L'objectif est de configurer un site intranet (avec le vhost par défaut ou un vhost propre) sur apache, en utilisant ssl.

SSL exige qu'un certificat soit délivré par une autorité de certification.
Nous allons, dans cette procédure, faire certifier notre serveur web par un serveur Windows sur le même réseau avec AD CS installé

Etape 1 : Installer et activer Apache2/httpd
Apache est déjà installé en principe, mais sinon :

pkgin -y in apache

la commande suivante permettra de contrôler apache via /etc/rc.d/apache (start/stop/restart), et ainsi de lancer apache au démarrage du serveur.

cp /usr/pkg/etc/rc.d/apache /etc/rc.d/

echo "apache=YES" >> /etc/rc.conf

/etc/rc.d/apache start

Egalement, dans le cas où le dossier suivant n'existerait pas, penser à le créer pour utiliser apachectl

mkdir /usr/pkg/var/run

Etape 2 : Configurer OpenSSL

pkgin -y in openssl

Minix est en pleine transition vers un modèles plus BSDien.. donc les paquets sont souvent incomplets !
Pour fonctionner, openssl a besoin d'openssl.cnf
Or il ne s'installe pas avec openssl sous Minix 3.3.0
Il faut donc aller le récupérer sur un autre BSD (genre FreeBSD 13.1) puis le rajouter.

Télécharger « openssl.cnf »,
Suivez les instructions qui viennent pour le télécharger directement sur votre Minix :

mkdir /usr/pkg/etc/openssl

pkgin -y in curl

mkdir /usr/pkg/etc/openssl

cd /usr/pkg/etc/openssl

curl -O http://ekladata.com/itYPqBXoS1UQ8vavb3iS8B7VcMA/openssl.cnf 

Etape 3 : Clé privée, demande de signature, certification

mkdir /usr/pkg/etc/httpd/ssl

cd /usr/pkg/etc/httpd/ssl 

1) Créer la clé privée pour apache :

openssl genrsa 4096 > cleprivapache.key

2) Créer un certificat normal, qui servira de fichier de demande de signature à notre autorité distante :

openssl req -new -key cleprivapache.key > demandesignature.csr

Pays  : FR

Région : Aquitaine

Ville : Bayonne

Compagnie : GRETA

Département de la compagnie : TSSR

Common name : ns309899.ip-188-165-197.eu

Challenge Password : certifiez-moi, svp

Nom de compagnie optionnel : GRETA

Nous allons à présent envoyer notre demandesignature.csr au serveur windows (autorité sur internet) afin d'obtenir un certificat signé !
Ici, je montre l'exemple d'un serveur windows qui va se charger de certifier.

Par exemple, depuis notre serveur Windows, nous allons récupérer la demandesignature.csr sur le serveur web :
dans un invité de commandes :

scp root@IP-SERVEUR-WEB:/usr/pkg/etc/httpd/ssl/demandesignature.csr C:\chemin\ou\télécharger\votre\clef

Ensuite, sur le serveur windows,
Ouvrir PowerShell :
positionnez-vous dans l'emplacement de demandesignature.csr (il était dans E:\ chez nous)

cd E:\

certreq -attrib "CertificateTemplate:WebServer"

Une fenêtre s'ouvre, choisir demandesignature.csr (il est nécessaire de choisir "Tous les fichiers" en bas à droite pour voir le fichier s'afficher).
Puis, choisir un emplacement pour enregistrer le certificat (le nommer certifapache.crt).
Ensuite, renvoyez votre certifapache.crt sur votre serveur web :

scp E:\certifapache.crt root@IP-SERVEUR:/usr/pkg/etc/httpd/ssl

Nous aurons besoin des 2 fichiers suivants pour notre vhost : 
- certifapache.crt (le certificat autosigné)
- cleprivapache.key (clé privée pour apache)

Dernière étape très importante, modifier les permissions de vos clefs et certificats :
(à n'effectuer qu'après avoir tout généré !)

chmod -R 600 /usr/pkg/etc/httpd/ssl 

Etape 4 : créer (ou copier s'il est donné) le dossier du site (jesuissuper)

mkdir /www/docs/jesuissuper

vi /www/docs/jesuissuper/index.html 

Etape 5 : le vhost.

vi /usr/pkg/etc/httpd/ssl.conf
# Voici le contenu exact du fichier à conserver :

Listen 0.0.0.0:443
SSLPassPhraseDialog  builtin
SSLSessionCache         dbm:/usr/pkg/var/run/ssl_scache
SSLSessionCacheTimeout  300

## SSL Virtual Host Context
<VirtualHost _default_:443>
     DocumentRoot "/www/docs/jesuissuper/"

     # Pour accéder à votre site via https://jesuissuper, écrire la ligne 'ServerName jesuissuper' suivante, 
     # Sinon pour accéder plutôt via https://IP-SERVEUR, ne pas écrire la ligne !    
     ServerName jesuissuper

     SSLEngine on
     SSLProtocol all -SSLv2
     SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5

     SSLCertificateFile "/usr/pkg/etc/httpd/ssl/certifapache.crt"
     SSLCertificateKeyFile "/usr/pkg/etc/httpd/ssl/cleprivapache.key"

<FilesMatch "\.(cgi|shtml|phtml|php3?)$">
   SSLOptions +StdEnvVars
</FilesMatch>

<Directory "/usr/pkg/libexec/cgi-bin">
   SSLOptions +StdEnvVars
</Directory>

SetEnvIf User-Agent "MSIE [2-5]" \
        nokeepalive ssl-unclean-shutdown \
        downgrade-1.0 force-response-1.0

CustomLog /usr/pkg/var/log/httpd/ssl_request_log \
         "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>

# Enregistrer et quitter

Etape 6 : redémarrage d'apache2

/etc/rc.d/apache restart

Etape 7 : l'enregistrement DNS. 
Faîtes un enregistrement DNS sur votre hôte.

cas 1 : le PC est sur Linux :

vi /etc/hosts
IP-DU-SERVEUR-WEB      jesuissuper

cas 2 : le PC est sous windows.
modifier le fichier hosts (cliquez ici pour accéder à la procédure), y ajouter la même ligne qu'au-dessus

Etape 8 : Importer le certificat d'autorité sur votre navigateur Firefox : ca.crt sur votre PC 
(via scp ou winscp)
Lancez Firefox, paramètres, cherchez "certificats", affichez les certificats, onglet Autorités, Importer

Etape 1 : configurez root, faire les mises-à-jour et installer les paquets de base

Une fois l'installation terminée et votre machine redémarrée (sans l'ISO d'installation),
On se logue en root (il n'y a pas d'autre utilisateur pour l'instant).
On va d'abord créer un mot de passe pour root !

passwd root

Choisir un mot de passe suffisamment fort !

Faîtes la mise-à-jour du gestionnaire de paquets puis installez les paquets de base

pkgin update

pkgin_sets

Répondez oui à tout, ça prend un peu de temps à télécharger et ça redemande plusieurs fois d'approuver.

Etape 2 : premiers réglages

Paramétrez le fuseau horaire :
Recherchez le nom du fuseau horaire correspondant à votre zone :

cd /usr/share/zoneinfo

ls

....Europe

cd Europe

...Paris

echo export TZ=Europe/Paris > /etc/rc.timezone

Ajout de 2 dossiers fondamentaux :

mkdir /etc/rc.d

mkdir /usr/pkg/var/run 

Ajoutez une utilisateur
1) D'abord, créer son groupe

group add NOM-DU-GROUPE

2) Créer l'utilisateur.
Si le groupe n'existe pas déjà, la commande ne fonctionnera pas !

user add -m -g NOM-DU-GROUPE NOM-UTILISATEUR 

Un utilisateur administrateur doit se trouver dans le groupe : operator
Un utilisateur normal doit se trouver dans le groupe : users (ou other)

3) Entrer des informations complémentaires sur l'utilisateur :

chfn NOM-UTILISATEUR

4) Changez le langage pour l'utilisateur

chsd -s /binzsh NOM-UTILISATEUR

5) Pour changer son mot de passe

passwd NOM-UTILISATEUR

Supprimer un utilisateur 

user del NOM-UTILISATEUR

Supprimer un groupe 

group del NOM-GROUPE

Etape 3 : Configurer pkgin (seulement si vous n'avez pas fait pkgin_sets avant)

pkgin -y in git-base

pkgin -y in binutils

pkgin -y in clang

pkgin in perl python27

Attention à la commande suivante, qui permet de carrément installer tous les paquets existants sur le serveur -> 25Go

pkgin_all

Eh bah c'est simple, apache ne se construit plus sur cette version de Minix !!
Donc il faut se tourner micro-httpd ou thttpd !
C'est très limité donc...

Peut-être n'est-ce que temporaire

Si on trouve facilement www.minix3.org, le quid de la version de minix se pose.
La version stable est la 3.3.0, mais la version en dev est la 3.4.0rc6.
Ils sont entrain de porter Minix vers l'espace BSD... Et c'est juste le bordel total. Les paquets sont complètement pétés. Ni apache, ni nginx ne fonctionnent sur la 3.4.

Certains articles de la rubrique Minix concernent la 3.3.0, d'autres la 3.4.0rc6.

La version 3.3.0 est assez brute, vous risquez de vous arracher quelques cheveux si vous démarrez avec Minix
Il manques des dossiers importants (/etc/rc.d notamment)

Une fois téléchargée et décompressée, vous pouvez créer une VM pour tester (dans VirtualBox par exemple, en choisissant comme OS : other...).
Des ressources RAM de 1024Mo suffisent très largement.
Mettez-votre carte réseau en pont tout de suite également, ça ira plus vite

Une fois la VM démarrée, vous devez vous loguer en root (il n'y a pas encore de mot de passe), puis taper la commande

setup

pour commencer le processus d'installation.

Il est rapide et bien guidé. Quand vous ne savez pas, vous faîtes par défaut.
Une fois terminé, tapez

poweroff

puis retirez l'ISO d'installation, sans quoi vous allez redémarrez sur l'ISO.

Une fois que vous avez redémarré, vous pouvez passer à l'article "Post-Installation"

L'objectif est de configurer un site intranet (avec le vhost par défaut ou un vhost propre) sur apache, en utilisant ssl.

SSL exige qu'un certificat soit délivré par une autorité de certification.
Puisqu'il s'agît d'un site intranet, accessible uniquement sur le réseau de l'entreprise, plutôt que de nous adresser à une autorité de certification sur internet, nous allons nous-même créer notre propre autorité de certification pour nous délivrer un certificat à nous-même !

Etape 1 : Installer et activer Apache2/httpd
Apache est déjà installé en principe, mais sinon :

pkgin -y in apache

la commande suivante permettra de contrôler apache via /etc/rc.d/apache (start/stop/restart), et ainsi de lancer apache au démarrage du serveur.

cp /usr/pkg/etc/rc.d/apache /etc/rc.d/

echo "apache=YES" >> /etc/rc.conf

/etc/rc.d/apache start

Egalement, dans le cas où le dossier suivant n'existerait pas, penser à le créer pour utiliser apachectl

mkdir /usr/pkg/var/run

Etape 2 : Configurer OpenSSL

pkgin -y in openssl

Minix est en pleine transition vers un modèles plus BSDien.. donc les paquets sont souvent incomplets !
Pour fonctionner, openssl a besoin d'openssl.cnf
Or il ne s'installe pas avec openssl sous Minix 3.3.0
Il faut donc aller le récupérer sur un autre BSD (genre FreeBSD 13.1) puis le rajouter.

Télécharger « openssl.cnf »,
Suivez les instructions qui viennent pour le télécharger directement sur votre Minix :

mkdir /usr/pkg/etc/openssl

pkgin -y in curl

mkdir /usr/pkg/etc/openssl

cd /usr/pkg/etc/openssl

curl -O http://ekladata.com/itYPqBXoS1UQ8vavb3iS8B7VcMA/openssl.cnf 

Etape 3 : Autorité de certifications et certificats auto-signés

mkdir /usr/pkg/etc/httpd/ssl

cd /usr/pkg/etc/httpd/ssl 

1) Créer la clé privée pour l'Autorité de certification : 

openssl genrsa 4096  > ca.key

2) Créer le certificat auto-signé pour notre Autorité de Certification

openssl req -new -x509 -days 365 -nodes -key ca.key > ca.crt

Etape 3 : Créer le certificat auto-signé

1) Créer la clé privée pour apache :

openssl genrsa 4096 > cleprivapache.key

2) Créer un certificat normal, qui servira de fichier de demande de signature à notre autorité :

openssl req -new -key cleprivapache.key > demandesignature.csr

3) Faire signer notre demande de signature par notre propre autorité de certification (ca)

openssl x509 -req -in demandesignature.csr -out certifapache.crt -CA ca.crt -CAkey ca.key -CAcreateserial -days 365

Nous aurons besoin des 2 fichiers suivants pour notre vhost : 
- certifapache.crt (le certificat autosigné)
- cleprivapache.key (clé privée pour apache)

Dernière étape très importante, modifier les permissions de vos clefs et certificats :
(à n'effectuer qu'après avoir tout généré !)

chmod -R 600 /usr/pkg/etc/httpd/ssl 

Etape 4 : créer (ou copier s'il est donné) le dossier du site (jesuissuper)

mkdir /www/docs/jesuissuper

vi /www/docs/jesuissuper/index.html 

Etape 5 : le vhost.

vi /usr/pkg/etc/httpd/ssl.conf
# Voici le contenu exact du fichier à conserver :

Listen 0.0.0.0:443
SSLPassPhraseDialog  builtin
SSLSessionCache         dbm:/usr/pkg/var/run/ssl_scache
SSLSessionCacheTimeout  300

## SSL Virtual Host Context
<VirtualHost _default_:443>
     DocumentRoot "/www/docs/jesuissuper/"

     # Pour accéder à votre site via https://jesuissuper, écrire la ligne 'ServerName jesuissuper' suivante, 
     # Sinon pour accéder plutôt via https://IP-SERVEUR, ne pas écrire la ligne !    
     ServerName jesuissuper

     SSLEngine on
     SSLProtocol all -SSLv2
     SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5

     SSLCertificateFile "/usr/pkg/etc/httpd/ssl/certifapache.crt"
     SSLCertificateKeyFile "/usr/pkg/etc/httpd/ssl/cleprivapache.key"

<FilesMatch "\.(cgi|shtml|phtml|php3?)$">
   SSLOptions +StdEnvVars
</FilesMatch>

<Directory "/usr/pkg/libexec/cgi-bin">
   SSLOptions +StdEnvVars
</Directory>

SetEnvIf User-Agent "MSIE [2-5]" \
        nokeepalive ssl-unclean-shutdown \
        downgrade-1.0 force-response-1.0

CustomLog /usr/pkg/var/log/httpd/ssl_request_log \
         "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>

# Enregistrer et quitter

Etape 6 : redémarrage d'apache2

/etc/rc.d/apache restart

Etape 7 : l'enregistrement DNS. 
Faîtes un enregistrement DNS sur votre hôte.

cas 1 : le PC est sur Linux :

vi /etc/hosts
IP-DU-SERVEUR-WEB      jesuissuper

cas 2 : le PC est sous windows.
modifier le fichier hosts (cliquez ici pour accéder à la procédure), y ajouter la même ligne qu'au-dessus

Etape 8 : Importer le certificat d'autorité sur votre navigateur Firefox : ca.crt sur votre PC 
(via scp ou winscp)
Lancez Firefox, paramètres, cherchez "certificats", affichez les certificats, onglet Autorités, Importer

Pour sécuriser l'accès en SSH

(depuis le fichier /usr/pkg/etc/ssh/sshd_config)

vi /usr/pkg/etc/ssh/sshd_config

- changer le port (exemple 52333)

Port 52333

- Interdire de se connecter directement en mode root (PermitRootLogin=NO)

PermitRootLogin no

- Interdire de connexion ssh les utilisateurs pierre et roger

DenyUsers pierre roger

- N'autoriser QUE les utilisateurs maxime et george (Attention, plus aucun autre ne pourra se connecter)

AllowUsers maxime george

- Paramétrer le nombre de tentatives d'accès (ce qui n'empêche en rien de recommencer)

MaxAuthTries 2

- Paramétrer les IP ayant le droit de se connecter en ssh (Attention à cette commande là encore)

AddressFamily IP1 IP2 IP3

NE PAS OUBLIER DE RELANCER LE SERVICE SSHD UNE FOIS VOS MODIFICATIONS FAITES !

/etc/rc.d/sshd restart

Minix possède un outil de configuration réseau très pratique :

netconf

Le script vous demande d'abord de sélectionnez la carte réseau que vous souhaitez configurer (généralement, il la présélectionne pour vous, en fonction de ce qu'il reconnaît). Puis, il vous invite à choisir de configurer via DHCP ou manuellement. Suivez les étapes, puis rebooter le serveur.

reboot

Etape 1 : configurez root, faire les mises-à-jour et installer les paquets de base

Une fois l'installation terminée et votre machine redémarrée (sans l'ISO d'installation),
On se logue en root (il n'y a pas d'autre utilisateur pour l'instant).
On va d'abord créer un mot de passe pour root !

passwd root

Choisir un mot de passe suffisamment fort !

Faîtes la mise-à-jour du gestionnaire de paquets puis installez les paquets de base

pkgin update

pkgin_sets

Répondez oui à tout, ça prend un peu de temps à télécharger et ça redemande plusieurs fois d'approuver.

Etape 2 : premiers réglages

Paramétrez le fuseau horaire :
Recherchez le nom du fuseau horaire correspondant à votre zone :

cd /usr/share/zoneinfo

ls

....Europe

cd Europe

...Paris

echo export TZ=Europe/Paris > /etc/rc.timezone

Ajoutez une utilisateur
1) D'abord, créer son groupe

group add NOM-DU-GROUPE

2) Créer l'utilisateur.
Si le groupe n'existe pas déjà, la commande ne fonctionnera pas !

user add -m -g NOM-DU-GROUPE NOM-UTILISATEUR 

Un utilisateur administrateur doit se trouver dans le groupe : operator
Un utilisateur normal doit se trouver dans le groupe : users (ou other)

3) Entrer des informations complémentaires sur l'utilisateur :

chfn NOM-UTILISATEUR

4) Changez le langage pour l'utilisateur

chsd -s /binzsh NOM-UTILISATEUR

5) Pour changer son mot de passe

passwd NOM-UTILISATEUR

Supprimer un utilisateur 

user del NOM-UTILISATEUR

Supprimer un groupe 

group del NOM-GROUPE

Etape 3 : Configurer pkgin (seulement si vous n'avez pas fait pkgin_sets avant)

pkgin install git-base

pkgin install binutils

pkgin install clang

pkgin in perl python27

Attention à la commande suivante, qui permet de carrément installer tous les paquets existants sur le serveur -> 25Go

pkgin_all

Sur le serveur Minix, logués en root :
Si vous n'avez pas suivi les articles précédents, alors il faut installer openssh. Sinon, passez les 2 commandes suivantes.

pkgin update

pkgin -y in openssh

Copier le script rc.d de sshd dans /etc/rc.d, afin de pouvoir automatiser ultérieurement le lancement au démarrage

cp /usr/pkg/etc/rc.d/sshd /etc/rc.d/

Entrez l'odre pour automatiser le lancement de sshd au prochain redémarrage

echo "sshd=YES" >> /etc/rc.conf

Démarrez sshd tout de suite

/etc/rc.d/sshd start

Un jeu de clef est ainsi généré.
Elles sont stockées dans /usr/pkg/etc/ssh
- la clef privée est ssh_host_ed25519_key
- la clef publique est ssh_host_ed25519_key.pub

Pour autoriser la connexion SSH via l'utilisateur root (souvent le seul utilisateur disponible une fois l'installation terminée). Sinon, lisez l'article de Post-Installation pour savoir comment créer un utilisateur et ne plus utiliser root pour vous connecter en SSH.

vi /usr/pkg/etc/ssh/sshd_config
# modifier la ligne suivante comme suit :
PermitRootLogin yes
# enregistrer et quitter

/etc/rc.d/sshd restart

Vous pouvez à présent vous connecter au serveur Minix via ssh :

ssh root@IP-MINIX

Bien entendu, un tel accès (par root) n'a pas vocation à rester !!!
Mais comme aucun utilisateur n'est créé lors de l'installation, il est parfois plus pratique de commencer en root.
La bonne pratique est de créer un utilisateur, et d'interdire la connexion par root !

Une fois installé, il faut configurer SSH afin de sécuriser l'accès (suivre l'article lié ici)

Passons désormais à la configuration par clefs, et connexion sans mot de passe :
Le but : On génère une clef depuis le poste sur lequel on est, et on l'envoie vers le poste sur lequel on veut se connecter.

1) VERSION COURTE POUR LES PRESSES
Je suis sur le poste A, je suis l'utilisateur CLIENT, je veux pouvoir me connecter en SSH au poste B (le serveur Minix) qui possède un utilisateur ADMIN), sans avoir à entrer de mot de passe.

Sur A : Je génère une paire de clefs puis je l'envoie à B

ssh-keygen -t ed25519

                  NE PAS CREER DE PASSPHRASE SI VOUS SOUHAITEZ POUVOIR VOUS CONNECTER à B SANS UTILISER DE MOT DE PASSE ET SI VOTRE BUT EST DE FAIRE DU SCRIPT !

ssh-copy-id -i /home/CLIENT/.ssh/id_ed25519.pub ADMIN@IP-B

ATTENTION, sur WINDOWS, ssh-copy-id N'EXISTE PAS !!
Vous devez utiliser la commande scp à la place !

scp C:\Users\CLIENT\.ssh\id_25519.pub ADMIN@IP-B:/home/ADMIN/.ssh/authorized_keys

Et si jamais vous avez changé le port ssh sur B :

scp -P numPORT C:\Users\CLIENT\.ssh\id_25519.pub ADMIN@IP-B:/home/ADMIN/.ssh/authorized_keys

Vous devez ensuite, sur votre serveur (B), modifier votre fichier /etc/ssh/sshd_config pour interdire la connexion par mot de passe :

vi /usr/pkg/etc/ssh/sshd_config
# rechercher les lignes ci-dessous et écrire telles quelles :
PermitRootLogin no
PubkeyAuthentication yes
PasswordAuthentication no

Relancer sshd :

/etc/rc.d/sshd restart

Vous pouvez désormais vous connecter à B sans aucun mot de passe :

ssh ADMIN@IP-B

On souhaite ici créer le site intranet.jurabois.lan, avec un simple message sur la page d'accueil.
Mais si vous souhaitez créer un site internet en intégrant un template HTML5, vous pouvez consulter la page :
https://www.tooplate.com/
Les templates HTML proposés par tooplate sont parfaitement bien exécutés par la version d'apache de Minix.

Une fois l'installation de base du serveur terminée, logués en root,

1) Installer et activer Apache2/httpd

pkgin -y in apache

La commande suivante permettra d'utiliser la commande de contrôle propre à Apache : apachectl

mkdir -p /usr/pkg/var/run

Si vous n'avez pas déjà créé le répertoire /etc/rc.d, faîtes-le

mkdir /etc/rc.d

la commande suivante permettra de contrôler apache via /etc/rc.d/apache (start/stop/restart), et ainsi de lancer apache au démarrage du serveur.

cp /usr/pkg/etc/rc.d/apache /etc/rc.d/

echo "apache=YES" >> /etc/rc.conf

/etc/rc.d/apache start

2) Créer le vhost

mkdir -p /www/docs/intranet.jurabois.lan/logs

printf "Bienvenue sur la page de l'intranet" > /www/docs/intranet.jurabois.lan/index.html

mkdir /usr/pkg/etc/httpd/vhosts

printf "Include etc/httpd/vhosts/*.conf" >> /usr/pkg/etc/httpd/httpd.conf

cd /usr/pkg/etc/httpd/vhosts/

vi intranet.jurabois.lan
# recopier, a minima, les informations suivantes

   DocumentRoot /www/docs/intranet.jurabois.lan
   ServerName intranet.jurabois.lan
   ErrorLog /www/dosc/intranet.jurabois.lan/logs/intranet.jurabois.lan-error_log
   CustomLog /www/docs/intranet.jurabois.lan/logs/intranet.jurabois.lan-access_log common

# Enregistrer et quitter

3) Relancer Apache2/httpd

apachectl restart

Vous pouvez à présent accéder à la page web créée depuis un autre poste sur le même réseau (avec un petit enregistrement DNS dans le fichier hosts)