Archives de catégorie : reseau et sécu

Sujets de réseau pur, ou de firewalling, VPN, sécurité, tout ça.

Let’s Encrypt… sur ESXi

Hoplà, j’en avais marre d’avoir des certifs auto-signés sur mes ESXi. Surtout depuis la mise en place de HSTS sur des domaines entiers (je vais tâcher de pondre un rapide article sur HSTS prochainement), les navigateurs hurlaient en voyant l’interface web (en https, donc) de ESXi présenter des certifs auto-signés. Il fallait désactiver HSTS sur ces sites au niveau du serveur web ou le court-circuiter pour ces sites au niveau du navigateur ou trouver une autre solution… Continuer la lecture

smtp et imap via SSL/TLS + let’s encrypt

Petit aide mémoire et astuces pour avoir des certificats qui vont bien dans un environnement postfix/dovecot ; et non pas des certif auto-signés comme vous avez peut-être.

Dernièrement, en voulant configurer un iFoune pour atteindre un serveur de mails à moi (tournant sur postfix/dovecot), j’ai vu que l’option « accepter tous les certificats » n’était plus de ce monde. Peut-être que Appeul a décidé que le SSL étant tellement basique maintenant, il n’y avait plus aucune raison d’avoir des certificats moisis (par exemple ceux auto-signés qu’on a à la création d’un postfix/dovecot). C’est pas faux.

Sauf que ça me faisait suer, car j’avais gardé en tête que postfix ne sait pas gérer du multi-certificats Continuer la lecture

Mots de passe, Chrome, Firefox, Keepass : ne faire confiance qu’à soi ?

cadenas

Le constat peu reluisant

Google Chrome stocke les mots de passe de manière lamentable (c’est un fait, pas une question) et la protection contre l’affichage est un leurre (base SQLLite décryptable assez facilement). De plus, pour des raisons de commodités (synchro entre PC et tablettes/téléphones, très pratique il faut l’avouer), la base est stockée chez l’ami Google… en clair.
Bon c’est pratique pour nous, certes, mais aussi pour eux si des fois « quelqu’un » leur demandait un mot de passe… bon, c’est certainement pas le genre de Big Google hein. Continuer la lecture

3G, régions surpeuplées et filtrage discrétos => VPN

Le blocage

Salut,
Imaginez un opérateur (dernièrement de téléphonie mobile) toujours balaise côté technique, qui apporte de sacrés trucs, qui fait plier commercialement les autres, qui est un opérateur vraiment impressionnant chaque fois qu’il lance un truc, mais avec qui parfois c’est la lutte et là ça peut vraiment te gonfler à l’usage.

Alors avant te barrer chez un autre opérateur sans engagement qui a de meilleures infrastructures en place, tu cherches à sortir la tête du troupeau et faire en sorte que le service marche comme il devrait.
Et le tout sans rooter mon téléphone flambant neuf que je n’ai pas encore envie de massacrer en changeant la ROM. Pour les iphoneux, euh… ça doit aussi exister un client openvpn
free

L’idée

Bref, aujourd’hui, comment faire passer tout son trafic 3G dans un VPN (openvpn) Continuer la lecture

SFTP, chroot et pas de SSH : bloquer un utilisateur dans un répertoire

Salut,
Un petit article sur ce sujet récurrent car il y a plein de méthodes, dont une assez simple, mais avec 2/3 points de paramétrage précis.
Le but est de permettre à un client/fournisseur d’envoyer/récupérer des fichiers sur un serveur, en SFTP, sans pour autant lui donner accès en SSH (exécuter des commandes) et sans voir autre part que son « home ».
Le tout sur un serveur SSH déjà monté et par ailleurs utilisé pour du SSH normal en interne, avec du SFTP normal aussi.

Il y a 3 méthodes courantes pour commencer à jouer avec les chroot ssh/sftp :

  • Héberger un serveur SSH en chroot normal : c’est chiant. Créer un « home », reproduire un minimum d’arborescence standard, d’utilisateurs etc.
  • Utiliser rssh comme shell alternatif, c’est un shell qui limite l’utilisateur à du SFTP, SCP, CVS, RSYNC etc. On choisit ce qu’on veut tolérer. Mais, l’utilisateur peut quand même se promener dans le système (tout « / »).
  • Enfin, ce que je vais décrire : utiliser la fonctionnalité de « chroot » intégrée aux serveurs SSH (serveur ssh >= 4.8, donc n’importe quel SSH d’une Debian stable de nos jours). On va simplement brider quelques comptes et mettre quelques permissions bien senties.

Continuer la lecture

SFTP : mot de passe en ligne de commande

Petit souci du jour : utiliser sftp en ligne de commande, avec un mot de passe, en mode batch, MAIS sans passer par une authentification par clef. Sachant que sftp n’accepte pas de mot de passe en ligne de commande (ni via une redirection depuis STDIN).

Pourquoi donc me direz-vous ? simplement parce-que dans l’éventualité où faire bouger le prestataire en face de vous (celui qui héberge le serveur SSH) coûterait trop d’énergie, on va supposer qu’on ne peut pas facilement faire avaler notre clef publique à l’hébergeur du serveur SSH.

Bref, la commande traditionnelle est :

sftp utilisateur@serveur
Connecting to serveur...
utilisateur@serveur's password:
sftp>

J’ai trouvé une méthode simple : utiliser le client SFTP de « PuTTY ».
Je pensais au départ utiliser celui de « lftp » et sauvegarder ma connexion (avec mot de passe) en bookmark, mais comme mon login dans l’histoire est un utilisateur de domaine windows (ouais, le serveur SSH en face est sous windows O_o), y’a un \ dans le login et même en le doublant, lftp semble mal le digérer, ben j’étais aussi bloqué.

Bref, en installant les outils de PuTTY :

aptitude install putty-tools

On peut alors taper :

psftp -pw mon_pass utilisateur@serveur
Using username "utilisateur".
Remote working directory is /
psftp>

Attention : le mot de passe est en clair dans la ligne de commande, donc dans les processus etc etc. Donc c’est pas idéal comme condition.
Enfin, je n’ai pas mis le paramètre -b pour mon batch, car ce n’est pas le propos là.

Monter un serveur NTP, configurer les clients Windows et Linux

Bon, un p’tit billet aide-mémoire sur la configuration d’un serveur NTP Linux et des postes Windows et Linux de votre LAN.
C’est un sujet tout bête, mais entre les postes Windows qui ne sont pas très bavards à ce sujet et l’amalgame, côté Linux, entre les paquets ntp et ntpdate utilisant ou pas des fichiers communs de conf, on peut être momentanément perdu. J’espère être clair par la suite. Continuer la lecture

Limiter la bande passante entre 2 hosts (dont l’un en Linux)

Dans la série aide-mémoire.
Imaginez : approbation d’une tonne de patchs de sécurité Windows en retard sur un WSUS avec des réplicats. Immédiatement, il commence à downloader, via un proxy Squid sous Linux, donc via une machine Linux.
Et là, votre bande passante est réduite à de la poussière car WSUS, via le proxy, pompe tout, à fond.
Raaaaaaaaaa. M’énerve.

Vite, iptables doit pouvoir m’aider. Je suis une buse en QoS, mais bon, j’ai confiance en Google 🙂 Continuer la lecture

Mise en place de Nagios : en partant de rien

Introduction

Gros guide de mise en place de Nagios sur Debian, avec comme principal objectif de vous amener petit à petit à monitorer tout ce qu’on peut imaginer sur un parc de serveurs Linux, Windows, des équipements réseaux etc. Ca part d’un exemple bien détaillé (je l’espère) pour bien faire comprendre les principes et l’esprit Nagios pour espérer à la fin, vous avoir donné de quoi évoluer facilement pour ajouter n’importe quel test.
Au départ, je voulais faire un guide super complet, mais avec Nagios, on ajoute des tests tous les jours, pour ainsi dire. Bref, ça fait 3 mois que j’attendais pour faire ce guide. Finalement je l’écourte un peu et j’ajouterai (peut-être) des chapitres plus tard sur ce blog.
Après un premier exemple bien complet, je donne des exemples rapides de contrôles courants.

J’ai eu l’idée de rédiger cet article sachant que je ne connaissais rien à Nagios (rien de sa mise en place, rien des fichiers de conf, rien de sa syntaxe, rien des outils de base, rien des plug-ins supplémentaires et rien des contributions à gogo sur le web etc). L’intérêt, n’y connaissant rien justement, est que j’explique pas à pas, notamment les principes de l’outil pour comprendre comment le configurer, en détaillant parfois toutes les panneaux que j’ai pu me prendre, mais en donnant la solution rapidement 🙂

A la fin, je donne mes fichiers de conf, un peu anonymisés et allégés, ils peuvent vous servir pour de la mise en place de certains morceaux ou pour vous guider dans la syntaxe. Exemple, vous voulez surveiller vos serveurs DNS, cherchez le mot « dns » dans tous les fichiers, comprenez ce qui y est fait et copiez-collez-modifiez les bons blocs. Reste à changer les noms de hostname 🙂 Hum, ça, ce sera plus tard lorsque j’aurai complété par d’autres articles (cf. ci-dessus), je n’ai pas trop le temps, et sinon, je ne publierai jamais cet article… il traîne depuis 3 mois…

Je ne compte pas faire de l’ombre 😀 à Nicolargo (passionné du sujet Nagios) mais mon approche est différente : je pars de ce que Debian a fait pour moi, pas des sources à compiler pour avoir l’absolue dernière version. Les répertoires de configuration et de chemins des binaires sont différents, tous les plug-ins classiques sont directement disponibles.
Après, une fois l’outil fonctionnel sur quelques cas, ça reste du Nagios pur. Allez voir son site, il y a de bonnes docs et le forum peut aider aussi. Sans compter d’autres sites d’outils de monitoring complémentaires, notamment http://www.monitoringexchange.org/, et évidemment la doc officielle qui est très bien foutue. J’y ferai référence autant de fois que j’y penserai.

La version actuellement packagée sous Debian « stable » (Lenny) est Nagios 3.0.6. Comme d’habitude avec Debian, un peu en retard sur la version officielle, mais il y a d’autres intérêts à utiliser tout de même la version packagée, à mon avis. Continuer la lecture