On peut avoir besoin dans certaines conditions ô combien délicates de supprimer les mails qui sont présents dans la liste d’attente de Postfix.
une ligne de commande simple et efficace :
postsuper -d ALL
Un petit lien
pour en découvrir plus.
Testé sous Ubuntu 8.10
Il est parfois nécessaire d’associer un lecteur de newsgroup avec une connexion SSL vers un serveur de newsgroup.
Pan est un excellent lecteur de newsgroup sous Linux mais n’est prévu pour gérer une connection SSL.
Cependant, le système Linux est tellement modulable qu’il existe des solutions. Une consiste à utiliser stunnel qui est tout indiqué pour gérer des connections SSL.
L’idée, assez géniale quand même, est de configurer Pan avec comme serveur de newsgroup sa propre machine (localhost ou 127.0.0.1) et de confier à stunnel le soin de se connecter au vrai serveur de newsgroup via SSL. Grosso modo, Pan va appeler le “service” nntp (service des newsgroup) géré par stunnel.
sudo apt-get install pan stunnel4
Les principaux fichiers de configuration sont :
# /etc/default/stunnel
# Julien LEMOINE
# September 2003# Change to one to enable stunnel
ENABLED=1
FILES=”/etc/stunnel/*.conf”
OPTIONS=”"
# Change to one to enable ppp restart scripts
PPP_RESTART=0
Par rapport au fichier initial, on a juste changé la ligne ENABLED=0 par ENABLED=1.
; Sample stunnel configuration file by Michal Trojnara 2002-2006
; Some options used here may not be adequate for your particular configuration
; Please make sure you understand them (especially the effect of chroot jail); Certificate/key is needed in server mode and optional in client mode
;cert = /etc/stunnel/mail.pem
;key = /etc/stunnel/mail.pem; Protocol version (all, SSLv2, SSLv3, TLSv1)
sslVersion = SSLv3; Some security enhancements for UNIX systems - comment them out on Win32
chroot = /var/lib/stunnel4/
setuid = stunnel4
setgid = stunnel4
; PID is created inside chroot jail
pid = /stunnel4.pid; Some performance tunings
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
;compression = rle; Workaround for Eudora bug
;options = DONT_INSERT_EMPTY_FRAGMENTS; Authentication stuff
;verify = 2
; Don’t forget to c_rehash CApath
; CApath is located inside chroot jail
;CApath = /certs
; It’s often easier to use CAfile
;CAfile = /etc/stunnel/certs.pem
; Don’t forget to c_rehash CRLpath
; CRLpath is located inside chroot jail
;CRLpath = /crls
; Alternatively you can use CRLfile
;CRLfile = /etc/stunnel/crls.pem; Some debugging stuff useful for troubleshooting
debug = 7
output = /var/log/stunnel4/stunnel.log; Use it for client mode
client = yes; Service-level configuration
[pop3s]
accept = 995
connect = 110[imaps]
accept = 993
connect = 143[ssmtp]
accept = 465
connect = 25;[https]
;accept = 443
;connect = 80
;TIMEOUTclose = 0; vim:ft=dosini
[nntp]
accept = 127.0.0.1:119
connect = nom_serveur_newsgroup:563
Par rapport au fichier initial, les lignes suivantes ont été modifié ou ajouté
; Use it for client mode
client = yes[nntp]
accept = 127.0.0.1:119
connect = nom_serveur_newsgroup:563
On Lance Pan et on modifie les paramètres du serveur de newsgroup via le menu Edit puis Edit News Server.
Les paramètres de location doivent être :
adresse : localhost
port : 119
On laisse les éventuelles informations concernant le login/password si nécessaire.
Il ne reste plus qu’à lancer stunnel4 pour en avoir le coeur net.
sudo /etc/init.d/stunnel start
Normalement, Pan devrait avoir une connection SSL à votre serveur de newsgroup préféré.
plusieurs éléments à vérifier.
Il est parfois nécessaire de “bidouiller” des paquets debian (.deb) afin de modifier par exemple les dépendances.
dpkg-deb est l’outil indispensable pour extraire et reconstruire des paquets débian.
Supposons donc que vous ayiez récupérer un paquet debian monpaquet.deb et que vous souhaitez l’éditer.
dpkg-deb -x monpaquet.deb monpaquet.i386
Cette instruction extrait le paquet monpaquet.deb dans le répertoire monpaquet.i386
dpkg-deb -e monpaquet.deb monpaquet.i386/DEBIAN
cette instruction va extraire les fichiers de contrôle (fichier control) dans le répertoire monpaquet.i386/DEBIAN Si vous souhaitez modifier les dépendances, vous devez éditer ce fameux fichier control
dpkg-deb -b monpaquet.i386 monpaquet.deb
Cette dernière instruction permet de reconstruire le paquet débian modifié.
Pour installer une version de vmware server sur la dernière version hardy (Ubuntu), il suffit de suivre ce lien.
Moi ça a marché nickel.
Que demande le peuple !
Fail2ban est un logiciel magique qui permet de bannir des IP qui tente de se connecter chez vous par des attaques dites de force brute. Il ajoute tout seul comme un grand les règles de filtrages iptables.
apt-get install fail2ban
Les fichiers de configuration se trouve dans le répertoire /etc/fail2ban/.
Le principal fichier est fail2ban.conf.
# Fail2Ban configuration file
#[Definition]
loglevel = 4
# Option: logtarget
logtarget = /var/log/fail2ban.log# Option: socket
socket = /var/run/fail2ban/fail2ban.sock[SSH]
enabled = true
logfile = /var/log/auth.log[DEFAULT]
maxfailures = 3
bantime = 900
findtime = 600
Explications
Dans notre cas, on s’intéresse aux connexions SSH (entrée [SSH] dans le fichier). Le fichier à analyser pour détecter les méchants est bien /var/log/auth.log.
La zone [DEFAULT] spécifie les règle de bannissement ainsi que leur durée.
Dans notre cas, au bout de 3 tentatives (maxfailures), l’IP est bloquée pour pendant 900s (bantime).
/etc/init.d/fail2ban start pour le lancement
/etc/init.d/fail2ban status pour connaitre l’état de fail2ban
un petit tour du côté du fichier /var/log/fail2ban.log (cf le fichier de configuration) devrait vous fournir l’ensemble des informations. Il suffit alors de chercher la chaine de caractère “Ban”.
Envoyer un mail en ligne de commande est tres simple avec la commande mail -s “monsujet” mondestinatire.
Par contre, envoyer un mail avec des pièces jointes est un peu plus ardu.
Il existe un programme mutt (ce programme fait bien d’autres choses que cela!) qui le permet aisément.
mutt -a pieces_jointes -s subject email_destinataire
conky est un utilitaire magique qui permet d’encombrer son bureau Ubuntu à loisir. Ca permet d’avoir des informations utiles concernant ses ressources,etc…
apt-get install conky
On crée un fichier du type .conkyrc dans son répertoire home.
exemple :
own_window_hints undecorated,below,sticky,skip_taskbar,skip_pager
use_xft yes
on_bottom yes
xftfont Comic sans MS:size=9
xftalpha 0.8
update_interval 1.0
total_run_times 0
own_window yes
own_window_transparent yes
double_buffer yes
minimum_size 280 5
draw_shades no
draw_outline no
draw_borders no
stippled_borders 8
border_margin 4
border_width 1
default_color #4582B5
default_shade_color black
default_outline_color black
alignment top_right
gap_x 8
gap_y 50
no_buffers yes
uppercase no
cpu_avg_samples 2
net_avg_samples 2
override_utf8_locale no
use_spacer noTEXT
${color white}Bonjour Maitre
${color white}Nous sommes le : ${time %A %d %B %Y} - ${time %H:%M:%S}
$nodename - $sysname $kernel on $machine
$stippled_hr
${color #e49c16}Uptime:$color $uptime ${color #FFFFFF}- Load:$color $loadavg
${color #e49c16}CPU Utilise :${color #FFFFFF} $cpu% ${color #ffc11f}${cpubar}
${color white}${cpugraph ffc11f 8b4b0b}
${color #e49c16}Memoire RAM :${color #FFFFFF} $mem/$memmax - $memperc% ${color #ffc11f}${membar}
${color #e49c16}Utilisation du Swap :${color #FFFFFF} $swap/$swapmax - $swapperc% ${color #ffc11f}${swapbar}
${color #e49c16}Processus : $color $processes ${color #FFFFFF}En cour : $color $running_processes
$color$stippled_hr
${color #e49c16}Reseau : ${color #FFFFFF}IP Locale ${addr eth0} - IP Publique ${execi 1800 ~/scriptip.sh}
${color #e49c16}Download :${color white} ${downspeed eth0} k/s${color white} ${offset 80}${color #e49c16}Upload:${color white} ${upspeed eth0} k/s
${color #FFFFFF}${downspeedgraph eth0 32,150 8b4b0b ffc11f} ${color #FFFFFF}${upspeedgraph eth0 32,150 ffc11f 8b4b0b}
$color$stippled_hr
${color #e49c16}Espace Disque:
${color #FFFFFF}Root: ${color #FFFFFF}${fs_free /}/${fs_size /} ${color #ffc11f}${fs_bar /}
${color #FFFFFF}Data: ${color #FFFFFF}${fs_free /DATA/}/${fs_size /DATA/} ${color #ffc11f}${fs_bar /DATA/}
${color #FFFFFF}Sauvegarde: ${color #FFFFFF}${fs_free /SAUVEGARDE/}/${fs_size /SAUVEGARDE/} ${color #ffc11f}${fs_bar /SAUVEGARDE/}
${color #FFFFFF}Raid: ${color #FFFFFF}${fs_free /media/raid/}/${fs_size /media/raid/} ${color #ffc11f}${fs_bar /media/raid/}
Ci dessous, vous trouverez une copie du fichier scriptip.sh qui est appelé dans ce fichier de configuration pour déterminer l’adresse IP publique.
#!/bin/bash
#voir ip derriere routeur
wget http://checkip.dyndns.org/ -O - -o /dev/null | cut -d: -f 2 | cut -d\< -f 1 > ip
cat ip
depuis un terminal ou directement depuis alt + F2
conky -c .conkyrc
WebDAV (Web enabled Distributed Authoring and Versioning) , fournit un environnement partagé aux utilisateurs pour éditer/gérer leurs fichiers sur les serveurs Web. Techniquement, DAV est une extension du protocole http. Ca ressemble un peu beaucoup au FTP et est disponible sous les principales plateformes OS.
Installation
On suppose qu’Apache2 est déjà installé sur le système cible.
Il faut installer les modules dav qui sont fournis par Apache2 mais pas activés par défaut.
On les active en créant un lien symbolique vers /etc/apache2/mods-enabled
cd /etc/apache2/mods-enabled
n -s ../mods-available/dav* .
Configuration Apache2
On ajoute un virtualhost par exemple en modifiant le fichier/etc/apache2/sites-available/default.
<VirtualHost *:80>
ServerName wpub.mondomaine
ServerAlias wpub.mondomaine
ServerAdmin webmaster@mondomaine
DocumentRoot /var/www/wpub
<Directory /var/www/wpub>
Options Indexes FollowSymLinks
#AllowOverride All
AllowOverride AuthConfig
Order allow,deny
allow from all
DAV on
AuthName “Stockage WebDAV”
AuthType Basic
AuthUserFile /etc/apache2/htpasswd-webdav
Require valid-user
<Limit GET PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
</Limit>
<LimitExcept GET>
Require valid-user
</LimitExcept>
</Directory>
</VirtualHost>
Une configuration VPN entre un serveur VPN (IPCOP) et un client VPN se nomme Roadwarrior.
La solution proposée est d’ajouter ZERINA (OpenVPN) à IPCOP et d’installer OpenVPN GUI for Win32 sur une machine Windows.
Il existe un client OpenVpn pour Mac OS X qui fonctionne tres bien (Tunnelblick disponible ici).
Installation de Zerina (à faire sur le serveur IPCOP)
On trouve Zerina OpenVpn à l’adresse suivante.
Avec un client ssh, on copie l’archive sur le serveur IPCOP dans /root/zerina par exemple.
On décompresse la chose par la commande tar -xzvf ./ZERINA-0.9.1b-Installer.tar.gz.
On lance alors l’installation via la commande ./install
ZERINA est alors installé.
Configuration de Zerina
Un howto existe à l’adresse suivante.
Sur l’interface d’administration d’Ipcop, on trouve trouver dans l’onglet RVPs, un élément OpenVpn.
Création des Autorités de certification
On commence alors par générer les certificats au niveau du serveur Ipcop.
On clique alors sur ‘Genérer certificat racine/systeme’ et on remplit les informations demandées. On reclique sur ‘Genérer certificat racine/systeme’ et après quelques instants, on dispose enfin de certificat racine/systeme.
Création des certificats client
Pour chaque client, on génère un certificat différent.
Dans la zone inférieure “Client status and control“, on clique sur le bouton “Ajouter” puis on choisit sur l’écran suivant l’option “RPV système à réseau (RoadWarrior). Une fois les champs renseignés, on clique sur “Sauvegarde”.
On répète cette opération pour chaque client.
On obtient alors un écran comme suivant :
Il ne reste plus qu’à downloader le certificat client en cliquant sur l’icone 
et l’installer sur le poste client.
Démarrage du serveur
On commence par enregistrer les paramètres àpres les avoir modifié si besoin.
Ensuite,il ne reste plus qu’a lancer le serveur en cliquant sur “Start OpenVpn Server”.
Installation du client OpenVpn
Sur un PC Windows, installez OpenVPN GUI for Win32.
Installer le fichier ZIP récupéré sur votre IPCOP (certificat client) et copiez son contenu dans le dossier config de OpenVPN GUI (son contenu pas le dossier lui-même).
Avec le bouton droite de la souris, cliquez sur l’icone de OpenVPN GUI for Win32 qui est dans la barre systeme.
Ensuite, faîtes connect.
Réglage du parefeu sous IPCop
Comme OpenVpn utilise par défaut le port UDP 1194 (ou celui que vous avez spécifier dans la configuration du serveur) , il est de bon ton d’autoriser ce port et de le rediriger vers la machine IPCop. Il suffit donc d’aller dans l’onglet “Pare-feu” et de choisir “Redirection de port”.
Copfilter est un add-on non officiel d’IPCOP.
Il permet de disposer d’une solution anti-spam et anti-virus.
Installation
Sauvegarder sa configuration antérieure :
commande :/root/copfilter/setup_util -b
ce qui donne :
root@ipcop-lolo:~ # /root/copfilter/setup_util -b
Création d’une sauvegarde: /var/ipcop/copfilter/etc_20060330192949.tgz ..
Les fichiers et dosiers suivants seront sauvegardés:
/var/log/copfilter/default/etc
/var/log/copfilter/default/opt/privoxy/etc/user.action
/var/log/copfilter/default/opt/privoxy/etc/neilvandyke.action
/var/log/copfilter/default/opt/clamav/var/log/clamd.log
/var/log/copfilter/default/opt/mail-spamassassin/var/log/spamd.log
/var/log/copfilter/default/opt/havp/var/log/access.log
/var/log/copfilter/default/opt/havp/var/log/error.log
/var/log/copfilter/default/opt/frox/var/log
/var/log/copfilter/default/opt/tools/var/log
/var/log/copfilter/default/opt/monit/var/log
/var/log/copfilter/default/opt/p3scan/var/log
/var/log/copfilter/default/opt/mail-spamassassin/var/bayes/bayes_*
tar: Removing leading `/’ from member names
sauvegarde terminée avec succès
Commande IPCOPFILTER
chemin par defaut : /root/copfilter/
backup
./setup_util -buninstall
./setup_util -uinstall
restore
./setup_util -ror type ./setup_util -h
for help
Usage: setup_util OPTION
Options:
-a, –addmenu add copfilter menu to the webgui (already done with -i)
-b, –backup [FILE] backup current settings & logfiles (optional: backup fil e)
-d, –default restore default configuration
-i, –install [--force] install (or reinstall) copfilter (use force if already i nst.)
-f, –fprot FILE install fprot, FILE: download and copy fprot >GZIP-ed TA R file< to ipcop
URL:http://www.f-prot.com/download/home_user/download_fp linux.html
example: setup_util -f fp-linux-ws.tar.gz
-r, –restore [FILE] restore configuration (optional: restore file)
-R, –regrazor register razor
-u, –uninstall uninstall copfilter and fprot
-V, –version print version information and exit
-x, –fixbackspace fix backspace key in vi
LISTE BLANCHE SPAMASSASSIN
La whitelist et blacklist sont gérées dans le fichier /var/log/copfilter/default/etc/cp_spam_whitelist/local_webgui.cf.
exemple : local_webgui.cf
————————-
whitelist_from *@toto.fr
INSTALLATION COPFILTER SS INTERFACE RED CONNECTE
Dans le cas d’une connexion internet défectueuse, il est alors impossible d’enregistrer razor.
Rétablissez la connexion internet et enregistrer razor en lançant la commande :
./setup_util -R