Sécuriser un site avec une authentification HTTP sous Nginx

Si vous avez besoin d’avoir une zone sécurisée sur un espace web sans vouloir déployer un système de gestion d’utilisateurs, l’authentification HTTP reste un moyen simple et rapide à mettre en place.

Voici la procédure en quelques points pour mettre en place une authentification HTTP avec Nginx sous CentOS 7.


Pour générer un fichier d’utilisateurs .htpasswd propre à une authentification HTTP, il nous faut l’outil du même nom qui est fourni par Apache. On n’a pas besoin d’Apache donc, juste des outils qui vont avec. Sous CentOS :

$ sudo yum install httpd-tools

Ensuite, il suffit de créer un utilisateur dans le répertoire voulu :

$ sudo htpasswd -c /etc/nginx/.htpasswd nom_utilisateur

On renseigne et vérifie le mot de passe.

Pour terminer, dans la configuration Nginx, à l’intérieur d’un server, ajouter :

auth_basic "Restricted";
auth_basic_user_file /etc/nginx/.htpasswd;

Il suffit de tester puis si tout est ok de redémarrer Nginx :

$ sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
$ sudo systemctl reload nginx

C’est terminé.

Authentification HTTP Nginx
Authentification HTTP Nginx

Créer ou renouveler un certificat Let’s Encrypt avec la méthode DNS challenge

Certbot (Let’s Encrypt) a révolutionné et démocratisé l’utilisation du protocole HTTPS avec ses certificats gratuits. J’en avais déjà parlé notament dans l’article Renouveler un certificat SSL Let’s encrypt avec le plugin Webroot. La méthode utilisée dans l’article possède au moins un inconvénient en ce qui me concerne, si un des domaines ou sous-domaines n’a pas de document root – par exemple c’est un domaine redirigé – alors il n’est pas possible de renouveler le certificat car Certbot doit écrire à la racine de l’hébergement du domaine dans un répertoire .well-known, qui n’existe pas pour ce genre de cas.

La méthode DNS challenge

Pour palier à cela, je me suis penché sur la vérification par DNS que propose Certbot. Voici la syntaxe que j’utilise avec quelques options bien utiles :

certbot \
     --text \
     --agree-tos \
     --email postmaster@domaine.net \
     -d domaine.net \
     -d www.domaine.net \
     -d admin.domaine.net \
     -d outils.domaine.net \
     --manual \
     --preferred-challenges dns \
     --expand \
     --renew-by-default \
     --manual-public-ip-logging-ok \
     certonly

La première fois, Certbot va vous demander d’ajouter un ou plusieurs nouveaux enregistrements DNS de type TXT avec des messages de la sorte :

Please deploy a DNS TXT record under the name
_acme-challenge.www.domaine.net with the following value:

01q03R1jl4gen_8souu4Ki1kbnfEaJJ7JIjP_eG12nU

Before continuing, verify the record is deployed.

Lorsque c’est fait, il suffit d’appuyer sur entrée pour continuer et le renouvellement du certificat va se poursuivre.


Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/www.domaine.net/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/www.domaine.net/privkey.pem
   Your cert will expire on 2018-01-01. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Gestion des messages sortants de Postfix (queues)

Récemment, j’ai eu des problèmes d’envoi d’emails avec le serveur SMTP Postfix, étant une chose rare, je ne me souviens jamais de certaines commandes de gestion des files d’attente de messages sortants de Postfix. Voici un petit mémo.

Lister les files d’attente Postfix

Postfix possède 2 queues d’envoi d’emails : la liste d’emails en cours d’envoi (pending mails) et la liste d’emails differés (deferred mails). La queue des emails différés sont les messages qui ont été en soft-fail et sont mis en attente pour essayer d’être envoyés plus tard. Leur statut est Temporary failure. Par défaut, Postfix essaie 5 minutes plus tard.

  • Lister les messages en cours d’envoi :
    mailq
  • Lister les messages différés :
    postqueue -p

Supprimer les messages

  • Pour supprimer les messages de la queue :
    postsuper -d ALL
  • Pour supprimer tous les messages dans la queue des emails différés :
    postsuper -d ALL deferred

Envoyer les messages

Si inversement vous voulez envoyer les messages et ainsi vider la file d’attente :

postqueue -f

ou

postfix flush


Envoi automatique d’un email lorsque le téléchargement d’un fichier torrent est terminé avec Transmission

C’est assez sympa d’être prévenu lorsqu’un fichier torrent est totalement téléchargé, donc disponible. Avec la version daemon de Transmission, voici comment faire pour recevoir un email de notification dès qu’un fichier est téléchargé à 100%.

  • Ajouter ce script dans le répertoire de votre choix. Dans mon exemple je l’ai nommé complete.sh :
    #!/bin/bash
    
    echo "Ceci est un message automatique de votre tant aimé transmission-daemon ($TR_APP_VERSION), vos fichiers sont prêts dans $TR_TORRENT_DIR " | /usr/bin/mail -s "Torrent terminé : $TR_TORRENT_NAME" nom@domaine.net
  • Stopper le service transmission-daemon, sous Fedora 25 :
    sudo systemctl stop transmission-daemon
  • Éditer les lignes suivantes du fichier de configuration de Transmission qui se situe sous ~/.config/transmission-daemon/settings.json :
    "script-torrent-done-enabled": true,
    "script-torrent-done-filename": "/votre/chemin/vers/complete.sh",
  • Redémarrer transmission-daemon :
    sudo systemctl start transmission-daemon

C’est tout, maintenant dès que le téléchargement d’un fichier est terminé, vous recevrez un email.