Il y a quelques temps déjà, j'avais traité de la possibilité de surfer en 3G sous Linux/Ubuntu, à partir d'un ultra-portable type Netbook, grâce à un abonnement téléphonique SFR Illimythics.

Le téléphone utilisé était un HTC sous Windows Mobile.

Cette fois, je vous propose de réitérer la manipulation, toujours sous Linux/Ubuntu, avec un téléphone Nokia (en l'occurence, un Nokia N95 8GB). A noter que cette opération est praticable avec quasiment tous les Nokia couplés à un SFR Illimythics.

Lire la suite

Pour créer une clé USB bootable de votre distribution préférée, vous avez deux options :

- Soit vous faites chauffer l'huile de coude et vous suivez cette très longue procédure en faisant gaffe de pas vous planter.

- Soit vous arrêtez de vous faire chier et vous utilisez uSbuntu

Kézako uSbuntu ?

Lire la suite

Je suis tombé ce matin sur un "Index Of" intéressant puisqu'il contenait du eBooks consacré à Linux.

Il y a à peu près tout ce dont on a besoin : du shell, un chouia de sécurité, de l'administration. Bref, du Cookbook comme j'aime.

Certains objecteront que ces livres ne sont plus tous neufs, les plus anciennes versions datent de 2003. Peu importe. La gestion de la sécu, le scripting, les commandes n'ont pas évolué.

Pour conclure, et se la jouer bon fainéant^[1], je vous propose de récupérer tous les bouquins d'un coup en une ligne, et en vous appuyant sur ce billet consacré au ftp récursif. Adapté, il vous suffit de taper, sous linux :

wget -r -P/Repertoire/home/de/votre/choix -nH http://try2innovate.com/downloads/E-books/Linux\ Books/

Bref rappel : Les billets consacrés au ftp récursif, c'est à dire à la possibilité de récupérer une arborescence FTP en ligne de commande, en prenant en une passe tous les sous-répertoires sont ici (wget) et là (lftp)

Nous nous en étions arrêtés à la fin de l’installation de Postfix. Aujourd’hui, nous allons aborder l’installation de Courier.

Au terme de cette manipulation, il sera possible d’envoyer/recevoir des mails grâce à notre serveur. Cependant, aucun filtre anti-spams ni antivirus n’aura été installé.

7 / Courier

Courier doit s'authentifier au travers de notre base Mysql. En premier lieu, éditons /etc/courier/authdaemonrc et changeons la valeur de authmodulelist comme suit :

# nano /etc/courier/authdaemonrc

[...]
authmodulelist="authmysql"
[...]

Ensuite, effectuons une sauvegarde de votre fichier /etc/courier/authmysqlrc et repartons du même fichier vidé :

# mv /etc/courier/authmysqlrc /etc/courier/authmysqlrc.old
# touch /etc/courier/authmysqlrc

Puis, éditons le fichier recréé et bourrons le comme suit :

MYSQL_SERVER localhost
MYSQL_USERNAME mail_admin
MYSQL_PASSWORD Gz4Ri8Vt
MYSQL_PORT 0
MYSQL_DATABASE mail
MYSQL_USER_TABLE users
MYSQL_CRYPT_PWFIELD password
#MYSQL_CLEAR_PWFIELD password
MYSQL_UID_FIELD 5000
MYSQL_GID_FIELD 5000
MYSQL_LOGIN_FIELD email
MYSQL_HOME_FIELD "/home/vmail"
MYSQL_MAILDIR_FIELD CONCAT(SUBSTRING_INDEX(email,'@',-1),'/',SUBSTRING_INDEX(email,'@',1),'/')
#MYSQL_NAME_FIELD
MYSQL_QUOTA_FIELD quota

Et pour finir, redémarrons Courier :

# /etc/init.d/courier-authdaemon restart
# /etc/init.d/courier-imap restart
# /etc/init.d/courier-imap-ssl restart
# /etc/init.d/courier-pop restart
# /etc/init.d/courier-pop-ssl restart

A ce stade, ça devrait fonctionner. Nous allons nous en assurer en procédant à une petite vérification grâce à TELNET :

# telnet localhost pop3
Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.
+OK Hello there.
quit
+OK Better luck next time.
Connection closed by foreign host.

NB : Si le +OK Hello there n’apparait pas, refaites le 7 / Courier depuis le début

Pour conclure, et pour être certain que root pointe bien vers postmaster (et vice-versa), modifions le fichier alias :

# nano /etc/aliases

[...]
postmaster: root
root: postmaster@sd-xxxx.dedibox.fr
[...]

Comme vous avez tripoté le fichier alias, il vous faut lancer cette petite commande :

# newaliases

puis relancer Postfix (ben ouais)

# /etc/init.d/postfix restart

C’est bouclé pour aujourd’hui. La prochaine fois, nous installerons les filtres anti-cons.

Salut les p’tits clous !

Dans la dernière partie, nous en avions presque terminé avec Postfix. Il ne manquait que quelques broutilles pour finaliser la configuration. Nous allons nous y coller aujourd’hui, et pas plus tard que maintenant.

Notre certificat a été généré, passons à la configuration de saslauth.

6/ Configuration de Saslauth

Créons, pour débuter, le répertoire idoine. Nous utiliserons au passage l’option parents de mkdir de façon à ce que ça ne râle pas si le répertoire existe déjà :

# mkdir -p /var/spool/postfix/var/run/saslauthd

Puis éditons le fichier /etc/default/saslauthd.

# nano /etc/default/saslauthd

Dans ce fichier, définissons START à yes et changeons, tout en bas du fichier, la ligne OPTIONS="-c" en OPTIONS="-c –m /var/spool/postfix/var/run/saslauthd -r"

Ensuite, créons le fichier /etc/pam.d/smtp. Nous n'y ajoutons que ces deux lignes avec les bonnes informations de connexion à la base :

auth required pam_mysql.so user=mail_admin passwd=Gz4Ri8Vt host=127.0.0.1 db=mail table=users usercolumn=email passwdcolumn=password crypt=1

account sufficient pam_mysql.so user=mail_admin passwd=Gz4Ri8Vt host=127.0.0.1 db=mail table=users usercolumn=email passwdcolumn=password crypt=1

Puis, créons le fichier /etc/postfix/sasl/smtpd.conf.

# nano /etc/postfix/sasl/smtpd.conf

Il doit avoir cette tête là (Pensez à indiquer VOTRE mot de passe) :

pwcheck_method: saslauthd
mech_list: plain login
allow_plaintext: true
auxprop_plugin: mysql
sql_hostnames: 127.0.0.1
sql_user: mail_admin
sql_passwd: Gz4Ri8Vt
sql_database: mail
sql_select: select password from users where email = '%u'

Nous y sommes presque. Redémarrons les services :

# /etc/init.d/postfix restart
# /etc/init.d/saslauthd restart

En principe, notre Postfix est maintenant opérationnel mais nous nous en assurerons dans le prochain billet puisque c'en est fini pour aujourd’hui.

La prochaine partie sera consacrée à Courier. Suivront ClamaV et SpamAssassin et quelques autres billets liés à une configuration plus fine de notre serveur.

Dans le dernier billet consacré à Postfix pour Linux Debian, nous avons terminé de régler les quelques détails préalables à la configuration du serveur de mails.

Passons maintenant à la configuration !

5/ Configurer Postfix

Autant vous prévenir tout de suite, c’est encore une partie un peu chiante et longue. Postfix repose sur 7 fichiers de configuration qu’il va nous falloir créer avec les bons paramètres. C’est parti avec les 6 premiers :

# nano /etc/postfix/mysql-virtual_domains.cf

user = mail_admin
password = Gz4Ri8Vt
dbname = mail
query = SELECT domain AS virtual FROM domains WHERE domain='%s'
hosts = 127.0.0.1

# nano /etc/postfix/mysql-virtual_forwardings.cf

user = mail_admin
password = Gz4Ri8Vt
dbname = mail
query = SELECT destination FROM forwardings WHERE source='%s'
hosts = 127.0.0.1

# nano /etc/postfix/mysql-virtual_mailboxes.cf

user = mail_admin
password = Gz4Ri8Vt
dbname = mail
query = SELECT CONCAT(SUBSTRING_INDEX(email,'@',-1),'/',SUBSTRING_INDEX(email,'@',1),'/') FROM users WHERE email='%s'
hosts = 127.0.0.1

# nano /etc/postfix/mysql-virtual_email2email.cf

user = mail_admin
password = Gz4Ri8Vt
dbname = mail
query = SELECT email FROM users WHERE email='%s'
hosts = 127.0.0.1

# nano /etc/postfix/mysql-virtual_transports.cf

user = mail_admin
password = Gz4Ri8Vt
dbname = mail
query = SELECT transport FROM transport WHERE domain='%s'
hosts = 127.0.0.1

# nano /etc/postfix/mysql-virtual_mailbox_limit_maps.cf

user = mail_admin
password = Gz4Ri8Vt
dbname = mail
query = SELECT quota FROM users WHERE email='%s'
hosts = 127.0.0.1

NB : Gz4Ri8Vt est le mot de passe défini dans le dernier épisode

Changeons les permissions de ce groupe de fichiers :

# chmod o= /etc/postfix/mysql-virtual_*.cf
# chgrp postfix /etc/postfix/mysql-virtual_*.cf

et créons un utilisateur et un group vmail avec le /home/vmail. C'est à cet endroit que les boîtes de vos utilisateurs seront stockées (Gaffe à la taille de votre /home)

# groupadd -g 5000 vmail
# useradd -g vmail -u 5000 vmail -d /home/vmail -m

Bourrons maintenant le fichier de configuration globale :

# nano /etc/postfix/main.cf

postconf -e 'myhostname = sd-xxxx.dedibox.fr'
postconf -e 'mydestination = sd-xxxx.dedibox.fr, localhost, localhost.localdomain'
postconf -e 'mynetworks = 127.0.0.0/8'
postconf -e 'virtual_alias_domains ='
postconf -e 'virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf'
postconf -e 'virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf'
postconf -e 'virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf'
postconf -e 'virtual_mailbox_base = /home/vmail'
postconf -e 'virtual_uid_maps = static:5000'
postconf -e 'virtual_gid_maps = static:5000'
postconf -e 'smtpd_sasl_auth_enable = yes'
postconf -e 'broken_sasl_auth_clients = yes'
postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination'
postconf -e 'smtpd_use_tls = yes'
postconf -e 'smtpd_tls_cert_file = /etc/postfix/smtpd.cert'
postconf -e 'smtpd_tls_key_file = /etc/postfix/smtpd.key'
postconf -e 'transport_maps = proxy:mysql:/etc/postfix/mysql-virtual_transports.cf'
postconf -e 'virtual_create_maildirsize = yes'
postconf -e 'virtual_mailbox_extended = yes'
postconf -e 'virtual_mailbox_limit_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf'
postconf -e 'virtual_mailbox_limit_override = yes'
postconf -e 'virtual_maildir_limit_message = "The user you are trying to reach is over quota."'
postconf -e 'virtual_overquota_bounce = yes'
postconf -e 'proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $virtual_mailbox_limit_maps'

A ce stade, il n’aura pas échappé à votre sagacité l’utilisation de SSL. Il nous faut donc créer le certificat SSL utilisé par TLS et répondre aux questions :

# cd /etc/postfix
# openssl req -new -outform PEM -out smtpd.cert -newkey rsa:2048 -nodes -keyout smtpd.key -keyform PEM -days 365 -x509

Enter your Country Name (e.g., "DE") : FR
Enter your State or Province Name : France
Enter your City : Paris
Enter your Organization Name (e.g., the name of your company) : fourre-tout inc.
Enter your Organizational Unit Name (e.g. "IT Department") : 
Enter the Fully Qualified Domain Name of the system (e.g. "server1.example.com") : sd-xxxx.dedibox.fr
Enter your Email Address : farf@fourre-tout.com

Et concluez en changeant les permissions du fichier smtpd.key :

# chmod o= /etc/postfix/smtpd.key

C’est terminé pour l’instant. Ne croyez pas avoir un postfix opérationnel, il manque encore quelques bricoles. Nous nous attaquerons dans le prochain billet à la configuration de saslauthd (pour l’authentification SASL), à celle de Courier et à la modification du fichier aliases. Ca n’est qu’à ce stade que l’envoi de mails sera possible.

Pour conclure sur le (trop) long sujet Postfix, nous aborderons ensuite l’installation et la configuration d’un anti-virus et d’un filtre anti-spams.

Au terme de cette série, il en sera fini de ce tutoriel Debian. Pour autant, il pourrait rester quelques questions en suspens. Aussi, si vous souhaitez obtenir un complément d’information, je suis enclin à rallonger un peu la sauce, mais pas dans 10 ans. En conséquence, je vous saurais gré de m’envoyer vos propositions de billets, avant le 10 septembre, soit au travers des commentaires, soit en utilisant le formulaire de contact.

Notre dernière partie consacrée à l’installation d’un serveur Debian traitait de Postfix, le serveur de mails. Nous l’avions simplement installé et patché sans aller plus avant.

Aujourd’hui, nous allons avancer en créant la base de données Mysql sur laquelle nous allons nous appuyer pour gérer nos utilisateurs et domaines et la mettre en relation avec le serveur de mails Postfix.

3/ La base de données Mysql

Sauf à ce que vous soyez totalement inconscient, ne pensez pas utiliser votre compte root pour vous connecter à votre nouvelle base. Prenez donc le temps de trouver un nom pour votre utilisateur admin et un vrai mot de passe.

Pour l’exemple, et pour faire preuve d’une originalité débordante, nous allons nommer notre base de données ‘’mail’’, notre user ‘’mail_admin’’ et nous lui assignerons comme mot de passe ‘’Gz4Ri8Vt’’^[1].

Commençons. D’abord, il nous faut créer la base. Pour ce faire, nous allons utiliser notre compte ‘’root’’. Tapez :

# mysqladmin –u root –p create mail

Puis utilisons le shell Mysql :

# Mysql –u root –p

A ce stade, nous avons simplement créé la base sans qu’aucun utilisateur ne lui soit dédié. Il faut donc déclarer mail_admin et lui assigner ses privilèges :

> GRANT SELECT, INSERT, UPDATE, DELETE ON mail.* TO 'mail_admin'@'localhost' IDENTIFIED BY 'Gz4Ri8Vt ';
> GRANT SELECT, INSERT, UPDATE, DELETE ON mail.* TO 'mail_admin'@'localhost.localdomain' IDENTIFIED BY 'Gz4Ri8Vt ';
> FLUSH PRIVILEGES;

Maintenant que ‘’mail’’ peut être utilisée par mail_admin dans ses fonctions SELECT, INSERT, UPDATE et DELETE, utilisons la :

> USE mail ;

Copiez/Collez les tables suivantes, qui seront utilisées par Postfix et Courier, renommées éventuellement à votre sauce :

Table domains : Contient chaque domaine que votre serveur aura à gérer (exemple : fourre-tout.com)

CREATE TABLE domains (
domain varchar(50) NOT NULL,
PRIMARY KEY (domain) )
TYPE=MyISAM;

Table forwardings : C’est la table des alias. Par exemple, la source farf@fourre-tout.com est un alias de la destination val@fourre-tout.com

CREATE TABLE forwardings (
source varchar(80) NOT NULL,
destination TEXT NOT NULL,
PRIMARY KEY (source) )
TYPE=MyISAM;

Table users : C’est ici que sont stockés les utilisateurs gérés par le serveur. Ils sont stockés en fonction de leur adresse mail et un quota de 10Go de stockage par boîte leur est assigné par défaut.

CREATE TABLE users (
email varchar(80) NOT NULL,
password varchar(20) NOT NULL,
quota INT(10) DEFAULT '10485760',
PRIMARY KEY (email)
) TYPE=MyISAM;

Table transport : Cette table est totalement optionnelle. Vous ne l’utiliserez que dans le cas où vous souhaiteriez rediriger le courrier d’un utilisateur vers un autre serveur.

CREATE TABLE transport (
domain varchar(128) NOT NULL default '',
transport varchar(128) NOT NULL default '',
UNIQUE KEY domain (domain)
) TYPE=MyISAM;

Et quittez le shell Mysql :

> QUIT ;

4/ Postfix/Mysql, le couple infernal :

Récapitulons. Notre serveur est installé, la base est installée et son utilisateur désigné. Pour autant, nous sommes encore loin de pouvoir envoyer un mail (et encore plus d’en recevoir un) et nous avons (encore) un préalable à régler avant de passer à la configuration proprement dite.

Postfix tourne dans une cage chroot, ce qui induit qu’il n’a aucun accès à localhost. C’est plutôt emmerdant parce que Mysql est en écoute de localhost. En conséquence, il est impératif de faire communiquer notre serveur de mail et notre moteur de base de données, notamment en obligeant le socket de Mysql à taper sur 127.0.0.1 pour qu’ils s’entendent.

Aussi, nous allons porter une légère modification au fichier de configuration de Mysql. Tapez :

# nano /etc/mysql/my.conf

Et indiquez en bind-address

[…]
bind-address = 127.0.0.1
[…]

puis redémarrez Mysql :

# /etc/init.d/mysql restart

NB : Faites super hyper gaffe avec vos mises à jour apt ou aptitude. En cas de remplacement de version, si vous choisissez le fichier de l’éditeur, cette altération de my.cnf sera perdue. Vous ne pourrez plus alors utiliser votre Postfix/Courier.

Si vous avez suivi à la lettre ce qui précède, ça devrait fonctionner correctement. Le gros hic est d’être certain d’avoir mysql en écoute sur 127.0.0.1 (localhost.localdomain). Nous allons nous en assurer immédiatement grâce à netstat^[2] :

# netstat –tap

Si vous avez cette ligne :

Active Internet connections (servers and established)
Proto         Recv-Q         Send-Q        Local Address                Foreign Address        State       PID/Program name
tcp            0                 0                localhost.localdo:mysql    *:*                        LISTEN     xxxx/mysqld

C’est bon ! Sinon, vous avez merdé un truc quelque part.

NB 1 : En PID (à côté de mysqld), vous aurez un nombre, et non pas xxxx.

NB 2 : Un moyen mnémotechnique pour utiliser netstat et avoir toutes les informations utiles est de taper ‘’netstat –lapute’’. Infaillible !

Cette fois, toutes les misères sont réglées. Il ne reste plus qu’à configurer vraiment le serveur mails, et nous verrons ça dans la prochaine partie.

Nous avons abordé en troisième partie l’installation du serveur apache, de la base de données et de PHP5. Nous disposons donc des pré-requis pour continuer notre installation, et nous allons maintenant passer un petit moment sur l’installation et la configuration d’un serveur de mail Postfix.

Pour ce faire, nous allons nous appuyer sur notre moteur Mysql afin de gérer plus sereinement les domaines et utilisateurs virtuels. Nous passerons ensuite à l’installation et à la configuration de Courier, à l’encryption des mots de passe utilisateurs, et à l’installation de Amavisd, SpamAssassin et Clamav. Ces trois derniers éléments permettront d’éliminer de vos mails spams et virus.

Quatrième partie : Et si on envoyait des mails ?

1/ Postfix, Courier, Saslauthd :

C’est parti. Tapez ou recopiez ça :

# apt-get install postfix postfix-mysql postfix-doc courier-authdaemon courier-authlib-mysql courier-pop courier-pop-ssl courier-imap courier-imap-ssl postfix-tls libsasl2 libsasl2-modules libsasl2-modules-sql sasl2-bin libpam-mysql openssl

Et répondez aux questions :

‘’Create directories for web-based administration ?’’ NO
‘’General type of configuration?’’ Internet Site
‘’Mail Name ?’’ sd-xxxx.dedibox.fr
‘’SSL certificate required’’ OK

2/ La gestion des quotas :

En natif, Postfix ne gère pas les quotas. Impossible par conséquent de limiter l’utilisation de certains répertoires du système de fichier. Pour parer au manque, il faut appliquer un patch sur la source et reconstruire un nouveau package Postfix.

NB : J’avais trouvé une solution toute faite sur lea-linux mais elle n’a pas fonctionné. Si recompiler vous gave, vous pouvez la tenter. Peut-être fonctionnera-t-elle ?

Installons le nécessaire au patch :

# apt-get install build-essential dpkg-dev fakeroot debhelper libgdbm-dev libldap2-dev libpcre3-dev libssl-dev libsasl2-dev po-debconf dpatch libdb4.3-dev libmysqlclient15-dev lsb-release libcdb-dev

C’est bon ? La suite :

# cd /usr/src
# apt-get source postfix

Assurez vous que la version de postfix dont vous disposez est bien la 2.3.8 :

$ postconf –d | grep mail_version

La réponse doit être :

…
mail_version = 2.3.8
…

Si tout y est, patchons :

# wget http://vda.sourceforge.net/VDA/postfix-2.3.8-vda.patch.gz
# gunzip postfix-2.3.8-vda.patch.gz
# cd postfix-2.3.8
# patch -p1 < ../postfix-2.3.8-vda.patch
# dpkg-buildpackage

Ici, si vous êtes fumeur, allumez en une. C’est un peu long.

Vous allez très certainement avoir une alerte disant ‘’ WARNING: Failed to sign .dsc and .changes file’’. Laissez râler et n’en tenez aucun compte.

Nos packages sont prêts. Installons les :

# cd..
# dpkg -i postfix_2.3.8-2_i386.deb
# dpkg -i postfix-mysql_2.3.8-2_i386.deb

C’est tout pour aujourd’hui. Postfix est correctement installé mais pas configuré.

Dans la prochaine partie, nous nous attèlerons à la création de la base et à la configuration de Postfix.

Dans le dernier billet consacré à l'installation d'un serveur Debian, nous nous intéressions à la sécurisation du serveur. Aujourd'hui, nous allons aborder l'installation du moteur Apache, de Mysql et de PHP5.

J'insiste sur PHP5 car, par défaut, La distribution Debian Etch propose PHP dans sa version 4.

Troisième partie : Un beau serveur web :

1/ Modification du sources.list :

Comme je le mentionnais un peu plus haut, PHP5 n'est pas disponible par défaut dans les dépôts. En conséquence, il nous faut aller le chercher ailleurs en ajoutant un nouveau dépôt à notre sources.list.

Pour ce faire, vous allez éditer votre fichier sources.list^[1] :

# nano /etc/apt/sources.list

Puis ajouter en fin de fichier ces deux lignes :

deb http://dotdeb.thefox.com.fr stable all
deb-src http://dotdeb.thefox.com.fr stable all

Enregistrez et quittez.

2/ Installation de PHP5/Mysql/Apache :

Le sources.list a été modifié mais la base n'a pas encore été rafraichie. Dont acte :

# apt-get update

Procédons maintenant à l'installation :

# apt-get install apache2 apache2-doc
# apt-get install mysql-server-5.0
# apt-get install curl
# apt-get install php5 php5-cli php-pear php5-gd php5-mysql php5-curl libapache2-mod-php5

C'est tout ! Vous devriez maintenant pouvoir contempler un magnifique It Works en tapant dans votre barre d'adresse http://VotreIP/apache2-default

NB : N'étant pas un fervent amateur de PostgreSQL, je n'ai indiqué ici que l'installation de Mysql. Si toutefois vous préférez cet autre moteur de base de données, vous pourrez trouver votre bonheur ici.

3/ Installation de phpmyadmin :

Comme vous aurez certainement l'envie d'administrer vos bases autrement qu'en utilisant la ligne de commande, voici la manipulation pour installer phpmyadmin :

# apt-get install phpmyadmin

Furieux, n'est-ce pas ? L'application est dorènavant disponible en tapant dans votre barre de navigateur http://VotreIP/phpmyadmin

NB : J'attire votre attention sur le fait qu'aucun utilisateur, ni mot de passe root n'est encore défini à ce stade pour Mysql. Votre base est ouverte aux grands vent via phpmyadmin. Aussi, je vous enjoins à définir immédiatement mots de passe, utilisateurs et privilèges.

Pour conclure sur le sujet, je ne fournirai pas la procédure d'installation de Bind9. En effet, je préfère gérer les DNS au niveau du registrar car même si le serveur tombe ou se fait dégommer par une petite fiotte, il suffit de réappliquer les sauvegardes et reconfigurer deux trois bricoles pour être de nouveau visible. Néanmoins, si vous voulez vous casser la tête à installer ce truc, c'est ici que ça se passe.

La quatrième partie sera consacrée à l'installation de Postfix.

Résumé des épisodes précédents. Nous avons évité les freeze de notre Dédibox puis avons commencé à la sécuriser.

Nous allons maintenant terminer le boulot.

Seconde partie - Chapitre 2 : Un peu de /proc, une once de fail2ban et un soupçon de chkrootkit

1/ Sécuriser les accès réseau :

Pour cette partie, je vous conseille de vous référer à cette excellente documentation.

• Protection contre le synflood :

Tapez^[1] :

# echo "1" > /proc/sys/net/ipv4/tcp_syncookies
# echo "1024" > /proc/sys/net/ipv4/tcp_max_syn_backlog
# echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

• Protection contre les redirections ICMP :

# echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
# echo "0" > /proc/sys/net/ipv4/conf/all/secure_redirects

• Logguer les Martiens^[2]

# echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

• Faire fi du Source Routing :

# echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

• Yo. Pas de Smurf Attack chez moi :

# echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Vous pouvez compléter en fouillant plus avant dans les options sysctl, si vous le souhaitez.

2/ Installer fail2ban :

Fail2ban permet d'éviter les gros nazes - et ils sont nombreux - qui tentent de s'introduire chez vous en les bannissant dès lors que le nombre de tentatives de connexion défini par vous est dépassé.

Installons la bête :

# apt-get install fail2ban

puis, éditons le fichier de configuration de fail2ban :

# nano /etc/fail2ban/jail.conf

Modifions les lignes de jail.conf comme suit :

[ssh] 

enabled = true 
logpath = /var/log/auth.log 
port = ssh 
filter  = sshd 
timeregex = S{3}s{1,2}d{1,2} d{2}:d{2}:d{2} 
timepattern = %%b %%d %%H:%%M:%%S 
failregex = : (?:(?:Authentication failure|Failed [-/\w+]+) for(?: illegal user)?|Illegal user|Did not receive identification) .$ 
maxretry = 3 
findtime = 600 
bantime = 1800 

[postfix] 

enabled  = false 
port     = smtp 
filter   = postfix 
logpath  = /var/log/postfix.log

Redémarrons fail2ban-client et relançons le :

# fail2ban-client stop
# fail2ban-client start

Et pour terminer, vérifions le bon fonctionnement :

# fail2ban-client -d

Vous devriez obtenir les premiers signes de fonctionnement de l'engin.

3/ Un détecteur de rootkit

Nous allons maintenant passer à l'installation de chkrootkit. Nous programmerons un envoi de mail automatique du rapport quotidien ensuite :

Tapez :

# sudo apt-get install chkrootkit

et éditez votre crontab

# crontab -e

et insérez cette ligne :

0 3 * * *  chkrootkit 2>&1 | mail votre@adresse.mail -s "Rapport quotidien RootKit"

De cette manière, vous recevrez tous les matins à 3 heures l'état des tentatives rootkit éventuelles.

C'est tout pour l'instant. La suite est consacrée à l'installation de PHP5, Mysql et Apache

Nous avons vu, avec le premier billet de la série, comment éviter que la Dedibox ne freeze.

Maintenant que nous avons un système beaucoup plus stable, passons à sa protection.

Seconde partie - Chapitre 1 : Protéger le serveur

Les 3 premières choses à faire pour assurer a minima une sécurité au serveur sont de limiter les accès SSH, de limiter les consoles et de désactiver/supprimer quelques services inutiles.

1 / Interdire l'accès root en SSH

Editez le fichier sshd_config^[1] :

# nano /etc/ssh/sshd_config

Ajoutez y cette ligne :

PermitRootLogin no

Enregistrez. C'est fait !

2 / Désactivez les consoles inutiles

Vos consoles sont désignées par tty1... ttyn. Comme vous êtes en accès distant, il est inutile de bouffer de la mémoire à rien. Autant les désactiver :

Tapez :

# nano /etc/inittab

et commentez sous les lignes, sauf celle correspondant à l'id 1 :

# /sbin/getty invocations for the runlevels.
#
# The "id" field MUST be the same as the last
# characters of the device (after "tty").
#
# Format:
#  <id>:<runlevels>:<action>:<process>
#
# Note that on most Debian systems tty7 is used by the X Window System,
# so if you want to add more getty's go ahead but skip tty7 if you run X.
#
1:2345:respawn:/sbin/getty 38400 tty1
#2:23:respawn:/sbin/getty 38400 tty2
#3:23:respawn:/sbin/getty 38400 tty3
#4:23:respawn:/sbin/getty 38400 tty4
#5:23:respawn:/sbin/getty 38400 tty5
#6:23:respawn:/sbin/getty 38400 tty6

Pour que la manipulation soit prise en compte, il vous faudra rebooter à l'occasion.

3/ Désactivation des services inutiles

Nous allons virer ce qui ne sert pas, à savoir ppp, portmap (si vous n'utilisez ni NFS, ni FAM) et inetd (parce que tout tournera en standalone).

Certains dégagent atd au bénéfice de crond. C'est un choix. Evitez juste de vous amuser avec at si vous le faites.

Revenons à nos moutons. Pour supprimer ces services, tapez :

# apt-get remove ppp
# apt-get remove portmap
# update-rc.d -f inetd remove
# update-rc.d -f ppp remove

Dans le prochain épisode, nous verrons comment modifier quelques paramètres d'interface pour rendre le système un peu plus sûr, puis de quelle manière se prémunir des tentatives d'accès en brute force.

Chose promise chose due, je commence ici une série de billets destinée à l'installation de A à Z un serveur Dedibox Debian.

La plupart des billets qui vont suivre ne sont pas spécifiquement propres ni à Debian, ni à Dedibox. Vous pourrez donc les appliquer sans problème à n'importe quel serveur Linux.

Première partie : Stabiliser la bête

Nombre des utilisateurs Dédibox connaissent le problème. Le serveur a une fâcheuse tendance à freezer toutes les 2 minutes. Non seulement ça nuit gravement à l'uptime mais surtout aux sites hébergés. Le problème vient de la libc6 qu'il faut downgrader pour être peinard. Voici la solution pour résoudre ce problème^[1] :

$ su root
# nano /etc/apt/sources.list

Ajouter le dépôt :

deb http://snapshot.debian.net/archive pool glibc

Fermer et enregistrer le fichier (CTRL+X), puis afraîchir la base :

# apt-get update

Puis tapez les deux lignes suivantes :

# apt-get install libc6=2.3.6.ds1-3 libc6-dev=2.3.6.ds1-3 locales=2.3.6.ds1-3
# aptitude hold libc6 libc6-dev locales

Cette dernière ligne permet de ne pas mettre ces 3 paquets à jour, sauf à les "unholder" ou à lancer un apt-get install libc6... qui retirera automatiquement le hold.

A la question de savoir pourquoi j'ai utilisé aptitude au lieu de apt-get, la réponse est : pure fainéantise !

Pour faire le hold d'un paquet avec apt, il faut procéder comme suit :

# echo "mon_paquet hold" | dpgk --set-selections

C'est trop long, c'est chiant et on a vite fait de faire une connerie.

Consulter la Deuxième partie - Chapitre 1 : Protéger son serveur.

Tout d'abord, chargez Backtrack et gravez le.

Bootez ensuite sur le liveCD fraichement gravé puis ouvrez une console.

Ensuite, faites :

$ cd /mnt 
$ ls (pour la liste des volumes disponibles)
$ cd sda1 (c'est en principe votre disque principal) 
$ cd Windows/ 
$ cd System32/ 
$ mv Utilman.exe Utilman.old 
$ cp cmd.exe Utilman.exe 
$ reboot

et attendez que ça reboote.

Une fois votre PC redémarré (Pensez à retirer le liveCD du lecteur pour ne pas rebooter dessus), à l'invite de log Vista, faites TOUCHE WINDOWS+U. Ca vous ouvrira l'invite de commande avec les privilèges administrateur.

Là, tapez (avec appuie sur la touche ''Entree" à chaque fin de ligne) :

c:\>net user S00perAdmin pipicaca /add
c:\>net localgroup administrators S00perAdmin /add

NB : 'pipicaca' est votre mot de passe, vous pouvez mettre ce que vous voulez.

Pour terminer, rebootez votre machine et logguez vous avec votre nouveau compte admin

Hier, je suis passé chez surcouf, j'avais un petit accessoire à acheter.

Comme j'ai trouvé mon bonheur rapidement, j'ai un peu flâné au milieu des étals, notamment vers les unités centrale dans la mesure où la mienne ressemble à... aheum... ça :

et qu'elle est un peu vieillissante.

Au milieu des unités centrale, donc, je croise un PC affiché à 99 euros. Je m'assure du prix, vais chercher le vendeur lui demander l'origine du miracle et il m'annonce qu'il s'agit d'une machine sous ubuntu avec pack "Alice".

Le pack "Alice" ne m'intéressant aucunement, je m'enquiers du prix hors pack. Il me crache un 160 euros. Une config dépouillée avec boîtier à ce prix, même bas de gamme, ça se laisse tenter, surtout vu la merde que je me traine. Aussi, je lui demande quelle carte mère est embarquée, façon de savoir si je peux récupérer quelque chose du truc qui pend contre mon mur.

Je n'ai pas pu savoir. Le type m'annonce ne pas connaître la configuration. En conséquence, je lui demande très gentiment s'il peut l'ouvrir que je m'assure du contenu. Et ce crétin de me répondre :

Ah bah non ! Si je l'ouvre la garantie saute !

Que je sache, l'UC n'avait pas quitté le magasin, et il n'allait certainement pas me vendre l'exemplaire de démonstration. J'ai eu beau tergiverser pendant 5mn, il n'a rien voulu entendre ; j'ai été contraint de lui conseiller d'aller se faire foutre.

Bref, une nouvelle fois Surcouf a démontré son savoir faire en terme de conseil au clients et s'est avéré comme d'habitude plus intéressé par la marge générée que par la satisfaction du service rendu.

Trouvé sur CrunchBang ce billet indiquant comment bénéficier de 465 fonts pour la distribution Gutsy, dernière de chez Ubuntu.

Pour installer ces polices de caractères, ajoutez au sources.list :

deb     http://ppa.launchpad.net/corenominal/ubuntu gutsy main
deb-src http://ppa.launchpad.net/corenominal/ubuntu gutsy main

Et allez chercher ttf-aefonts

$ sudo apt-get install ttf-aefonts