C'est bien l'utilisateur root non ?

Oui, donc /root

Je n'ai pas de user root. J'ai l'admin et d'autres users du groupe des admin.

Ok ca marche

Je me connectais en ssh en admin du coup le backup root ne marchait pas. En me connectant en root c'est bon

Merci

Bonjour à tous, j'ai fait la manip mais il me dit encore que mon algorithme est obsolète :(

donne ton nom de domaine en pv, je vais faire le test sur startssl pour conprendre

 

 

C'est fait

j'ai le resultat :

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)   ECDH 256 bits (eq. 3072 bits RSA)   FS 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)   ECDH 256 bits (eq. 3072 bits RSA)   FS 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   ECDH 256 bits (eq. 3072 bits RSA)   FS 256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   ECDH 256 bits (eq. 3072 bits RSA)   FS 256
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (0xc012)   ECDH 256 bits (eq. 3072 bits RSA)   FS 112
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c) 128
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) 256
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 112
 

pour faire claire, la commande sed est surement pas passée

en ssh, tu peux lancer cette commande : 

 grep SSLCipherSuite  /etc/httpd/conf/extra/httpd-ssl.conf-cipher

et tu me copie le retour de la commande (en sélectionnant, ca copie automatiquement)

au passage, peux-tu me donner aussi le retour de cette commande :

openssl ciphers CHACHA20

 

edit : c'est qd meme bizare : le sha256/384 a priorité sur le sha en theorie mais il avec les simulation, on a le sha qui est pris dans certain cas en tls 1.2 :s

edit2 : bon, c'est les suite gcm qui sont tout simplement absente, ca redevient logique

Modifié le 5 juin 201510 a par gaetan.cambier

j'attendait ta reponse ici, et pas en privé, j'ai mis du temps à la voir

bon, le problème viens du sed :

fenir est surement encore en dsm 5.1 et comme la ligne a changé entre les 2 version, forcement ca a pas fonctionne

voici une ligne + générique qui en plus devient tenir dans le temps si jamais il fallais la retapper :

sed -i 's/SSLCipherSuite .*/SSLCipherSuite EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3
DES:!MD5/g' /etc/httpd/conf/extra/httpd-ssl.conf-cipher

ensuite, tu redemmare apache :

synoservicecfg --restart httpd-user

 

Ah désolé. Je tape la commande telle qu'elle avec .*/ ? sed -i 's/SSLCipherSuite .*/SSLCipherSuite EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3 DES:!MD5/g' /etc/httpd/conf/extra/httpd-ssl.conf-cipher

oui, fait un copier coller, c'est + sur

en fait la commande signifie que toute ligne commancant par "SSLCipherSuite "

va etre remplacé par "SSLCipherSuite EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3 DES:!MD5"

dans le fichier "/etc/httpd/conf/extra/httpd-ssl.conf-cipher"

Modifié le 5 juin 201510 a par gaetan.cambier

Super ca a marché !!!! :) :) t'es le meilleur Gaëtan. Merci beaucoup

C'est quand même dommage que Synology n'ait pas mis à jour leur algorithme. Tout le monde n'a pas la connaissance pour le faire.

de rien.

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256  est par defaut maintenant pour tous les client qui l'accepte

a ce jour, c'est un criptage sans faiblesse connrue

c'est bizarre en effet que synology refuse explicitement les suite en aesgcm, c'est à ce jour les + sur avec le chacha20_poly1305 de google mais ce dernier n'est pas supporté par nos syno en standard

bon, le problème viens du sed :

fenrir est surement encore en dsm 5.1 et comme la ligne a changé entre les 2 version, forcement ca a pas fonctionne

​je suis pourtant en 5.2 et le sed à fonctionné chez moi, surement un énième résidu de la montée de version

pas grave, l'essentiel est que le problème soit corrigé

Merci à vous les gars. C'était sympa :)