – Gestion simplifiée des applications
Ici vous avez deux possibilités: si vous voulez créer automatiquement une base de données alors allez à
Créer la base de données. Si vous avez créé une base de données manuellement, alros allez au point Créer
les tables
Création de la base de données:
Complétez le formulaire suivant pour créer la base de données automatiquement:
DB root username
comptePrincipal
DB Password motDePasseComptePrincipal
Cliquez sur Création base de données « Create Database »
Reiner Jung
Install and Secure eGroupWare
Page 53 of 68
Cliquez sur Re-vérifier mon installation “Re-Check My Installation”:
S’il n’y a pas d’erreur vous pouvez installer les tables. Cliquez sur Installation « Install »:
Maintenant observez le résultat. Si vous ne voyez pas d’erreur, continuez avec Re-vérifier mon installation
« Re-Check My Installation »:
7.5.2
Etape 2 – Configuration
La plupart des étape sont assez explicites. Seulement quelques points mal compris sont décrits ici.
7.5.2.1
Création du répertoire d’accueil des fichiers
Vous devez créer le répertoire d’accueil des fichiers manuellement au prompt. Dans ce répertoire,
eGroupWare stockera les attachements des modules Infolog, Gestionnaire de fichiers « Filemanager » et autres
applications.
 Ce répertoire doit se trouver à l’extérieur du répertoire racine de votre service web! Si vous ne savez pas
où se trouve ce répertoire racine, regardez dans votre fichier httpd.conf ou tapez cette commande sous
Linux :
[root@server www]$ cat /etc/httpd/conf/httpd.conf | grep ^DocumentRoot
DocumentRoot “/var/www/html”
Reiner Jung
Install and Secure eGroupWare
Page 54 of 68
Créez le répertoire d’accueil des fichiers et les sous-répertoires nécessaires:
[root@server www]$ mkdir /var/www/files
[root@server www]$ mkdir /var/www/files/users /var/www/files/groups
Vous devez donner au serveur web les droits en lecture et écriture à ces répertoires:
[root@server www]$ chown –R apache.apache /var/www/files
[root@server www]$ chmod –R 0700 /var/www/files
7.5.2.2
Edition de la configuration actuelle
Informations de chemin
Entrez les valeurs nécessaires pour vos Informations de chemin
Le répertoire tmp est utilisé pour stocker les sessions et autres informations de votre installation
eGroupWare. Quand vous faites tourner votre installation eGroupWare dans un environnement
« chroot » ou avec des restrictions « open_basedir » dans votre php.ini, modifiez votre chemin
en conséquence
Le chemin complet pour les utilisateurs et groupes doivent se trouver à l’extérieur du répertoire
racine de votre service web pour des raisons de sécurité. Il n’est pas possible d’avoir un
répertoire à l’intérieur du répertoire racine de votre service web.
Entre la location de l’URL d’eGroupWare. Si vous désirez utiliser des connexions HTTPS et http,
utilisez /egroupware (si vous voulez forcer l’utilisation d’HTTPS, alors spécifiez
https://votredomaine/egroupware)
Veuillez ne pas modifier le sélecteur des types d’images standard par défaut (qui peut être
différent de l’exemple ci-dessous). Ceci pourrait détériorer l’apparence de l’interface
utilisateur.
Reiner Jung
Install and Secure eGroupWare
Page 55 of 68
Informations d’hôte
Entrez le nom d’hôte de votre serveur « hostname ». Celui-ci doit avoir un nom DNS correct ou
une adresse IP sous laquelle l’installation fonctionnera.
Si votre installation eGroupWare se trouve derrière un serveur Proxy (comme SQUID), et que
vous désirez utiliser les applications Manuel / Aide, Titres ou Actions, vous devez ajuster les
valeurs pour le Proxy.
Authentification/Comptes
Il existe plusieurs types d’authentification : SQL, SQL/SSL, LDAP, Mail; HTTP, NIS and PAM.
Choisissez le type désiré pour authentifier les comptes eGroupware.
Choisissez un type d’encryption pour les mots de passe des utilisateurs. Ceux-ci seront stockés
encryptés dans votre base de données.
Si vous désirez utiliser un arbre LDAP pour authentification dans différentes installations
eGroupware, vous pouvez vous servir des préfixes de comptes.
Utilisez des noms d’utilisateurs contenant des majuscule et des minuscules pour une meilleure
sécurité.
Reiner Jung
Install and Secure eGroupWare
Page 56 of 68
Si vous utilisez LDAP
Si vous n’utilisez pas LDAP, il n’est pas nécessaire de remplir ces champs. Si vous désirez utiliser LDAP, veuillez
consulter phpgwapi/doc/ldap/README.
Réglages Mcrypt (nécessite l'extension PHP mcrypt)
Pas toutes les distributions ne possèdent un module mcrypt intégré par défaut, vous devrez vérifier cela.
Vous devrez peut-être essayer plusieurs versions pour voir laquelle fonctionne le mieux avec eGroupware.
Réglages additionnels
Les valeurs par défaut sont ok.
Enregistrez votre configuration lorsque vous avez terminé.
7.5.3
Etape 3 – Compte Administrateur
Ici vous pouvez créer votre compte administrateur eGroupware. N’utilisez pas un nom d’administrateur comme
admin, administrateur, root, etc. Pour le mot de passe administrateur utilisez des lettres, des chiffres et des
caracères spéciaux.
Ne créez pas de comptes demo dans un environnement de production !
Reiner Jung
Install and Secure eGroupWare
Page 57 of 68
7.5.4
Etape 4 – Gestion linguistique
La langue standard qui sera installée est l’anglais et la langue qui est activée par défaut dans votre navigateur.
Il est possible d’installer plusieurs langues.
Vous pouvez convertir votre jeu de caractères automatiquement,
c’est-à-dire depuis iso-8859-1 vers UTF-8.
7.5.5
Etape 5 – Gestion avancée des applications
Dans l’installation standard, toutes les applications sont installées. Pour désinstaller une application, sélectionnezlà avec la coche et cliquez Enregistrer. Si vous recevez un message d’erreur au sujet de dépendances, vous
devez installer une autre application, par exemple Messagerie « Felamimail » requiert « emailadmin » pour
fonctionner.
8
Connectez-vous à eGroupWare
Dès que vous avez terminé l’installation d’eGroupware, vous pouvez vous connecter. Allez à
http://votredomaine/egroupware
La première étape en tant qu’administrateur est de vous rendre à l’application Admin et configurer votre
site, vos utilisateurs et groupes, la messagerie e-mail ainsi que d’autres informations indispensables.
Reiner Jung
Install and Secure eGroupWare
Page 58 of 68
9
9.1
Dépannage
Oubli du mot de passe de l’administrateur
J’ai oublié mon mot de passe administrateur et je ne peux plus me connecter à eGroupWare !
Allez à http://votreserveur.com/egroupware/setup
Connectez-vous à la Page de connexion pour la configuration et l'installation
Configurez un nouveau Compte Administrateur
9.2
L’Administrateur ou un autre utilisateur est bloqué
Je ne peux plus me connecter à mon installation eGroupWare. Le message est : Accès refusé car trop de
tentatives infructueuses. Que puis-je faire ?
avec la configuration standard, attendez 30 minutes avant de pouvoir vous connecter à
nouveau. Il s’agit d’un dispositif de sécurité, ne le désactivez pas !
9.3
Erreur base de données : lock(Array, write) failed
Database error: lock(Array, write) failed
MySQL Error 1044 (Access denied for user '@localhost' to database 'groupware')
Function: db::halt / db::lock / config::save_repository / sessions::sessions_ / session_sessions / createobject /
include / include
session halted
Vérifiez les permissions d’accès à votre base de données. Votre compte ne possède pas les
droits nécessaires.
9.4
Vérification des permissions de fichiers
Cette erreur apparaît lors du script de Vérification de l’installation :
Checking file-permissions of ./phpgwapi/images for not worldwritable: hri/users drwx---rwx
./phpgwapi/images is world writeable!!!
Modifiez les droits dans le répertoire phpgwapi/images afin que n’importe qui ne puisse pas y
modifier les fichiers :
chmod 700 images
Reiner Jung
Install and Secure eGroupWare
Page 59 of 68
9.5
Ne peut pas continuer dans Vérification de l’installation page (1)
Il n’y a pas d’avertissement ni d’erreur… J’installe le fichier header.inc.php avec les valeurs correctes, etc., mais
on revient chaque fois à cette maudite page check_install.php…
Vérifiez que le service web a bien les droits d’accès sur header.inc.php et que ce fichier se situe
dans le répertoire racine du service web
9.6
Ne peut pas continuer dans Vérification de l’installation page (2)
Nous avons installé eGroupWare sous Linux avec un serveur proxy configuré.
Les clients utilisent Microsoft Internet Explorer avec une référence au serveur proxy, bien que le serveur proxy ne
devrait pas être utilisé (Options Internet->Connexions->Paramètres réseau->Avancé)
Nous ne pouvons pas envoyer « upload » d’attachments plus grands que 1 Mo. Tout a été modifié dans php.ini
and httpd.conf mais cela ne fonctionne toujours pas pour > 1 Mo.
Les serveurs proxy doivent souvent autoriser un flux plus grand qu’une certaine taille. Par
exemple, avec Squid, vous devez modifier le "request_body_max_size" de son défaut à 1 Mo.
p.ex.: request_body_max_size 20 MB
9.7
[WINDOWS] fudforum/3814******9): Permission denied
Warning: mkdir(D:\Websites\yourwebsite\egroupware\fudforum/3814******9): Permission denied in D:\Websites
\egroupware\fudforum\setup\default_records.inc.php on line 114
ERROR: Failed to create D:\Websites\yourwebsite\egroupware\fudforum/38145******, please create this
directory manually and chmod it 777SiteMgr demo site installed
Allez simplement dans le répertoire 3814****** sous
D:\Websites\yourwebsite\egroupware\fudforum et donnez les droits d’accès et lecture et
écriture. Veuillez noter : le n° “3814******” sera leCRC32 de votre domaine, donc il sera différent
sur chaque machine.
Ceci est un extrait du fichier D:\websites\yourwebsite\fudforum\setup\readme :
“ The \fudforum\setup\index.php file will need to create several files inside the web browseable
fudforum\ directory. This will require you to grant write permissions to the web-server to several
files and directories (installer will complain about them, if they are not writable). The simplest
solution is to temporary give the fudforum/ directory full access permissions and then restore to
normal permissions (read and write) once the installation process is complete. If you wish to
save a few megabytes of space, once the forum is installedyou can remove the base/
directory, it is no longer needed.”
Reiner Jung
Install and Secure eGroupWare
Page 60 of 68
9.8
Sitemgr: mkdir(./sitemgr-link): Permission denied
Warning: mkdir(./sitemgr-link): Permission denied in
D:\Websites\calvarycentral\egrouptest\egroupware\sitemgr\setup\default_records.inc.php on line 165
Can't mkdir(./sitemgr-link) !!!sitemgr/sitemgr-link copied to eGroupWare dir and sitemgr-link NOT installed, you
need to copy it from egroupware/sitemgr/sitemgr-link to egroupware/sitemgr-link and install
Copiez le répertoire sitemgr-link de \egroupware\sitemgr\ créé par eGroupWare et placé dans
le répertoire racine de D:\Websites\yourwebsite\egroupware. Ceci vous permet de l’installer avec
le lien “Gérer les Applications” sur la page /egroupware/setup/index.php
Reiner Jung
Install and Secure eGroupWare
Page 61 of 68
10 Références
AIDE, Advanced Intrusion Detection System
Plateforme
Linux / BSD / *nix
Licence
GPL
Page d’accueil
http://sourceforge.net/projects/aide/
Téléchargements
RPM
Vérifiez votre distribution
DEB
Debian Project
tar.gz
AIDE Project file server
Projet Apache Web server
Plateforme
Linux / BSD / Win / other
Licence
Apache Software License
Page d’accueil
httpd.apache.org
Téléchargements
RPM
Vérifiez votre distribution
DEB
Debian Project
tar.gz
Apache Project file server
Win
Apache Project file server
Projet chkrootkit
Plateforme
Linux / BSD
Licence
BSD-Like
Page d’accueil
www.chkrootkit.org
Téléchargements
RPM
creativix chkrootkit page
tar.gz
chkrootkit project
Projet eGroupWare
Plateforme
Linux / BSD / WIN / other
Licence
GPL
Page d’accueil
www.egroupware.org
Téléchargements
Reiner Jung
RPM
sourceforge.net eGroupWare project
tar.gz
sourceforge.net eGroupWare project
tar.bz2
sourceforge.net eGroupWare project
zip
sourceforge.net eGroupWare project
Install and Secure eGroupWare
Page 62 of 68
Projet logwatch
Plateforme
Linux / BSD/ other
Licence
GPL
Page d’accueil
www.logwatch.org
Téléchargements
RPM
logwatch project
tar.gz
logwatch project
Projet logcheck
Plateforme
Linux / BSD/ other
Licence
GPL
Page d’accueil
sourceforge project page
Téléchargements
tar.gz
logcheck project
ModSecurity
Plateforme
Linux / BSD / WIN / other
Licence
GPL
Page d’accueil
http://www.modsecurity.org/
Téléchargements
tar.gz
ModSecurity project
zip
ModSecurity project
NMAP
Plateforme
Linux / BSD / WIN / other
Licence
GPL
Page d’accueil
http://www.nmap.org/
Téléchargements
RPM
NMAP project
tar.gz
NMAP project
tar.bz2
NMAP project
zip
NMAP project
Projet openssh
Plateforme
Linux / BSD
Licence
GPL
Page d’accueil
www.openssh.org
Téléchargements
Reiner Jung
RPM
OpenBSD project fileserver
tar.gz
OpenBSD project fileserver
Install and Secure eGroupWare
Page 63 of 68
Projet php
Plateforme
Linux / BSD / WIN /other
Licence
The PHP License
Page d’accueil
www.php.net
Téléchargements
RPM
Vérifiez votre distribution
tar.gz
php project
tar.bz2
php project
zip
php project
Projet Roxen web server
Plateforme
Linux / BSD /WIN / other
Licence
GPL
Page d’accueil
http://www.roxen.com/products/web server/
Téléchargements
The Linux package will be installed with a shell script
Turck MMCache
Plateforme
Linux / BSD / Win / other
Licence
GPL
Page d’accueil
sourceforge.net/projects/turck-mmcache
Téléchargements
Reiner Jung
tar.gz
turck-mmcache project
tar.bz2
turck-mmcache project
zip
turck-mmcache project
Install and Secure eGroupWare
Page 64 of 68
11 A faire et Journal des changements
11.1 A faire pour ce document
Pour le document version 1.0:
•
Préparer une installation eGroupWare.
•
Former les utilisateurs.
•
Installer un serveur LDAP et configuer OpenLDAP / Email / SMTP sous *nix.
•
Configuer un pare-feu de base sous Linux for eGroupWare.
Ensuite après cette version:
•
mod_log_forensic pour Apache.
•
Hide the ssh version.
•
support Fedora YUM, RPM-apt.
•
Ajouter psad au « Comment faire » sur la sécurité.
•
Installation et configuration de sXad.
•
Créer une checklist/ « Comment faire » sur la Création d’un plan de sauvegarde et récupération
de désastre.
•
Rsnapshot.
•
Bastille Linux / LSAD.
11.2 Journal des changements pour ce document
* Sun May 28 2004 Reiner Jung <r.jung AT creativix DOT net> 0.4
- licence modifiée en “creative commons“
- Création des paquetages SuSE depuis les sources RPM
- Sécurié et Optimisation Apache
- Encryption SQL possible pour les mots de passe des comptes
- L’installation fournit un préfixe de compte pour les installations LDAP
- Sélection de noms d’utilisateurs avec casse sensible
- Ajout de Dépannage
- Sécurisez votre eGroupWare avec ModSecurity
- mise à jour du fichier header.inc.php
- Installation PHP sécurisée mise à jour
restriction open basedir
désactivation journal d’erreurs
- Installation de Advanced Intrusion Detection System
- Modifié le HOWTO Installation rapide vers « Comment faire une installation rapide » et extension
- L’installation Express inclut Windows maintenant
- Analyseur de journal d’installation (logcheck)
- Extension de Turck-mmcache
Comment installer mmcache sur RedHat Enterprise Linux
Prérequis d’installation de mmcache
Reiner Jung
Install and Secure eGroupWare
Page 65 of 68
* Sun Nov 22 2003 Reiner Jung <r.jung AT creativix DOT net> 0.3
- Mise à jour d’eGroupWare
Mise à jour avec les paquetages
Mise à jour depuis CVS
- Installation depuis un RPM vers un autre chemin comme /var/www/html
- Références
Ajout logiciels et licences depuis le document 003
- quelques erreurs de frappe corrigées
Erreur de frappe clé GPG corrigée
- Vérification de la clé GPG ajoutée
- Création d’un certificat https
- Installation PHP sécurisée
* Fri Sep 16 2003 Reiner Jung <r.jung AT creativix DOT net> 0.2
- erreurs de frappes corrigées
correction dans la doc d’installation CVS
correction nmcache
- ajout du « Comment faire » chkrootkit
Exemple checkrootkit
Vérification d’installation rootkit RPM
Vérification d’installation rootkit tar.gz
- vérification du serveur pour services / ports ouverts non nécessaires
Ports sur lesquels eGW doit tourner
Le scanneur de ports
Le résultat d’un scanneur de ports
Désactivation de services/serveurs non nécessaires
- désinstallation de logiciels non nécessaires étendu
- sécuriser l’administration (ssh/sshd)
Se connecter à votre serveur avec une session sécurisée
Travailler avec des paires de clés ssh
Créer une paire de clés secure shell
Copie de votre clé publique vers le serveur
L’outil ssh-add
Sécurisation de votre client ssh
Sécurisation de votre sshd
* Fri Sep 12 2003 Reiner Jung <r.jung AT creativix DOT net> 0.1
- Création initiale de ce document
Reiner Jung
Install and Secure eGroupWare
Page 66 of 68
12 Contributeurs à ce document
Les personnes suivantes ont contribué à Comment installer et sécuriser eGroupWare:
Traductions
Portugais brésilien:
Roger de Souza Moraes
Français:
Antoine Theytaz (v0.4)
Patrice Lallement (v0.3)
Allemand:
Wolfgang Baumgartner, Andreas Wengrzik
Espagnol:
Oscár Manuel Gómez Senovilla
Chinois Traditionnel:
Finjon Kiang
Vérification
Anglais:
Jeff Mitchell (v0.4)
Geltmar von Buxhoeveden (v0.3)
Co-auteurs
Version Windows
Reiner Jung
John W. Brown
Install and Secure eGroupWare
Page 67 of 68
13 Termes et conditions
Attribution-ShareAlike 1.0
Vous êtes libre de:
•
copier, de distribuer, d’afficher et de profiter de ce travail
•
de créer des travaux dérivés
•
de faire un usage commercial de ce travail
Avec les conditions suivantes:
Attribution. Vous devez mentionner son auteur original.
Share Alike. Si vous altérez, modifiez, ou construisez autre chose à
partir de ce travail, vous devez distribuer le travail résultant seulement
sous une licence identique à celle-ci.
•
Pour toute réutilisation ou distribution, vous devez mentionner clairement les termes de licence de ce
travail.
•
N’importe quelle de ces conditions peuvent être levées si vous obtenez la permission de son auteur.
Your fair use and other rights are in no way affected by the above.
This is a human-readable summary of the Legal Code (the full license)
Voir aussi sa traduction « draft » en français Code juridique (le texte complet)
Reiner Jung
Install and Secure eGroupWare
Page 68 of 68