blogout

On suppose bien sûr que Cacti est installé….

L’idée est de monitorer via des graphiques un serveur postfix. Pour cela, il faut installer mailgraph sur le serveur hébergeant postfix. Ensuite, les informations seront transmises via snmp de ce serveur vers le serveur ou Cacti est installé.

Sur le serveur postfix

installer mailgraph via apt-get install mailgraph.

On copie alors le fichier mailgraph via la commande

mv /usr/sbin/mailgraph /usr/sbin/mailgraph.save

Ensuite, récupérer ici la version de mailgrap pour cacti (archive mailgraph-cacti.zip).

unzip mailgraph-cacti.zip
cd mailgraph-cacti
cp mailgraph.pl /usr/local/sbin/
cp postfixstats.sh /usr/local/bin/

Il faut modifier le script /etc/init.d/mailgraph en modifiant la variable DAEMON qui correspond au chemin du fichier mailgraph.pl.

DAEMON = /usr/local/bin/mailgraph.pl.

Il faut créer manuellement quelques fichiers pour que mailgraph puisse compter ses petits

touch /var/tmp/mailreceived
touch /var/tmp/mailsent
touch /var/tmp/mailrejected
touch /var/tmp/mailbounced
touch /var/tmp/mailspam
touch /var/tmp/mailvirus

Il faut maintenant éditer le fichier /etc/snmp/snmpd.conf et lui ajouter la chose suivante :

exec mailcount /usr/local/bin/postfixstats.sh

Il faut enfin relancer les deux services snmpd et mailgraph

/etc/init.d/snmpd restart
/etc/init.d/mailgraph restart

Sur le poste Cacti

C’est bien plus simple….
Il suffit de récupérer les fichiers cacti_graph_template_postfix_processing.xml et postfixcheck.pl de la précédente archive mailgraph-cacti.zip.

le fichier postfixcheck.pl doit être copié dans le répertoire scripts de cacti (sur une debian c’est du genre /usr/share/cacti/site/scripts/).

Ensuite, il faut depuis l’interface cacti importer le template xml cacti_graph_template_postfix_processing.xml. On peut alors faire des graphiques.

En cas de soucis

quelques pistes à explorer.

sur le serveur postfix

vérifier que le service mailgraph est lancé avec un

ps aux | grep mailgraph

Au passage vérifier que le chemin de mail.log soit correct.

Lancez le script postfixstats.sh pour voir si mailgraph compte bien les mails

/usr/local/bin/postfixstats.sh

qui doit vous donner un résultat sous la forme sent:10 received:50 bounced:20 rejected:10 spam:0 virus:0

Regardez enfin si les fichiers temporaires s’incrémentent bien

cat /var/tmp/mail*

sur le serveur cacti

/usr/bin/perl /usr/share/cacti/site/scripts/postfixcheck.pl IP_POSTFIX SNMP_VERSION COMUNITY_NAME

Si vous êtes un heureux possesseur d’une console PS3, vous aimeriez bien accéder à vos partages réseaux avec votre ps3.

Ushare est une solution facile à mettre en place sur votre serveur Linux afin de partager vos données avec votre PS3.

Installation

apt-get install ushare

Configuration

dpkg-reconfigure ushare

Il suffit de remplir les écrans en précisant vos partages que vous souhaitez “activer” pour votre PS3.

Lancement

ushare -d -D

On peut avoir besoin dans certaines conditions ô combien délicates de supprimer les mails qui sont présents dans la liste d’attente de Postfix.

une ligne de commande simple et efficace :

postsuper -d ALL

Un petit lien
pour en découvrir plus.

Testé sous Ubuntu 8.10

Il est parfois nécessaire d’associer un lecteur de newsgroup avec une connexion SSL vers un serveur de newsgroup.
Pan est un excellent lecteur de newsgroup sous Linux mais n’est prévu pour gérer une connection SSL.
Cependant, le système Linux est tellement modulable qu’il existe des solutions. Une consiste à utiliser stunnel qui est tout indiqué pour gérer des connections SSL.

L’idée, assez géniale quand même, est de configurer Pan avec comme serveur de newsgroup sa propre machine (localhost ou 127.0.0.1) et de confier à stunnel le soin de se connecter au vrai serveur de newsgroup via SSL. Grosso modo, Pan va appeler le “service” nntp (service des newsgroup) géré par stunnel.

Installation

sudo apt-get install pan stunnel4

Configuration stunnel

Les principaux fichiers de configuration sont :

/etc/default/stunnel4

# /etc/default/stunnel
# Julien LEMOINE
# September 2003

# Change to one to enable stunnel
ENABLED=1
FILES=”/etc/stunnel/*.conf”
OPTIONS=”"
# Change to one to enable ppp restart scripts
PPP_RESTART=0

Par rapport au fichier initial, on a juste changé la ligne ENABLED=0 par ENABLED=1.

/etc/stunnel/stunnel.conf

; Sample stunnel configuration file by Michal Trojnara 2002-2006
; Some options used here may not be adequate for your particular configuration
; Please make sure you understand them (especially the effect of chroot jail)

; Certificate/key is needed in server mode and optional in client mode
;cert = /etc/stunnel/mail.pem
;key = /etc/stunnel/mail.pem

; Protocol version (all, SSLv2, SSLv3, TLSv1)
sslVersion = SSLv3

; Some security enhancements for UNIX systems - comment them out on Win32
chroot = /var/lib/stunnel4/
setuid = stunnel4
setgid = stunnel4
; PID is created inside chroot jail
pid = /stunnel4.pid

; Some performance tunings
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
;compression = rle

; Workaround for Eudora bug
;options = DONT_INSERT_EMPTY_FRAGMENTS

; Authentication stuff
;verify = 2
; Don’t forget to c_rehash CApath
; CApath is located inside chroot jail
;CApath = /certs
; It’s often easier to use CAfile
;CAfile = /etc/stunnel/certs.pem
; Don’t forget to c_rehash CRLpath
; CRLpath is located inside chroot jail
;CRLpath = /crls
; Alternatively you can use CRLfile
;CRLfile = /etc/stunnel/crls.pem

; Some debugging stuff useful for troubleshooting
debug = 7
output = /var/log/stunnel4/stunnel.log

; Use it for client mode
client = yes

; Service-level configuration

[pop3s]
accept = 995
connect = 110

[imaps]
accept = 993
connect = 143

[ssmtp]
accept = 465
connect = 25

;[https]
;accept = 443
;connect = 80
;TIMEOUTclose = 0

; vim:ft=dosini

[nntp]
accept = 127.0.0.1:119
connect = nom_serveur_newsgroup:563

Par rapport au fichier initial, les lignes suivantes ont été modifié ou ajouté

; Use it for client mode
client = yes

[nntp]
accept = 127.0.0.1:119
connect = nom_serveur_newsgroup:563

Configuration Pan

On Lance Pan et on modifie les paramètres du serveur de newsgroup via le menu Edit puis Edit News Server.
Les paramètres de location doivent être :

adresse : localhost
port : 119

On laisse les éventuelles informations concernant le login/password si nécessaire.

Lancer stunnel4

Il ne reste plus qu’à lancer stunnel4 pour en avoir le coeur net.

sudo /etc/init.d/stunnel start

Normalement, Pan devrait avoir une connection SSL à votre serveur de newsgroup préféré.

En cas de soucis

plusieurs éléments à vérifier.

• netstat -l | grep nntp pour vérifier si le service nntp est bien lancé
• Aller voir les logs de stunnel4 si jamais vous avez eue l’idée d’activer un fichier log dans le fichier /etc/stunnel/stunnel.conf
• Aller voir les informations fournis par Pan lui même

Il est parfois nécessaire de “bidouiller” des paquets debian (.deb) afin de modifier par exemple les dépendances.

dpkg-deb est l’outil indispensable pour extraire et reconstruire des paquets débian.

Supposons donc que vous ayiez récupérer un paquet debian monpaquet.deb et que vous souhaitez l’éditer.

Première opération : extraction du paquet

dpkg-deb -x monpaquet.deb monpaquet.i386

Cette instruction extrait le paquet monpaquet.deb dans le répertoire monpaquet.i386

deuxième opération : extraction des fichiers de contrôle du paquet

dpkg-deb -e monpaquet.deb monpaquet.i386/DEBIAN

cette instruction va extraire les fichiers de contrôle (fichier control) dans le répertoire monpaquet.i386/DEBIAN Si vous souhaitez modifier les dépendances, vous devez éditer ce fameux fichier control

reconstruction du paquet débian

dpkg-deb -b monpaquet.i386 monpaquet.deb

Cette dernière instruction permet de reconstruire le paquet débian modifié.

Pour installer une version de vmware server sur la dernière version hardy (Ubuntu), il suffit de suivre ce lien.

Moi ça a marché nickel.

Que demande le peuple !

Fail2ban est un logiciel magique qui permet de bannir des IP qui tente de se connecter chez vous par des attaques dites de force brute. Il ajoute tout seul comme un grand les règles de filtrages iptables.

Installation

apt-get install fail2ban

Configuration

Les fichiers de configuration se trouve dans le répertoire /etc/fail2ban/.
Le principal fichier est jail.conf.

# Fail2Ban configuration file
#

[DEFAULT]

# “ignoreip” can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime  = 900
maxretry = 3

[ssh]

enabled = true
port    = ssh
filter    = sshd
logpath  = /var/log/auth.log
maxretry = 3

Explications

Dans notre cas, on s’intéresse aux connexions SSH (entrée [SSH] dans le fichier). Le fichier à analyser pour détecter les méchants est bien /var/log/auth.log.

La zone [DEFAULT] spécifie les règle de bannissement ainsi que leur durée.
Dans notre cas, au bout de 3 tentatives (maxfailures), l’IP est bloquée pour pendant 900s (bantime).

Démarrage de fail2ban

/etc/init.d/fail2ban start pour le lancement

/etc/init.d/fail2ban status pour connaitre l’état de fail2ban

Vérification des IP bannies

un petit tour du côté du fichier /var/log/fail2ban.log (cf le fichier de configuration) devrait vous fournir l’ensemble des informations. Il suffit alors de chercher la chaine de caractère “Ban”.

site officiel :

Envoyer un mail en ligne de commande est tres simple avec la commande mail -s “monsujet” mondestinatire.

Par contre, envoyer un mail avec des pièces jointes est un peu plus ardu.

Il existe un programme mutt (ce programme fait bien d’autres choses que cela!) qui le permet aisément.

mutt -a pieces_jointes -s subject email_destinataire

conky est un utilitaire magique qui permet d’encombrer son bureau Ubuntu à loisir. Ca permet d’avoir des informations utiles concernant ses ressources,etc…

Installation

apt-get install conky

Paramétrage

On crée un fichier du type .conkyrc dans son répertoire home.

exemple :

own_window_hints undecorated,below,sticky,skip_taskbar,skip_pager
use_xft yes
on_bottom yes
xftfont Comic sans MS:size=9
xftalpha 0.8
update_interval 1.0
total_run_times 0
own_window yes
own_window_transparent yes
double_buffer yes
minimum_size 280 5
draw_shades no
draw_outline no
draw_borders no
stippled_borders 8
border_margin 4
border_width 1
default_color #4582B5
default_shade_color black
default_outline_color black
alignment top_right
gap_x 8
gap_y 50
no_buffers yes
uppercase no
cpu_avg_samples 2
net_avg_samples 2
override_utf8_locale no
use_spacer no

TEXT
${color white}Bonjour Maitre
${color white}Nous sommes le : ${time %A %d %B %Y} - ${time %H:%M:%S}
$nodename - $sysname $kernel on $machine
$stippled_hr
${color #e49c16}Uptime:$color $uptime ${color #FFFFFF}- Load:$color $loadavg
${color #e49c16}CPU Utilise :${color #FFFFFF} $cpu% ${color #ffc11f}${cpubar}
${color white}${cpugraph ffc11f 8b4b0b}
${color #e49c16}Memoire RAM :${color #FFFFFF} $mem/$memmax - $memperc% ${color #ffc11f}${membar}
${color #e49c16}Utilisation du Swap :${color #FFFFFF} $swap/$swapmax - $swapperc% ${color #ffc11f}${swapbar}
${color #e49c16}Processus : $color $processes ${color #FFFFFF}En cour : $color $running_processes
$color$stippled_hr
${color #e49c16}Reseau : ${color #FFFFFF}IP Locale ${addr eth0} - IP Publique ${execi 1800 ~/scriptip.sh}
${color #e49c16}Download :${color white} ${downspeed eth0} k/s${color white} ${offset 80}${color #e49c16}Upload:${color white} ${upspeed eth0} k/s
${color #FFFFFF}${downspeedgraph eth0 32,150 8b4b0b ffc11f} ${color #FFFFFF}${upspeedgraph eth0 32,150 ffc11f 8b4b0b}
$color$stippled_hr
${color #e49c16}Espace Disque:
${color #FFFFFF}Root: ${color #FFFFFF}${fs_free /}/${fs_size /} ${color #ffc11f}${fs_bar /}
${color #FFFFFF}Data: ${color #FFFFFF}${fs_free /DATA/}/${fs_size /DATA/} ${color #ffc11f}${fs_bar /DATA/}
${color #FFFFFF}Sauvegarde: ${color #FFFFFF}${fs_free /SAUVEGARDE/}/${fs_size /SAUVEGARDE/} ${color #ffc11f}${fs_bar /SAUVEGARDE/}
${color #FFFFFF}Raid: ${color #FFFFFF}${fs_free /media/raid/}/${fs_size /media/raid/} ${color #ffc11f}${fs_bar /media/raid/}

Ci dessous, vous trouverez une copie du fichier scriptip.sh qui est appelé dans ce fichier de configuration pour déterminer l’adresse IP publique.

#!/bin/bash
#voir ip derriere routeur
wget http://checkip.dyndns.org/ -O - -o /dev/null | cut -d: -f 2 | cut -d\< -f 1 > ip
cat ip

Démarrage de conky

depuis un terminal ou directement depuis alt + F2

conky -c .conkyrc

WebDAV (Web enabled Distributed Authoring and Versioning) , fournit un environnement partagé aux utilisateurs pour éditer/gérer leurs fichiers sur les serveurs Web. Techniquement, DAV est une extension du protocole http. Ca ressemble un peu beaucoup au FTP et est disponible sous les principales plateformes OS.

Installation

On suppose qu’Apache2 est déjà installé sur le système cible.

Il faut installer les modules dav qui sont fournis par Apache2 mais pas activés par défaut.
On les active en créant un lien symbolique vers /etc/apache2/mods-enabled

cd /etc/apache2/mods-enabled
n -s ../mods-available/dav* .

Configuration Apache2

On ajoute un virtualhost par exemple en modifiant le fichier/etc/apache2/sites-available/default.

<VirtualHost *:80>
ServerName wpub.mondomaine
ServerAlias wpub.mondomaine
ServerAdmin webmaster@mondomaine
DocumentRoot /var/www/wpub

<Directory /var/www/wpub>
Options Indexes FollowSymLinks
#AllowOverride All
AllowOverride AuthConfig
Order allow,deny
allow from all
DAV on
AuthName “Stockage WebDAV”
AuthType Basic
AuthUserFile /etc/apache2/htpasswd-webdav
Require valid-user
<Limit GET PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
</Limit>
<LimitExcept GET>
Require valid-user
</LimitExcept>
</Directory>

</VirtualHost>