mai 07
Pour installer une version de vmware server sur la dernière version hardy (Ubuntu), il suffit de suivre ce lien.
Moi ça a marché nickel.
Que demande le peuple !
mai 05
Fail2ban est un logiciel magique qui permet de bannir des IP qui tente de se connecter chez vous par des attaques dites de force brute. Il ajoute tout seul comme un grand les règles de filtrages iptables.
Installation
apt-get install fail2ban
Configuration
Les fichiers de configuration se trouve dans le répertoire /etc/fail2ban/.
Le principal fichier est fail2ban.conf.
# Fail2Ban configuration file
#[Definition]
loglevel = 4
# Option: logtarget
logtarget = /var/log/fail2ban.log# Option: socket
socket = /var/run/fail2ban/fail2ban.sock[SSH]
enabled = true
logfile = /var/log/auth.log[DEFAULT]
maxfailures = 3
bantime = 900
findtime = 600
Explications
Dans notre cas, on s’intéresse aux connexions SSH (entrée [SSH] dans le fichier). Le fichier à analyser pour détecter les méchants est bien /var/log/auth.log.
La zone [DEFAULT] spécifie les règle de bannissement ainsi que leur durée.
Dans notre cas, au bout de 3 tentatives (maxfailures), l’IP est bloquée pour pendant 900s (bantime).
Démarrage de fail2ban
/etc/init.d/fail2ban start pour le lancement
/etc/init.d/fail2ban status pour connaitre l’état de fail2ban
Vérification des IP bannies
un petit tour du côté du fichier /var/log/fail2ban.log (cf le fichier de configuration) devrait vous fournir l’ensemble des informations. Il suffit alors de chercher la chaine de caractère “Ban”.
mai 05
Envoyer un mail en ligne de commande est tres simple avec la commande mail -s “monsujet” mondestinatire.
Par contre, envoyer un mail avec des pièces jointes est un peu plus ardu.
Il existe un programme mutt (ce programme fait bien d’autres choses que cela!) qui le permet aisément.
mutt -a pieces_jointes -s subject email_destinataire
avr 12
conky est un utilitaire magique qui permet d’encombrer son bureau Ubuntu à loisir. Ca permet d’avoir des informations utiles concernant ses ressources,etc…
Installation
apt-get install conky
Paramétrage
On crée un fichier du type .conkyrc dans son répertoire home.
exemple :
own_window_hints undecorated,below,sticky,skip_taskbar,skip_pager
use_xft yes
on_bottom yes
xftfont Comic sans MS:size=9
xftalpha 0.8
update_interval 1.0
total_run_times 0
own_window yes
own_window_transparent yes
double_buffer yes
minimum_size 280 5
draw_shades no
draw_outline no
draw_borders no
stippled_borders 8
border_margin 4
border_width 1
default_color #4582B5
default_shade_color black
default_outline_color black
alignment top_right
gap_x 8
gap_y 50
no_buffers yes
uppercase no
cpu_avg_samples 2
net_avg_samples 2
override_utf8_locale no
use_spacer noTEXT
${color white}Bonjour Maitre
${color white}Nous sommes le : ${time %A %d %B %Y} - ${time %H:%M:%S}
$nodename - $sysname $kernel on $machine
$stippled_hr
${color #e49c16}Uptime:$color $uptime ${color #FFFFFF}- Load:$color $loadavg
${color #e49c16}CPU Utilise :${color #FFFFFF} $cpu% ${color #ffc11f}${cpubar}
${color white}${cpugraph ffc11f 8b4b0b}
${color #e49c16}Memoire RAM :${color #FFFFFF} $mem/$memmax - $memperc% ${color #ffc11f}${membar}
${color #e49c16}Utilisation du Swap :${color #FFFFFF} $swap/$swapmax - $swapperc% ${color #ffc11f}${swapbar}
${color #e49c16}Processus : $color $processes ${color #FFFFFF}En cour : $color $running_processes
$color$stippled_hr
${color #e49c16}Reseau : ${color #FFFFFF}IP Locale ${addr eth0} - IP Publique ${execi 1800 ~/scriptip.sh}
${color #e49c16}Download :${color white} ${downspeed eth0} k/s${color white} ${offset 80}${color #e49c16}Upload:${color white} ${upspeed eth0} k/s
${color #FFFFFF}${downspeedgraph eth0 32,150 8b4b0b ffc11f} ${color #FFFFFF}${upspeedgraph eth0 32,150 ffc11f 8b4b0b}
$color$stippled_hr
${color #e49c16}Espace Disque:
${color #FFFFFF}Root: ${color #FFFFFF}${fs_free /}/${fs_size /} ${color #ffc11f}${fs_bar /}
${color #FFFFFF}Data: ${color #FFFFFF}${fs_free /DATA/}/${fs_size /DATA/} ${color #ffc11f}${fs_bar /DATA/}
${color #FFFFFF}Sauvegarde: ${color #FFFFFF}${fs_free /SAUVEGARDE/}/${fs_size /SAUVEGARDE/} ${color #ffc11f}${fs_bar /SAUVEGARDE/}
${color #FFFFFF}Raid: ${color #FFFFFF}${fs_free /media/raid/}/${fs_size /media/raid/} ${color #ffc11f}${fs_bar /media/raid/}
Ci dessous, vous trouverez une copie du fichier scriptip.sh qui est appelé dans ce fichier de configuration pour déterminer l’adresse IP publique.
#!/bin/bash
#voir ip derriere routeur
wget http://checkip.dyndns.org/ -O - -o /dev/null | cut -d: -f 2 | cut -d\< -f 1 > ip
cat ip
Démarrage de conky
depuis un terminal ou directement depuis alt + F2
conky -c .conkyrc
mar 23
WebDAV (Web enabled Distributed Authoring and Versioning) , fournit un environnement partagé aux utilisateurs pour éditer/gérer leurs fichiers sur les serveurs Web. Techniquement, DAV est une extension du protocole http. Ca ressemble un peu beaucoup au FTP et est disponible sous les principales plateformes OS.
Installation
On suppose qu’Apache2 est déjà installé sur le système cible.
Il faut installer les modules dav qui sont fournis par Apache2 mais pas activés par défaut.
On les active en créant un lien symbolique vers /etc/apache2/mods-enabled
cd /etc/apache2/mods-enabled
n -s ../mods-available/dav* .
Configuration Apache2
On ajoute un virtualhost par exemple en modifiant le fichier/etc/apache2/sites-available/default.
<VirtualHost *:80>
ServerName wpub.mondomaine
ServerAlias wpub.mondomaine
ServerAdmin webmaster@mondomaine
DocumentRoot /var/www/wpub
<Directory /var/www/wpub>
Options Indexes FollowSymLinks
#AllowOverride All
AllowOverride AuthConfig
Order allow,deny
allow from all
DAV on
AuthName “Stockage WebDAV”
AuthType Basic
AuthUserFile /etc/apache2/htpasswd-webdav
Require valid-user
<Limit GET PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
</Limit>
<LimitExcept GET>
Require valid-user
</LimitExcept>
</Directory>
</VirtualHost>
nov 29
Une configuration VPN entre un serveur VPN (IPCOP) et un client VPN se nomme Roadwarrior.
La solution proposée est d’ajouter ZERINA (OpenVPN) à IPCOP et d’installer OpenVPN GUI for Win32 sur une machine Windows.
Il existe un client OpenVpn pour Mac OS X qui fonctionne tres bien (Tunnelblick disponible ici).
Installation de Zerina (à faire sur le serveur IPCOP)
On trouve Zerina OpenVpn à l’adresse suivante.
Avec un client ssh, on copie l’archive sur le serveur IPCOP dans /root/zerina par exemple.
On décompresse la chose par la commande tar -xzvf ./ZERINA-0.9.1b-Installer.tar.gz.
On lance alors l’installation via la commande ./install
ZERINA est alors installé.
Configuration de Zerina
Un howto existe à l’adresse suivante.
Sur l’interface d’administration d’Ipcop, on trouve trouver dans l’onglet RVPs, un élément OpenVpn.
Création des Autorités de certification
On commence alors par générer les certificats au niveau du serveur Ipcop.
On clique alors sur ‘Genérer certificat racine/systeme’ et on remplit les informations demandées. On reclique sur ‘Genérer certificat racine/systeme’ et après quelques instants, on dispose enfin de certificat racine/systeme.
Création des certificats client
Pour chaque client, on génère un certificat différent.
Dans la zone inférieure “Client status and control“, on clique sur le bouton “Ajouter” puis on choisit sur l’écran suivant l’option “RPV système à réseau (RoadWarrior). Une fois les champs renseignés, on clique sur “Sauvegarde”.
On répète cette opération pour chaque client.
On obtient alors un écran comme suivant :
Il ne reste plus qu’à downloader le certificat client en cliquant sur l’icone 
et l’installer sur le poste client.
Démarrage du serveur
On commence par enregistrer les paramètres àpres les avoir modifié si besoin.
Ensuite,il ne reste plus qu’a lancer le serveur en cliquant sur “Start OpenVpn Server”.
Installation du client OpenVpn
Sur un PC Windows, installez OpenVPN GUI for Win32.
Installer le fichier ZIP récupéré sur votre IPCOP (certificat client) et copiez son contenu dans le dossier config de OpenVPN GUI (son contenu pas le dossier lui-même).
Avec le bouton droite de la souris, cliquez sur l’icone de OpenVPN GUI for Win32 qui est dans la barre systeme.
Ensuite, faîtes connect.
Réglage du parefeu sous IPCop
Comme OpenVpn utilise par défaut le port UDP 1194 (ou celui que vous avez spécifier dans la configuration du serveur) , il est de bon ton d’autoriser ce port et de le rediriger vers la machine IPCop. Il suffit donc d’aller dans l’onglet “Pare-feu” et de choisir “Redirection de port”.
nov 27
Copfilter est un add-on non officiel d’IPCOP.
Il permet de disposer d’une solution anti-spam et anti-virus.
Installation
- Se connecter a IPCOP sur port SSH (port 222).
- Copier le fichier tar.gz de copfilter sur root
- Décompacter la chose avec tar xzvf
- Désinstaller l’ancienne version si necessaire via /root/copfilter/setup_util -u et eventuellement un backup
- Installer la nouvelle version via install
- Installer les fichiers de sauvegarde si ncessaire via /root/copfilter/setup_util -r /var/ipcop/copfilter/etc_20060330192949.tgz
Sauvegarder sa configuration antérieure :
commande :/root/copfilter/setup_util -b
ce qui donne :
root@ipcop-lolo:~ # /root/copfilter/setup_util -b
Création d’une sauvegarde: /var/ipcop/copfilter/etc_20060330192949.tgz ..
Les fichiers et dosiers suivants seront sauvegardés:
/var/log/copfilter/default/etc
/var/log/copfilter/default/opt/privoxy/etc/user.action
/var/log/copfilter/default/opt/privoxy/etc/neilvandyke.action
/var/log/copfilter/default/opt/clamav/var/log/clamd.log
/var/log/copfilter/default/opt/mail-spamassassin/var/log/spamd.log
/var/log/copfilter/default/opt/havp/var/log/access.log
/var/log/copfilter/default/opt/havp/var/log/error.log
/var/log/copfilter/default/opt/frox/var/log
/var/log/copfilter/default/opt/tools/var/log
/var/log/copfilter/default/opt/monit/var/log
/var/log/copfilter/default/opt/p3scan/var/log
/var/log/copfilter/default/opt/mail-spamassassin/var/bayes/bayes_*
tar: Removing leading `/’ from member names
sauvegarde terminée avec succès
Commande IPCOPFILTER
chemin par defaut : /root/copfilter/
backup
./setup_util -buninstall
./setup_util -uinstall
restore
./setup_util -ror type ./setup_util -h
for help
Usage: setup_util OPTION
Options:
-a, –addmenu add copfilter menu to the webgui (already done with -i)
-b, –backup [FILE] backup current settings & logfiles (optional: backup fil e)
-d, –default restore default configuration
-i, –install [–force] install (or reinstall) copfilter (use force if already i nst.)
-f, –fprot FILE install fprot, FILE: download and copy fprot >GZIP-ed TA R file< to ipcop
URL:http://www.f-prot.com/download/home_user/download_fp linux.html
example: setup_util -f fp-linux-ws.tar.gz
-r, –restore [FILE] restore configuration (optional: restore file)
-R, –regrazor register razor
-u, –uninstall uninstall copfilter and fprot
-V, –version print version information and exit
-x, –fixbackspace fix backspace key in vi
LISTE BLANCHE SPAMASSASSIN
La whitelist et blacklist sont gérées dans le fichier /var/log/copfilter/default/etc/cp_spam_whitelist/local_webgui.cf.
exemple : local_webgui.cf
————————-
whitelist_from *@toto.fr
INSTALLATION COPFILTER SS INTERFACE RED CONNECTE
Dans le cas d’une connexion internet défectueuse, il est alors impossible d’enregistrer razor.
Rétablissez la connexion internet et enregistrer razor en lançant la commande :
./setup_util -R
nov 27
IPCOP est une merveilleuse distribution Linux qui permet de recycler un vieux pc en routeur-firewall performant.
Vous trouverez toutes les informations en allant ici.
Fichiers Script de config
On peut modifier la config de base via la commande config depuis un acces ssh.
les principaux fichiers sont /var/ipcop/.
Par exemple, la configuration des cartes réseaux est /var/ipcop/ethernet/settings
AJOUTER SCRIPT AU DEMARRAGE IPCOP
Les scripts au démarrage d’IPCOP sont situés dans /etc/rc.d/
Le script rc.local est lancé automatiquement au demarrage et c’est un bon endroit pour y coller un script que l’on souhaite lancer à chaque démarrage.
Exemple du fichier /etc/rc.d/rc.local/
#!/bin/sh
# COPFILTER START - do not modify
# start local programs
echo “démarrage p3scan …”
env /var/log/copfilter/default/opt/p3scan/etc/init.d/copfilter_p3scan config
echo “démarrage clamd …”
env /var/log/copfilter/default/opt/clamav/etc/init.d/copfilter_clamd config
echo “démarrage fprotd (if installed) …”
env /var/log/copfilter/default/opt/f-prot/etc/init.d/copfilter_f-protd config
echo “démarrage spamd …”
env /var/log/copfilter/default/opt/mail-spamassassin/etc/init.d/copfilter_spamd config
echo “démarrage havp …”
env /var/log/copfilter/default/opt/havp/etc/init.d/copfilter_havp config
echo “démarrage frox …”
env /var/log/copfilter/default/opt/frox/etc/init.d/copfilter_frox config
echo “démarrage privoxy …”
env /var/log/copfilter/default/opt/privoxy/etc/init.d/copfilter_privoxy config
echo “démarrage proxsmtpd …”
env /var/log/copfilter/default/opt/proxsmtp/etc/init.d/copfilter_proxsmtpd config
echo “démarrage monit …”
env /var/log/copfilter/default/opt/monit/etc/init.d/copfilter_monit config
# COPFILTER END - do not modify#Bidouille
echo “démarrage freebox TV…”
#/root/utils/freeplayer.sh
Adddons IPCOP
l’utilisation d’add-on (non officiel) sur ipcop necessite au préalable l’installation du MOD Addon disponible sur http://firewalladdons.sourceforge.net/install-2.3.b2.html. Ce Mod permet l’installation et la mise d’addon et les intègre à l’interface graphique d’IPCOP.
L’installation est la suivante :
- se connecter via ssh (port 222) sur le IPCOP.
- Copier le fichier tar.gz précedemment récupéré dans le /root/
- tar xzvf addons-2.3-CLI-b2.tar.gz
- cd /addons
- ./addoncfg -u (ignore errors about missing files/dirs)
- ./addoncfg -i
Ensuite, il ne reste plus qu’a faire son marché et d’installer ces fameux addons depuis le site http://firewalladdons.sourceforge.net/.
j’ai installé et testé les addons suivants :
- iptraf
- NetTraffic
- CopFilter
nov 27
Ayant voulu marquer mon indépendance vis à vis des paquets Débian et Ubuntu, j’ai décidé de prendre les versions tarball et de les compiler comme un grand.
Installation de nagios
- récupérer la dernière archive de nagios
- création du compte et groupe nagios
$ adduser nagios
- création du répertoire d’installation de nagios
$ mkdir /usr/local/nagios
$ chown nagios:nagios /usr/local/nagios
- trouver le user apache
www-data pour les Débien et Ubuntu sinon tapez :
$ grep “^User” /etc/apache2/apache2.conf
- création du groupe de commande
$ /usr/sbin/groupadd nagcmd
On ajoute à ce groupe les users www-data et nagios
$ /usr/sbin/usermod -G nagcmd www-data
$ /usr/sbin/usermod -G nagcmd nagios
- installation via script
$ tar xzf nagios-version.tar.gz
$ cd nagios-version$ ./configure –prefix=/usr/local/nagios –with-cgiurl=/nagios/cgi-bin –with-htmurl=/nagios/ –with-nagios-user=nagios –with-nagios-group=nagios –with-command-group=nagcmd
./configure –prefix=prefix –with-cgiurl=cgiurl –with-htmurl=htmurl –with-nagios-user=someuser –with-nagios-group=somegroup –with-command-group=cmdgroup
- prefix : répertoire d’installation (par défaut /usr/local/nagios)
- cgiurl : répertoire pour les accès CGI ( par défaut /nagios/cgi-bin). NE PAS METTRE DE / à la fin de l’url
- htmurl : chemin pour accéder à l’interface d’administration WEB (par défaut /nagios/)
- someuser : nom du user nagios (par défaut nagios)
- somegroup : nom du groupe nagios (par défaut nagios)
- cmdgroup : nom du groupe with the name of the group running the web server (par défault nagios, dans l’exemple actuel nagcmd).
Si tout se passe bien, vous devriez obtenir un message comme :
*** Configuration summary for nagios 2.9 04-10-2007 ***:
General Options:
————————-
Nagios executable: nagios
Nagios user/group: nagios,nagios
Command user/group: nagios,nagcmd
Embedded Perl: no
Event Broker: yes
Install ${prefix}: /usr/local/nagios
Lock file: ${prefix}/var/nagios.lock
Init directory: /etc/init.d
Host OS: linux-gnuWeb Interface Options:
————————
HTML URL: http://localhost/nagios//
CGI URL: http://localhost/nagios/cgi-bin/
- $ make all
qui donne comme résultat
make install
- This installs the main program, CGIs, and HTML filesmake install-init
- This installs the init script in /etc/init.dmake install-commandmode
- This installs and configures permissions on the
directory for holding the external command filemake install-config
- This installs *SAMPLE* config files in /usr/local/nagios/etc
You’ll have to modify these sample files before you can
use Nagios. Read the HTML documentation for more info
on doing this. Pay particular attention to the docs on
object configuration files, as they determine what/how
things get monitored!
- $ make install
pour installer nagios, CGI et fichiers HTML
- $ make install-init
pour installer script de démarrage dans /etc/init.d/
- $ make install-commandmode
pour installer et configurer les autorisatiosn sur les commandes externes de nagios
- $ make install-config
pour installer les fichiers de configuration.
Installation de nagios-plugins
voir mon précédent message convernant le plugins NRPE.
Configuration du serveur HTTP
Modification d’Apache
Il faut aller modifier le fichier de configuration d’apache (dans mon cas /etc/apache2/apache2.conf) et y ajouter les éléments suivants :
ScriptAlias /nagios/cgi-bin /usr/local/nagios/sbin
Options ExecCGI
AllowOverride None
Order allow,deny
Allow from all
AuthName “Nagios Access”
AuthType Basic
AuthUserFile /usr/local/nagios/etc/htpasswd.users
Require valid-user
Alias /nagios /usr/local/nagios/share
Options None
AllowOverride None
Order allow,deny
Allow from all
AuthName “Nagios Access”
AuthType Basic
AuthUserFile /usr/local/nagios/etc/htpasswd.users
Require valid-user
Création de l’accès sécurisé
Comme on a protégé l’accès à l’interface HTPP via un fichier .htaccess, il va falloir créer des users (stockés dans un fichier /usr/local/nagios/etc/htpasswd.users) autorisés à y accéder.
$ htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin
pour créer le fichier /usr/local/nagios/etc/htpasswd.users qui sera utilisé pour l’authentification de notre fameux user nagiosadmin.
On relance apache et on prie fort !!
Si on tape sur un navigateur http://localhost/nagios/, on devrait arriver sur la fenêtre d’accès à Nagios.
Configuration de Nagios
Les fichiers de nagios sont installés par défaut dans /usr/local/nagios/.
Le répertoire etc/ contient les fichiers de configuration de nagios essentiels.
Si on a demandé l’installation des fichiers de configuration, on trouvera alors dans /usr/local/nagios/etc/ les fichiers de configuration avec l’extension ‘.sample’…..
Test de la configuration de nagios
$ /usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg
Lancer le daemon nagios
$ /usr/local/nagios/bin/nagios -d /usr/local/nagios/etc/nagios.cfg
nov 27
Entre machine Linux, on peut se passer de Samba et y préférer NFS.
Installation
sur le poste serveur :
installation
$ apt-get install nfs-kernel-server portmap
Configuration
La configuration des répertoires exportables se fait dans le fichier /etc/exports
/ubuntu *(ro,sync,no_root_squash)
/home *(rw,sync,no_root_squash)
On peut remplacer * par un nom de hostname.
Démarrage du serveur NFS
$ /etc/init.d/nfs-kernel-server start
Sur le poste Client
La commande mount est utilisée pour cela.
$ sudo mount -t nfs example.hostname.com:/ubuntu /local/ubuntu
(A noter que le point de montage /local/ubuntu doit exister!)
Une alternative consiste à utiliser le fichier /etc/fstab file.
The general syntax for the line in /etc/fstab file is as follows:
example.hostname.com:/ubuntu /local/ubuntu nfs rsize=8192,wsize=8192,timeo=14,intr