Blog Blog - Astuces

Alerte email pour les mises à jour APT.

Seza — Fri, 21 Mar 2008 15:06:00 +0100

Peut être avez-vous pris l'habitude de checker assez souvent (ou moins souvent) les mises à jour disponible sur votre serveur avec le petit couple de commande apt-get update && apt-get upgrade.

Cette opération courante et banale peut s'avérer bien souvent fastidieuse. En effet il faut se connecter en SSH, rentrer sont mot de passe, taper la fameuse commande (quelle fénéantise...) pourtant est plus que recommandé d'upgrader son serveur le plus souvent possible afin d'éviter que des failles de sécurité restent ouvertent aux pirates susceptibles de s'intéresser à vos machines.
Si vous pouvez assez facilement rester au fait des dernières mises à jour de vos serveurs préférés comme Apache, Mysql ou encore du module PHP et du kernel Linux, il est en revanche moins évident d'être au courant des dernières mises à jour de tous les outils et librairies installés sur votre machine.

Cet état de cause fait que vous pouvez devenir un accroc de la commande apt. Pour y remédier, je vous propose une petite cure.

N'ayant pas trouver de paquet adéquat (l'inexistance d'un tel paquet m'étonne fortement j'ai du mal cherché), je me suis donc décidé de faire ce petit script tout ridicul afin d'être averti par email dès qu'une mise à jour est disponible dans les sources APT.

C'est une petite libération en soit de ne plus s'imposer de se connecter en SSH toutes les semaines pour voir l'état des sources APT pour votre serveur préféré dans lequel vous avez mis tout votre amour et tendresse pour l'installé, le bichonné et le maintenir en forme.

Après la minute romantique passons au chose concrète :

Dans un lieu qui vous plaira, par exemple ici ; /usr/local/sbin

Créer un petit fichier nommé : aptUpdateNotify.sh

Insérer le contenu ci-dessous dedans :

#!/bin/bash

#       l'adresse de notification des paquets à mettre à jour
#       à modifier selon vos gouts

APT_MAIL_NOTIFY="hostmaster@domain.com"

#       le nom de la machine

APT_MAIL_NODE_NAME=`uname -n` 

#       Met à jour la liste des paquets

apt-get update > /dev/null


#       pousse dans un fichier temporaire
#       le résultat de la commande apt-get upgrade simulée
#       (aucune mise à jour réelle n'est effectuée)

apt-get upgrade -s -y -V -u -q --no-download --ignore-missing > /tmp/APT_MAIL_aptUpdateNotifier

#       récupère le nombre de paquets à mettre à jour

APT_MAIL_NB_UPDATE=`cat /tmp/APT_MAIL_aptUpdateNotifier | grep "mis . jour," | cut -d " " -f 1`
APT_MAIL_TITLE="${APT_MAIL_NB_UPDATE} mise(s) à jour disponible sur ${APT_MAIL_NODE_NAME}"

#       si il n'y a pas de mises à jour, nettoie et termine le programme.

if [[ $APT_MAIL_NB_UPDATE == 0 ]]; then
        rm /tmp/APT_MAIL_aptUpdateNotifier
        exit 0
fi

#       prépare le mail à envoyer

cat > /tmp/APT_MAIL_aptUpdateNotifierMail << EOF

Bonjour,

${APT_MAIL_NB_UPDATE} paquet(s) possède(nt) une mise à jour sur la machine
${APT_MAIL_NODE_NAME}

Voici la trace "apt-get upgrade" capturée :


EOF

#       ajoute la sortie apt-get upgrade au mail

cat /tmp/APT_MAIL_aptUpdateNotifier >> /tmp/APT_MAIL_aptUpdateNotifierMail

#       envoie l'email

mailx -e -s "${APT_MAIL_TITLE}" ${APT_MAIL_NOTIFY} < /tmp/APT_MAIL_aptUpdateNotifierMail

#       nettoie les fichiers temporaires

rm /tmp/APT_MAIL_aptUpdateNotifier
rm /tmp/APT_MAIL_aptUpdateNotifierMail

#       termine le script

exit 0;

Voilà, pensez bien évidemment à rentrer votre adresse email dans le script et à lui donner des droit d'éxécution avec la commande chmod 744 aptUpdateNotify.sh.
Pour expliquez très rapidement ce qui se passe, le script simule une commande apt-get update && apt-get upgrade et vérifie si des paquets sont disponibles. Si tel est le cas un email vous sera envoyé avec la liste des paquets disponibles. Bien entendu le script ne procède pas aux mises à jour et n'installe rien. C'est à l'administrateur de faire la mises à jour ou pas.

Il ne reste plus qu'à mettre ceci en tâche CRON à la cadence qu'il vous plaira. Par exemple je fais un check tous les matin de bonne heure à 5h23.

Voici ce qu'il faut faire :

Rendez-vous dans /etc/cron.d/

Créez le fichier : aptUpdateNotify

Ajoutez la ligne suivante :

23 5 * * *   root    /usr/local/sbin/aptUpdateNotify.sh 2>&1 > /dev/null

Voilà c'est terminé.

J'espère que ça vous sera utile. Si bien sûr un paquet existant fait déjà la même chose n'hésiter pas à m'en avertir.

Bonne journée à tous.

PS : Une petite note tout de même: ce script est prévu pour une distibution française, si votre machine vous parle dans la langue de shakespeare ou autre il faudra modifier le petit grep (ligne 25) en conséquence...

Certificat SSL multi domaine

Seza — Sat, 29 Sep 2007 19:14:00 +0200

A un moment donné nous avons tous été amené en tant qu'administrateur à générer des certificats SSL. Des certificats pour Apache, pour votre MDA ou MTA. Ces sur ces derniers éléments que j'ai buté dernièrement.

Courrier-imap-ssl mon MDA n'accepte qu'un seul certificat SSL. Comment en effet, partant de ce constat, héberger plusieurs domaines. Mon Thunderbird génère une alerte à chaque fois en précisant que le certificat n'est pas valide pour le domaine à chaque démarrage, ce qui est très embêtant.

Après de nombreuses recherches avec mon ami Google pour créer un certificat valide sur plusieurs domaines j'ai fini par trouver mon bonheur. Car oui c'est possible de créer un certificat SSL pour plusieurs domaines. C'est possible je m'en doutais car toutes les organisations de certification proposent ce type de certificat à la vente. Et forcément ceci coûte très très cher. Trop pour moi.

Alors voici la démarche à suivre. Partons de la génération d'un certificat classique. J'utilise d'entrée de jeu un fichier de configuration car c'est obligatoire pour un multi domaines.

Génération d'un certificat pour mondomaine.com :

Créez le fichier mondomaine.cnf

RANDFILE = /var/log/mail.info

[ req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no

[ req_dn ]
C=FR
ST=FRANCE
L=Paris
O=Certificat SSL pour modomaine.com
OU=Certificat SSL
CN=mondomaine.com
emailAddress=hostmaster@mondomaine.com

[ cert_type ]
nsCertType                      = server

Ensuite vous lancez la commande suivante :

openssl req -new -outform PEM -config mondomaine.cnf \
-out mondomaine.cert -newkey rsa:2048 -nodes \
-keyout mondomaine.key -keyform PEM -days 365 -x509

Voilà, des options peuvent variées dans la ligne de commande en fonction du certificat créé mais le principe est là.

Maintenant procédons à la génération d'un certificat SSL (format PEM) pour courrier-imap-ssl pour les domaines imaps.mondomaine.com et imaps.monautredomaine.com :

Créez votre fichier de configuration :

RANDFILE = /var/log/mail.info

[ req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no

[ req_dn ]
C=FR
ST=FRANCE
L=Paris
O=IMAP MDA
OU=IMAPS SSL key
CN=imaps.mondomaine.com
emailAddress=postmaster@mondomaine.com

[ cert_type ]
basicConstraints                = critical,CA:FALSE

nsCertType                      = server
nsComment                       = "Serveur COURIER IMAP SSL"

subjectKeyIdentifier            = hash
authorityKeyIdentifier          = keyid,issuer:always
subjectAltName                  = DNS:imaps.mondomaine.com,DNS:imaps.monautredomaine.com
issuerAltName                   = issuer:copy

keyUsage                        = keyEncipherment, digitalSignature
extendedKeyUsage                = serverAuth

Ici on voit que l'on garde un domaine principal et que l'on créé en fait un domaine alias au domaine principal.

Il vous reste à lancer la génération du certificat comme un certificat normal.

Et voilà le tour est joué. Si vous avez d'autres infos, je suis preneur !

Contourné la restriction orange du port 25 !

Seza — Fri, 10 Aug 2007 08:14:00 +0200

Si comme moi vous aviez sur votre réseau perso votre propre serveur mail et que vous êtes abonné orange, vous avez été confronter à la nouvelle restriction du port 25. C'est à dire l'obligation de passer par le smtp orange pour envoyé de l'email.

Tant qu'on est dans la configuration type serveur local, il suffisait de lui demander de passer par orange pour transférer les email.

Avec un postfix il suffisait d'ajouter dans le main.cf :

relayhost = smtp.orange.fr

Ce qui fonctionnait très bien.

Maintenant que se passe t'il si son postfix est sur un serveur distant. Impossibilité de le contacter. étant donné que j'utilisais sur mon serveur perso l'authentification (sasl) pour l'envoie je n'ai pas eu grand chose à changé finalement.

il a suffit de (comme orange l'indique) utiliser le port 583. Et dans postfix ceci se traduit ainsi (en décommentant ces lignes) :

submission inet n       -       -       -       -       smtpd
  -o smtpd_enforce_tls=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Voilà, pensez aussi à recharger votre configuration. Ceci à pour effet de déporter l'authentification smtp ou autrement dit la soumission d'email sur le port 583. Vous recevrez toujours vos email correctement par le port 25 ne vous inquiété pas.

Il suffit maintenant d'indiquer à sont logiciel favoris d'utiliser le port 583 au lieu du 25 pour le smtp.

C'est terminé. Pourvu que ça vous soit utile.

PS : pour paramétrer l'authentification smtp je vous renvoie à mon tuto debian correspondant :

FTP en commande DOS

Seza — Sun, 21 Jan 2007 20:03:00 +0000

N'avez vous pas déjà rallez devant le fait de devoir installer un logiciel FTP sur un PC Windows juste pour récupérer un seul fichier ? Et oui il arrive parfois de vous trouvez chez un ami qui à le net mais ne s'en guère pour autre chose pour surfer vous passer par la et vous avez le fichier miracle à lui montrer mais il n'a pas de logiciel FTP...

Bien que ceci peut vous paraître impensable c'est possible que quelqu'un n'utilise pas et ne sache même pas ce que c'est que FTP. Bien évidemment votre ami n'est pas très chaud pour que vous installiez un logiciel sur sont cher ordinateur dont il ne sais rien malgré tout le professionnalisme que vous pouvez avoir. Alors comment faire ?

Ouvrez deux fenêtre DOS (menu démarrer > exécuter > tapez cmd puis appuyer sur Entrer). Nous appellerons c'est fenêtre F1 et F2 et munissez vous d'un calculatrice.

(non nous n'allons pas faire un cours de math).

Dans la fenêtre F2 placez vous dans le dossier dans lequel vous souhaitez enregistrez votre fichier.

Dans la fenêtre F1 nous allons nous connecter à votre serveur FTP favoris :

telnet ftp.domaine.org 21
220 Welcomyou the domaine.comftp server.

Enregistrez-vous comme suis

USER login
331 Please specify the password.
PASS *******
230 Login successful.

Affichez le dossier dans lequel vous vous trouvez :

PWD
257 "/"

Allez dans le dossier que vous souhaitez :

CWD www
250 Directory succesfully changed.

Pour retournez à la racine tapez :

CWD /
250 Directory succesfully changed.

C'est maintenant que les chose se complique, pour récupérer le fichier toto.txt par exemple vous allez devoir faire les étapes suivantes :

PASV
227 Entering Passive Mode (xxx,xxx,xxx,xxx,196,72)

Repérer les deux derniers chiffres de la réponse et prenez votre calculette et faite comme suis chiffre 1 * 256 + chiffre 2 soit ici : ((196 * 256) + 72) = 50248. Ce chiffre nouvellement obtenue est le port de connexion pour le transfert des données.

Vous allez maintenant passez dans la fenêtre F2 et tapez la commande suivante :

telnet ftp.domaine.org 50248 -f toto.txt

Votre fenêtre devient toute noire, c'est normal. Retournez à la fenêtre F1 et tapez maintenant :

RETR toto.txt

Aucune réponse n'apparaît par contre dans la fenêtre F2 vous devez voir défiler votre fichier toto.txt. L'option -f que vous avez tapez tout à l'heure est l'option de log de la commande telnet. C'est à dire que tout ce qui passe dans la fenêtre F2 va être enregistrer dans ce fichier.

Une fois le transfert terminer tapez dans F2 :

exit

et dans F1 :

QUIT
221 goodBye.
Perte de la connexion avec l'hôte.

Et tapez finalement exit pour fermer la fenêtre DOS.

Vous devriez avoir votre fichier dans le dossier voulu. Je n'ai pas pris la peine de testez le transfert de fichier binaire. Si vous le faîtes je serais intéressé d'avoir vos retour la dessus. Peut être faut il utiliser les commande TYPE pour change le mode de transfert.

Et maintenant à vos transferts.