devildant

merci je vais test ca de suite, je suis en train de securiser postfix je mettrai ma conf des que j'aurai fini. je reste ouvert a la critique je ne connais pas bien tout ca ^^

bon a savoir ^^ ssl_cipher_list = DHE-RSA-AES256-SHA:DHE-RSA-AES128 SHA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!SSLv2:!SSLv3:!RC4 mieux?

je suis d'accord pour les reverse proxy, j'ai mis la conf a ajouter pour haproxy mais pour les autre je ne les utilise pas donc si vous avez la conf je vous invite a la publier ^^

je vais envoyer une alerte a synology dans la journée car mailserver est une vrai passoire

Bonjour a tous, bon une nouvelle faille de secu fait sont apparition et nos syno son vulnérable. je vous propose ci dessous quelque correctif : haproxy : ajouter l'option dans le frontend https (dans le binds après le certificat) : no-sslv3 DSM (& serveur web) : connecter vous en root via ssh changer : SSLProtocol all -SSLv2 en: SSLProtocol all -SSLv2 -SSLv3 dans : /etc/httpd/conf/extra/httpd-alt-port-ssl-setting.conf /etc/httpd/conf/extra/httpd-ssl.conf-common restart apache: /usr/syno/etc/rc.d/S97apache-sys.sh restart /usr/syno/sbin/synoservicecfg --restart httpd-user POP SSL & IMAP SSL & SMTP SSL: via ssl en root editez le fichier suivant : /volume1/@appstore/MailServer/etc/dovecot/conf.d/10-ssl.conf remplacer : #ssl_protocols = !SSLv2 par ssl_protocols = !SSLv2 !SSLv3 remplacer : #ssl_cipher_list = ALL:!LOW:!SSLv2:!EXP:!aNULL par ssl_cipher_list = ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES128:RSA+3DES+SHA:!aECDH:!DSS:!aNULL puis editez le fichier suivant : /volume1/@appstore/MailServer/etc/template/dovecot.template remplacer : #ssl_cipher_list = ALL:!LOW:!SSLv2 par ssl_cipher_list = ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES128:RSA+3DES+SHA:!aECDH:!DSS:!aNULL puis editez le fichier suivant (SMTP SSL) : /volume1/@appstore/MailServer/etc/template/main.template Ajouter ces ligne en fin de fichier : smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3 smtpd_tls_exclude_ciphers = aNULL, eNULL, LOW, MD5, EXP, PSK, SRP, DSS, RC4 puis désactiver/activer les protocole POP SSL et IMAP SSL ainsi que désactiver et réactiver le SMTP (pour restart)

Bonjour, Sans communiquer ta config haproxy ca va etre compliquer.

il faut une maison pour ça ^^ Une solution le bricolage ^^, découper un meuble ou une boite métallique suffisamment grand, y mettre un grand ventilateur de 230mm a l’arrière et un petit ventilateur a l'avant tournant a faible vitesse pour amener l'aire et une petit alim de pc trafiquer pour faire tourner les ventilo, doubler l’intérieur avec de la mousse d'isolation phonique, si vous avez une vielle enceinte ça pourrais faire l'affaire ^^. après tout dépends de la nuisance du DS1511, moi j'ai aménager un meuble car je possède deux nas avec beaucoup de disque donc ça fait un bruit d'enfer ^^, si par contre la nuisance est faible mais juste agaçante, un petit meuble suffira

On est 2 ^^ sur la v7u67 de windows aucun souci, après je ne connais pas spécialement apple donc il est possible que 2 jvm se soit installé une 6 et une 7 et la 6 serais par default, je vais tenté de re jetez un œil se week end

niveau sécu je reste en A+, après j'ai fait le test avec le java proposé sur maverick(via une VM) qui est sensé être un java 7u67 sauf que dans la réalité il se comporte comme un java 6. avax.net.ssl.SSLException: java.lang.RuntimeException: Could not generate DH keypair at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Alerts.java:190) at com.sun.net.ssl.internal.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1747) at com.sun.net.ssl.internal.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1708) at com.sun.net.ssl.internal.ssl.SSLSocketImpl.handleException(SSLSocketImpl.java:1691) at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1222) at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1199) at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:476) at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:166) at sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1195) at sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java:234) at com.homestation.ThreadJar.getCheckSum(ThreadJar.java:63) at com.homestation.ThreadJar.run(ThreadJar.java:275) at java.lang.Thread.run(Thread.java:695) Caused by: java.lang.RuntimeException: Could not generate DH keypair at com.sun.net.ssl.internal.ssl.DHCrypt.<init>(DHCrypt.java:114) at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverKeyExchange(ClientHandshaker.java:559) at com.sun.net.ssl.internal.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:186) at com.sun.net.ssl.internal.ssl.Handshaker.processLoop(Handshaker.java:593) at com.sun.net.ssl.internal.ssl.Handshaker.process_record(Handshaker.java:529) at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:943) at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1188) at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1215) ... 8 more Caused by: java.security.InvalidAlgorithmParameterException: Prime size must be multiple of 64, and can only range from 512 to 1024 (inclusive) at com.sun.crypto.provider.DHKeyPairGenerator.initialize(DashoA13*..) at java.security.KeyPairGenerator$Delegate.initialize(KeyPairGenerator.java:627) at com.sun.net.ssl.internal.ssl.DHCrypt.<init>(DHCrypt.java:107) ... 15 more c'est vraiment étrange je l'admet mais bon

Bonsoir, j’apporte une petit correction sur le param tune.ssl.default-dh-param je vous conseille de le set a 1024, j'ai passer un bon 1/4 d'heure a me prendre la tète sur une appli java que j'ai dev avec un ami et qui ne fonctionnait pas sur mac. le java 7 présent sur ses fichu appareil de la marque de la pomme ne support pas une valeur supérieur a 1024!!! alors que sur un bon vieux seven nos souci donc dans la partie global : global daemon maxconn 256 spread-checks 10 tune.ssl.default-dh-param 1024

je te remercie

cool pour le lien par contre il n'y a pas toutes les archi, j'ai une archi bromolow (x64) vous savez quels est le timebackup qui corresponds a mon archi?, je pense au x64

si il est integré c'est cool mais comment recup l'historique de sont timebackup?!

Bonjour, Sérieusement? tu veux faire pétition? Cordialement

bon j'ai trouvé, j'ai désinstaller et réinstaller haproxy ^^ et c'est bon A+ merci de la modif

Pas chez moi on dirai

merci de l'info, je viens de testé tous ça, et je ne parviens pas a aller au delà de B, la raison viens du faite que le tls1.2 n'est pas supporter, tu a ajouter une option supplémentaire?

Bonjour, la compatibilité avec vlc ca donne quoi?

lalalalala je me sens seul, vraiment personne?

ça ne fonctionne pas ça en telnet? portmap add haproxy 192.168.1.100 5080 TCP portmap add haproxy 443 192.168.1.100 5443 TCP

eu eu sinon changé de fai c'est pas une option?

PortEnd="0"?

Mmmm je vois, change de FAI ^^ c'est quand même un comble que ce ne soit pas possible, même une livebox le fait. Bon tu peux essayer de modifier les port et 443 en modifiant la conf du syno en root dans le dossier /etc/httpd. Apres il va falloir chercher dans quel fichier il sont renseigné et les modifier, mais fait tres attention a ne pas casser la conf

La parcontre je ne pourrais pas trop t'aider, pour moi arreter le serveur web ne changera rien sur le faite que les port 443 soit réservé, a la limite la solution serai de modifier la conf httpd directement pour changer les port web, mais je deconseille ce genre de bidouille si on a pas l'habitude. Ca me choque parcontre que tu ne puisse pas avoir un port interne diff du port externe. Tu est chez quels fai?

Personne?