Je ne sais pas si vous êtes comme moi mais je n’aime pas laisser non crypté l’accès a un service qui me demande un mot de passe. Je devait monter un serveur cette semaine qui doit avoir les accès FTP.

J’ai pris l’initiative de sécuriser la machine avec du SSL car je crois qu’aujourd’hui c’est notre devoir de faire ce genre de chose. Ce n’est pas la première fois que je configure un serveur FTP over SSL mais je n’avait jamais pris de notes vraiment à ce jour. Je l’ai fait cette fois-ci!

Ce que cette procédure fait…

1. Pouvoir créer des comptes FTP sans avoir a créer un utilisateur local (donc pas accès shell (SSH)).
2. Permet les connections FTP over SSL de façon EXPLICITE sur un port non standard  (cet exemple utilisera le port 6123)
3. Ne permet pas d’utilisateur ni de connexions anonymes
4. Bannit les hôtes qui tentent de se connecter (LOGIN FAILED) via fail2ban
5. Utilise le system PAM interne pour l’authentification
6. Ne requiert pas d’usager local (pas de risque de tentative de connection SSH, usager séparés)
7. Le serveur FTP roule sur son propre usager

Procédure

1. Vérifier quelle version de serveur FTP est installé

   1 2 3 4 5

   # dpkg --list | grep ftp ~ ii ftp 0.17-19 The FTP client ii lftp 3.7.15-1ubuntu2 Sophisticated command-line FTP/HTTP client p ii vsftpd 2.2.0-1ubuntu1 lightweight, efficient FTP server written fo

   Note vsftpd est ce qu’on veut. Dans ce cas-ci il est déjà installé (ii).

2. Assurer que les prérequis sont installés

   1	# aptitude install vsftpd libpam-pwdfile openssl

3. Modifier le fichier de config vsftpd.conf.
   Note Modifiez pour ces valeurs (ci-bas) et conservez les autres valeurs par défaut.

   1 2 3 4 5 6 7 8 9 10 11 12

   # vi /etc/vsftpd.conf ~ anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 chroot_local_user=YES ftpd_banner=Un nom Quelconque FTP nopriv_user=vsftpd   # renoirboulanger.com 2010-04-29 we will force usage on an other port #connect_from_port_20=YES

4. Ajouter ou corriger (étaient pas présents lorsque j’ai crée la procédure)

   1 2 3 4 5 6

   # 2010-04-28 accès usager virtual_use_local_privs=YES guest_enable=YES user_sub_token=$USER local_root=/home/ibottin/FTP/$USER hide_ids=YES

   Note Ajuster le local_root a l’endroit ou envoyer les fichiers.

5. Activer le SSL
   1. Créer le certificat

      1 2	# cd /etc/ssl # /usr/bin/openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout vsftpd.pem -out vsftpd.pem

   2. Ajouter au /etc/vsftpd.conf

      1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

      # vi /etc/vsftpd.conf ~ # renoirboulanger.com 2010-04-30 SSL configuration listen_port=6123 ftp_data_port=6122 pasv_min_port=6000 pasv_max_port=6100   ssl_enable=YES # Allow anonymous users to use secured SSL connections allow_anon_ssl=YES # All non-anonymous logins are forced to use a secure SSL connection in order to # send and receive data on data connections. force_local_data_ssl=NO # All non-anonymous logins are forced to use a secure SSL connection in order to send the password. force_local_logins_ssl=YES ssl_tlsv1=YES ssl_sslv2=YES ssl_sslv3=YES rsa_cert_file=/etc/ssl/vsftpd.pem

6. Remplacer le contenu du fichier pam.d/vsftpd

   1 2 3 4

   # vi /etc/pam.d/vsftpd ~ auth required pam_pwdfile.so pwdfile /etc/vsftpd.passwd account required pam_permit.so

   Note Il est important de remplacer le reste du fichier par ce contenu ci-haut.

7. Modifier permissions sur le fichier .pem

   1	# chown vsftpd /etc/ssl/vsftpd.pem

8. Redémarrer vsftpd

   1	# /etc/init.d/vsftpd restart

9. Créer le unix user qui va rouler le démon

   1	# adduser --system --no-create-home --disabled-login -s /usr/sbin/nologin --home /var/ftp vsftpd

10. Modifier les permissions pour l’utilisateur qui roule vsftpd (ajuster)

    1 2	# chown -R ftp:ftp /var/ftp/ # chmod -R 740 /var/ftp

11. Ajouter un utilisateur FTP
12. Ajuster fail2ban
    Ajuster le bloc [vsftpd]

    1 2 3 4 5

    # vi /etc/fail2ban/jail.conf ~ [vsftpd]   enabled = true

    Note par defaut enabled est a false… il faut l’activer.

13. Redémarrer vsftpd

    1 2 3 4 5 6 7 8 9 10 11

    # /etc/init.d/vsftpd restart * Stopping FTP server: vsftpd ...done. * Starting FTP server: vsftpd ...done. # ps aux|grep vsftpd vsftpd 18771 0.0 0.0 28904 1300 ? Ss 17:09 0:00 /usr/sbin/vsftpd vsftpd 18772 0.0 0.0 29100 1608 ? S 17:09 0:00 /usr/sbin/vsftpd ftp 18773 0.0 0.0 28928 924 ? S 17:09 0:00 /usr/sbin/vsftpd root 18795 0.0 0.0 22628 1712 ? S 17:14 0:00 /usr/sbin/vsftpd ...

    Note les deux premiers vsftpd est le résultat attendu

14. Nous allons forcer le FTP over SSL sur le port 6122, pour ça il faut autoriser le Firewall

    1 2 3 4 5

    # iptables -A INPUT -m state --state ESTABLISHED,RELATED # iptables -A INPUT -m tcp -p tcp --dport 6122 -j ACCEPT # iptables -A INPUT -m state --state NEW,ESTABLISHED # iptables -A INPUT -m tcp -p tcp --dport 6123 -j ACCEPT # iptables -A INPUT -p tcp --dport 6000:6100 -j ACCEPT

    Source: vsftpd SSL and iptables

15. Sauvegarder le Firewall

    1	# iptables-save > /etc/iptables.rules

16. Tester de l’extérieur avec un client FTP (Filezilla, etc)

    Voir les options suivantes a la connection

    1. port: 6123
    2. Forcer le SSL

Ajouter un utilisateur FTP

On utilise le truc simple de htpasswd pour l’authentification. Pas de gossage

Créer un nouveau compte

1. Créer le premier compte, sinon, passer a la directive suivante! ou Utiliser mon script Script pour créer un compte utilisateur

   1 2 3 4

   # htpasswd -c /etc/vsftpd.passwd ftpuser New password: Re-type new password: Adding password for user ftpuser

   Note l’option -c est pour créer le fichier la première fois.

2. Voir les directives de *Script pour créer un compte utilisateur

Ajouter ou modifier un utilisateur

1. Utiliser le script evo-vsftpd-user

   1 2 3 4 5 6 7 8 9

   $ sudo evo-vsftpd-user foo Création d'un nouvel usager dans /etc/vsftpd.passwd ... New password: Re-type new password: Adding password for user foo ... OK * Création du dossier /home/ibottin/FTP/foo ... OK * Changement des permissions du dossier ... OK Terminé!

   Voir les directives de Script pour créer un compte utilisateur

Script pour créer un compte utilisateur

1. Créer le fichier

   1	# vi /usr/sbin/evo-vsftpd-user

2. Coller le contenu

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

   #!/bin/bash if [ -z $1 ]; then echo "Aucun argument usager fourni" echo "usage: sudo evo-vsftpd-user foo" exit 1; fi   if [ "$(whoami)" != 'root' ]; then echo "Vous n'avez pas les permisions utilisateur requises." exit 1; fi   echo "Création d'un nouvel usager dans /etc/vsftpd.passwd ... " htpasswd /etc/vsftpd.passwd $1 echo " ... OK " echo -n " * Création du dossier /home/ibottin/FTP/$1 ... " mkdir /home/ibottin/FTP/$1 echo " OK" echo -n " * Changement des permissions du dossier ... " chown -R ftp:ftp /home/ibottin/FTP/$1 chmod -R 740 /home/ibottin/FTP/$1 echo " OK" echo "Terminé!"

3. Rendre exécutable

   1	# chmod +x /usr/sbin/evo-vsftpd-user

Tester

1. Installer le paquet pour tester

   1	# aptitude install ftp-ssl

2. Tester

   1 2 3 4 5 6 7 8 9 10 11 12

   # ftp-ssl someserver.net 6123 Connected to someserver.net. 220 Un nom Quelconque FTP Name (someserver.net:renoirboulanger): ftpuser 234 Proceed with negotiation. [SSL Cipher DES-XXXX-SHA] 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp>

   Note [SSL Cipher DES-XXXX-SHA] est ce qu’on attend

Pour déboguer

Le feedback est assez difficile a avoir de la part de vsftpd, mais pour en voir plus:

1. Pour le debug

   1 2 3 4

   # vi /etc/vsftpd.conf ~ # for debuging log_ftp_protocol=YES

Ressources

• vsftpd help
• vsftpd.conf manpages
• vsftpd SSL and iptables
• Installing vsftpd using text file for virtual users
• Vsftpd SSL / TLS FTP Server Configuration

J’ai entendu parler de certains Problèmes avec les documents .docx qui son considérés comme étant des fichiers zip. J’ai pensé partager avec vous comment j’ai réparé la situation.

Il est possible que le serveur apache ne considère pas les fichiers doc sur le serveur comme étant des fichiers office. Normalement un navigateur téléchargera le fichier et ouvrira avec le programme qu’il considère comme étant le bon.

A moins que l’ordinateur du visiteur ait pas de bonne association de fichier, dans ce cas, on peut rien y faire.

Pour aider, on peut annoncer au serveur web les associations MIME.

Le problème avec cette méthode qui ne sert presque a rien, c’est que ça ne changera rien si

1. Le visiteur n’a pas de bonne association sur son système d’exploitation
2. Le visiteur n’a pas Microsoft Office 2007 ou Open Office

Procédure

Copier-coller ce bloc dans un ou encore dans l’un ou l’autre:

• le .htaccess du site qui contient les fichiers a télécharger, exemple: public_html/
• le <VirtualHost/> dans le <Directory> associé.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

AddType application/vnd.ms-word.document.macroEnabled.12 .docm
AddType application/vnd.openxmlformats-officedocument.wordprocessingml.document docx
AddType application/vnd.openxmlformats-officedocument.wordprocessingml.template dotx
AddType application/vnd.ms-powerpoint.template.macroEnabled.12 potm
AddType application/vnd.openxmlformats-officedocument.presentationml.template potx
AddType application/vnd.ms-powerpoint.addin.macroEnabled.12 ppam
AddType application/vnd.ms-powerpoint.slideshow.macroEnabled.12 ppsm
AddType application/vnd.openxmlformats-officedocument.presentationml.slideshow ppsx
AddType application/vnd.ms-powerpoint.presentation.macroEnabled.12 pptm
AddType application/vnd.openxmlformats-officedocument.presentationml.presentation pptx
AddType application/vnd.ms-excel.addin.macroEnabled.12 xlam
AddType application/vnd.ms-excel.sheet.binary.macroEnabled.12 xlsb
AddType application/vnd.ms-excel.sheet.macroEnabled.12 xlsm
AddType application/vnd.openxmlformats-officedocument.spreadsheetml.sheet xlsx
AddType application/vnd.ms-excel.template.macroEnabled.12 xltm
AddType application/vnd.openxmlformats-officedocument.spreadsheetml.template xltx

source:Webdeveloper.com

Ce billet est le deuxième d’une série d’articles décrivant la fabrication d’une Machine Virtuelle (VM) de développement pour une équipe de dévelopeurs.

Ce billet expliquera comment j’installe un système Linux que je considère de base pour une infrastructure d’hébergement applicatif. Je ne couvrirai pas les configurations plus avancés pour améliorer la sécurité. Je risque de le faire plus tard.

J’ai séparé cette série en quatre volets.

1. Description du concept (article précédent)

   Ce que je vais discuter dans cette série d’articles n’est pas nécessairement connu de tous. Je vais donc vulgariser un peu avant de commencer.

2. Installation du système (cet article)

   Je donne ici mon secret de magicien avec quelques configurations que je considère importantes pour un environement d’hébergement web pour améliorer la sécruité (le strict minimum pour cette série d’articles. Je pourrai en faire un plus poussé plus tard).

3. Compilation de PHP 5.3

   Comment installer Apache 2.x avec le dernier cutting-edge PHP.

4. Installation de l’environnement de développement avec Eclipse PDT (à venir)

   La magie se passe par là! Avec ce setup votre équipe pourra répliquer l’installation de développement a volonté.

Installation du système de base

J’utilise personnellement Debian Linux depuis quelques années car je le trouve plus léger que Red Hat Enterprise Linux ou n’importe quelle saveur de RedHat (Fedora, CentOS, etc)

Note: Je n’expliquerai pas comment faire pour installer Debian Linux de base (dans une VM) car c’est un sujet déjà largement couvert.

Personnellement j’installe le système avec la version actuelle provenant d’un mini boot server que j’ai sur un réseau que je partage avec quelques amis.

Une installation simple comme celle ci, ferait très bien l’affaire.

• Utiliser le dernier Debian stable
• à l’écran “Debian Software Installation” Je coche généralement ~rien~, car je vais donner plus de détails ici.

Les étapes…

1. Modifier le

   1	/etc/apt/sources.list

   et Enlever la mention du CD-rom et Ajouter la mention “contrib“

   1 2 3 4 5 6 7 8 9 10

   deb http://debian.savoirfairelinux.net/debian/ lenny main deb-src http://debian.savoirfairelinux.net/debian/ lenny main deb http://security.debian.org/ lenny/updates main contrib deb-src http://security.debian.org/ lenny/updates main contrib   deb http://ftp.debian.org/debian lenny contrib deb-src http://ftp.debian.org/debian lenny contrib   deb http://debian-multimedia.org/ lenny main deb-src http://debian-multimedia.org/ lenny main

   Note: Il s’agit de mon propre sources.list ayant trouvé savoirfairelinux comme étant le plus rapide en utilisant netselect-apt et la liste des mirroirs Debian

2. Updater les sources

   1	# apt-get update

3. Installer les paquets essentiels

   1	# apt-get install openssh-server mlocate screen sudo vim ntpdate linux-headers-$(uname -r) syslog-ng build-essential open-vm-tools

   Note: remarquez la présence de open-vm-tools il s’agit d’un package provenant de Debian contrib pour les VM VMware (n’installez pas si vous utilisez Xen)… au lieu de compiler vm-ware-tools pour le kernel… Debian s’en occupe (!!)

4. Ajouter les droits sudo à sudo

   1

   # visudo

   1. Va ouvrir pico
   2. Décommenter %sudo ALL=NOPASSWD: ALL
   3. Pour quitter, faire CTRL+x y ENTER
5. Updater la DB de mlocate

   1	# updatedb

6. Lier killall5 sous le nom legacy de killall

   1	# ln -s /sbin/killall5 /sbin/killall

7. suivre Procédure de configuration de NTP pour les serveurs.
   Note L’idée est d’éviter d’utiliser en mémoire les démons le plus possible. Si utile soit-il (comme ajuster l’heure, ici). Il est plus pratique qu’elle soit ajustée aux heures et laisser l’espace mémoire pour son usage primaire.
   1. Entrer en édition dans le fichier

      1	$ sudo vi /etc/default/ntpdate

   2. Trouver dans le fichier la variable NTPSERVERS, Remplacer, soit par…

      1	NTPSERVERS="0.ca.pool.ntp.org 1.ca.pool.ntp.org 2.ca.pool.ntp.org"

   3. Faire i (pour Insert)
   4. Ajouter a NTPOPTIONS

      1	NTPOPTIONS="-u"

   5. Faire ESCAPE
   6. :wq
   7. Créer un fichier cron.hourly

      1	$ sudo vi /etc/cron.hourly/ntpdate

   8. Ajouter le contenu

      1 2 3 4 5 6 7 8 9 10 11 12

      #!/bin/sh PATH=/sbin:/bin test -f /usr/sbin/ntpdate || exit 0 if test -f /etc/default/ntpdate ; then . /etc/default/ntpdate else NTPSERVERS="0.ca.pool.ntp.org" fi test -n "$NTPSERVERS" || exit 0 /usr/sbin/ntpdate -s $NTPOPTIONS $NTPSERVERS >> /dev/null 2>&1 # Exit with a succes anyway, avoids spamming root. exit 0

   9. Changer les permissions pour qu’il puisse être exécuté

      1	$ sudo chmod 755 /etc/cron.hourly/ntpdate

   10. Essayer

       1	$ sudo /etc/cron.hourly/ntpdate

   11. Voir dans syslog, ça devrait ressembler à…

       1 2 3 4

       # tail /var/log/syslog ... Dec 30 13:39:35 willow ntpdate[1912]: adjust time server 192.168.1.5 offset 0.005642 sec ...

8. Installer le service d’envoi courriel…

   Question de pouvoir recevoir les avertissements par courriel

   1	# apt-get install postfix

   1. Satellite System (On veut envoyer les courriels ailleurs et rien garder ici)
   2. “Mail name?”… NOMDELAVM
   3. “SMTP relay host?”… votre relai SMTP fourni par votre fournisseur
   4. “Other destinations…” Ajuster les noms
   5. Enter
   6. “Local networks?”… ENTER
   7. …
   8. Tester l’envoi
      (NOTE: vous pouvez aussi utiliser l’outil Debian swaks)

      1 2 3 4 5

      # mail test@test.com Subject: Patate 1 am Message, qui doit terminer avec une ligne seule et un point . . Cc:

   9. Regarder les mails du destinataire.

Références

• VMware Server (anglais seulement)
• Installing a Debian Base system (anglais seulement)
• Creating a Virtual Machine on VMware server (anglais seulement)
• Using netselect-apt tip to select (anglais seulement)

Attention: Article Technique!

Dans le but de faire profiter la postérité et ma mémoire personnelle voici mon premier post d’une série d’articles spécialisée sur Linux.

Ces articles proviennent de ma voûte documentaire professionnelle et personnelle.

Évidemment pour les publier ici je dois censurer les détails sensibles, vous me comprendrez (!)

Le fait de les avoir dans le format Wiki Markup de Confluence… et les traduire ici demande du temps pour les reformatter pour mon blogue.

D’autres articles spécialisés Debian Linux

D’autres articles technique (pour Debian Linux) seront aussi disponibles dans les prochaines semaines.

Voici une liste de quelques uns que je compte publier:

1. Monter une machine en SNMP v2c en lecture seule
2. Permettre des updates aux serveurs NTP a l’heure
3. Installer VMware server 2 sur Debian
4. Augumenter le niveau de sécurité pour Infra Publique sous Debian
5. Procédure configuration SYSLOG-NG vers un serveur de log

J

Installer et configurer

En fait, sous Debian c’est pas très compliqué, on ajoute le paquet, puis on le configure comme mentionné plus bas.

1
2

# apt-get update
# apt-get install ferm libnet-dns-perl perl iptables

J’ai fait une petite version qui permet d’utiliser des variables et mettre le code un peu plus clean (d’un point de vue programmeur).

Vous pouvez remplacer par ce code ci:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63

# -*- shell-script -*-
#
#  Configuration file for ferm(1).
#
# vmware-mgmt = 8333
# vmware-console = 902
# ntop = 3000
# ... ports ajoutes dans /etc/services
 
# Source http://www.krzywanski.net/archives/90
# Interfaces
@def $DEV_LOCAL = lo;
@def $DEV_LAN = (eth1 vmnet1 vmnet8);
@def $DEV_INTERNET = eth0;
 
# Ports
@def $PORTS = (ntp name http https smtp);
 
# Known IPs
@def $SSH_ALLOWED = (69.159.234.55 192.168.2.1);
@def $SSH_DYNDNS = @resolve((somehost.renoirboulanger.com someotherhost.somenetwork.net));
 
# SSH Clients
@def $SSH_CLIENTS = ($SSH_ALLOWED $SSH_DYNDNS);
 
table filter {
    chain INPUT {
        policy DROP;
 
        # connection tracking
        mod state state INVALID DROP;
        mod state state (ESTABLISHED RELATED) ACCEPT;
 
        # allow local packages
        interface $DEV_LOCAL ACCEPT;
        interface $DEV_LAN ACCEPT;
 
        # allow ping from the administrator's network
        interface $DEV_INTERNET saddr ($SSH_DYNDNS $SSH_ALLOWED) proto icmp icmp-type echo-request ACCEPT;
 
        # respond to ping
        proto icmp icmp-type echo-request ACCEPT;
 
        # allow SSH connections
        proto tcp dport 2522 ACCEPT;
 
        proto tcp dport $PORTS ACCEPT;
    }
    chain OUTPUT {
        policy ACCEPT;
 
        # connection tracking
        mod state state INVALID DROP;
        mod state state (ESTABLISHED RELATED) ACCEPT;
    }
    chain FORWARD {
        policy DROP;
 
        # connection tracking
        mod state state INVALID DROP;
        mod state state (ESTABLISHED RELATED) ACCEPT;
    }
}

Pour plus de détails a propos de la syntaxe, voir la documentation.

Autres ressources

J’ai utilisé, entre autres ces ressources pour m’inspirer de ce mini-tutoriel

1. Securing Debian HOWTO
2. Linux Security HOWTO
3. Firewall Tools
4. Debian Security
5. Debian Policies

Faire son inventaire personnel est une tâche qu’on remet très aisément de coté.

Pourtant faire son inventaire peut s’avérer plaisant. Avec tout les services web 2.0 qui existent aujourd’hui, pourquoi ne pas faire pareil avec ce type d’activité important mais qu’on remet toujours à demain?

Personnellement, j’ai jamais pensé à faire cette activité.

Avec Namminik, j’ai rapidement pris plaisir
J’ai un très bon ami qui a fait son inventaire avec son appareil numérique
Mon collègue Félix Martineau http://heffem.blogspot.com/2008/01/flix-vous-prsente-namminikcom.html

http://www2.infopresse.com/blogs/actualites/archive/2007/09/10/article-23462.aspx

Lorsqu’on se préocupe de ses informations personnelles et qu’on veut se débarrasser d’un ordinateur ou d’un vieux disque dur il faut, idéalement, le vider. J’ai une petite méthode pour le faire pas trop compliqué et totalement sécuritaire pour les données.

Ma méthode implique

• Un disque dur qu’on veut wiper (effacer)
• Un LiveCD de Linux
• Du temps
• Une tour d’ordinateur pour le processus, idéalement inutilisée… sinon où chercher ou quoi utiliser pour se «dé-s’emmerder»
  • Un lecteur CD-Rom

Attention, un peu technique… mais tellement conseillé

ÉTAPE UN… backups?!

C’est un peu stupide de le préciser… mais assurez-vous qu’il est vraiment vide de vos données avant de faire quoi que ce soit!

Je vous recommande DE NE PAS AVOIR D’AUTRES DISQUES D’INSTALLÉ lors de l’exécution de ce script Tant que vous exécutez pas le script a l’étape six vous ne risquez rien (!).

ÉTAPE DEUX… Graver le LiveCD

Pour faire la chose facile, vous pouvez prendre le LiveCD de Debian, ma distribution préférée:

http://live.debian.net/cdimage/release/current/i386/iso-cd/

Une version ‘debian-live-(.*)-i386-rescue.iso‘ fera l’affaire.

Les commandes nécessaires seront celles de base pour n’importe quel Linux depuis ses débuts :

• /dev/urandom, ou
• /dev/zero
• dd

Je ne me rappelle pas quand Linux en général a inclus ces trucs mais c’est ce qu’il faut.

En gros les deux premiers sont des device files qui fournissent du junk aléatoire… et l’autre. Que des zéros!

Tandis que “dd” est un utilitaire pour écrire en device to device…. (aka. dd)

ÉTAPE TROIS, on vide

En fait, on enlève tout les autres disques durs question de ne pas se tromper!

Ensuite, il est bien de remarquer que le processus peut prendre du temps. Ce serait idéal d’avoir une tour qui sert a rien… sinon on tombe a devoir attendre après.

ÉTAPE QUATRE, On démarre le LiveCD

… On attend le command prompt. C’est comme du DOS à l’époque, sauf que c’est vraiment plus puissant!

Pour reconnaitre un prompt linux, on voit quelque chose du genre:

1

user@debian:~ $

ou encore… si on voit le dièze (#)… c’est qu’on est un super utilisateur (root). Un LiveCD nous envoit généralement en root alors on devrait voir quelque chose de similaire à:

1

root@debian: ~ #

ÉTAPE CINQ, on script un peu

On peut le faire de plusieurs façon la même chose. En gros, on se doit, pour s’assurer d’effacer complètement le disque de le remplir au moins huit fois au minimum de données random. Alors je propose le petit script qui se copie bien à la main.

Si vous avez vidé vos disques durs le disque dur a vider devraît être /dev/hda

Pour vous en assurer, faites

1

root@debian: ~# file /dev/hda

Un output similaire ceci devrait sortir…

1

/dev/hda: block special (3/0)

Si tout est beau… on continue.

1

root@debian: ~# vi wipedisk.sh

En VI, il faut faire ‘i’ avant de commencer d’écrire…

1
2
3
4
5
6

#!/bin/bash
for ((i=1;i<=10;i+=1)); do
echo "Passe $i"
dd if=/dev/urandom of=/dev/hda
sleep 1
done

Ensuite on quitte en faisant [escape] on écrit “:wq” (deux points… “w” et “q”… qui signifie commande write quit)

1

root@debian: ~# chmod 755 wipedisk.sh

Qui va rendre le fichier exécutable.

ÉTAPE SIX… on exécute.

1

root@debian: ~# ./wipedisk.sh

En général, ça peut prendre du temps. Mais à la fin d’une soirée de film… le disque devrait être totalement rempli d’ordures aléatoire.

Au plaisir!

Il existe plusieurs page de how-to’s pour se connecter a une application a distance. Mais j’ai envie de mettre pour mes propres archives.

Ce billet prend en considérations que…

• Vous voulez vous connecter a un service précis (disons VMWare Server Console)
• Sur une machine parmi un réseau de X ordinateurs
• Le gateway (routeur) relie toutes les connections vers un host en Linux (proxysrv) qui sert a s’authentifier et accéder au reste du réseau.
• Le serveur sur le réseau qui héberge des machines virtuelles avec VMWare Server (vmserver1).
• Le port 902 (le port TCP que vous voulez utiliser) sur le firewall interne (de vmserver1) est ouvert. Et
• Vous voulez vous connecter a un de ses VM.

Pour avoir accès a une application distante (ou une autre machine/VM), il faut se créer un tunnel vers le réseau interne. En gros il faut avoir accès au réseau (dans mon exemple le serveur proxysrv).

Vous devez avoir un accès au réseau interne que vous avez accès, vous pouvez le demander a votre Sysadmin de vous avoir un accès, mais ce n’est pas le point de ce billet.

Pour ouvrir une session SSH en tunnel, sous windows, il vous faut PuTTY. Si vous n’avez pas PuTTY faites une recherche google c’est une petite application libre de droits. En linux, c’est simple

1

ssh -l username -L 902:192.168.3.97:902 -L 80:192.168.3.88:80 serveurdistant.ca

NOTE: Remarquez que vous n’avez qu’a ajouter le nombre de -L nécessaires (-L LOCAL_PORT:ON_REMOTE_NETWORK_IP:REMOTE_IP_OPENED_PORT_NUMBER)

Aussi, pour accéder a la console VMWare, il faut une version de VMWare Server ou une console VMWare. Le site VMWare ne semble pas avoir de version stand-alone de la console ni pour Linux ni Windows. Alors, si vous n’avez pas encore VMWare sur votre machine, allez chercher votre exemplaire de VMWare Server ici. Si vous avez “VMWare” d’installé mais pas de moyen de vous connecter en local ou a distance, désinstallez la, et installez la version server prescrite.

Dans notre exemple, on va accéder a distance au VMWare Server Console (sur vmserver1) qui utilise le port 902.

Les ports TCP sous Linux

Pour pouvoir trouver d’autre ports a ouvrir le fichier texte /etc/services donne tout les ports et les alias qu’on peut utiliser comme alias. Ce fichier existe depuis longtemps dans tout ce qui est UNIX et Linux.

Directives en résumé

Une fois PuTTY et VMWare Server Console (ou console) fonctionnels (pour cet exemple) vous n’avez qu’a suivre les paramêtre ici:

• Hostname: serveurdistant.ca
  
• Port: 22 (ssh)
• Donner un nom de session, mais ne sauvegardez pas tout de suite.
• Aller a SSH->Tunnels (plus bas)
• Entrer, Source port : 902 (votre port local), Destination: (ip de vmserver1:le port) , puis cliquer Add.
• Aller dans Connection->Data; Auto-login username, vous pouvez entrer le login qu’il faut si vous l’avez
• Retourner au haut du menu et sauvegarder la session
• Puis… [Open].

Ensuite, connectez vous au service sur l’hôte localhost et le port que vous avez “tunnellé”.

• Connecter a VMWare Server
• Ouvrir VMWare sur votre machine hors réseau… maintenant tunnellée
• Connect to remote-host: localhost
• Login/pw: votre login pour accéder aux vm.

Utiliser la VM comme si elle était locale.

Source

• Exemple tunnel avec PuTTY.

Les collègues qui travaillent avec moi pour le réseau savent ce que qu’implique chaque modification dans le réseau. Nous travaillons pour remonter le réseau et atteindre un certain niveau côté qualité qui rendra notre travail plus facile pour tous.

Parmi ces améliorations, il s’agit d’un moyen de savoir si tout est correct et être averti si un changement à été opéré et même savoir “où est le bobo”.

Il s’agit du service de monitoring avec Nagios. Il ne s’agit ici pas d’un howo-to technique mais plutôt ma “review” de ce que l’installation que j’ai monté peut faire.

Il y a un mois ou deux je me suis commandé le livre “Building a monitoring infrastructure with Nagios” qui s’avère être très utile pour comprendre le fonctionnement.

Je ne l’ai pas tout lu car j’avait déja de l’expérience avec Nagios. Puis de toute façon je voulait faire comme on fait souvent, me débrouiller et apprendre avant de “lire le manuel”.

La façon qu’on l’a implantée consiste a utilser une VM déjà montée (avec un pannel appelé Centreon (Anciennement Oreon) le changement de nom de projet est tout récent).

En gros il s’agit d’une VM qui roule l’application et merge plusieurs applications fort utiles:

• Authentification avec notre serveur LDAP
• RRDTools pour les graphiques
• … et bien d’autres.

Le pannel Centreon donne beaucoup d’avantages pour la gestion, dont;

• Un pannel plus complet [que celui fourni par Nagios] qui donne beaucoup plus d’options de configuration
• Un processus de configuration qui te permet de tester AVANT “d’appliquer”
• Un moyen de conserver une historique des états et même leurs graphiques.
• Beaucoup d’options qui deviennent à portée de la main sur des fonctions de Nagios qu’on ne penserait pas nécessairement.

Étant¬†une¬†”techie”¬†qui¬†utilise¬†beaucoup¬†la¬†ligne¬†de¬†commande,¬†j’ai¬†pourtant¬†ét鬆surpris¬†d’être¬†rassur鬆par l’interface aux premiers abords lourd mais complet de l’outil.

Dans¬†le¬†futur,¬†j’aimerai¬†entre-autre¬†améliorer¬†les¬†features¬†de¬†la¬†VM.¬†En voici quelques unes:

• Centraliser les logs pour pouvoir les consulter en un seul endroit.
• Utiliser Centreon/Nagios comme “alerteur” AVEC les logs CENTRALISÉS, un gros plus!
• Avoir accès a une application du type Splunk pour “fouiller” dans les logs.
• Intégrer les traps SNMP et pouvoir utiliser dans Nagios
• Intégrer le plugin WeatherMap qui affiche l’état complet du réseau.

Plus tard j’aurai probablement quelques indices du comment j’ai créé mes propres commandes pour gérer les plugins de nagios.

J’ai decouvert recemment un site qui offre des questionnaires pour savoir si vous savez comment detecter une fraude sur internet.

Il existe plusieurs moyens de les détecter. Sauf que je crois que je me suis fait avoir, soit par les questions pas assez claires mais leur “corrigé” m’a fait comprenddre où “ils” voulaient en venir.

Allez le voir, la visite en vaut le coup!