Le but de cette note est de sécuriser une connexion IMAP à un serveur Dovecot via l'utilisation du protocole SSL/TLS.
Pour l'installation de Dovecot, on se reportera à cette note : http://blog.moncoindunet.fr/linux/installer-un-serveur-de-mail-sous-linux-23-dovecot/
Logiciels utilisés : Dovecot 2.0.8, OpenSSL 1.0.0
SSL (Secure Socket Layer) est un protocole permettant de sécuriser une communication entre deux points, typiquement un client et un serveur.
Il peut être couplé au protocole HTTP pour former le HTTP sécurisé (HTTPS) qui apporte à la communication entre le client et le serveur Web :
Le but de cette note est donc de configurer un serveur Web Apache pour qu'il prenne en compte le SSL, permettant ainsi d'accéder à des sites Webs en HTTPS.
OpenSSL est une boite à outils open source qui implémente SSL/TLS ainsi qu'une bibliothèque de cryptographie.
Il va nous permettre ici de générer un certificat auto-signé. Ce type de certificat est très utile dans un cadre d'utilisation personnelle, par exemple pour implémenter les variantes sécurisées des protocoles tels que HTTP, IMAP ou SMTP qui deviendront alors HTTPS, IMAPS et SMTPS.
A noter : lors de l'utilisation sur un site Web, le navigateur affichera un message d'avertissement sur la connexion en HTTPS. Ceci est du au fait que, comme son nom l'indique, le certificat utilisé est auto-signé, c'est à dire non certifié par une autorité de confiance telle que Verisign par exemple. C'est pour cela qu'il n'est pas conseillé d'utiliser un certificat auto-signé pour un site publique par exemple, mais plutôt dans un cadre restreint.
chroot est une commande permettant de lancer une commande en modifiant l'emplacement du répertoire racine. Ainsi, si l'on choisit comme répertoires racine /usr/local/jail, lorsque l'utilisateur tapera "cd /" il arrivera dans ce qui est pour lui la racine (la commande pwd lui retournera bien /), alors qu'en réalité il sera dans /usr/local/jail. Il ne pourra donc pas accéder à la vraie racine du serveur.
Objectif : permettre à un utilisateur d'accéder à un système Linux de manière étanche avec le reste du système tout en lui permettant d'accéder à certaines ressources ou services, comme par exemple la possibilité de se connecter en ssh et d'utiliser sftp.
En pratique, on obligera l'utilisateur à s'emprisonner lui-même dans un environnement "prison" que l'on aura préparé spécialement pour lui 
Cette note sera découpée en deux grandes parties : la création de la prison et de son environnement, puis la création des utilisateurs de cette prison.
Logiciels utilisés : chroot, OpenSSH 4
Système d'exploitation : RedHat EL 5, Linux 2.6.x
Voici un enchainement de commandes simples qui permet de générer très facilement une chaîne de caractère aléatoire composée de lettres minuscules, majuscules et de chiffres, et qui peut donc être utilisée comme générateur de mot de passe :
$ tr -d -c "a-zA-Z0-9" < /dev/urandom | head -c 8
Petite explication de texte :
En observant les logs d'un service exposé sur Internet on se rends parfois compte que des requêtes "pourries" arrivent régulièrement d'adresses IP très ressemblantes.
Après un petit whois très intructif on peut obtenir la plage d'IP correspondante et ainsi la bloquer en amont du service, évitant de polluer les fichiers de logs et de faire travailler le serveur pour rien.
Le blocage d'une plage d'adresse IP se fait très facilement en utilisant iptables et le module iprange.
Par exemple, pour bloquer en entrée une plage d'adresse IP bien connue des serveurs smtp :
$ iptables -A INPUT -p tcp --dport 25 -m iprange --src-range 118.166.0.0-118.166.255.255 -j DROP
Options utilisées :
OpenSSH est un serveur SSH open source utilisé pour se connecter à distance et de manière sécurisée à une machine.
Objectif : se connecter à un serveur OpenSSH à l'aide d'une paire de clés plutôt que qu'avec un simple mot de passe.
Logiciel utilisé : OpenSSH 5.3P1
Système d'exploitation : Debian 5.0, Linux 2.6.26
OpenSSH est un serveur SSH open source utilisé pour se connecter à distance et de manière sécurisée à une machine.
Objectif : configurer un serveur OpenSSH afin, entre autres, d'en augmenter la sécurité
Logiciel utilisé : OpenSSH 5.3P1
Système d'exploitation : Debian 5.0, Linux 2.6.26