Blog Blog - Balise - Sécurité

Serveur Debian - Antispam email

Seza — Sat, 25 Aug 2007 13:19:00 +0200

CHAPITRE 8 : DSPAM

Maintenant que nous possédons un très bel outil qui nous permet d'envoyer et de recevoir des e-mails, il ne saurait tarder à ce que vous receviez quelques spams. Nous allons donc installer un antispam.

Pour commencer installons déjà un antispam. Etant un habitué de Spamassassin et en cherchant sur la toile de quoi aller plus loin avec SA j'ai découvert Dspam. Alors j'ai choisi d'utiliser du coup ce dernier pour mon tutorial. Je préfère la démarche de mise en place autour de Dspam, malgré que je le connaisse peu, je me sens plus à l'aise qu'avec SA. Dspam offre aussi un atout performance par rapport à SA ce qui n'est pas négligeable surtout si vous hébergez beaucoup de boites plus ou moins spammées. Puisque nous hébergeons des utilisateurs virtuels sur notre Postfix et Dspam offre la possibilité d'être couplé à Mysql et d'être configurable utilisateur par utilisateur, nous allons par conséquent exploiter cette possibilité.

Dspam à la particularité de devoir tout apprendre, c'est à dire qu'au début aucun spam ne sera recensés. Nous allons configurer deux boites e-mails « spam@bebenet.local » et « ham@bebenet.local » auxquelles nous transférerons respectivement les faux négatifs et les faux positifs afin que Dspam apprenne à reconnaître les bons des mauvais e-mails.

Maintenant que le décor est planté, cette configuration aura le démérite que chaque utilisateur devra commencer de zéro avec Dspam mais Dspam aura la finesse de filtrer la boite e-mail de l'utilisateur tout comme ce dernier lui aura appris. Un véritable filtre personnalisé. Néanmoins il existe des méthodes pour que Dspam apprenne plus vite à partir d'une base de spam préétablie. Je n'utiliserai pas cette fonctionnalité pour deux raisons. La première est du fait que les bases de spams vieillissent très vite et les spams appris ne seront plus d'actualité ce qui ne servira en rien à Dspam. La deuxième provient de mon expérience personnelle avec Dspam. Recevant une centaine de spam par jour Dspam n'a pas mis plus de deux heures pour commencer à attraper les premiers spams en trois jours il filtrait tout. Après les quelques semaines qui se sont passées entre la rédaction de se tuto et sa publication. Voici les statistique de mon Dspam.

2 883 spam détecté dont 7 faux positifs et sur les 758 e-mail détecté comme valide seulement 53 faux négatif. Bien entendu ces résultats peuvent fortement varier en fonction de la typologie et de la variabilité des e-mails reçus.

Dspam à son installation cherchera à se connecter en « root » sur notre base de données. Etant donné que nous avions renommer l'utilisateur « root » en « bebeserv », nous ferons machine arrière le temps de l'installation.

Il est temps d'installer Dspam maintenant – place à l'action :

ALBAN@bebeserv:~$ sudo -i
Password:
bebeserv:/etc/mysql# mysql -u bebeserv -p
Enter password:
[...]

mysql> rename user bebeserv@localhost to root@localhost;
Query OK, 0 rows affected (0.00 sec)

mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

mysql> exit
Bye
bebeserv:~# apt-get update
[...]
bebeserv:~# apt-get install dspam dspam-drv-mysql dspam-doc
[...]

Lors de l'installation, répondez oui à « dbconfig-common », entrez le mot de passe « root » (enfin « bebeserv ») de Mysql puis le mot de passe de l'utilisateur Dspam qui sera créé et confirmer ce mot de passe.

bebeserv:/etc/mysql# mysql -u root -p
Enter password:
[...]

mysql> rename user root@localhost to bebeserv@localhost;
Query OK, 0 rows affected (0.00 sec)

mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

mysql> exit
Bye

Je vous passe ici l'exploration de la base de données créée qui doit normalement se prénomée par un nom un peu barbare dixit : « libdspam7drvmysql » et l'utilisateur attribué sera nommé « libdspam7-drv-my ».

Place à la configuration :

bebeserv:~# nano /etc/dspam/dspam.conf

StorageDriver /usr/lib/dspam/libmysql_drv.so

DeliveryHost        127.0.0.1
DeliveryPort        10026
DeliveryIdent       localhost
DeliveryProto       SMTP

Preference "signatureLocation=message"  # 'message' or 'headers'
Preference "showFactors=on"
Preference "spamAction=tag"
Preference "spamSubject=***SPAM***"

#
# Purge configuration: Set dspam_clean purge default options, if not otherwise
# specified on the commandline
#
#PurgeSignatures 14          # Stale signatures
#PurgeNeutral    90          # Tokens with neutralish probabilities
#PurgeUnused     90          # Unused tokens
#PurgeHapaxes    30          # Tokens with less than 5 hits (hapaxes)
#PurgeHits1S    15          # Tokens with only 1 spam hit
#PurgeHits1I    15          # Tokens with only 1 innocent hit

#
# Purge configuration for SQL-based installations using purge.sql
#
PurgeSignature  off # Specified in purge.sql
PurgeNeutral   90
PurgeUnused    off # Specified in purge.sql
PurgeHapaxes   off # Specified in purge.sql
PurgeHits1S    off # Specified in purge.sql
PurgeHits1I    off # Specified in purge.sql

Opt out

ServerPort              10027
ServerQueueSize 32
ServerPID              /var/run/dspam/dspam.pid

ServerMode standard

ServerParameters        "--deliver=innocent -d %u"
ServerIdent             "localhost.localdomain"
	
DeliveryHost 127.0.0.1
DeliveryPort 10026
DeliveryIdent localhost
DeliveryProto SMTP

Enregistrer et quitter. Maintenant enregistrons les préférences des utilisateurs par défaut :

bebeserv:~# nano /etc/dspam/default.prefs

trainingMode=TEFT
spamAction=tag
spamSubject=***SPAM***
signatureLocation=message
showFactors=on
optIn=off
optOut=on

Enregistrez et quittez. Activons Dspam :

bebeserv:~# nano /etc/default/dspam

START=yes

Enregistrez et quittez. Maintenant faisons les même réglages dans la base de données de Dspam :

bebeserv:~# dspam_admin ch pref default trainingMode TEFT
[...]
bebeserv:~# dspam_admin ch pref default spamAction tag
[...]
bebeserv:~# dspam_admin ch pref default spamSubject "***SPAM***"
[...]
bebeserv:~# dspam_admin ch pref default enableBNR on
[...]
bebeserv:~# dspam_admin ch pref default enableWhitelist on
[...]
bebeserv:~# dspam_admin ch pref default statisticalSedation 5
[...]
bebeserv:~# dspam_admin ch pref default  signatureLocation headers
[...]
bebeserv:~# dspam_admin ch pref default whitelistThreshold 10
[...]
bebeserv:~# dspam_admin ch pref default showFactors on
[...]

C'est terminer pour Dspam nous pouvons démarrer le démon :

bebeserv:~# /etc/init.d/dspam start
[...]

Il nous reste à coupler Dspam à Postfix.

Commencez par préparer nos deux boites e-mail « spam@bebenet.local » et « ham@bebenet.local » :

bebeserv:~# cd /etc/postfix/conf.d/
bebeserv:/etc/postfix/conf.d# nano virtual_mailbox

spam@bebenet.local      bebenet.local/spam/
ham@bebenet.local       bebenet.local/ham/

Enregistrez et quittez. Rechargeons la base :

bebeserv:/etc/postfix/conf.d# postmap virtual_mailbox

C'est deux boîtes e-mail sont fictive en fait et ne recevront jamais de messages. Elles seront couplé à Dspam et nous allons préparer ce couplage grâce à ce fichier :

bebeserv:/etc/postfix/conf.d# nano transport

spam@paradoxal.org      dspam-spam:
ham@paradoxal.org       dspam-ham:

Enregistrez et quittez.

Ce fichier va rediriger nos deux boites e-mail non pas vers le transport classique « virtual » mais vers deux nouveaux transports que nous allons définir un peu plus loin. Ces deux boites e-mail ne devrons pas être scannées par Dspam (logique) et nous allons aussi préparer un fichier qui va nous permettre de définir les boites à scanner et celle à ne pas scanner.

bebeserv:/etc/postfix/conf.d# nano dspam_filter_access

#les 2 boites à ne pas filtrer (celles où sont envoyé les emails pour l'apprentissage de Dspam)
/^(spam|ham)@.*$/ OK
#puis domaines qui n'ont que la vérification antivirus, dans notre cas, tous les autres domaines :
/^.*$/ FILTER dspam-filter:127.0.0.1:10027

Enregistrez et quittez. Voilà comme vous pouvez le voir ce dernier fichier utilise les expressions régulières, pour que Postfix puisse les comprendre nous allons devoir lui installer un complément :

bebeserv:/etc/postfix/conf.d# apt-get install postfix-pcre
[...]

Voilà nos fichiers de configuration sont prêt, il faut maintenant définir les nouveaux transports dans Postfix :

bebeserv:/etc/postfix/conf.d# cd ..
bebeserv:/etc/postfix# nano master.cf

A la fin du fichier rentrez ceci :

dspam-spam   unix    -       n       n       -       10      pipe
	flags=Rhq user=dspam argv=/usr/bin/dspam --user $sender --class=spam --source=error

dspam-ham   unix    -       n       n       -       10      pipe
	flags=Rhq user=dspam argv=/usr/bin/dspam --user $sender --class=innocent --source=error

dspam-filter unix - - n - 10 lmtp
	-o smtp_send_xforward_command=yes
	-o disable_mime_output_conversion=yes
	-o smtp_generic_maps=

localhost:10026 inet n - n - - smtpd
	-o content_filter=
	-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
	-o smtpd_helo_restrictions=
	-o smtpd_client_restrictions=
	-o smtpd_sender_restrictions=
	-o smtpd_recipient_restrictions=permit_mynetworks,reject
	-o mynetworks=127.0.0.0/8
	-o smtpd_authorized_xforward_hosts=127.0.0.0/8

Enregistrez et quittez.

Il nous reste plus qu'à dire à Postfix d'utiliser tout ceci :

bebeserv:/etc/postfix# nano main.cf

Rajoutez cette ligne :

transport_maps = hash:/etc/postfix/conf.d/transport

et modifiez celle-ci :

smtpd_recipient_restrictions =
	permit_mynetworks,
	permit_sasl_authenticated,
	reject_invalid_hostname,
	reject_unauth_destination,
	reject_unknown_sender_domain,
	reject_unknown_recipient_domain,
	reject_unauth_destination,
	check_recipient_access pcre:/etc/postfix/conf.d/dspam_filter_access

Enregistrez et quittez. Rechargeons la configuration de Postfix pour terminer le travail :

bebeserv:/etc/postfix# /etc/init.d/postfix reload
[...]

Voilà c'est terminé, vous possédez maintenant un antispam, bien sûr il faudra lui apprendre à reconnaître les spams mais je ne doute pas que vous en serez très vite satisfait.

Votre antispam est paramétrable par utilisateur ne l'oubliez pas ! Si l'un d'entre eux demande un tag différent c'est possible. Vous pouvez aussi voir les statistiques de Dspam par utilisateur pour voir son travail. Pour ceci regarder les commandes « dspam_admin », « dspam_stats ».

Pour voir les préférences par défaut :

bebeserv:/etc/postfix# dspam_admin list preference default
[...]

Pour voir les statistiques d'un utilisateur :

bebeserv:/etc/postfix# dspam_stats -H user@bebenet.local
[...]

Bientôt je ferais le tuto pour installer un antivirus email. Si aujourd'hui la majorité des emails reçu sont des virus (donc faire d'abord le tuto d'un antivirus aurais été mieux) et bien je pense que non. Dspam consomme tellement peu et reconnaît (pour l'instant) tellement bien les spams qu'il fait très bien le ménage que le besoin d'un antivirus ne se fait pas vraiment sentir.

Une fois que vous aurez confiance en votre Dspam. Vous pourrez lui demander de ne pas vous transmettre les spams et ainsi à ce moment là branchez un antivirus sur votre Postfix. La consommation de ressources en sera bien moindre.

A très bientôt

bebeserv:/etc/postfix# exit
logout
ALBAN@bebeserv:~$

Contourné la restriction orange du port 25 !

Seza — Fri, 10 Aug 2007 08:14:00 +0200

Si comme moi vous aviez sur votre réseau perso votre propre serveur mail et que vous êtes abonné orange, vous avez été confronter à la nouvelle restriction du port 25. C'est à dire l'obligation de passer par le smtp orange pour envoyé de l'email.

Tant qu'on est dans la configuration type serveur local, il suffisait de lui demander de passer par orange pour transférer les email.

Avec un postfix il suffisait d'ajouter dans le main.cf :

relayhost = smtp.orange.fr

Ce qui fonctionnait très bien.

Maintenant que se passe t'il si son postfix est sur un serveur distant. Impossibilité de le contacter. étant donné que j'utilisais sur mon serveur perso l'authentification (sasl) pour l'envoie je n'ai pas eu grand chose à changé finalement.

il a suffit de (comme orange l'indique) utiliser le port 583. Et dans postfix ceci se traduit ainsi (en décommentant ces lignes) :

submission inet n       -       -       -       -       smtpd
  -o smtpd_enforce_tls=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Voilà, pensez aussi à recharger votre configuration. Ceci à pour effet de déporter l'authentification smtp ou autrement dit la soumission d'email sur le port 583. Vous recevrez toujours vos email correctement par le port 25 ne vous inquiété pas.

Il suffit maintenant d'indiquer à sont logiciel favoris d'utiliser le port 583 au lieu du 25 pour le smtp.

C'est terminé. Pourvu que ça vous soit utile.

PS : pour paramétrer l'authentification smtp je vous renvoie à mon tuto debian correspondant :

Ma wishliste pour la rentrée

Seza — Tue, 10 Jul 2007 13:24:00 +0200

Comme l'avant Noël, on pourrait faire l'avant rentrée. Je trouve que la rentrée est toujours un moment ou l'actualité prend beaucoup d'importance, autant en terme de communication qu'en terme de nouveauté. La rentrée c'est toujours le moment de sortir sont nouveau site, logiciel ou crie de guerre afin que tout le monde - sur le guet - ne puisse pas vous louper.

C'est bien là, la raison qui me donne envie d'écrire une wishliste de la rentrée avec ce que j'attends pour ce futur mois de septembre.

L'été c'est souvent le moment ou les esprits - sensé être au repos - foisonnent d'idées sous un soleil qui devrait se montré un peu plus en ce moment. Les esprits bulles sous la chaleur et les concepteurs s'imaginent déjà maître de la prochaine révolution.

Personnellement j'ai envie :

Que l'accessibilité devienne accessible. Les discussions autour de l'accessibilité se font nombreuses dernièrement et nombre de définitions autour de balises, de mode de conception sont en cours. Pour l'instant je trouve que - même si l'intérêt est énorme - lire les spécifications du RGAA ou enfin son actualité et ses début de réponses sont lourdes, compliquées à suivre et ont réellement tendance à embrouiller les esprits pour un spectateur comme moi.
Aujourd'hui donc vouloir créer un site en suivant scrupuleusement le WCAG, RGAA, WAI, les 92 critères d'accessiweb et j'en passe... Aujourd'hui donc je reprends, ceci relève du parcours du combattant. Loin est le temps ou il suffisait de lire la documentation HTML 4 du W3C pour faire un site propre. En fait, moi qui suis plutôt un fervent supportaire de l'accessibilité, aujourd'hui ce foisonnement de règles et directives ont tendance à me décourager, à me pousser à les ignorer.
Pourquoi ? Parce qu'aujourd'hui ou les outils de conception et d'aide à la création foisonne, CMS, éditeur Wisiwyg et compagnie et ces éditeurs ne peuvent aujourd'hui se tenir à jour – car tout change constamment – Et de part ce fait, dois-je oublier tout mes outils et reprendre mon bon vieux bloc note ? Sachant qu'avec ces efforts demain une nouvelle règles pourrait venir détruire des heures d'observation de mon code frais écrit et m'obliger à reprendre la conception de mon site dans ses bases.
Il est clair que si ce portrait aujourd'hui de l'accessibilité est plutôt négatif, il en reste de reflet de beaucoup de développeurs avec qui je discute. Ces derniers ont plutôt tendance pour la peine à se rétracter dans leur propre conception de l'accessibilité et de faire leurs propres règles en attendant d'avoir mieux. Je me souviens d'une époque ou l'on doublait nos sites, l'une était en flash et l'autre en HTML pour que tout le monde puisse avoir accès au contenu. Doit-on en arriver à créer un site pur texte , noir et blanc, spécial accessibilité construit dans ce cadre, une version pour chaque handicap existant, et laisser la partie créative qui nous emplie vraiment s'exprimer dans l'autre version ? Peut-on en fait réellement compilé en une seule version tous les documents web de sorte qu'il soit visionnable pour tout le monde.
Il est clair que cette vision de l'avenir ne m'enchante guère, que doit devenir l'accessibilité dans le web, encore plus dans le web 2.0 ou les contenus change dynamiquement qui font souvent appel à des service distant qu'on ne contrôle pas et encore encore plus dans le web 3.0 qui imaginons le assez facilement s'orienterait vers une navigation en 3 dimensions. Comment la 3D serait-elle traduite en braille, comment quelqu'un qui n'arrive à percevoir la profondeur (la simple perte d'un oeil par exemple) fera-t-il dans un environnement 3D. Comment un déficient visuel pourra-t-il appliqué sa propre feuille de style à la 3D. Comment l'accessibilité pourra-t-elle s'inviter dans un monde ou seul le mouvement de souris fera foie et tout ne sera qu'images ? L'accessibilité - à l'instar de certain paranoïaque de la sécurité - deviendra-t-elle seulement l'acte de quelque aficionados ou pourra-t-elle vraiment s'immiscer dans les concepts de création et faire foie de qualité et d'assurance pour l'avenir de son site.
Je pense qu'il faut rendre l'accessibilité accessible au plus grand nombre, commencé par l'éducation avec des règles simples. A la manière dont beaucoup on pu découvrir l'XHTML. C'est à dire quelques règles, facilement applicable comme bien préciser son DTD, ne plus chevaucher ses balises, limité l'utilisation de certaines balises puis proposé d'aller plus loin au fur et à mesure ou les gens s'y préparent et apprennent. Le web semble se fermé de plus en plus, cerner les fondements de l'ajax est bien difficile, manier parfaitement l'XHTML et le CSS n'est pas chose forcément aisée pour tout le monde déjà, les environnements riches comme Flash ou Silverlight ne sont pas simple à appréhender, la simplification du web en framework directement utilisable sont dans un sens contraire à l'accessibilité car cette dernière est aujourd'hui à traiter au cas par cas et il n'existe pas encore de solution globale pour y remédier. S'en va-t-on vers un régression du web où certains – la plus part des créateurs de site amateur – resteront sur le bas côté faute de compétences en la matière et seront totalement dépassés face à la masse de travail pour y parvenir. Les éditeurs professionnels auront–ils la volonté de vouloir se lancé dans ce grand sujet ? J'aimerai entendre un discours simple et convainquant sur le sujet. J'espère donc que la rentrée apportera des solutions en ce sens.

J'ai aussi envie de trouver des logiciels vraiment adéquat, notemment en matière d'EDI de programmation. Si les logiciels prolifèrent eux aussi beaucoup trop sont insatisfaisant ou incomplet. Chacun apporte sa fonctionnalité miracle pour en laisser beaucoup de côté. J'attends avec impatience la version 1,0 d'Eclipse PDT. Même si éclipse est très lourd pour les petit développement, c'est encore le meilleur environnement que j'ai trouvé jusqu'à maintenant mais je garde des petits outils ça et là pour telles ou telles utilisations bien spécifique. Pour moi éclipse reste trop pauvre pour ce qui est du CSS et du Javascript. J'aimerai donc à la rentée voir l'offre autour d'éclipse se compléter.
J'attends les sorties des prochains Mysql WorkBench qui chez moi actuellement est vraiment inutilisable. Dbdesigner reste bien meilleur encore aujourd'hui. Qu'un Windows XP SP3 sorte ?
Que Debian passe au dernier Gnome, qu'un trouve enfin des belles typos sous Linux car même si c'est un plaisir de travailler sous Linux, les écritures dégueulasse gâche vraiment tout malgré tous les efforts fait pour obtenir un résultat correct. Et que aussi les touchpads soit mieux géré et il y aurait tellement à demander...

Que j'obtienne la certification PHP. Petit plaisir que j'ai envie de m'offrir très prochaiement.

Voir PHP 6 sortir, idem pour HTML 5 et XHML 2. Que devient CSS 3 ? On craignait pour CSS3 que les navigateur mette trop de temps à y passer déjà que CSS2 n'était pas complètement implémenter. Les navigateurs sont entrer depuis dans une nouvelle bataille et ont repris de leur vigueur. Il serait peut être intéressant d'en profiter pour sortir CSS3 et voir les première implémentation sortir – rêvons par exemple pour Firefox 3 et IE8.

Bref comme on peu le voir j'attends et je rêve beaucoup pour cette rentrée. J'espère comme j'en ai longtemps parlé précédemment au niveau de l'accessibililité que les grands acteurs du web retrouve le bon chemin car je considère aujourd'hui comme une certaine perdition face à l'ampleur que prend internet aujourd'hui. HTML 5 et XHTML 2 l'avenir ? CSS 3 l'avenir ? Accessibilité l'avenir ? Environnement riche L'avenir ? Ajax L'avenir ?

Oui l'avenir ? J'entends par cette question, n'essaie pas t-il de faire trop complet et du coup compliqué pour certains. N'essaie-t-il pas de se focalisé sur des détails alors que la globalité est incomplète comme certain texte de loi que vote nos députés qui sont fortement complexe et précise sur bien des point mais qui finissent par contenir des gros contresens et d'énormes trou dans la réglementation voir être hors sujet ou à côté des attentes au final. Dans le monde libre il est nécesaire d'introduire des lignes de conduites, des protocoles à suivre. Aujourd'hui ce monde ne passe-t-il pas de l'autre côté de la barrière avec des tentatives d'autorité de plus en plus cinglante et contraignante. Le libre n'en ressort que moins libre.
Je souhaite aussi que cette mode de version Beta s'arrete. Beta deviendrai-t-il un label de qualité ? Un moyen marketing surtout. Il est fou sur le net de trouver des version beta de logiciel à vendre. Encore plus de trouver des site e-commerce en version beta. Que cela signifie-t-il ? « Nous risquons de débiter votre carte mais de ne pas envoyer vos produits, le logiciel n'étant pas encore au point... »

Hier orange, comme Free, bloque le port 25 afin de limiter le spam. Bonne ou mauvaise solution ? Les fai agissent-ils sur le bon vecteurs pour limité le spam. Le font-ils faute d'incapacité à utiliser d'autre moyen de protection ? Serait-il temps de rénover certains protocoles ?

Après ce bilan plutôt négatif, car volontairement négatif. Oui je souhaitait mettre l'accent sur ces points qui me dérangent de plus en plus. J'en oublie beaucoup et j'arrête ici car ce billet prend trop de longueur.
Je n'oublie pas non plus que le web aujourd'hui prend une nouvelle dimension, que de formidable révolution ont eu lieu et sont en cours. Mes questions et craintes sont elles le simple d'une étape difficile qu'on pourrait appelée la transition ?

A vos plumes, je souhaite sincèrement avoir vos avis sur l'avenir de ce qui est aujourd'hui le centre d'intérêt de beaucoup d'entre nous.

Serveur Debian - php et dotclear 2

Seza — Fri, 15 Jun 2007 20:29:00 +0200

CHAPITRE 6 : PHP + DOCLEAR 2

Maintenant que notre serveur web est installé, il serait bon de lui fournir un peu de dynamisme et rien de tel pour cela que d'installer PHP que je ne présenterai pas =).

Commençons par installer « php5 » et ce qu'il faut pour l'allier à « apache2 » :

ALBAN@bebeserv:~$ sudo -i
Password:
bebeserv:~# apt-get update
[...]
bebeserv:~# apt-get install apache2-mpm-prefork libapache2-mod-php5 php5-common php5 php5-cli php5-mysql
[...]

Maintenant comme à l'habitude coupons Apache le temps de le reconfigurer. Comme vous avez pu l'observer, nous avons changer la manière dont « apache2 » gère ses processus. Nous sommes passé de « apache2-mpm-worker » à « apach2-mpm-prefork ». Bien que « worker » soit plus rapide et offre une meilleure méthode de travail à « apache2 », « php5 » requiert que « apache2 » travail en « prefork » encore aujourd'hui. De même nous avons installé le minimum pour faire fonctionner notre configuration, c'est à dire « php5 » lui même, « php5 » en ligne de commande : « cli » et « mysql » pour « php5 », bien que « php5 » offre une couche d'abstraction totale pour l'accès au SGBD beaucoup de site sont encore construit autour de l'API mysql directement.

Retournons donc à notre configuration. Configurons « mpm-prefork » :

bebeserv:~# cd /etc/apache2
bebeserv:/etc/apache2# nano apache2.conf

Changeons notre configuration en ceci :

# prefork MPM
<IfModule mpm_prefork_module>
	StartServers          5
	MinSpareServers       5
	MaxSpareServers      10
	MaxClients          150
	MaxRequestsPerChild 500
</IfModule>

# worker MPM
#<IfModule mpm_worker_module>
#    StartServers          2
#    MaxClients          150
#    MinSpareThreads      25
#    MaxSpareThreads      75
#    ThreadsPerChild      25
#    MaxRequestsPerChild 500
#</IfModule>

Les commentaires sont facultatifs, ils me servent à me rappeler que mon apache tourne en « prefork », comme je l'avais fais dans le chapitre précédent. Enregistrez et quittez. Maintenant mettons à jour quelques points comme la configuration de « mod_dir ».

bebeserv:/etc/apache2# nano mods-avalable/dir.conf

Modifier la configuration comme suit :

<IfModule mod_dir.c>
	DirectoryIndex index.php index.html index.cgi index.pl index.php index.xhtml
</IfModule>

Enregistrez et quittez. Maintenant configurons « php5 » :

bebeserv:/etc/apache2# cd /etc/php5/apache2
bebeserv:/etc/php5/apache2# nano php.ini

Modifier comme suit :

;;;;;;;;;;;;;;;;;;;;
; Language Options ;
;;;;;;;;;;;;;;;;;;;;

short_open_tag = Off
allow_call_time_pass_reference = Off
open_basedir = /home/nobody/default_apache
ignore_user_abort = On
realpath_cache_size=16k
realpath_cache_ttl=120
expose_php = Off

;;;;;;;;;;;;;;;;;;;
; Resource Limits ;
;;;;;;;;;;;;;;;;;;;

max_execution_time = 10
max_input_time = 10
	
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
; Error handling and logging ;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

error_reporting = E_ALL | E_STRICT
display_errors = On			; A passé à Off quand vous rendez votre site web public
log_errors = On
ignore_repeated_errors = On
error_log = /var/log/php5.log

;;;;;;;;;;;;;;;;;
; Data Handling ;
;;;;;;;;;;;;;;;;;

arg_separator.output = "&amp;"
register_long_arrays = Off
register_argc_argv = Off
magic_quotes_gpc = Off
default_mimetype = "text/html"
default_charset = "iso-8859-15"

;;;;;;;;;;;;;;;;;;
; Fopen wrappers ;
;;;;;;;;;;;;;;;;;;

allow_url_fopen = Off
default_socket_timeout = 10

;;;;;;;;;;;;;;;;;;;
; Module Settings ;
;;;;;;;;;;;;;;;;;;;

[date]
date.timezone = Europe/Paris

[mail function]
;SMTP = localhost
;smtp_port = 25
;sendmail_from = me@example.com
sendmail_path = sendmail -t -f apache2@bebeserv.local

[mysql]
mysql.connect_timeout = 10

[session]
session.use_only_cookies = 1
session.name = SESSID
session.cache_limiter =
session.hash_function = 1

Enregistrez et quittez. Maintenant PHP est configuré pour travailler avec Apache mais pas pour fonctionner en ligne de commande. Refaites donc la même chose pour le CLI :

bebeserv:/etc/apache2# cd ../cli
bebeserv:/etc/php5/cli# nano php.ini

Mettez exactement les même paramètre à la différence de ceux-ci :

;open_basedir =
; ignore_user_abort = On
max_execution_time = 60
max_input_time = 10
memory_limit = 32M
log_errors = Off
file_uploads = Off

Enregistrez et quittez. Il nous reste à créer le fichier de log de PHP et de lui créer sa rotation :

bebeserv:/home/nobody/default_apache# cd /var/log
bebeserv:/var/log# touch php5.log
bebeserv:/var/log# cd /etc/logrotate.d/
bebeserv:/etc/logrotate.d# nano php5

Créez le fichier suivant :

/var/log/php5.log {
		weekly
		missingok
		rotate 4
		compress
		delaycompress
		notifempty
		create 640 root root
}

Voilà c'est terminer pour la configuration de PHP. A l'heure actuelle avec la directive « open_basedir », PHP est enfermé dans « /home/nobody/default_apache » pour chaque site que nous mettrons en place (et donc chaque virtual host) nous mettrons une directive « open_basedir » dans le virtual host afin que PHP soit ouvert uniquement pour ce site. Ainsi nous mettrons d'autre élément de configuration PHP dans la configuration des vhosts. Cette méthode offre le grand avantage d'offrir au dessus de la configuration générale de PHP beaucoup de finesse pour ajuster certain paramètre notamment de sécurité.

C'est ce que nous allons voir tout de suite en installant Dotclear 2. Un exemple simple et facile afin d'illustrer ce que nous venons de mettre en place durant les 4 derniers chapitres.

Mais avant de nous lancer, vérifions le bon fonctionnement de PHP et pour ceci dans notre vhost « default_apache » créons un fichier « php.php » qui nous donnera le phpinfo.

bebeserv:/etc/logrotate.d# cd /home/nobody/default_apache
bebeserv:/home/nobody/default_apache# nano php.php

Mettez ceci dans votre fichier :

<?php
phpinfo();
?>

Enregistrez et quittez. Donnez les bons droits à votre fichier :

bebeserv:/home/nobody/default_apache# chown nobody php.php

Rechargeons la configuration « apache2 » ainsi que « php5 ».

bebeserv:/home/nobody/default_apache# apace2ctl graceful
[...]

Maintenant observons notre phpinfo : Depuis un poste du réseau local allez à cette adresse : « http://10.0.0.2/php.php ».

Passons à la partie facultative de ce chapitre :

L'installation de Dotclear 2

Sachant que vous avez votre propre nom de domaine ici nous ferons une installation pour le réseau locale. il faut savoir que Dotclear ne requiert pas mais serait mieux avec la librairie GD2. !Nous allons donc l'installer.

bebeserv:/home/nobody/default_apache# apt-get install php5-gd
[...]

Rechargeons la configuration de PHP pour intégré GD :

bebeserv:/home/nobody/default_apache# apace2ctl graceful
[...]

Vous pouvez à nouveau regarder le phpinfo pour observer que GD est bien intégré dans sa version 2.

Maintenant nous allons préparer l'arborescence pour notre futur site. Afin de ne pas refaire la même manipulation à chaque fois, nous allons généré un squelette qu'il suffira de recopier :

bebeserv:/home/nobody/default_apache# cd ..
bebeserv:/home/nobody# mkdir skeleton
bebeserv:/home/nobody# cd skeleton
bebeserv:/home/nobody/skeleton# mkdir backup html includes logs sessions tmp
bebeserv:/home/nobody/skeleton# cd logs
bebeserv:/home/nobody/skeleton/logs# touch apache2.log php5.log
bebeserv:/home/nobody/skeleton/logs# cd ../../
bebeserv:/home/nobody# chown -R nobody skeleton

Voilà une bonne chose de faite, maintenant créons la véritable arborescence de notre site que j'appellerai ici « www.bebeserv.local » :

bebeserv:/home/nobody# cp -ra skeleton www.bebeserv.local

Nous devons dorénavant nous créer un vhost pour pouvoir exploiter tout ceci.

bebeserv:/home/nobody# cd /etc/apache2/site-available
bebeserv:/etc/apache2/site-available# nano www.bebeserv.local

Créez le fichier suivant :

<VirtualHost *>
		ServerSignature Off
		ServerAdmin webmaster@bebeserv.local
		ServerName www.bebeserv.local
		ServerAlias bebeserv.local
		ServerAlias 10.0.0.2

		DocumentRoot /home/nobody/www.bebeserv.local/html/

		<Directory /home/nobody/www.bebeserv.local/html/>
				AllowOverride All
				Order allow,deny
				allow from all
		</Directory>

		<IfModule mod_php5.c>
				php_admin_value open_basedir /home/nobody/www.bebeserv.local
				php_admin_value error_log /home/nobody/www.bebeserv.local/logs/php5.log
				php_admin_value upload_tmp_dir /home/nobody/www.paradoxal.org/tmp
				php_admin_value include_path .:/home/nobody/www.bebeserv.local/includes
				php_admin_value session.save_path /home/nobody/www.bebeserv.local/sessions
				php_admin_value sendmail_path "sendmail -t -f www@bebeserv.local"
		</IfModule>

		CustomLog /home/nobody/www.bebeserv.local/logs/apache2.log combined
</VirtualHost>

Enregistrez et quittez. J'ai mis en alias de serveur l'adresse IP de la machine afin qu'on puisse accéder au site localement pour le tester. Autorisons ce vhost :

bebeserv:/etc/apache2/site-available# cd ../site-enabled
bebeserv:/etc/apache2/site-enabled# ln -s ../site-available/www.bebeserv.local 100-www.bebeserv.local

Je garde une numérotation devant les nom des vhosts afin de définir l'ordre de chargement de ces derniers et ainsi leur priorité dans apache.

Puisque nous y sommes, ouvrons nous un compte FTP afin de compléter l'ouverture de notre futur blog :

bebeserv:/etc/apache2/site-enabled# cd /etc/vsftpd/user_conf
bebeserv:/etc/vsftpd/user_conf# cp example www.bebeserv.local

Dans le fichier « www.bebeserv.local » mettez les options qui vous plaisent et surtout :

local_root=/home/nobody/www.bebeserv.local

Nous pouvons ajouter notre utilisateur « www.bebeserv.local » à la base de donnée de « vsftpd » :

bebeserv:/etc/vsftpd/user_conf# cd ..
bebeserv:/etc/vsftpd# nano userdb

Entrez les lignes :

www.bebeserv.local
votre-mot-de-passe

Enregistrez et quittez puis recharger la base de donner de « vsftpd » :

bebeserv:/etc/vsftpd# vsftpd-makedb

Tout est OK, rechargeons aussi la configuration de apache :

bebeserv:/etc/vsftpd# apache2ctl graceful

Maintenant téléchargeons Dotclear 2 :

bebeserv:/etc/vsftpd# cd /home/nobody/www.bebeserv.local/html
bebeserv:/home/nobody/www.bebeserv.local/html# wget	http://download.dotclear.net/latest-2.0.tar.gz
[...]

Décompressez l'archive :

bebeserv:/home/nobody/www.bebeserv.local/html# tar -xvzf dotclear-2.0-beta6.tar.gz
[...]

Un dossier « dotclear » est créé, donnons lui les bons droits (ainsi qu'à tout ce qu'il contient) :

bebeserv:/home/nobody/www.bebeserv.local/html# chown -R nobody.nogroup dotclear

Supprimons le tarball :

bebeserv:/home/nobody/www.bebeserv.local/html# rm dotclear-2.0-beta6.tar.gz

Nous pouvons changer le nom du répertoire « dotclear » par « blog » par exemple :

bebeserv:/home/nobody/www.bebeserv.local/html# mv dotclear blog

Voilà c'est presque fini. Dotclear aura besoin d'une base de données, créons donc un utilisateur et une base pour Dotclear.

bebeserv:/home/nobody/www.bebeserv.local/html# mysql -u bebeserv -p
Entre password: 
[...]

mysql> create database bebeserv_dc2;
Query OK, 1 row affected (0.00 sec)

mysql> grant create, delete, insert, update, select, index, lock tables, alter, drop on bebeserv_dc2.* to 'dotclear2'@'localhost' identified by 'un-mot-de-passe';
Query OK, 0 rows affected (0.01 sec)

mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

mysql> quit
Bye
bebeserv:/home/nobody/www.bebeserv.local/html#

Voilà c'est terminé, rendez vous sur la page « http://10.0.0.2/blog/admin/install/ » pour terminer l'installation. Pour le wizard de configuration Dotclear voici ce que vous aurez à entrer :

hote de la base : localhost
base de donnée bebeserv_dc2
utilisateurs de la base de donnée : dotclear2

Mémorisez bien le mot de passe qui vous sera fourni !

Voilà c'est terminé pour ce chapitre, vous avez intérêt à produire de bon billet maintenant !

bebeserv:/home/nobody/www.bebeserv.local/html# exit
logout
ALBAN@bebeserv:~$

Serveur Debian - apache

Seza — Wed, 13 Jun 2007 09:01:00 +0200

CHAPITRE 5 : APACHE

Maintenant que nous disposons d'un serveur FTP et d'un serveur de base de données, il est grand temps que nous installions notre serveur web.

Commençons par installer « Apache » :

ALBAN@bebeserv:~$ sudo -i
Password:
bebeserv:~# apt-get update
[...]
bebeserv:~# apt-get install apache2 apache2-doc apache2-utils apache2.2-common
[...]

Maintenant comme à l'habitude coupons le serveur fraîchement installé.

bebeserv:~# /etc/init.d/apache2 stop

Allons directement éditer la configuration de notre serveur :

bebeserv:~# cd /etc/apache2
bebeserv:/etc/apache2# nano apache2.conf

Changez les lignes suivantes :

Timeout 60
MaxKeepAliveRequests 75
KeepAliveTimeout 10

Par défaut aujourd'hui « apache2 » est installé avec le module worker MPM. Commentez donc les lignes :

#<IfModule mpm_prefork_module>
#    StartServers          5
#    MinSpareServers       5
#    MaxSpareServers      10
#    MaxClients          150
#    MaxRequestsPerChild   0
#</IfModule>

Pour le module worker je garde les réglages par défaut qui sont bien pour une configuration moyenne. Je change uniquement la valeur du « MaxRequetsPerChild » sur une valeur assez courte. Pourquoi ? Etant donné que nous allons plus tard installer et travailler avec PHP, PHP requiert (surtout dans sa version 5) beaucoup de mémoire. Les fils apache augmenterons leur mémoire alloué de manière conséquente. Ainsi pour servir une image un fils s'allouera disons 30 Ko de mémoire, ensuite s'il reçoit une requête pour un script PHP il agrandira sa mémoire disons à 4 Mo. S'il ressert la même image que précédemment il gardera les 4 Mo de mémoire allouée. C'est pourquoi il est fort intéressant (même si c'est consommateur en CPU) de renouveler les fils apache assez régulière de manière à ne pas surconsommer de RAM.

MaxRequestsPerChild 500

Maintenant en relation directe avec le chapitre sur l'installation du serveur FTP, configurez l'utilisateur et le groupe apache :

User nobody
Group nogroup

Utilisez ces utilisateurs permet de mettre en relation FTP, Apache, (et plus tard PHP) en limitant les problèmes d'utilisateur et de droits d'exécution. Tout le monde aura pour UID et GID « nobody » et « nogroup » ce qui évitera les problèmes du genre (je ne peux pas supprimé les fichier créer par PHP dans mon FTP... ou d'installer des plugins supplémentaire comme « suphp » pour apache). Pour une question de sécurité et de commodité par rapport au fichier UNIX caché, j'empêche aux utilisateurs d'accéder à tous les fichier commençant par un « . » et pas uniquement les fichiers commençant par « .ht »

<Files ~ "^\.">
	Order allow,deny
	Deny from all
</Files>

Toujours pour la sécurité, donnons un minimum d'information :

ServerTokens Prod
ServerSignature Off

Ensuite la configuration des différents modules :

DefaultLanguage fr
LanguagePriority fr en ca ...
AddDefaultCharset ISO-8859-15

Enregistrez et quittez. Supprimez le fichier de configuration du charset dans « conf.d » puisque nous venons de le préciser dans la configuration générale.

bebeserv:/etc/apache2# rm conf.d/charset

Pour moi le fichier « ports.conf » est correctement configuré puisque notre serveur sera ouvert sur l'extérieur. Maintenant supprimons les modules qui ne nous servirons pas.

bebeserv:/etc/apache2# cd mods-enabled/
bebeserv:/etc/apache2/mods-enabled# rm autoindex* cgi* env* negociation* setenvif* status*

Voici les seuls modules que j'ai a présent « alias », « auth_* », « dir », « mime ». Maintenant ajoutons les modules que nous souhaitons et qui n'étaient pas présent :

bebeserv:/etc/apache2/mods-enabled# ln -s ../mods-available/deflate.conf deflate.conf
bebeserv:/etc/apache2/mods-enabled# ln -s ../mods-available/deflate.load deflate.load
bebeserv:/etc/apache2/mods-enabled# ln -s ../mods-available/expires.load expires.load
bebeserv:/etc/apache2/mods-enabled# ln -s ../mods-available/headers.load headers.load
bebeserv:/etc/apache2/mods-enabled# ln -s ../mods-available/rewrite.load rewrite.load
bebeserv:/etc/apache2/mods-enabled# ln -s ../mods-available/ssl.conf ssl.conf
bebeserv:/etc/apache2/mods-enabled# ln -s ../mods-available/ssl.load ssl.load

Voilà nous en avons terminé avec les modules. Maintenant pour éviter de divulguer notre configuration à tout le monde. Configurons notre virtualhost et créons une petite page d'accueil en attendant que notre site soit installé.

bebeserv:/etc/apache2/mods-enabled# cd ../site-available
bebeserv:/etc/apache2/site-available# cp default mydefault
bebeserv:/etc/apache2/site-available# nano mydefault

Entrez les modifications comme suit :

NameVirtualHost *

<VirtualHost *>
	ServerAdmin webmaster@localhost

	DocumentRoot /home/nobody/default_apache/

	<Directory />
		AllowOverride None
	</Directory>
	<Directory /home/nobody/default_apache/>
		AllowOverride None
		Order allow,deny
		allow from all
	</Directory>

	CustomLog /var/log/apache2/access.log combined
</VirtualHost>

Enregistrez et quittez. Activons ce site par défaut plutôt que celui proposé par apache :

bebeserv:/etc/apache2/site-available# cd ../site-enabled
bebeserv:/etc/apache2/site-enabled# rm 000-default
bebeserv:/etc/apache2/site-enabled# ln -s ../site-available/mydefault 000-default

Maintenant créons le dossier hébergeant ce virtuelhost et une petite page d'accueil :

bebeserv:/etc/apache2/site-enabled# cd /home/nobody
bebeserv:/home/nobody# mkdir default_apache
bebeserv:/home/nobody# chown nobody default_apache/
bebeserv:/home/nobody# cd default_apache/
bebeserv:/home/nobody/default_apache# nano index.html

Voici un petit html horrible mais qui suffira :

<html>
		<head>
				<title>Bienvenue sur bebeserv.bebenet.local</title>
		</head>
		<body>
				<h1>Bienvenue sur bebeserv.bebenet.local</h1>
		</body>
</html>

Enregistrez et quittez.

bebeserv:/home/nobody/default_apache# chown nobody index.html

Voilà c'est terminé. Nous allons pouvoir redémarrer apache et regarder si notre page d'accueil s'affiche bien.

bebeserv:/home/nobody/default_apache# /etc/init.d/apache2 start

Essayez cette adresse depuis votre navigateur sur un pc connecter au réseau local : « http://10.0.0.151/ » et observez le résultat !

Un dernier petit rappel nous n'avons pas configurer « iptables » dans cette section car nous avions déjà ouvert le port 80 pour « apt ».

Le chapitre est maintenant terminé.

bebeserv:/home/nobody/default_apache# exit
logout
ALBAN@bebeserv:~$

Serveur Debian - mysql

Seza — Sat, 09 Jun 2007 15:03:00 +0200

CHAPITRE 4 : MYSQL

Pour nos futurs sites internet, nous allons avoir besoin de certain élément, nous possédons déjà le FTP pour créer des utilisateurs à notre guise, nous allons aussi avoir besoin d'une base de données. Aujourd'hui nous allons donc nous occuper de Mysql.

Commençons par installer les paquets nécessaires :

ALBAN@bebeserv:~$ sudo -i
Password:
bebeserv:~# apt-get update
[...]
bebeserv:~# apt-get install mysql-client-5.0 mysql-server-5.0 mysql-common
[...]

Ceci fait comme pour le FTP commencer par couper le serveur tout frais installer.

bebeserv:~# /etc/init.d/mysql stop
[...]

Éditons la configuration :

bebeserv:~# cd /etc/mysql
bebeserv:/etc/mysql# nano my.cnf
[...]

Dans « [mysqld] » D'abord la langue ! ( très important :) )

language        = /usr/share/mysql/french

Puis puisque dans mon cas je n'ouvrirai pas Mysql à l'extérieur je laisse le

skip-networking
bind-address à 127.0.0.1

Pour enregistrer les mauvaises requêtes (coûteuses en performance).

log_slow_queries        = /var/log/mysql/mysql-slow.log
long_query_time = 2
log-queries-not-using-indexes

Commentez les lignes suivantes, elles sont inutiles car nous ne feront pas de réplication Mysql.

#log_bin                        = /var/log/mysql/mysql-bin.log
#expire_logs_days       = 10
#max_binlog_size         = 100M

Puisque je compte utiliser Dotclear 2 qui nécessite le moteur « innodb », je ne décommenterai pas la ligne suivante :

#skip-innodb

Dans la section « [mysqldump] » je rajoute ces options :

skip-opt
add-drop-table
add-locks
create-options
set-charset
disable-keys
complete-insert

Enregistrez et quittez. Maintenant vous pouvez relancer Mysql.

bebeserv:/etc/mysql# /etc/init.d/mysql start
[...]

Maintenant il va falloir sécuriser Mysql car sont installation d'origine est plein de trou. Entrez dans la console Mysql :

bebeserv:~# mysql -u root
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 7
Server version: 5.0.32-Debian_7etch1-log Debian etch distribution

Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

mysql>

Maintenant que vous êtes dans la console, tapez les commandes suivantes :

mysql> use mysql;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
mysql> select User,Host,Password from user;
+------------------+-----------+-------------------------------------------+
| User             | Host      | Password                                  |
+------------------+-----------+-------------------------------------------+
| root             | localhost |                                           |
| root             | bebeserv  |                                           |
| debian-sys-maint | localhost | *23C6BA678DB0427E1A213D86DF1819114D2A80FD |
+------------------+-----------+-------------------------------------------+

Nous observons un compte « root » sous le nom « bebeserv » qui ne servira pas puisque nous utiliserons uniquement Mysql en local. Nous allons donc le supprimé.

mysql> delete from user where Host <> "localhost";
Query OK, 1 row affected (0.00 sec)

mysql> select User,Host,Password from user;
+------------------+-----------+-------------------------------------------+
| User             | Host      | Password                                  |
+------------------+-----------+-------------------------------------------+
| root             | localhost |                                           |
| debian-sys-maint | localhost | *23C6BA678DB0427E1A213D86DF1819114D2A80FD |
+------------------+-----------+-------------------------------------------+
2 rows in set (0.00 sec)

Maintenant modifions le compte « root » pour plus de sécurité et renommons le au passage (remplacé **** par votre mot de passe dans la seconde commande):

mysql> rename user root@localhost to bebeserv@localhost;
Query OK, 0 rows affected (0.00 sec)

mysql> update user set password=password('****') where user = "bebeserv";
Query OK, 1 row affected (0.00 sec)
Enregistrements correspondants: 1  Modifiés: 1  Warnings: 0

mysql> select User,Host,Password from user;
+------------------+-----------+-------------------------------------------+
| User             | Host      | Password                                  |
+------------------+-----------+-------------------------------------------+
| bebeserv         | localhost | *A7581E9CC269EDA8C16D974E1032E393B33DC199 |
| debian-sys-maint | localhost | *23C6BA678DB0427E1A213D86DF1819114D2A80FD |
+------------------+-----------+-------------------------------------------+
2 rows in set (0.00 sec)

Parfait ! Appliquons tout ça :

mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

Maintenant vérifions les bases présentes :

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
+--------------------+
2 rows in set (0.00 sec)

Parfait encore ! Par défaut Mysql créer un utilisateur vide et une base test que nous aurions du supprimer car inutile voir dangereux pour l'utilisateur sans nom. Mais l'installation dans Debian était déjà propre.

Maintenant quittons la console et tentons de nous loguer en « root » (« bebeserv » excuser moi !).

mysql> exit
Bye

bebeserv:/etc/mysql# mysql -u bebeserv -p
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 7
Server version: 5.0.32-Debian_7etch1-log Debian etch distribution

Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

mysql>

Parfait ! nous pouvons quitter sachant que tout fonctionne bien :

mysql> exit
Bye

Voilà ce chapitre est terminé.

bebeserv:/etc/mysql# exit
logout
ALBAN@bebeserv:~$

Serveur Debian - vsftpd

Seza — Sat, 02 Jun 2007 18:28:00 +0200

CHAPITRE 3 : FTP

Commençons par installer le serveur FTP :

ALBAN@bebeserv:~$ sudo -i
Password:
bebeserv:~# apt-get update
[...]
bebeserv:~# apt-get install vsftpd libdb3-util ftp
[...]

L'installateur créé automatiquement un utilisateur « ftp » qui à le groupe « nogroup » et le dossier « /home/ftp » pour cet utilisateur. Nous allons changer tout ça, et de plus vu que de base « vsftp » autorise les connexions anonymes par défaut, même si « iptables » ne laissera rien passer, c'est un bon reflex de couper le serveur en attendant sa configuration finale.

bebeserv:~# /etc/init.d/vsftpd stop
[...]

Nous allons d'abord nettoyer un peu ce que « vsftpd » à créer automatiquement

bebeserv:~# userdel ftp
bebeserv:~# rmdir /home/ftp

Je vais conserver le groupe « nogroup » et utiliser l'utilisateur « nobody » qui existe déjà. Nous devons juste accorder cet utilisateur pour ce que nous voulons en faire. Ici j'anticipe un peu sachant que je vais créer des utilisateurs FTP virtuels pour mes sites internet.

bebeserv:~# usermod -g nogroup -d /home/nobody -s /usr/sbin/nologin nobody
bebeserv:~# useradd -g nogroup -d /home/nobody -s /usr/sbin/nologin anonymous
bebeserv:~# mkdir /home/nobody
bebeserv:~# chgrp nogroup /home/nobody
bebeserv:~# chmod 2770 /home/nobody

Créons aussi le dossier de notre premier utilisateur virtuel :

bebeserv:~# mkdir /home/nobody/test/
bebeserv:~# chown nobody /home/nobody/test/

Une petite explication s'impose, nous donnons d'abord au dossier le bon groupe et nous le mettons un « setgid » dessus afin que tous fichiers et dossiers créés dans ce dossier appartiennent au groupe « nogroup », ensuite nous ne donnons aucun droit d'écriture sur le dossier sauf au propriétaire « root » car « vsftpd » accorde automatiquement les droits d'écriture dans le dossier en fonction de ces droits et nous ne souhaitons pas forcément que tous les utilisateurs puisse écrire dedans. Nous gérerons ces droits dans « vsftpd ».

Maintenant nous allons configurer notre serveur FTP.

bebeserv:~# nano /etc/vsftpd.conf

Je change les lignes suivantes :

anonymous_enable=NO
local_enable=YES
write_enable=NO
local_umask=022
anon_upload_enable=NO
anon_mkdir_write_enable=NO
dirmessage_enable=NO
chown_uploads=NO
chown_username=nobody
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
idle_session_timeout=300
data_connection_timeout=60
nopriv_user=anonymous
ftpd_banner=Welcome to bebeserv.bebenet.local FTP service.
chroot_local_user=YES

Et je rajoute celles-ci :

guest_enable=YES
guest_username=nobody
max_clients=20
max_per_ip=5
force_dot_files=YES
hide_ids=YES
use_localtime=YES
user_config_dir=/etc/vsftpd/user_conf

# Connection sécurisée
#ssl_enable=YES
#allow_anon_ssl=YES
#force_local_data_ssl=YES
#force_local_logins_ssl=YES
#ssl_sslv2=YES
#ssl_sslv3=YES
#ssl_tlsv1=YES

Enregistrez et quittez. Maintenant configurons le fichier d'authentification PAM de « vsftpd » afin d'utiliser des utilisateurs virtuels :

bebeserv:~# nano /etc/pam.d/vsftpd

Commentez toutes les lignes et mettez ceci à la fin du fichier :

auth	required	/lib/security/pam_userdb.so db=/etc/vsftpd/login
account	required	/lib/security/pam_userdb.so db=/etc/vsftpd/login

Enregistrez et quittez. Maintenant allons créer notre base d'utilisateurs virtuels :

bebeserv:~# mkdir /etc/vsftpd
bebeserv:~# nano /etc/vsftpd/userdb

Créez l'utilisateur « test » correspondant au dossier que nous avons fait plus haut :

test
toto

Vérifiez toujours de bien mettre une ligne vide en fin de fichier ! La seconde ligne est le mot de passe de l'utilisateur ici donc « toto ». Le fichier doit être écrit strictement de la sorte (avec toujours une ligne vide à la fin) :

user1
pass1
user2
pass2
user3
pass3
...

Enregistrez et quittez. Maintenant formatons notre base de données au format « userdb ». pour ceci plutôt que de taper une ligne de commande fastidieuse et dont on ne se rappellera jamais, nous allons créer un petit script qui le fera pour nous.

Créons notre script :

bebeserv:~# nano /etc/vsftpd/vsftpd-makedb

Écrivez les lignes suivantes :

#!/bin/sh
db3_load -T -t hash -f /etc/vsftpd/userdb /etc/vsftpd/login.db

Enregistrez et quittez. Maintenant donnons les bons droits à notre script :

bebeserv:~# chmod 500 /etc/vsftpd/vsftpd-makedb

Ajoutons un lien symbolique afin d'avoir accès directement à cette nouvelle commande, comme toutes les autres commandes.

bebeserv:~# ln -s /etc/vsftpd/vsftpd-makedb /usr/local/bin/

Maintenant et après chaque modification de la table « userdb » il faudra faire :

bebeserv:~# vsftpd-makedb

Dorénavant notre utilisateur « test » existe pour « vsftpd » donnons lui des droits afin que « vsftp » sache ce qui lui est autorisé. Mais pour ceci, afin de nous rappeler des options en permanence, nous allons créer d'abord un fichier d'exemple :

bebeserv:~# mkdir /etc/vsftpd/user_conf
bebeserv:~# cd /etc/vsftpd/user_conf
bebeserv:/etc/vsftpd/user_conf# nano example

Écrivez :

# donne les droits de lecture
download_enable=YES
anon_world_readable_only=NO

# donne les droits d'écriture
write_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES

# donne le droit de renommer de supprimer
anon_other_write_enable=YES

#donne le droit de faire des chmod
chmod_enable=YES
virtual_use_local_privs=YES

#affiche les fichier cachés
force_dot_files=YES

# donne un home dans /home/nobody 
# exemple : local_root=test le home de l'utilisateur sera :
# /home/nobody/test
local_root=test

# droits des fichiers créés
anon_umask=002

Enregistrez et quittez. Maintenant que nous avons un fichier d'exemple, créez celui de l'utilisateur « test » et modifiez les options si vous le souhaiter :

bebeserv:/etc/vsftpd/user_conf# cp example test

Si ce n'est déjà fait ajoutez les lignes suivantes à votre fichier « /etc/network/iptables » :

iptables -t filter -A INPUT -i eth0 -p tcp --dport 21 -d $MYIP -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp --sport 20 -d $MYIP -j ACCEPT

iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 21 -s $MYIP -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp --sport 20 -s $MYIP -j ACCEPT

Et à la fin du fichier rajoutez :

modprobe ip_conntrack_ftp ports=21

Configurons « fail2ban » pour qu'il scanne les connexions FTP :

bebeserv:/etc/vsftpd/user_conf# nano /etc/fail2ban/jail.conf

Modifiez cette ligne :

vsftpd]
enabled  = true

Enregistrez et quittez. Maintenant que tout est prêt, redémarrez « iptables » et « vsftpd » :

bebeserv:/etc/vsftpd/user_conf# /etc/init.d/vsftpd start
[...]
bebeserv:/etc/vsftpd/user_conf# /etc/init.d/iptables-conf restart
[...]

Faisons un petit test de connexion :

bebeserv:/etc/vsftpd/user_conf# ftp localhost 21
Connected to localhost.
220 Welcome to bebeserv.bebenet.local FTP service.
Name :

Loguez vous avec l'utilisateur « test » avec le mot de passe « toto ». La connexion réussi votre serveur ftp fonctionne.

Quittez :

ftp> quit
221 Goodbye.
bebeserv:/etc/vsftpd/user_conf#

Dans cette configuration néanmoins les utilisateurs locaux ne peuvent pas se connecter en FTP classique. ce qui est en même temps un bonne chose car le FTP classique peut être remplacer par du SFTP (FTP par SSH) vous n'avez rien à changer pour que ceci fonctionne. ATTENTION ne confondez pas SFTP ET FTPS (FTP par SSL).

Afin de sécurisé aussi nos comptes virtuels nous allons faire en sorte qu'ils puisse se connecter en FTPS. Pour ceci nous allons avoir besoin de « open-ssl » pour générer les certificats adéquats et la connexion SSL.

bebeserv:/etc/vsftpd/user_conf# apt-get install openssl
[...]

Maintenant générons un certificat pour « vsftpd » :

bebeserv:/etc/vsftpd/user_conf# cd /etc/ssl/certs
bebeserv:/etc/ssl/certs# openssl req -x509 -nodes -days 730 -newkey rsa:1024 -keyout vsftpd.pem -out vsftpd.pem

Aux questions répondez comme ceci par exemple; le plus important étant le « Common Name » qui doit être l'adresse IP exact ou le nom de domaine exact du service), sachant que nous configurerons plus tard un sous domaine nommé « ftp » sur notre domaine « bebenet.local » j'utiliserai celui çi : « ftp.bebenet.local ».

Voici ce que j'ai répondu :

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:France
Locality Name (eg, city) []:Paris
Organization Name (eg, company) [Internet Widgits Pty Ltd]:bebenet.local
Organizational Unit Name (eg, section) []:bebenet.local
Common Name (eg, YOUR name) []:ftp.bebenet.local
Email Address []:alban@bebenet.local

Vous venez de créer un certificat valide pendant deux ans. Maintenant sécurisez votre certificat avec des droits correct :

bebeserv:/etc/ssl/certs# chmod 0600 vsftpd.pem

Maintenant décommentez les lignes suivantes dans « /etc/vsftpd.conf » :

# Connection sécurisée
ssl_enable=YES
allow_anon_ssl=YES
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_sslv2=YES
ssl_sslv3=YES
ssl_tlsv1=YES

Enregistrez et quittez. Rechargez la configuration de « vsftpd » :

bebeserv:/etc/ssl/certs# /etc/init.d/vsftpd reload
[...]

Vous pouvez régler le client de votre utilisateur virtuel pour se connecter en FTPS (FTP with SSL auth SSL explicit) ou (FTP with SSL auth TLS explicit).

Pensez à régler votre client en mode actif sans quoi il n'ira pas plus loin que la connexion. En effet sans SSL le serveur est régler pour géré le mode actif comme passif sans problème, seulement SSL empêche la gestion du mode passif. Pour contrer ceci nous pourrions limité la plage de ports passif sous « vsftpd » et ouvrir dans « iptables » ces ports mais cette idée je ne l'implémenterai pas ici. Un petit rappel, une fois le SSL activer, les clients ne pourront plus se connecter sans mode SSL. pour les utilisateurs locaux SFTP (SSH) fonctionne toujours correctement.

Voilà pour ce chapitre.

bebeserv:/etc/ssl/certs# exit
logout
ALBAN@bebeserv:~$

Serveur Debian - openssh

Seza — Sun, 27 May 2007 13:58:00 +0200

CHAPITRE 2 : SSH

Puisque qu'ici nous allons faire pas mal de chose nous allons passez en « root » permanent :

ALBAN@bebeserv:~$ sudo -i
bebeserv:~#

Installons le client et le serveur SSH. Seul le serveur devrait nous servir mais il est toujours très pratique d'avoir un client à porter de main.

bebeserv:~# apt-get update
[...]
bebeserv:~# apt-get install openssh-client openssh-server
[...]

Commencez par couper « sshd » tant qu'il n'est pas configuré correctement :

bebeserv:~# /etc/init.d/ssh stop
[...]

Maintenant allons configurer tout ceci :

bebeserv:~# cd /etc/ssh
bebeserv:/etc/ssh#

Tout d'abord le client ssh :

bebeserv:/etc/ssh# nano ssh_config

Mettez les options suivantes :

CheckHostIP yes
EnableSSHKeysign yes
GSSAPIAuthentification yes
GSSAPIDelegateCredentials no
Protocol 2
ServerAliveCountMax 5
ServerAliveInterval 20
SetupTimeOut 30
TCPKeepAlive no
VerifyHostKeyDNS yes

Enregistrez et quittez. Maintenant passons au serveur :

bebeserv:/etc/ssh# nano sshd_config

Mettez les options suivantes :

X11Forwarding
MaxAuthTries 3
MaxStartups 1
AllowUsers ALBAN
LoginGraceTime 60
PermitRootLogin no
AuthorizedKeysFile %h/.ssh/authorized_keys
X11Forwarding no
TCPKeepAlive no
Banner /etc/ssh/banner
ClientAliveCountMax 5
ClientAliveInterval 20

Enregistrez et quittez. Créons notre bannière :

bebeserv:/etc/ssh# nano banner

Entrez le texte de votre choix :

ATTENTION les connexions sur ce serveur sont surveillées et tracées.

Tout acte malveillant, usurpation d'identité, vol de données pourra amener des poursuites judiciaires importantes !

Nous allons maintenant redémarrer notre serveur.

bebeserv:/etc/ssh# /etc/init.d/ssh start
[...]

Maintenant nous allons créer les clés RSA et DSA de notre utilisateur qui lui permettra d'assurer ses futures connexions.

bebeserv:/etc/ssh# ssh-keygen -t dsa -b 1024 
[...]

Des questions vous seront posées, faîtes « [Entrée] » partout sans répondre.

bebeserv:/etc/ssh# ssh-keygen -t rsa -b 1024 
[...]

Même démarche. Maintenant que tout est beau et propre nous allons devoir autoriser SSH à sortir de notre réseau. Éditez le fichier « /etc/network/iptables » et ajoutez les lignes suivantes.

Autorisons le client SSH :

iptables -t filter -A INPUT -p tcp --sport 22 -i eth0 -d $MYIP -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 22 -o eth0 -s $MYIP -j ACCEPT

Autorisons le serveur SSH :

iptables -t filter -A INPUT -p tcp --dport 22 -i eth0 -d $MYIP -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --sport 22 -o eth0 -s $MYIP -j ACCEPT

Maintenant SSH est ouvert à l'extérieur. Vous pouvez vous logguer depuis votre serveur vers un autre serveur en utilisant :

ssh user@server.com

Si vous souhaitez vous connecter à un serveur depuis le votre sans voir à y rentrer la clé en permanence :

ssh-copy-id -i ~/.ssh/id_dsa.pub user@server.com

Rentrez le mot de passe pour la dernière fois. Après « ssh user@server.com » se connectera automatiquement.

Notre configuration est faite de sorte que seul l'utilisateur « ALBAN » puisse utiliser SSH pour une connexion distante. Ainsi avec Putty.exe sous un poste Windows par exemple vous pouvez vous connecter et administrer votre serveur à distance.

Allons un peu plus loin et protégeons-nous des attaques SSH, nous allons installer le paquet « fail2ban » qui nous protégera de ceci et qui part la suite nous protégera aussi de ce même type d'attaque pour les protocoles HTTP, POP etc. Le principe de « fail2ban » est très simple, il scan les fichiers de log « /var/log/auth.log », « /var/log/apache/access.log » etc ... à la recherche de tentative d'authentification qui sont en échec. Au bout de 3 tentatives échouées par exemple il ajoutera une règle dans « iptables » afin de bannir pendant un certain temps l'adresse IP qui tente de se connecter sans y arriver. Ainsi les attaques brute force sont compromises. Vous l'aurez compris « fail2ban » joue avec « iptables » nous allons donc revenir sur les fichiers du chapitre 1 pour arranger tout ça.

Première chose, installons « fail2ban » :

bebeserv:/etc/ssh# apt-get install fail2ban
[...]

Une fois fais, « fail2ban » est déjà en action, voyez les modifications apporter sur notre « iptables » :

bebeserv:/etc/ssh# iptables -L -v -n

Afin de que notre script « iptables-conf » et celui de « fail2ban » ne s'embête pas au démarrage, sachant que les deux vont de paire nous allons supprimer le démarrage de « fail2ban » tout en gardant son script de démarrage de la manière suivante :

bebeserv:/etc/ssh# /etc/init.d/fail2ban stop
bebeserv:/etc/ssh# update-rc.d -f fail2ban remove

Maintenant nous allons améliorer « iptables-conf » pour y inclure « fail2ban »

bebeserv:/etc/ssh# nano /etc/init.d/iptables-conf

Modifiez les fonctions « start » et « stop » de la manière suivante :

iptables_start() {
		if [ -f /etc/network/iptables ]; then
				. /etc/network/iptables
		fi
		/etc/init.d/fail2ban start
}

iptables_stop() {
		/etc/init.d/fail2ban stop
		iptables -t filter -F INPUT
		iptables -t filter -P INPUT ACCEPT
		iptables -t filter -F OUTPUT
		iptables -t filter -P OUTPUT ACCEPT
}

Enregistrez et quittez. Maintenant allons paramétrer « fail2ban » : Rendez vous dans « /etc/fail2ban/ »

bebeserv:/etc/ssh# cd /etc/fail2ban
bebeserv:/etc/fail2ban# nano fail2ban.conf

Personnellement ici je change la dernière ligne du fichier de configuration :

socket = /var/run/fail2ban.sock

Je trouve ceci plus propre que de le mettre dans « /tmp », autant l'enregistrer avec ses collègues. Maintenant réglons la manière dont « fail2ban » travail :

bebeserv:/etc/fail2ban# nano jail.conf

« bantime = 600 » et « maxretry = 3 » me semble être des bonnes valeurs (pour 3 mauvaises tentatives le host est banni 10 minutes) Je ne rajoute pas mon propres réseau car je préfère ne pas faire confiance à mon réseau (question de sécurité, un cheval de troie sur un de mes PCs pourrait faire des dégâts) Plus bas vous voyez des sections dont une pour SSH activée. Nous laissons tel quel pour l'instant, nous activerons les autres services au fur et à mesure ou nous les monterons. Quittez et enregistrez si vous avez fait des modifications.

Redémarrez le tout :

bebeserv:/etc/fail2ban# /etc/init.d/iptables-conf restart

Voilà c'est terminer pour SSH.

Une dernière chose avant de clore le sujet. Vous avez sûrement remarquer qu'un nouveau fichier de log sera présent dans « /var/log » : « fail2ban.log ».

Il est de bon ton d'aller vérifier si le « logrotate » fera tourner ce fichier de log avant qu'il ne devienne trop gros et génère quelque défaillance du système. (il faut toujours avoir ce reflex). Allons donc dans « /etc/logrotate.d/ »

bebeserv:/etc/fail2ban# cd /etc/logrotate.d/
bebeserv:/etc/logrotate.d# ls

Il y a bien un fichier visiblement dédié à « fail2ban » Affichons le :

bebeserv:/etc/fail2ban# cat fail2ban

De ce que l'on peut en lire, ce fichier sera tourné toutes les semaines avec 4 fichiers conservés et compressés. Pour moi c'est bon =)

bebeserv:/etc/fail2ban# exit
logout
ALBAN@bebeserv:~$

Serveur Debian - Iptables

Seza — Wed, 23 May 2007 10:54:00 +0200

CHAPITRE 1 : IPTABLES

Si vous ne connaissez pas encore « iptables », c'est LA commande pour gérer les connexions réseau, faire des redirections de port, blacklister une adresse IP ou tout simplement ouvrir ou fermer des ports. C'est ce que l'on appelle un pare-feu ou firewall.

Par défaut « iptables » laisse tout ouvert et ne filtre rien. Notre but c'est de fermer un peu tout ça et de garder le minimum ouvert. Je ne rentrerai pas dans le détails de l'utilisation de « iptables » car bien trop de choses sont à voir mais nous allons l'utiliser d'une manière simple et efficace ce qui vous donnera les bases minimales pour commencer à appréhender « iptables ».

Nous allons paramétrer « iptables » de manière à l'utiliser que pour nos besoins. A l'heure actuelle, seul « apt » (la gestion des paquets Debian) et « ntpdate » (synchronisation de l'heure) font des connexions réseau. Nous allons donc tout bloquer puis ouvrir un passage à « apt » et « ntpdate ».

D'abord on supprime toutes les règles existante (des fois qu'ils y en aurait de rentrées) :

ALBAN@bebeserv:~$ sudo iptables -t filter -F INPUT
ALBAN@bebeserv:~$ sudo iptables -t filter -F OUTPUT

Maintenant on ferme les portes :

ALBAN@bebeserv:~$ sudo iptables -t filter -P INPUT DROP
ALBAN@bebeserv:~$ sudo iptables -t filter -P OUTPUT DROP

Un reflex qu'il faut avoir c'est de toujours autoriser la boucle locale (et ceci doit être toujours la première règle) :

ALBAN@bebeserv:~$ sudo iptables -t filter -A INPUT -i lo -j ACCEPT
ALBAN@bebeserv:~$ sudo iptables -t filter -A OUTPUT -o lo -j ACCEPT

Dorénavant nous sommes totalement fermé de l'extérieur. Configurons « iptables » pour laisser « apt ». « apt » aura déjà besoin de faire des requêtes DNS (port 53 en UDP et TCP) pour résoudre les noms tel que « ftp.debian.fr » afin de pouvoir récupérer les listes et les paquets. Normalement un client DNS n'a besoin que du protocole UDP mais ce dernier est laxiste sur sa spécification et autorise aussi le TCP (qui est normalement réservé au transfert de zone DNS) Ouvrons le port DNS en TCP et UDP pour l'entrée et la sortie :

ALBAN@bebeserv:~$ sudo iptables -t filter -A INPUT -i eth0 -d 10.0.0.2 -p tcp --sport 53 -j ACCEPT
ALBAN@bebeserv:~$ sudo iptables -t filter -A INPUT -i eth0 -d 10.0.0.2 -p udp --sport 53 -j ACCEPT
ALBAN@bebeserv:~$ sudo iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -p tcp --dport 53 -j ACCEPT
ALBAN@bebeserv:~$ sudo iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -p udp --dport 53 -j ACCEPT

Si vous posséder un serveur DNS ouvrez vous aurez besoin d'ouvrir les ports dans l'autre sens :

ALBAN@bebeserv:~$ sudo iptables -t filter -A INPUT -i eth0 -d 10.0.0.2 -p tcp --dport 53 -j ACCEPT
ALBAN@bebeserv:~$ sudo iptables -t filter -A INPUT -i eth0 -d 10.0.0.2 -p udp --dport 53 -j ACCEPT
ALBAN@bebeserv:~$ sudo iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -p tcp --sport 53 -j ACCEPT
ALBAN@bebeserv:~$ sudo iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -p udp --sport 53 -j ACCEPT

De même ouvrons le port 80 en TCP pour que « apt » puisse télécharger les paquets :

ALBAN@bebeserv:~$ sudo iptables -t filter -A INPUT -i eth0 -d 10.0.0.2 -p tcp --sport 80 -j ACCEPT
ALBAN@bebeserv:~$ sudo iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -p tcp --dport 80 -j ACCEPT

De même pour un serveur web ouvrez les ports dans l'autre sens :

ALBAN@bebeserv:~$ sudo iptables -t filter -A INPUT -i eth0 -d 10.0.0.2 -p tcp --dport 80 -j ACCEPT
ALBAN@bebeserv:~$ sudo iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -p tcp --sport 80 -j ACCEPT

Maintenant autorisons « ntpdate » qui lui utilise le port 123 en UDP :

ALBAN@bebeserv:~$ sudo iptables -t filter -A INPUT -i eth0 -d 10.0.0.2 -p udp --sport 123 -j ACCEPT
ALBAN@bebeserv:~$ sudo iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -p udp --dport 123 -j ACCEPT

A ce stade nous pourrions nous arrêter là tout es fonctionnel. Mais allons plus loin. Maintenant ajoutons une règle qui dira que toute connexion déjà établie avec le serveur donc déjà autoriser par « iptables » sera elle aussi autorisée (même sur un port fermé par exemple). Cette règle est facultative mais bien utile quand vous tester votre configuration vous permettant de tester avec la règle de log (voir ci-dessous) les paquets qui sont rejetés qui devrait être acceptés.

ALBAN@bebeserv:~$ sudo iptables -t filter -A INPUT -i eth0 -d 10.0.0.2 -m state --state RELATED,ESTABLISHED -j ACCEPT
ALBAN@bebeserv:~$ sudo iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -m state --state RELATED,ESTABLISHED -j ACCEPT

Dernière ces règles nous allons loguer dans le fichier « /var/log/debug » tout les paquets que nous allons bloquer avant de les bloquer :

ALBAN@bebeserv:~$ sudo iptables -t filter -A INPUT -i eth0 -d 10.0.0.2 -j LOG --log-prefix "Iptables INPUT dropped : " --log-level debug
ALBAN@bebeserv:~$ sudo iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -j LOG --log-prefix "Iptables OUPUT dropped : " --log-level debug

Il est est terminer des règles. Maintenant voyons quelques commandes utiles. Sauver votre configuration :

ALBAN@bebeserv:~$ sudo iptables-save > ~/iptables-sauvegarde

Restaurer votre configuration :

ALBAN@bebeserv:~$ sudo iptables-restore ~/iptables-sauvergade

Voir votre configuration complète :

ALBAN@bebeserv:~$ sudo iptables -L -v --line-numbers

Vérifier le log en temps réel (paquets rejetés) : (tapez « [CTRL + C] » pour sortir)

ALBAN@bebeserv:~$ sudo tail -f /var/log/debug

Quand le serveur redémarre vos règles « iptables » seront perdues, il faut donc automatiser la mise en place de ces règles. Allez dans « /etc/network »:

ALBAN@bebeserv:~$ cd /etc/network
ALBAN@bebeserv:/etc/network$

Créez le fichier « iptables » à côté du fichier « interface » :

ALBAN@bebeserv:/etc/network$ sudo nano iptables

Entrez les mêmes lignes que nous avons du taper pour configurer « iptables » (attention aux fautes de frappes !) :

# A modifier en fonction de votre adresse IP
MYIP=10.0.0.2

iptables -t filter -F INPUT
iptables -t filter -F OUTPUT

iptables -t filter -Z INPUT
iptables -t filter -Z OUTPUT

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -i eth0 -d $MYIP -p tcp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -d $MYIP -p udp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -d $MYIP -p tcp --sport 80 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -d $MYIP -p udp --sport 123 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -d $MYIP -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i eth0 -d $MYIP -j LOG --log-prefix "Iptables INPUT dropped : " --log-level debug

iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s $MYIP -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s $MYIP -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s $MYIP -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s $MYIP -p udp --dport 123 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s $MYIP -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s $MYIP -j LOG --log-prefix "Iptables OUPUT dropped : " --log-level debug

Enregistrez le fichier « [CTRL + O] » et quittez « [CTRL + X] » :

Créez le fichier de démarrage,

ALBAN@bebeserv:/etc/network$ cd /etc/init.d/
ALBAN@bebeserv:/etc/init.d$ sudo nano iptables-conf

Entrez ceci :

#! /bin/sh
set -e

iptables_start() {
		if [ -f /etc/network/iptables ]; then
				. /etc/network/iptables
		fi
}

iptables_stop() {
		iptables -t filter -F INPUT
		iptables -t filter -F OUTPUT
		iptables -t filter -P INPUT ACCEPT
		iptables -t filter -P OUTPUT ACCEPT
}

case "$1" in
  start)
		echo -n "Apply Iptables configuration"
		iptables_start
		echo "."
		;;
  stop)
		echo -n "Clear Iptables configuration"
		iptables_stop
		echo "."
		;;

  restart)
		echo -n "Reloading Iptables configuration"
		iptables_stop
		iptables_start
		echo "."
		;;

  *)
		echo "Usage: /etc/init.d/iptables-conf {start|stop|restart}"
		exit 1
esac

exit 0

Donnons les bons droits à notre fichier :

ALBAN@bebeserv:/etc/init.d$ sudo chmod +x iptables-conf

Enregistrez et quittez. Rajoutez le script de démarrage dans le mode voulu avec la priorité voulue :

ALBAN@bebeserv:/etc/init.d$ sudo update-rc.d iptables-conf start 99 2 3 4 5 . stop 20 0 1 6 .
[...]

Testons le tout, affichons la configuration actuelle :

ALBAN@bebeserv:/etc/init.d$ sudo iptables -L -v --line-numbers
[...]

Stoppez le firewall :

ALBAN@bebeserv:/etc/init.d$ sudo /etc/init.d/iptables-conf stop
[...]

Vérifiez que tout est vide et autorisé :

ALBAN@bebeserv:/etc/init.d$ sudo iptables -L -v --line-numbers
[...]

Démarrons le firewall :

ALBAN@bebeserv:/etc/init.d$ sudo /etc/init.d/iptables-conf start
[...]

Vérifions que toutes les règles sont bien présentes :

ALBAN@bebeserv:/etc/init.d$ sudo iptables -L -v --line-numbers
[...]

Modifions nous même la configuration actuelle :

ALBAN@bebeserv:/etc/init.d$ sudo iptables -F INPUT
[...]
ALBAN@bebeserv:/etc/init.d$ sudo iptables -L -v --line-numbers
[...]

Redémarrons le firewall pour vérifier que tout revient comme nous l'avions configuré :

ALBAN@bebeserv:/etc/init.d$ sudo /etc/init.d/iptables-conf restart
[...]
ALBAN@bebeserv:/etc/init.d$ sudo iptables -L -v --line-numbers
[...]

Voilà c'est terminé pour ce chapitre !

ALBAN@bebeserv:/etc/init.d$ cd ~
ALBAN@bebeserv:~$

Backup de votre site internet (Correction)

Seza — Sat, 24 Feb 2007 16:03:00 +0000

Je tiens à corriger une erreur qui s'est glissée dans mon article Backup de votre site internet suite à la découverte d'un bug dans mysqldump

En effet je me suis rendu compte dans le backup de la base de donnée que l'option --compatible=mysql40 du mysqldump faisait disparaitre l'attribut autoincrément des clé primaires autoincrémentées. C'est un bug connu de MySql et jusqu'à maintenant non corrigé semble t-il.

Je vous conseille donc vivement de retirer cette option de vos backup sous peine lors d'une restauration d'être rapidement embêter à moins que vous ne pensiez à tous les remettre à la main.

Comment faire si vous souhaitez dumper des données de MySql 5 vers MySql 4 et qu'un simple dump ne permet pas la réinsertion de vos data ? Sans avoir testé je pense que la solution serait de générer deux dumps différents. un premier classique contenant uniquement la structure de vos bases et tables sans donnée et un second avec l'option --compatible=mysql40 avec uniquement des insert sans create table.