PAB's blog

Nous allons détailler ici les étapes nécessaires pour activer un Wifi "invité" sur un routeur muni du micrologiciel Tomato (TomatoUSB). Par Wifi invité, j'entends un Wifi indépendant du Wifi principal : idéal par exemple pour partager sa connexion avec un voisin ou un ami que l'on ne souhaite pas voir fureter sur son réseau interne. Bien aussi pour les petites entreprises qui veulent présenter à leurs visiteurs un Wifi avec accès à internet mais déconnecté du reste du réseau de l'entreprise.

Voici donc comment procéder.

Etape 1 : créer une interface LAN spécifique avec son propre intervalle d'IP, son propre DHCP...

Dans TomatoUSB, dans l'onglet LAN, vous devriez vraisemblablement voir le bridge par défaut br0 correspondant à votre interface principale d'accès au Web. Nous allons ajouter une nouvelle interface br1 avec son propre DHCP et son propre intervalle d'IP.

Etape 2 : créer une interface sans fil virtuelle

Dans les fonctions avancées du micrologiciel TomatoUSB, nous allons cette fois ajouter une interface sans fil virtuelle.

Evidemment, il conviendra de choisir un code de sécurité différent de celui de l'interface principale !

Etape 3 : on place chaque réseau dans des VLANs distincts

On crée un nouveau VLAN distinct du VLAN principal utilisé pour br0. On branche donc br1 sur ce VLAN et voilà un bon cloisonnement !

Etape 4 : on rajoute une couche d'iptables

Dans Administration->Scripts, on ajoute les règles suivantes au pare-feu (iptables) pour n'autoriser aucun échange entre les 2 bridges.

iptables -P FORWARD DROP
iptables -A FORWARD -i eth0 -o br0 -j ACCEPT
iptables -A FORWARD -i br0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o br1 -j ACCEPT
iptables -A FORWARD -i br1 -o eth0 -j ACCEPT

et hop le tour est joué !

urlwatch est un super outil pour surveiller les changements d'une page web. Il est facile à utiliser pour détecter un changement mais également en afficher la teneur à l'aide d'un diff.

Utilisation de base

• on spécifie une liste d'URLs à surveiller dans un fichier /home/bob/liste-des-urls avec une URL par ligne
• on exécute urlwatch avec cette commande :

urlwatch --urls=/home/toto/liste-des-urls

• urlwatch conserve alors automatiquement une version de la page (par défaut dans ~/.urlwatch)
• quand on l'exécute une nouvelle fois, une comparaison est faite et toute modification est mise en avant

Des filtres plus complexes

Il est possible de coder en Python des filtres spécifiques (applicables par exemple à certaines URLs seulement) : par exemple suppression des zones de publicité, suppression de parties de page non pertinentes, ... Quelques exemples sont donnés ici.

Et hop, dans cron, pour un suivi régulier !

On peut bien sûr placer la commande dans cron pour une surveillance régulière automatique. La commande ci-dessous exécute urlwatch et envoie les résultats (s'ils sont non vides) à une adresse électronique :

urlwatch --urls=/home/toto/liste-des-urls | ifne mail -s "URL Watcher - un changement !" bob@courriel.fr

On ne présente plus ownCloud/Nextcloud, plateforme de stockage et partage de fichiers fort aboutie. Pour ceux qui hébergent leur propre instance d'ownCloud/Nextcloud, voici deux petites astuces pour bien entretenir et sécuriser l'installation.

La rotation des logs

La rotation des logs évite que le fichier owncloud.log n'occupe une place trop importante sur votre serveur. On pourra utiliser logrorate pour effectuer la rotation automatique et régulière.

Dans /etc/logrotate.d/owncloud, on placera le paramétrage (assez explicite) suivant :

/var/www/owncloud/data/owncloud.log {
        weekly
        missingok
        rotate 8
        compress
        notifempty
        create 640 www-data www-data
}

et le tour est joué. On prendra bien sûr le soin d'adapter le chemin vers le fichier et le nom de l'utilisateur créateur du fichier (ici www-data car c'est l'utilisateur propriétaire du serveur web sous Debian) ! Si l'on utilise Nextcloud plutôt qu'ownCloud, on remplacera owncloud.log par nextcloud.log sans surprise !

Surveillance avec fail2ban

Fail2ban est capable de détecter des connexions non autorisées et de bannir (via iptables) l'adresse IP offensante. Un éventuel attaquant n'aura ainsi pas tout le loisir de tester les combinaisons nom d'utilisateur / mot de passe à son aise. Concrètement, on paramètre fail2ban pour vérifier régulièrement un fichier de log et pour détecter dans ce fichier les tentatives d'accès frauduleuses (i.e. qui se répètent). Puis, quand une tentative frauduleuse est repérée, on bannit l'adresse IP correspondante.

Nous allons créer un nouveau filtre pour fail2ban dans /etc/fail2ban/filter.d/owncloud.conf :

[Definition] 
#Pour owncloud <8
failregex = {"app":"core","message":"Login failed:(.*)IP: '<HOST>'
#Pour owncloud 8
failregex = {"reqId":".*","remoteAddr":".*","app":"core","message":"Login failed: '.*' \(Remote IP: '<HOST>', X-Forwarded-For: '.*'\)","level":2,"time":".*"}

Si l'accès est contrôlé par un proxy, on pourra modifier la règle pour repérer l'adresse IP associée au champ X-Forwarded-for :

[Definition]
#Pour owncloud <8
failregex = {"app":"core","message":"Login failed:(.*)X-Forwarded-For: '<HOST>'
#Pour owncloud 8
failregex = {"reqId":".*","remoteAddr":".*","app":"core","message":"Login failed: '.*' \(Remote IP: '.*', X-Forwarded-For: '<HOST>'\)","level":2,"time":".*"}

On peut alors créer une nouvelle règle dans /etc/fail2ban/jail.local :

[owncloud]
enabled  = true
port     = http,https
filter   = owncloud
logpath  = /var/www/owncloud/data/owncloud.log
maxretry = 6

et désormais, toute tentative d'accès répétée conduira à l'exclusion de l'IP douteuse !

'PS Merci à Arnaud Collarde pour la mise à jour de l'expression régulière pour ownCloud 8 et à Guillaume pour mise à jour de la regexp pour Nextcloud 15 qui m'indique que celle-ci pourrai ressembler à

failregex ={"reqId":".*","level":2,"time":".*","remoteAddr":".*","user":".*","app":"core","method":".*","url":".*","message":"Login failed: '.*' \(Remote IP: ''\)","userAgent":".*","version":".*"}

J'ai réalisé que par défaut, il n'était pas possible de rechercher dans l'historique des commandes avec mon shell ZSH (avec la commande Ctrl+R que j'avais déjà utilisée avec d'autres shells). Quà cela ne tienne ! Paramétrons correctement le ~/.zshrc pour réactiver cette fonctionnalité.

Il suffit d'ajouter ces quelques lignes à son .zshrc (celui de son /home ou bien celui général /etc/zsh/zshrc si l'on veut que cela s'applique à tous les utilisateurs) :

bindkey -v
bindkey '^R' history-incremental-search-backward
HISTSIZE=1000
SAVEHIST=1000
HISTFILE=~/.history

pour que désormais Ctrl+R permette d'activer la recherche de commandes historiques, avec par défaut les 1000 dernières commandes saisies enregistrées.

Attention, n'oubliez pas de faire attention alors à tout mot de passe saisi à un moment ou un autre en clair en ligne de commande (par exemple pour se connecter à un FTP, un partage Samba, un webdav...) car alors le mot de passe en clair sera conservé visible dans l'historique jusqu'à sa péremption !

J'utilise Pound dans mon infrastructure, notamment pour sa capacité d'assurer tout le chiffrement en SSL/TLS entre mes serveurs et les clients.

Cependant, la version stable de Pound dans Debian Wheezy n'est pas patchée pour écarter les récentes "attaques" sur SSL/TLS à commencer par la corruption de SSLv3 (faille baptisée Poodle).

Si la version 2.7, la prochaine stable, disposera de tous les derniers raffinements, seule une branche non officielle pourra satisfaire le plus scrupuleux adminsys. Cette branche non officielle est maintenue par Joe Gooch (qu'il soit permis ici de le remercier !) et est disponible ici : https://github.com/goochjj/pound/tree/pcidss/v2.6.

Voici comment Joe décrit cette branche :

The other is called pcidss/v2.6, which is Pound 2.6, plus cipher and protocol patches necessary (initially) to pass PCI compliance, and as part of that is the directive to disable SSL3.

Compiler Pound 2.6-pcidss

• Télécharger la dernière version ici : https://github.com/goochjj/pound/archive/pcidss/v2.6.zip
• Dé-zipper l'archive et se rendre dans le dossier
• Réaliser ensuite la compilation (le système devra bien sûr comporter tout le nécessaire à cela : gcc, build-essentials, libssl-dev...) :

./configure
make
make install

• dans Debian, il semble que pound 2.6-pcidss s'installe dans /usr/local/sbin/pound alors que le paquet original l'installe dans /usr/sbin/pound. On peut donc remplacer l'ancienne version par la nouvelle et vérifier que l'utilitaire par défaut correspond bien à la nouvelle version :

pound -V

qui doit retourner 2.6-pcidss.

• on peut alors modifier la configuration de Pound avec ces paramètres :

	DisableSSLv2
	DisableSSLv3

	Ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:EDH+aRSA:-RC4:EECDH+aRSA+RC4:EECDH+RC4:EDH+aRSA+RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:RC4+SHA"
    	SSLHonorCipherOrder 1
	SSLAllowClientRenegotiation     0

• et redémarrer Pound

Normalement, vous devriez désormais disposer d'un chiffrement SSL de qualité susceptible de vous faire obtenir un A (yes!) sur https://www.ssllabs.com/ssltest/ (si votre certificat est de bonne qualité - SSLLabs disqualifie tout de suite tout certificat auto-signé !).

La nouvelle gamme de serveur Dell PowerEdge R220 est équipée du contrôleur PERC H310.

Outre être compatible sans problème avec Debian Wheezy, ce contrôleur a le bon goût de pouvoir être suivi ("monitoré" si vous me pardonnez l'anglicisme) depuis Linux. En effet, comme tout le monde le sait, il est indispensable de suivre l'état d'un RAID tout au long de sa vie pour intervenir au plus vite en cas de panne de l'un des disques pour effectuer son remplacement.

Vérifier que vous avez bien un PERC H310

Le rendu de la commande

lspci

doit contenir cette ligne :

01:00.0 RAID bus controller [0104]: LSI Logic / Symbios Logic MegaRAID SAS 2008 [Falcon] ![1000:0073] (rev 03)

Charger le module du kernel Linux adéquat

Cette carte est gérée par le module

megaraid_sas

que l'on peut charger, si nécessaire, avec la commande

modprobe megaraid_sas

Installer les utilitaires adaptés

Les paquets adaptés sont disponibles sur hwraid.le-vert.net. On peut les installer en ajoutant cette ligne dans /etc/apt/sources.list :

deb http://hwraid.le-vert.net/debian wheezy main

puis

aptitude update
aptitude install megactl megaraid-status

Il est désormais possible de surveiller l'état du RAID avec la commande :

megasasctl

ou

megasasctl -B

(si, comme le PERC H310, votre carte ne comporte pas de batterie donc vous ne voulez pas avoir d'alerte pour batterie manquante)

Aussi, en installant megaraid-status, un démon de surveillance du RAID a été installé. Il enverra un courriel à root lors tout défaut sur le RAID. Je vous invite à tester cette fonctionnalité en détériorant manuellement (en débranchant un disque de la grappe par exemple - en environnement de test hein !) le RAID. Voici le style de message reçu :

This is a RAID status update from megaraidsas-statusd.  The megaraidsas-status
program reports that one of the RAIDs changed state:

-- Arrays informations --
-- ID | Type | Size | Status
a0d0 | RAID 1 | 465GiB | DEGRADED

-- Disks informations
-- ID | Model | Status | Warnings
a0e*s0 | ATA TOSHIBA DT01ACA0 465GiB | rebuild
a0e*s1 | ATA TOSHIBA DT01ACA0 465GiB | online

There is at least one disk/array in a NOT OPTIMAL state.

Report from /etc/init.d/megaraidsas-statusd on cefepime

Recevoir les courriels système envoyés à root

Si vous ne voulez pas d'un serveur courriel compliqué sur votre serveur, vous pouvez déployer le rapide et simple nullmailer. Il se chargera de renvoyer vers l'adresse spécifiée dans /etc/nullmailer/adminaddr tout message envoyé à root.

Bonne surveillance de RAID sur PERC H310 !

Dnsmasq est un léger (mais performant) client DNS et DHCP. J'ai découvert dernièrement une très intéressante fonction que je m'empresse de partager avec vous : localise-queries.

Imaginez la situation suivante : votre machine est accessible depuis plusieurs interfaces réseau (par exemple plusieurs instances d'OpenVPN) et vous souhaitez offrir une résolution DNS aux clients qui se connectent sur chaque interface. Or, chaque interface dispose de sa propre adresse et de son sous-réseau propre. Comment offrir une résolution de nom qui prenne en compte le sous-réseau d'origine et adapte ses réponses en conséquence ?

Dnsmasq dispose de la fonction localise-queries pour ce faire !

On ajoute donc la ligne

localise-queries

dans le fichier de configuration /etc/dnsmasq.conf.

Puis, dans /etc/hosts (pour mémoire dnsmasq s'inspire de /etc/hosts pour établir la liste des correspondances IP/nom), nous allons définir plusieurs résolutions correspondant chacune à un sous-réseau :

10.8.300.1   nomA
10.8.301.1   nomA
10.8.302.1   nomA
10.8.300.1   nomB
10.8.301.1   nomB
10.8.302.1   nomB

On redémarre alors dnsmasq (service dnsmasq restart) et le tour est joué !

Quand on sera connecté via la sous-réseau 10.8.301.x, alors nomA sera résolu en 10.8.301.1. En revanche, lors d'une connexion via le sous-réseau 10.8.302.x, alors nomA sera résolu en 10.8.302.1 !

"Fortiche" dnsmasq !

Pour ajouter la locale fr_FR à PHP dans elementaryOS : il faut ajouter la ligne

fr_FR.ISO8859-1

dans le fichier /var/lib/locales/supported.d/fr

Puis lancer les commandes

sudo dpkg-reconfigure locales
sudo locale-gen

Et voilà, le tour est joué !

Il est assez classique d'utiliser les fonctions d'authentification d'Apache, par exemple auth_digest, pour sécuriser l'accès à un répertoire ou une application web propulsée par Apache.

Toutefois, il est parfois souhaitable de laisser en accès sans mot de passe une adresse spécifique, correspondant par exemple à une page publique ou à une fonctionnalité de l'application qu'un utilisateur lambda doit pouvoir déclencher.

Apache permet cela grâce à la direction "LocationMatch" et à des expressions régulières.

Par exemple, avec l'exemple ci-dessous placé dans un hôte virtuel correspondant à mon-app.domaine.tld :

<LocationMatch "^(?!/zone-publique)">
        AuthType Digest
        AuthName "mon-app"
        AuthDigestProvider file
        AuthUserFile /path/to/digest-password-file
        Require valid-user
</LocationMatch>

tout accès à l'hôte virtuel sera protégé par mot de passe sauf l'adresse http://mon-app.domaine.tld/zone-publique qui sera accessible à tous sans mot de passe.

Bons paramétrages !

Pound est un reverse-proxy et un load-balancer libre fort perfomant. Il faut toutefois savoir que par défaut Pound n'attend pas plus de 15 secondes la réponse du serveur sous-jacent avant de retourner une erreur : "An internal server error occurred. Please try again later". Un 'timeout' de 15 secondes est suffisant pour de nombreux cas - cependant certaines requêtes sont parfois plus longues par exemple quand il s'agit de déclencher des requêtes importantes sur des bases de données, de lancer le téléchargement d'une grosse archive dans ownCloud ou de toute autre opération susceptible de prendre plus de 15 secondes à un serveur (notamment quand celui-ci est fortement sollicité par ailleurs).

Il est dès lors possible d'augmenter la durée du 'TimeOut' en ajoutant cette ligne :

• soit dans la configuration globale de pound
• soit dans la définitiond d'un 'backend' spécifique

TimeOut 150

Si 150 secondes n'est pas adapté, on modifie bien sûr la valeur.

Voilà qui devrait faire disparaître la plupart des erreurs "An internal server error occurred. Please try again later" !