Derniers articles

3 - How to : FTP over SSL

Thu, 17 Jun 2010 18:13:01 +0200

Nous venons de voir comment mettre en oeuvre de fa�on s�curis� un serveur ftp avec vsftpd/pam/xinetd, nous allons voir maintenant, afin de nous s�curiser un peu plus, comment crypter ces �changes ftp avec OpenSSL.

OpenSSL c'est quoi ? Et bien c'est une boite � outils comme dit sur le Wikip�dia, des biblioth�ques ainsi que des commandes en ligne, et avec ces outils, nous allons pouvoir crypter nos �changes, c'est le m�me principe que lorsque vous achetez un produit quelconque sur le web, g�n�ralement, au moment de banquer vous devez signer un certificat de s�curit� un peu obscur, puis vous passez en mode "s�curis�" (https), a partir de la, les donn�es qui transitent entre vous et le "site" (num�ro de carte bancaire, coordonn�es etc...) sont crypt�es. C'est le r�sultat d'Openssl coupl� au serveur Apache, nous, nous allons le coupler � Vsftpd, le principe restera le m�me mise � part que ce sera le protocole ftp qui sera crypt� (ftps)et non http.

Ah oui, cette histoire de certificat...En quoi cela ajoute t'il une s�curit� ?? Normalement, on se cr�er un certificat avec nos coordonn�es, mail, le domaine du site..., puis on le soumet � un organisme de v�rification qui certifiera de notre identit� en signant notre certif, comme �a, le client qui va voir notre beau certificat constatera que machin l'a v�rifi� et il pourra donc le signer et ainsi avoir une confiance aveugle, ou presque.

c'est super mais �a coute beaucoup de sous de faire signer son certificat par les gens qui vont bien... Alors comme c'est la crise, on va s'auto-certifier nos certificat, on va les signer nous m�me !

Commen�ons !

Nous repartons sur la configuration du premier article, donc notre serveur ftp est d�j� fonctionnel, il ne reste plus qu'� installer OpenSSL, g�n�rer les certificats, avertir vsftpd du changement et enfin, configurer le client ftp pour qu'il soit sur le protocole ftps pour pouvoir se connecter.
Code BASH :

apt-get install openssl

Sera n�cessaire mais il est tr�s probable qu'il soit d�j� install�. Le fait qu'il soit install� ne veut pas dire qu'il ne reste qu'a ajouter deux ou trois choses. On va commencer par cr�er un r�pertoire qui contiendra deux sous r�pertoires, un pour la base de donn�es des certificats que nous signerons (priv�), un autre pour les demande et ceux que l'on g�n�rera (newcerts).
Code BASH :

mkdir /etc/CA     # CA pour Certificat d'Autorit�.
cd CA
mkdir priv� newcerts

Jusque l� rien de transcendant, cr�ons la base de donn�es qui accueillera les futurs certificats que nous signerons :
Code BASH :

echo '01' > serial
touch index.txt

Maintenant, nous allons cr�er un fichier de configuration sp�cifique que nous agr�menterons au fur et � mesure du courant. Pour le moment, on y met que �a :
Code BASH :

nano /etc/CA/openssl.cnf
 
# OpenSSL configuration file. 
# 
 
# Establish working directory. 
dir = . 
 
 
[Req] 
 default_bits = 1024 # Taille des touches 
 key.pem default_keyfile = # nom de cl�s g�n�r�es 
 default_md = md5 message # algorithme de 
 string_mask = # nombstr permis caract�res 
 distinguished_name = req_distinguished_name 
 
 ] Req_distinguished_name [ 
 # Nom de la variable de cha�ne rapide 
 #---------------------- --------------------------- ------- 
 0.organizationName = Nom organisation (entreprise) 
 organizationalUnitName = Unit� organisation Nom (d�partement, division) 
 emailAddress = Adresse Email 
 emailAddress_max = 40 
 Nom Localit� localityName = (ville, district) 
 stateOrProvinceName = nom �tat ou la province (nom complet) 
 Nom Pays countryName = (2 letter code) 
 countryName_min = 2 
 countryName_max = 2 
 commonName = Nom commun (nom h�te, IP, ou votre nom) 
 commonName_max = 64 
 
 # Les valeurs par d�faut pour ce qui pr�c�de, par souci de coh�rence et moins de frappe. 
 # Nom de la variable Valeur 
 #------------------------------ ------------------- ----------- 
 0.organizationName_default = La Soci�t� �chantillon 
 localityName_default = Metropolis 
 stateOrProvinceName_default = New York 
 countryName_default = US 
 
 [V3_ca] 
 basicConstraints = CA: TRUE 
 subjectKeyIdentifier = hash 
 authorityKeyIdentifier = keyid: toujours, l'�metteur: toujours

Voila tout ce qu'il faut pr�ciser pour commencer, ce fichier est modulaire, diff�rentes sections peuvent le composer, et certaine section peuvent avoir besoin d'autres sections... Chaque section commence par un nom entre crochets, ici cest : REQ.
Dans ce fichier, il n'a que la section concernant les coordonn�es propre a la demande d'un certificat qui soit l� mais nous pouvons des maintenant cr�er notre certificat racine et se l'auto-signer avec cette commande :
Code BASH :

openssl req -new -x509 -extensions v3_ca -keyout private/cakey.pem -out cacert.pem -days 650 -config ./openssl.cnf

Je vous invite a lire la page de man d'OpenSSL pour plus d'infos, ici, on passe une requ�te pour avoir un nouveau certificat signable, il devrait placer la certificat d'autorit� dans le r�pertoire courant (/etc/CA si on est d�j� dedans), celui ci sera valable 650 jours, et la cl� priv�e qui va avec dans private, et il devra faire tout �a en fonction de la configuration pr�sente dans son fichier de conf.

Dors et d�j�, avec notre nouveau certificat d'autorit� racine (cacert.pem), nous pouvons cr�er n'importe quel nombre de "sous" certificats pour diff�rentes applications (https, fpts, simap...). Il faut maintenant cr�er l'invitation � signer notre certificat, on va rajouter des param�tres au fichier de conf :
Code BASH :

 req_extensions = v3_req

A placer en dessous de la ligne
distinguished_name = req_distinguished_name
Ensuite, � la fin du fichier rajouter ceci :
Code BASH :

 [V3_req] 
 basicConstraints = CA: FALSE 
 subjectKeyIdentifier = hash

cr�ons cet invitation :
Code BASH :

openssl req -new -nodes -out req.pem -config ./openssl.cnf

Ce processus cr�e deux fichiers, une cl� priv� key.pem et l'invitation � signer qui va avec req.pem, qu'il serait pr�f�rable de renommer si on utilise SSL sur plusieurs services.

On a notre certificat d'autorit� racine, on a notre invitation a signer, certifions nous en nous signant alors ! Une derniere fois, on �dite le fichier de conf pour lui rajouter les choses qui vont bien, a savoir la ou il trouvera la base de donn�es, ou est la cl� priv�e... Ajoutons ces quelques ligne avant la section req :
Code BASH :

[ ca ] 
default_ca = CA_default 
 
[ CA_default ] 
serial = $dir/serial 
database = $dir/index.txt 
new_certs_dir = $dir/newcerts 
certificate = $dir/cacert.pem 
private_key = $dir/private/cakey.pem 
default_days = 365 
default_md = md5 
preserve = no 
email_in_dn = no 
nameopt = default_ca 
certopt = default_ca 
policy = policy_match 
 
[ policy_match ] 
countryName = match 
stateOrProvinceName = match 
organizationName = match 
organizationalUnitName = optional 
commonName = supplied 
emailAddress = optional

Maintenant signons le !!!
Code BASH :

openssl ca -out cert.pem -config ./openssl.cnf -infiles req.pem

Nous venons de cr�er deux nouveau fichiers, notre certificat sign� (enfin) et une copie de celui ci dans newcerts. Ce certificat comporte deux version, une cod�e, une humainement compr�hensible, enlevons cette derni�re pour plus de s�curit� :
Code BASH :

mv cert.pem tmp.pem 
openssl x509 -in tmp.pem -out cert.pem

L'installation du certificat et de sa cl� d�pend de l'application de destination, pour vsftpd, on va fusionner ces deux derniers :
Code BASH :

cat key.pem cert.pem >key-cert.pem

Pour finir, expliquons � vsftpd qu'il doit g�rer le SSL et que les logins/passwords ainsi que tout le transite ftp, devront �tre crypt�s, et ou se trouve le certificat et la cl� SSL.
Code BASH :

nano /etc/vsftpd.conf
 
listen=NO
anonymous_enable=NO
local_enable=YES
virtual_use_local_privs=YES
write_enable=YES
connect_from_port_20=YES
pam_service_name=vsftpd
guest_enable=YES
guest_username=www-data
user_sub_token=/var/www/$USER
local_root=/var/www/$USER
chroot_local_user=YES
hide_ids=YES
xferlog_enable=YES
user_config_dir=/etc/vsftpd/vsftpd_user_conf
 
# Pour le SSL
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=NO
force_local_logins_ssl=YES
 
ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES
rsa_cert_file=/etc/CA/key-cert.pem

Voili voilou, on relance vsftpd et l'affaire et dans le sac. A noter que tout les clients ftp ne g�re pas forc�ment le ftps ou ftpes Pour moi cela a fonctionn� avec FileZilla en mode ftpes

2 - How to : VsFtpd, Xinetd et Pam

Wed, 16 Jun 2010 14:00:01 +0200

ici nous allons voir bri�vement comment, avec VSFTP, on peut se cr�er un "syst�me d'h�bergement", un peu comme ce que pourrait nous offrir un h�bergeur comme PHPNux, mais l'on pourrait tr�s bien y trouver quelques utilisations internes en entreprise.

Il s'agit l� de monter un serveur web pour consulter des documents, et ftp pour les manipuler. Comme ce n'est pas encore la foire au dindons, il ne faut pas que n'importe qui puisse faire n'importe quoi donc nous allons faire appel � un syst�me d'authentification pour s�curiser un peu tout cela.

Bon, l'id�e est lanc�e, il faut la mettre en oeuvre, partons sur une Debian Lenny comme syst�me, celle du Raid 1 par exemple, pour m�moire et pour celles et ceux qui n'auraient pas lu l'article en question, il s'agit d'un serveur �quip� d'un syst�me Debian Lenny, mont� sur un RAID 1 gr�ce � mdma, le tout dans VirtualBox, cette VM est vue comme une machine physique sur mon r�seau local. Nous choisirons Apache et consorts pour assurer la partie web, bien sur Vsftpd pour la partie ftp et Pam pour s'occuper de l'authentification.

Commen�ons !

On peut installer l'ensemble des composants en m�me temps, cependant, limitons nous � la partie web pour le moment, et installonsle serveur Apache 2 ainsi que quelques outils qui pourraient �tre n�cessaires :
Code BASH :

apt-get install apache2 mysql-server php5 php5 mysql phpmyadmin

Nous venons d'installer le serveur web, un serveur de bases de donn�es ainsi qu'un langage web tr�s r�pandu en deux secondes !

Il y a tr�s peu de configuration a faire pour obtenir une page accessible depuis le r�seau, cela se situe principalement au niveau du serveur Apache qu'il faut regarder un peu, c'est tr�s facile de voir son fichier de configuration sans les commentaires et c'est bien plus rapide d'y voir quelque chose !
Code BASH :

cat /etc/apache2/apache2.conf | egrep -v '#' | less

Cela nous � donn� un aper�u de ce qu'il y a dans ce fichier :
Cach�:
il faut l'�diter maintenant pour modifier quelques param�tres en prenant soin d'en garder une copie de sauvegarde avant.
Code BASH :

cp /etc/apache2/apache2.conf /etc/apache2/apache2.conf-origine
nano /etc/apache2/apache2.conf

Juste au dessus de la directive ServerRoot, rajouter la suivante :
Code BASH :

ServerName 192.168.1.141:80

Cette directive indique � apache sur quelle adresse et port il doit s'identifier lui m�me. 192.167.1.141 est l'adresse de la machine virtuelle, 80 le port d'�coute par d�faut.
Apr�s �a, on va faire en sorte qu'Apache n'envoie pas trop de d�tail sur qui il est ! Cela se passe dans le fichier security. Dans ce fichier, on peut d�finir la quantit� d'infos qu'Apache envoie � son sujet (syst�me sur lequel il tourne par exemple).
Code BASH :

nano /etc/apache2/conf.d/security

Ici, on va d'abord se rendre � la ligne ou se situe la directive ServerTokens, on peut attribuer plusieurs niveaux � celle ci :

Full
OS
Minimal
Minor
Major
Prod

Chacunes d�signent un niveau d'info envoy�es, ici je choisis Prod, pour ne rien envoyer, j'ajoute :
Code BASH :

ServerTokens Prod

Ensuite, pour ne pas envoyer le nom du serveur en lui m�me, juste en dessous, passons la directive serverSignature sur off
Code BASH :

ServerSignature Off

On reload la configuration dans le serveur pour prendre en compte imm�diatement ces changements :
Code BASH :

/etc/init.d/apache2 reload

Voila pour la partie web !
Notre serveur est correctement configur� et pr�t � accueillir de simples fichiers html statiques � afficher ou une structure de site dynamique gr�ce au serveur de bases de donn�es et � PHPMyadmin pour administrer celles ci.

On peut maintenant s'occuper de la partie ftp/authentification, qui sera le "gros morceau" du howto puisque nous allons �tre beaucoup plus exigeant que dans un pr�c�dent article ou j'expliquais la mise en place de VSFTPD dans une conf basique; Ici, l'utilisateur anonyme sera bannit !

Nous allons installer le serveur ftp de fa�on � ce que seule une personne identifi�e puisse s'y connecter, mais aussi de fa�on � ce que le serveur ne soit pas constamment en �coute, mais se r�veille seulement lors d'un appel. Nous ferons aussi en sorte que le dossier de l'utilisateur soit la racine du (ou des si plusieurs users) site(s) web.

Tout cela est possible gr�ce au trio Vsftpd/pam/xinetd. Vsftpd pour le serveur ftp donc, Pam, qui signifie Pluggable Authentication Modules offre un syst�me d'authentification simple et tr�s s�curis�, gr�ce � lui, nos utilisateurs seront list�s dans un fichier bien sp�cifique accompagn� de leurs mots de passes respectifs crypt�s. Enfin xinetd s'occupera de mettre le serveur ftp en �coute quand un utilisateur se sera authentifi� avec succ�s, puis d'inverser cet �tat dans le cas contraire, ainsi le serveur ne reste pas constamment en �coute et rajoute un petit plus en s�curit�.

Alors, pour r�aliser tout cela, il nous faut installer vsftpd, xinetd, apache2-utils et la libpam-pwdfile si elle n'est pas pr�sente.
Code BASH :

apt-get install vsftpd xinetd apache2-utils libpam-pwdfile

On reviendra sur le pourquoi du apache2-utils...
Observons la configuration par d�faut de vsftpd :
Code BASH :

cat /etc/vsftpd.conf | egrep -v '#'

On peux voir que la configuration ne correspond pas vraiment a ce que l'on cherche !
Code BASH :

listen=YES
anonymous_enable=NO
local_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem

Il faut changer quelque param�tres, en enlever et en rajouter de sorte qu'� la fin, il ne doit rester que cela :
Code BASH :

#Le serveur n'�coute pas en continue.
listen=NO 
#Pas de connections anonymes.
anonymous_enable=NO 
#Connections des logins locaux accept�es
local_enable=YES 
#Les users hors syst�me poss�dent les m�mes privil�ges que les locaux
virtual_use_local_privs=YES 
#On autorise les manipulations de fichiers via ftp. Au choix.
write_enable=YES 
#On autorise les connections sur le port 20.
connect_from_port_20=YES 
#Nom du service d�clar� dans la configuration Pam.
pam_service_name=vsftpd 
#On autorise les connections invit�es afin de les "convertir" vers une nouvelle identit�.
guest_enable=YES 
#Puisque c'est pour manipuler du contenu web, www-data et l identit� qui convient.
guest_username=www-data 
#Permet de cr�er des r�pertoires personnels � la vol�e en fonction du contenu de guest_username.
#Si l utilisateur est www-data, son r�pertoire devrait �tre /var/www/homes/$USER.
 #Ainsi chaque guest aura son r�pertoire perso dans /var/www/ .
user_sub_token=$USER
#Sera la racine du serveur ftp
local_root=/var/www/$user
#On emprisonne les processus utilisateurs
chroot_local_user=YES
#Cette option permet d'afficher TOUS les fichiers sous l identit� ftp:ftp.
#Permet �galement de masquer le nom du serveur. 
hide_ids=YES
#On conserve une trace de toute connections ou tentative.
xferlog_enable=YES
#On d�termine ou seront les fichier de configuration de chaque utilisateur virtuel.
user_config_dir=/etc/vsftpd/vsftpd_user_conf

J'esp�re que mes commentaires sont suffisamment clair et explicite.

Passons � l'authentification, on a pr�venu vsftp que les utilisateurs passeraient voir Pam pour s'authentifier avant de rentrer, parce que Pam, elle est chouette, elle s'occupe d'authentifier tout un tas de services et gens si on lui demande gentiment, il n'y a qu'� voir dans /etc/pam.d/ pour s'en rendre compte... En installant vsftpd, on a install� une configuration Pam par d�faut (comprise dans le paquet). Celle ci se base sur le fichier ftpusers et l'existence d'un vrai user, avec un shell distant... Et c'est moche !

On � install� tout � l'heure le paquet apache2-utils, et bien celui ci permet de g�n�rer des fichier passwd pour les serveurs web, mais cela fonctione aussi sur le ftp, c'est un fichier de ce type qui va h�berger l'identit� de nos utilisateurs sous la forme login mot-de-passe. Donc nous allons cr�er un fichier vsftpd.passwd qui va contenir un utilisateur "test" mot de passe "test".
Code BASH :

htpasswd -b -c /etc/vsftpd.passwd test test

Voil� notre premier utilisateur guest cr��, construisons lui son r�pertoire personnel dans /var/www, celui ci s'appelera test, forc�ment.
Pour cr�er d'autres utilisateurs, la commande sera la suivante :
htpasswd /etc/vsftpd.passwd utilisateur
Le mot de passe du nouvel utilisateur sera demand�. A noter que ces utilisateurs sont "virtuels", ils sont ext�rieur au syst�me et qu'il faudra leurs cr�er un home correspondant dans /var/www.

Maintenant, il nous faut cr�er un fichier de configuration pour cet utilisateur test, un fichier qui va le restreindre un peu et qui se nommera test lui aussi, on le cr�� dans /etc/vsftpd/vsftpd_user_conf/ et on y place �a dedans :

Code BASH :

nano /etc/vsftpd/vsftpd_user_conf/test
 
anon_world_readable_only=NO
local_root=/var/www/test
write_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

L�, on le restreint dans son seul et unique r�pertoire, il ne peut pas voir le reste du monde mais il peut cependant faire "ce qu'il lui plait" dedans.

Nous allons maintenant renseigner le fichier de configuration de vsftpd dans /etc/pam.d/ et changer les deux lignes en dessous de # Standart behaviour for ftpd(8).
Code BASH :

# Standart behaviour for ftpd(8)
auth         required       pam_pwdfile.so pwdfile=/etc/vsftpd.passwd
account   required       pam_permit.so

Ici on a indiqu� que Pam trouverait les cartes d'identit�s des utilisateurs autoris�s dans le fichier vsftpd.passwd g�n�r� pr�c�demment, on lui dit aussi que la biblioth�que pam_pwdfile.so lui permettrait de d�chiffrer les passwords et qu'ainsi elle pourra ouvrir le compte utilisateur avec la cl� pam_permit.so
La fin approche, il ne reste plus qu'a indiquer au super serveur xinetd qu'il doit r�veiller vsftpd en cas de demande, pour cela, il suffit d'ajouter un fichier vsftpd dans /etc/xinetd.d/ et qui d�crira les conditions du service.
Code BASH :

nano /etc/xinetd.d/vsftpd
 
# Conditions pour le r�veil du ftp
service ftp
{
disable                  = no
socket_type          = stream
wait                        = no
user                        = root
server                     = /usr/sbin/vsftpd
per_source            = 5
instances               = 200
only_from              = 192.168.1.0/24
banner_fail            = /etc/vsftpd.busy_banner
log_on_success += PID HOST DURATION
log_on_failure    += HOST
}

D�taillons un peut toutes ces options :

disable : Active ou non le service demand�.
socket_type : on d�termine le type de binaire qui traitera le flux.
wait : D�termine si xinetd pourra g�rer plusieurs connections.
user : Identit� sous laquelle le service s'ex�cutera.
server : Chemin vers l'ex�cutable.
per_source : D�termine le nombre max de connections simultan�es par adresse source.
instances : La m�me qu'au dessus, mais pour toutes les sources.
only_from : D�termine qui peut �tre une source.
banner_fail : Texte renvoy� si le serveur ne r�pond pas.
log_on_success : Permet de sp�cifier les infos qui seront inscrite dans les journaux
log_on_failure : La m�me qu'au dessus, mais pour les �checs de connections.

Voi�, a partir d'ici, il suffit de relancer tous les services concern�s pour que tout soit fonctionnel. Par la suite, notre utilisateur "test" pourra uploader ces fichiers sur son espace web via ftp, ceux ci seront visible imm�diatement via un navigateur internet !

Tout ceci est bien chouette et un peu plus s�curis� que la normale, mais les �changes ftp sur le r�seau ne le sont pas tellement, pour rem�dier � cela, nous allons mettre en place SSL afin de chiffrer toutes ces transactions.... Je vous montrerai cela dans la deuxi�me partie de cet article.

1 - How to : Le RAID facile sous linux...

Sun, 13 Jun 2010 09:00:01 +0200

Vous disposez d'un petit serveur � la maison, confectionn� avec du vieux matos r�cup�r� de ci de l�, et configur� aux petits oignons par vos soins...

L'ennuie, c'est que ce vieux matos a souvent une f�cheuse tendance � r�clamer son d�part � la retraite, son disque dur fatigue pr�tend t'il... Mais crise oblige, l'heure n'est pas encore venue, et il va falloir bosser encore un peu ! Fort heureusement, dans le monde magique Linux, il existe des solutions pour rem�dier � ce probl�me, et il y en a de tr�s simple !

Nous allons aider le serveur en lui adjoignant un deuxi�me disque dur afin de seconder le premier, l'aider, le remplacer au besoin...
Beaucoup de technique de Scout sont dispo pour faire cela, plus ou moins on�reuse... mais c'est la crise ! Et par chance, il se trouve que je dispose d'un second vieux disque planqu� derri�re des fagots... Et mon ami le manchot me dit � l'oreille :

Et si tu utilisai ce deuxi�me disque pour basculer le serveur sur un RAID ??!!

Je ne vais pas faire de cours sur le RAID et ces diff�rents modes, il y a suffisamment de doc sur le nain Ternet. Nous choisirons ici le RAID 1, �galement appel� Mirroring ou disques en miroir, gr�ce � ce mode, les donn�es sont �crites de mani�re identique sur chaque disque qui compose la grappe, que se soit en RAID mat�riel, pseudo mat�riel ou logiciel.
Cela nous apportera que des bonnes choses, en voici un pitch :

S�curit� des donn�es accrue.
si l'un de mes deux disques tombe, le contr�leur le d�sactive et l'autre prends le relai de fa�on transparente pour l'utilisateur. Une fois le disque d�fectueux remplac�, le contr�leur reconstruira les donn�es sur le nouveau disque � l'aide de celui qui est toujours en fonction.
Souplesse de fonctionnement.
Les acc�s en lecture du syst�me se font sur le disque le plus facilement accessible � ce moment l� et les �critures de fa�on simultan�s, ainsi n'importe quel disque soit interchangeable n'importe quand (dixit Wikip�dia).

Nous suivront l'exemple didactique d'un article que j'ai lu sur le Linux Mag qui traite du sujet, et dont je reproduit une grande partie des manips ici.

Passons aux choses s�rieuses !

Notre vieux serveur est une vielle machine � l'age respectable et dont la config est la suivante :

CPU AMD Athlon 1800 XP (1,33 Ghz)
1,5 Go de m�moire RAM
1er disque dur : 6 Go sata
2�me disque dur : 6 Go sata
Syst�me Debian Lenny

La solution que nous allons mettre en place notre RAID 1 est la plus simple qui soit, comme je l'ai dis plus haut, c'est la crise, j'ai donc opt� pour un contr�leur RAID logiciel, c'est � dire qu'il sera g�r� par le syst�me d'exploitation du serveur (Ubuntu Gnu/Linux en l'occurrence) et non par un contr�leur d�dier (sur une carte) bien trop couteux.

Faisons un petit �tat des lieux et des manipulations avant toutes choses :

1 => La config des disques avant le RAID

Code TEXT :

disque 1 /dev/sda (disque d'origine)
Partitions : 
/dev/sda1 mont�e sur /
/dev/sda2 mont�e sur /boot
/dev/sda3 partition de swap
 
disque 2 /dev/sdb (disque que l'on va ajouter)
Partitions : 
Vierge

2 => Les manipulations

A : Partitionnement du second disque
B : Installation du contr�leur RAID
C : Configuration du second disque et int�gration dans la grappe nouvellement cr��e.
D : Configuration et int�gration du premier disque dans la grappe

�tat des lieux de sortie :

Config des disques avec le RAID 1 :

Code TEXT :

"disque" RAID mont� sur /dev/md
Partitions : 
/dev/md0 mont� sur /
/dev/md1 mont� sur /boot
/dev/md2 partition de swap

A : Partitionnement du second disque
pour se faire, nous utiliserons sfdisk, celui ci nous permet de partitionner le second disque a l'identique du premier gr�ce � une simple commande !
La voici pour notre cas pr�sent :
Code BASH :

sfdisk - d /dev/sda | sfdisk /dev/sdb

Il se peut que le terminal ronchonne un peu mais cela n'est pas important, nous pouvons v�rifier la sortie de cette commande en faisant un fdisk -l et ainsi voir que notre deuxi�me disque est bien partitionn�.

B : Installation du contr�leur RAID
Ce contr�leur sera MDADM, il est int�ressant car il va nous permettre de construire notre grappe RAID 1 avec seulement un disque dur, gr�ce � l'option missing...

Code BASH :

apt-get install mdadm

puis nous chargeons le module raid1

Code BASH :

modprobe raid1

Nous pouvons maintenant cr�er notre grappe en utilisant uniquement un seul disque (/dev/sdb) !! Et ce, gr�ce � l'option missing de mdadm.
Commen�ons :
Code BASH :

 
mdadm --create /dev/md0 --level=1 --raid-disks=2 missing /dev/sdb1
mdadm --create /dev/md1 --level=1 --raid-disks=2 missing /dev/sdb2
mdadm --create /dev/md2 --level=1 --raid-disks=2 missing /dev/sdb3

Nous pouvons v�rifier que notre grappe est bien cr��e en faisant un simple cat /proc/mdstat

Cr�ons ensuite les syst�mes de fichiers du RAID, ceux ci doivent �tre identique � ceux correspondant sur /dev/sda, ici c'est du ext3, l'autre partition est une partition de swap.

Code BASH :

 
mkfs.ext3 /dev/md0
mkfs.ext3 /dev/md1
mkswap /dev/md2

Pour activer notre grappe, il faut maintenant renseigner le fichier de conf du contr�leur raid (mdadm), en prenant soin de conserver une copie d'origine, non seulement par s�curit�, mais aussi parce qu'il nous sera utile par la suite...

Code BASH :

cp /etc/mdadm/mdadm.conf /etc/mdadm/mdadm.conf-origine

Pour nous simplifier encore plus la vie, il y a une commande magique (glan�e sur la revue Linux Magazine, comme beaucoup de cet article)

Code BASH :

mdadm --examine --scan >> /etc/mdadm/mdadm.conf

Voil� ! Notre RAID 1 unijambiste est maintenant mont� !

Continuons, il faut d�sormais copier les donn�es de /dev/sda sur notre RAID bancale (celui ci ne comprend que /dev/sdb pour le moment). Pour cela, nous allons monter une partie du RAID dans un dossier afin d'y copier notre futur syst�me de fichier racine.

Code BASH :

 
mkdir /mnt/md0
mount /dev/md0 /mnt/md0
mkdir /mnt/md1
mount /dev/md1 /mnt/md1

Puis copions tout le syst�me :

Code BASH :

 
cp -dpRx / /mnt/md1
cd /boot
cp -dpRx . /mnt/md0/boot

D�taillons ces options (man cp) :

-d : Pour copier les liens symboliques en tant que tels.
-p : Pour conserver les attributs des fichiers (propri�taire, groupe etc...).
-R : Pour copier r�cursivement les r�pertoires.
-x : Interdit de changer de syst�me de fichier en cours de copie, c'est pour cela qu'il faut relancer l'op�ration.

Pr�parons maintenant la futur fstab de notre grappe ! Il faut l'�diter dans /mnt/md0 et remplacer les entr�es sda par les entr�es md correspondantes de sorte d'obtenir quelque chose comme �a (pour notre config � nous bien sur) :

Code BASH :

 
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    defaults        0       0
/dev/md1           /                           ext3       relatime,errors=remount-ro 0       1
/dev/md0		/boot			ext3	defauts
/dev/md2		none			swap	sw
/dev/scd0       /media/cdrom0   udf,iso9660 user,noauto,exec,utf8 0       0

Apr�s tout cela, il faut pr�venir l'ami Grub que quelque chose � changer, il faut lui ajouter une entr�e suppl�mentaire pour pouvoir booter sur le Raid... En �ditant son menu avec �a, il devrait nous entendre :
Code BASH :

vi /boot/grub/menu.lst

Premi�rement, on lui dit qu'avec la commande fallback 1 plac�e juste en desous du param�tre defaut 0, si le boot sur le Raid ne fonctionne pas, il tentera de booter sur l'autre entr�e par d�faut, soit l'entr�e "d'origine".

Deuxi�mement, rajoutons le noyau du Raid qui se trouve sur /dev/md1. Il suffit de recopier le premier bloc de kernel juste en dessous de celui ci, en changeant seulement l'adresse du kernel root, cela doit donner quelque chose comme �a :

on met jour de l'image initiale initramfs
Code BASH :

update-initramfs -u

pour finir en installant grub sur notre second disque, qui sera notre Raid unijambiste apr�s le prochain reboot, si tout se passe bien...
Code BASH :

grub
grub> root (hd1,0)
grub> setup (hd1)
grub> quit

Voili voilou, � partir de l�, on peut red�marrer et booter sur notre raid si tout va bien ! ....Et en choisissant la bonne entr�e aussi...
Code BASH :

shutdown now -r

Le boot sur le Raid c'est bien pass�, vous avez pu voir la grappe prendre la main en se peuplant avec seulement un disque !

Apr�s s'�tre logu�, on peut voir que nous somme bien sur le Raid en v�rifiant :
Code BASH :

mount
/dev/md1   on   /    type    ext3    (rw,realtime,errors=remount -ro)
/dev/md0   on   /boot   type   ext3   (rw)

Il ne reste d�sormais plus qu'� int�grer le premier disque dur (celui qui commence � ce faire un peu vieux) dans la grappe, ainsi elle sera compl�te et pleinement op�rationnelle.
Pour bien faire les choses, il faut d�clarer toutes les partitions du disque en Linux raid Autodetect (fd) avec la commande fdisk, option t pour changer le type, puis fd pour linux raid autodetect, et il faut le faire pour chaque partitions.
Cela prend tr�s peu de temps et apr�s avoir fait �a, on peut basculer le disque dur ( pour m�moire, on partait de lui au d�but ! ) dans la grappe.
Code BASH :

mdadm --add /dev/md0 /dev/sda1
mdadm --add /dev/md1 /dev/sda2
mdadm --add /dev/md2 /dev/sda3

A partir de ce moment l�, mdadm commence a synchroniser /dev/sda a l'identique de /dev/sdb puisque tout deux forment /dev/md et l'on peut voir cette synchronisation tout simplement en tapant ceci :
Code BASH :

tail -f /proc/mdstat

Enfin nous allons remettre le fichier de conf de mdadm � z�ro, puis nous le r�initialisera avec nos nous param�tres.
Code BASH :

cp /etc/mdadm/mdadm.conf-origine /etc/mdadm/mdadm.conf
mdadm --examine --scan >> /etc/mdadm/mdadm.conf

Voila, nous venons de basculer notre serveur sur un RAID 1 en toute s�curit� !
Si l'on veut gagner encore un poil plus de s�cu sur le boot, on peut modifier grub pour qu'il nous affiche chacun des principaux noyaux sur chacun des disques et syst�mes de fichier.
Code BASH :

 
title       Debian GNU/linux, RAID kernel 2.6.26-2-686 1er_disque
root      (hd0,0)
kernel   /vmlinuz-2.6.26-2-686 root=/dev/md1   ro   quiet
initrd    /initrd.img-2.6.26-2.686
 
title       Debian GNU/linux, RAID kernel 2.6.26-2-686
root      (hd1,0)
kernel   /vmlinuz-2.6.26-2-686 root=/dev/md1   ro   quiet
initrd    /initrd.img-2.6.26-2.686
 
title       Debian GNU/linux, kernel 2.6.26-2-686 1er_disque
root      (hd0,0)
kernel   /vmlinuz-2.6.26-2-686 root=/dev/sda2   ro   quiet
initrd    /initrd.img-2.6.26-2.686
 
title       Debian GNU/linux, kernel 2.6.26-2-686
root      (hd1,0)
kernel   /vmlinuz-2.6.26-2-686 root=/dev/sdb2   ro   quiet
initrd    /initrd.img-2.6.26-2.686

Remise � jour d'initramfs :
Code BASH :

update-initramfs -u

The end.

Sources :

linux Magazine (un tr�s bon article de Cedric Pellerin)
Linux France
Manuel de cp
manuel de mdadm

Monitoring syst�me avec conky...

Tue, 04 Aug 2009 13:52:01 +0200

Conky est un petit programme permettant de surveiller les constantes de son syst�me, ainsi que d'autres choses plus ou moins futiles....

Sur cet article, je ne parlerai et ne prendrai comme exemple que ma configuration personnel, si vous d�sirez en savoir plus sur ces autres fonctions, je vous invite � consulter les sources qui seront indiqu�es en bas de cette page...

Pr�cisions

Les fichiers de configurations pr�sent�s ici tournent sur une Ubuntu 9.04 ainsi que sur une Debian Etch.

Pour ma part, je me contente de surveiller que quelques constantes de mon cpu, de mon disque, des processus ainsi que du r�seau.

Voici mon fichier de configuration :
Code BASH :

 
background        no
update_interval        1.0
double_buffer        yes
use_xft            yes
override_utf8_locale
xftfont            Sans:size=8
xftalpha        0.8
 
own_window        yes
own_window_transparent    yes
own_window_type        override
own_window_hints    undecorated,below,sticky,skip_taskbar,skip_pager
#on_bottom        yes
 
minimum_size        280 5
maximum_width    220
draw_shades        no
draw_outline        no
draw_borders        no
draw_graph_borders    yes
stippled_borders    0
border_margin        3
border_width        0
 
default_color        black
default_shade_color    black
default_outline_color    black
color1        807d7d
color2        b8c0cb
color3         FC8820
 
alignment middle_right
gap_x            20
gap_y            40
 
no_buffers        yes
 
TEXT
 
 
${font Ozone:style=Bold:size=10}
${alignr}$color SYSTEME
$stippled_hr${font Sans:style=Bold:pixelsize=8}
${alignc}${color1}$nodename - $sysname $kernel on $machine
${alignc}${color1}CPU : $color AMD 1800+
${alignc}${color1}Fr�quence : $color ${freq_g} GHz
${alignc}${color1}CPU Utilis� :$color $cpu%
${color1}${cpugraph FFFFFF 000000}
 
${alignc}${color1}Uptime:$color $uptime ${color1}- Load:$color $loadavg
${alignc}${color1}M�moire RAM :$mem/$memmax - $memperc% 
 
${alignc}${color1}M�moire 
${alignc}${color1}RAM : $color$mem / $memmax 
$memperc % ${color2}${membar}
 
${alignc}${color1}Utilisation du SWAP : $color$swap / $swapmax 
$swapperc % ${color2}${swapbar}
 
 
${color black}Processus:$alignc Memory:$alignr Cpu Used
${color #e49c16}${top name 1} $alignc ${top mem 1}${color black}$alignr${top cpu 1}
${color #e49c16}${top name 2} $alignc ${top mem 2}${color black}$alignr${top cpu 2}
${color #e49c16}${top name 3} $alignc ${top mem 3}${color black}$alignr${top cpu 3}
${color #e49c16}${top name 4} $alignc ${top mem 4}${color black}$alignr${top cpu 4}
${color #e49c16}${top name 5} $alignc ${top mem 5}${color black}$alignr${top cpu 5}
${color #e49c16}${top name 6} $alignc ${top mem 6}${color black}$alignr${top cpu 6}
${color #e49c16}${top name 7} $alignc ${top mem 7}${color black}$alignr${top cpu 7}
${color #e49c16}${top name 8} $alignc ${top mem 8}${color black}$alignr${top cpu 8}
${color #e49c16}${top name 9} $alignc ${top mem 9}${color black}$alignr${top cpu 9}
 
 
${font Ozone:style=Bold:size=10}
${alignr}$color HDD
$stippled_hr${font Sans:style=Bold:pixelsize=8}
 
${color1}Linux  : $color${fs_used /} / ${fs_size /}
     $color${fs_used_perc /}% ${color2}${fs_bar /}
 
 
${font Ozone:style=Bold:size=10}
${alignr}$color RESEAU
$stippled_hr${font Sans:style=Bold:pixelsize=8}
${alignc}${color1}IP Distante : $color${execi 60 wget -O - [url=http://ip.tupeux.com]http://ip.tupeux.com[/url] | tail}
 
${color1}Ethernet : $color${addr eth0}
${color1}Download : $color${downspeed eth0} kiB/s ${alignr}${color1}Upload : $color${upspeed eth0} kiB/s
${color1}Total : $color${totaldown eth0} ${alignr}${color1}Total : $color${totalup eth0}

Ici, quelques param�tres sont important, notamment pour l'int�gration au bureau, � noter que je n'utilise pas le gestionnaire Compiz, mon chipset graphique ne me le permet pas.

Voici ce qu'il faut bien v�rifier :

Code BASH :

own_window        yes    # On dit � Conky de ne pas se mettre sur le bureau mais dans une fen�tre propre
own_window_type   override  # type de fen�tre "maison" (le type desktop convient si on n'a pas d'ombre)
own_window_hints  undecorated,below,sticky,skip_taskbar,skip_pager # d�finition du type

Ces d�tails sont tr�s importants

J'utilise ensuite un deuxieme fichier de config, un peu fioriture, juste pour m'afficher la date, l'heure, le jour...
Code BASH :

background        no
update_interval        1.0
double_buffer        yes
 
use_xft            yes
override_utf8_locale
xftfont            LCD:size=8
xftalpha        0.8
 
own_window        yes
own_window_transparent    yes
own_window_type        override
own_window_hints    undecorated,below,sticky,skip_taskbar,skip_pager
#on_bottom        yes
 
minimum_size        280 5
maximum_width 247
draw_shades        no
draw_outline        no
draw_borders        no
draw_graph_borders    yes
stippled_borders    0
border_margin        3
border_width        0
 
default_color        black
default_shade_color    black
default_outline_color    black
color1        5B8DCF
color2        8BAEE8
color3         858585
 
alignment bottom_middle
gap_x            0
gap_y            60
 
no_buffers        yes
own_window_hints undecorated,below,sticky,skip_taskbar,skip_pager
 
TEXT
$color${font Ozone:style=Normal:size=16}${alignc}.: $color${time %H:%M:%S}$color :.
${font sans:size=10}${alignc}.: $color${time %A %d %B %Y}$color :.

Puis enfin un dernier m'affichant l'utilisateur connect� (des fois que j'oublie qui je suis ! ) ainsi que le temps d'uptime et la version du kernel..
Code BASH :

background        no
update_interval        1.0
double_buffer        yes
 
use_xft            yes
override_utf8_locale
xftfont            Sans:size=8
xftalpha        0.8
 
own_window        yes
own_window_transparent    yes
own_window_type        override
own_window_hints undecorated,below,sticky,skip_taskbar,skip_pager
on_bottom        yes
 
minimum_size        1280 5
maximum_width 300
draw_shades        no
draw_outline        no
draw_borders        no
draw_graph_borders    yes
stippled_borders    0
border_margin        3
border_width        0
 
default_color        black
default_shade_color    black
default_outline_color    black
color1        807d7d
color2        b8c0cb
color3         FC8820
 
alignment top_middle
gap_x            0
gap_y            40
 
no_buffers        yes
 
TEXT
${font Sans:style=Bold:pixelsize=10}${color1}L'utilisateur$color ${exec whoami} ${color1}est connect� depuis $color $uptime
${alignc}${color1}Kernel : $color$kernel

Quelques autres param�tres important, pour le placement des diff�rents conky sur le bureau :
Code BASH :

 
alignment top_middle
gap_x            0
gap_y            40

Inutile d'apporter des pr�cisions ? Si ?

gap_x => Pour le placement horizontal (en pixel)
gap_y => " " " verticale (en pixel)
alignment_middle => Pour center, mais se pourrait �tre left ou right !

Pour tester vos conky, vous pouvez ouvrir une invite de commande en tapant sur "alt+f2", ainsi, conky sera lanc� en arriere plan mais s'affichera tout de m�me, pour le tuer, un simple "killall conky" dans une console suffit !

Afin d'automatiser le lancement au debut de chaque session, je vous propose le petit script suivant :

Code BASH :

#!/bin/bash
sleep 15;
conky -c .conkyrc1 & conky -c .conkyrc2 & conky -c .conkyrc

Il ne vous reste plus qu'a lui donner les droit d'execution (sudo chmod 755) et le placer dans la liste des programmes a lancer au d�marrage !

Un petit screenshot histoire de montrer a quoi resemble les conkys avec ces config :

Sources :

Le site du projet Conky
La doc sur Ubuntu

CurlftpFs => Son FTP en local !

Mon, 19 Jan 2009 16:50:01 +0100

Depuis longtemps, je rame pour le transfert de mes fichiers locaux vers mon h�bergeur, l'heure �t� venue de trouver un autre moyen pour ce faire, histoire de simplifier les choses !

Le but du jeux �tant de remplacer mon traditionnel client ftp (gftp) par quelque chose de beaucoup plus simple, monter ce ftp distant comme un simple dossier dans mon r�pertoire personnel...

Gr�ce a Curlftpfs, tout cela devient possible, et en plus, avec une facilit� d�concertante ! Celui ci utilise le module Fuse (Filesystem in USErspace) qui permet la cr�ation de syst�me de fichier dans l'espace utilisteur

Voici la configuration pour l'exercice :

Un laptop sous Ubuntu Intrepid Ibex (32bit), qui se nommera laptop dans le reste de l'article)

Un serveur ftp distant bien sur, que j'appellerai mon-ftp.fr, et partant du principe qu'il n'est pas publique, login+mdp seront n�cessaires, ceux ci seront : utilisateur=util, mdp=furtif

Commen�ons par installer Curlftpfs (celui ci est dans les d�p�ts)

Code BASH :

laptop@laptop:~$ sudo apt-get install curlftpfs

Ensuite, cr�ons le point de montage dans notre r�pertoire personnel, celui ci s'appellera ftp-local

Code BASH :

laptop@laptop:~$ mkdir  ftp-local

Voila, le plus gros du boulot est fait, voyons maintenant la syntaxe � utiliser pour monter ce ftp dans notre dossier local avec Curlftpfs

Code BASH :

 
curlftpfs ftp:// adresse-du-serveur-ftp point-de-montage -o option(s) � utiliser

L'option que nous devons utiliser �tant donn� que mon ftp n'est pas publique est l'option user, pour plus d'information sur la foultitude d'options disponible, faites un petit man curlftpfs dans votre console.
Voici comment utiliser l'option user

Code BASH :

user=mon-login-ftp:mon-mot-de-passe-ftp

Au finale, et pour le cas pr�sent, la commande sera la suivante :

Code BASH :

laptop@laptop:~$ curlftpfs ftp : //mon-ftp.fr ftp-local -o user=util:furtif

*Sans les espaces entre [url=ftp://adresse-du-serveur*]ftp://adresse-du-serveur*[/url]

Et voila, le ftp est d�sormais mont� dans ftp-local et je peux y travailler comme s'il s'agissait d'un dossier quelconque !
mon point de montage se trouvant dans mon r�pertoire perso, aucun droit particulier m'est n�cessaire

Pour d�monter le ftp, il suffit simplement de taper dans une console :

Code BASH :

laptop@laptop:~$ sudo  fusermount -u ftp-local

Et voila !

Pour �viter de taper son mot de passe en clair dans la console, il suffit d'�diter, ou de cr�er, un fichier netrc, celui ci contiendra les infos n�cessaire � la connexion ftp (adresse ftp, login+mdp), ce fichier doit se trouver dans le r�pertoire utilisateur et il doit bien �videment �tre cach�.

En avant !

Code BASH :

laptop@laptop:~$ vi  ~/.netrc

Ce fichier se renseigne de la mani�re suivante :

Code BASH :

machine ftp.mon-serveur.com login USERNAME password PASSWORD

Dans mon cas cela donnera :

Code BASH :

 
machine ftp.mon-ftp.fr login util password furtif

Il faut restreindre l'acc�s a ce fichier :

Code BASH :

 
laptop@laptop:~$ sudo chmod 0600 ~/.netrc

Maintenant, il n'est plus n�cessaire d'ajouter l'option user � notre ligne de commande, il suffira simplement de dire :

Code BASH :

laptop@laptop:~$ curlftpfs ftp : //mon-ftp.fr ftp-local

*Sans les espaces entre [url=ftp://adresse-du-serveur*]ftp://adresse-du-serveur*[/url]

Avec �a, je peux maintenant monter mon ftp dans mon r�pertoire perso comme s'il �tait vraiment dedans !

On peut m�me ajouter un petit script pour automatiser �a !

Code BASH :

#!/bin/bash
# Script de montage de dossier ftp avec curlftpfs et fuse.
# A utiliser avec Nautilus, ou en ligne de commande :
# ./mount_ftp ~/dossier_de_montage
 
#Variables � modifier au besoin
$FTP=ftp://mon-ftp.fr
$LOCAL=/home/util/ftp-local
 
gksudo -p -m "FTP" | curlftpfs $FTP $LOCAL
zenity --info --text="Cliquez sur valider pour d�monter"
fusermount -u $LOCAL

*Sans les espaces entre [url=ftp://adresse-du-serveur*]ftp://adresse-du-serveur*[/url]

Chiffrer un r�pertoire avec encfs...

Sun, 09 Nov 2008 15:09:01 +0100

Gr�ce a l'application ENCFS, vous allez pouvoir chiffrer toutes les donn�es que vous voulez ! Le principe est simple, il y a deux r�pertoires, un en clair et un chiffr�, on fait ce que l'on veut dans le clair et des lors qu'on le ferme, toutes ces donn�es sont chiffr�es et enferm�es dans le r�pertoire chiffr�, simple non ??

Les applications n�cessaire � la r�alisation de ce projet sont les suivantes :

* Encfs

* Fuse-utils

* Module-assistant

Pour ce billet, j'ai fait mes test avec une Dapper version serveur, le nom de machine est virtual, et l'utilisateur virtual, les dossiers seront les suivant :

* Dossier en clair : libre

* Dossier chiffr� : .prison

Commen�ons par installer ce qu'il faut, a savoir encfs et fuse-utils :

Code BASH :

virtual@virtual-desktop:~$ sudo apt-get install encfs fuse-utils

quelques librairies seront install�es en plus de ces deux paquets. Il faut ensuite rajouter le module fuse au fichier modules, qui se trouve dans le r�pertoire /etc (pour les incultes !), afin que celui ci soit pris en compte au d�marrage, deux mani�res, soit on �dite ce fichier manuellement, soit on le rajoute via une simple ligne de commande, �tant feignant � la base, j'opte pour la deuxi�me solution !

Code BASH :

virtual@virtual-desktop:~$ sudo sh -c "echo fuse >> /etc/modules"

ceci fait, on charge le module a l'aide de modprobe :

Code BASH :

virtual@virtual-desktop:~$ sudo modprobe fuse

Jusqu'ici tout vas bien, collons nous dans le groupe de fuse, histoire de ne pas �tre un inconnue a ces yeux !

Code BASH :

virtual@virtual-desktop:~$ sudo adduser virtual fuse

V�rifions que c'est bon :

Code BASH :

virtual@virtual-desktop:~$ grep "fuse" "/etc/group"
fuse:x:113:virtual

Pour le 113, cela peut varier, ne vous inqui�tez pas si ce n'est pas identique !
Bon, on viens de d�grossir la base, pour v�rifier que nous sommes bien connu du groupe fuse, la commande "groups" dans un terminal pourra nous le confirmer. Passons au plus int�ressant, la cr�ation des r�pertoires !!!
Je rappel que le r�pertoire clair se nomme "libre" et que celui qui sera chiffr� s' appel ".prison, nous allons utiliser la commande encfs, qui ne n�cessite pas de privil�ge root, et qui, demande des chemins complets derri�re elle.
cr�ons ces r�pertoire dans le home :
Code BASH :

 
virtual@virtual-desktop:~$ encfs /home/virtual/.prison /home/virtual/libre

Une foultitude de petites questions s'en suivent, est ce qu'il faut cr�er ces r�pertoire qui n'existe pas encore ? oui, choisir une option (ou un mode) moi je le laisse vide pour avoir un mode normal

Code BASH :

virtual@virtual-desktop:~$ encfs /home/virtual/.prison /home/virtual/libre
Le r�pertoire "/home/virtual/.prison/" n'existe pas. Faut-il le cr�er ? (y/n) y
Le r�pertoire "/home/virtual/libre" n'existe pas. Faut-il le cr�er ? (y/n) y
Cr�ation du nouveau volume encrypt�.
Veuillez choisir l'une des options suivantes :
 entrez "x" pour le mode de configuration expert,
 entrez "p" pour le mode parano�aque pr�configur�,
 toute autre entr�e ou une ligne vide s�lectionnera le mode normal.
 
 
 
Configuration normale s�lectionn�e.
 
Configuration termin�e. Le syst�me de fichier � cr�er a les propri�t�s suivantes :
Chiffrement de syst�me de fichiers "ssl/blowfish", version 2:1:1
Encodage de fichier "nameio/block", version 3:0:1
Taille de cl� : 160 bits
Taille de bloc : 512 octets
Chaque fichier contient un en-t�te de 8 octets avec des donn�es IV uniques.
Noms de fichier encod�s � l'aide du mode de cha�nage IV.

Ensuite, entrer le mot de passe qui permettra de d�verrouiller ces r�pertoires, il peut �tre diff�rent du mot de passe de session, et c'est m�me mieux, si l'on veut pousser sur la s�curit� !

Vous devez entrer un mot de passe pour votre syst�me de fichiers.
Vous devez vous en souvenir, car il n'existe aucun m�canisme de r�cup�ration.
Toutefois, le mot de passe peut �tre chang� plus tard � l'aide d'encfsctl.

Code BASH :

Nouveau mot de passe :
V�rifier le mot de passe :

On peut v�rifier que ces r�pertoires sont bien monter avec un petit "cat" :

Code BASH :

virtual@virtual-desktop:~$ cat /proc/mounts
rootfs / rootfs rw 0 0
none /sys sysfs rw 0 0
none /proc proc rw,nodiratime 0 0
udev /dev tmpfs rw 0 0
/dev/hda1 / ext3 rw,data=ordered 0 0
/dev/hda1 /dev/.static/dev ext3 rw,data=ordered 0 0
tmpfs /var/run tmpfs rw 0 0
tmpfs /var/lock tmpfs rw 0 0
tmpfs /lib/modules/2.6.15-51-386/volatile tmpfs rw 0 0
devpts /dev/pts devpts rw 0 0
tmpfs /dev/shm tmpfs rw 0 0
tmpfs /var/run tmpfs rw 0 0
tmpfs /var/lock tmpfs rw 0 0
encfs /home/virtual/libre fuse rw,nosuid,nodev,user_id=1000,group_id=1000,default_permissions 0 0

Heyyy, que vois-je a la fin ?? pas de soucis, c'est mont� !

Bon bah �a y est, il n'y a plus qu'a s'en servir ! Pour cela, il y a deux modes : on et off
En gros, on monte ces r�pertoire pour y travailler, y placer ces donn�es, et on les d�monte une fois finit, ce qui vas automatiquement chiffrer les donn�es du r�pertoire libre dans le r�pertoire .prison. C'est simplement une histoire de mount...ou plut�t de fusermount !
On monte avec encfs et on d�monte avec fusermount (fusermount ne sera pas un inconnu pour celles et ceux qui on lu mon billet sur sshfs...).
Pour monter ces r�pertoire, on vas utiliser la m�me commande que pour les cr�er, sauf que cette fois, la commande vas monter et pas cr�er, c'est simple !
Code BASH :

 
virtual@virtual-desktop:~$ encfs /home/virtual/.prison /home/virtual/libre

Hop, is good, c'est mont�....Et non !!! mis�re que se passe t'il ?? tout all� si bien ! Et pourtant sa me renvoi �a dans la console :

Code BASH :

fusermount: failed to access mountpoint /home/virtual/libre: Permission denied
Erreur de fuse. Probl�mes courants :
 - module noyau fuse non install� (faites "modprobe fuse")
 - options invalides -- voir le message d'utilisation

en fait, il s'agit du module fuse qui n'est pas vraiment bien charg�, c'est la que module-assistant intervient pour corriger cela, installons le et lan�ons le !

Code BASH :

virtual@virtual-desktop:~$ sudo apt-get install module-assistant

Pour le lancer, il suffit de l'appeler dans la console, ensuite vient un �cran avec toutes une s�rie de choix, il faut les faire dans l'ordre suivant :
Code BASH :

PREPARE  Configurer le syst�me pour compiler des modules
SELECT   S�lectionner le module ou le paquet source � traiter
[*] fuse               Filesystem in USErspace
BUILD   Compiler les paquets de modules pour le noyau actif
INSTALL Installer les paquets pour le noyau actif 
EXIT     Quitter le programme

Et voili voilou ! A partir de la, vous pouvez monter vos r�pertoires avec cette commande :

++Sous Ubuntu 8.04 Hardy, cette op�ration n'est pas n�cessaire, relancez seulement la sessions++

Code BASH :

virtual@virtual-desktop:~$ encfs /home/virtual/.prison /home/virtual/libre

Et pour les d�monter, comme ceci :

Code BASH :

virtual@virtual-desktop:~$ fusermount -u /home/virtual/libre/

Et c'est a ce moment la que les donn�es que vous avez plac�s dans le r�pertoire libre seront chiffr�es dans le r�pertoire .prison !
Pour ce qui est d'automatiser �a, c'est tr�s simple, vous pouvez cr�er deux commandes, le premi�re s'appellera decrypt (pour monter et ouvrir les r�pertoires) et la deuxi�me encrypt pour refermer et d�monter le tout.
Cr�ons ces commandes, qui se trouverons avec les autres dans le r�pertoire /usr/bin :

Code :


virtual@virtual-desktop:~$ sudo vi /usr/bin/decrypt

A l'int�rieur de ce fichier, collez le texte suivant :

Code BASH :

#!/bin/sh
encfs /home/virtual/.prison/ /home/virtual/libre/

Puis la deuxi�me :

Code BASH :

virtual@virtual-desktop:~$ sudo vi /usr/bin/encrypt

M�me ch�timent :

Code BASH :

#!/bin/sh
fusermount -u /home/virtual/libre

Donnons les droits qui vont bien a ces commandes :

Code BASH :

virtual@virtual-desktop:~$ sudo chown virtual /usr/bin/decrypt /usr/bin/encrypt
virtual@virtual-desktop:~$ chmod 755 /usr/bin/encrypt /usr/bin/decrypt

Voila, maintenant il suffit de taper "decrypt" dans la console pour avoir acc�s a ces donn�es en clair, puis de fermer avec la commande "encrypt".
Je vous laisse imaginer ce que l'on pourrait faire de cette application en milieu professionnel ou certaines donn�es doivent rester confidentiel...

ATTENTION : Souvenez vous bien du mot de passe attribu� a ces dossier car il n'existe pas de proc�dure pour les r�cup�rer en cas de perte !

Voici un petit script qui vous permettra de monter/d�monter vos donn�es tr�s simplement et de mani�re graphique, il vous faudra juste modifier les variables et l'enregistrer dans le dossier /home/utilisateur/.gnome2/nautilus-scripts

Code BASH :

 
#!/bin/bash
# Script de montage de dossier crypt� avec encfs et fuse.
# A utiliser avec Nautilus, ou en ligne de commande :
# ./mount_enc ~/dossier_de_montage
 
# Variables � modifier : repertoire contenant les fichiers non crypt�s et crypt�s
OPENFOLDER=/home/virtual/libre
CRYPTEDFOLDER=/home/virtual/.prison
 
 
gksudo -p -m "Top Secret" | encfs  $CRYPTEDFOLDER $OPENFOLDER 
zenity --info --text="Cliquez sur valider pour d�monter"
fusermount -u $OPENFOLDER

Une fois enregistr�, pensez a lui donner les droit d'ex�cution (chmod 755), il sera d�sormais accessible via un clic droit sur le mulot, rien n'emp�che m�me de se cr�er un lanceur perso.

SOURCES :

* Ce tuto sur Ubuntu-fr, dont je me suis plus que largement inspir�...

* Le site Encfs

Monter une webradio avec Icecast et Ices2

Sun, 12 Oct 2008 15:13:01 +0200

Nous allons �tudier la mise en place d'un serveur de "streaming", ou, comment monter une webradio !

Un ami m'a parl� d'une webradio qu'il venait de mettre en place, faisant de la musique et �tant fan de l'open sources, je me suis dis, et pourquoi n'essaierai-je pas de monter la mienne ? Histoire de m'endormir moins b�te le soir et surtout, de pouvoir diffuser mes mix ainsi que ceux de quelques ami(e)s et ce, all over the world !

Apr�s une longue r�flexion, d'environ 2 secondes, je me d�cide et je me lance !

Pour r�aliser l'op�ration je vais avoir besoin :

* D'un serveur, celui ci enverra le flux audio au travers de la toile
* D'un streamer, c'est un programme qui enverra les donn�es audio au serveur, tout en les "r�-�chantillonnant"
* D'un programme fournissant une API qui permet aux applications de communiquer avec le serveur

Pour le serveur, mon choix c'est port� sur Icecast, pour le streamer sur Darkice-full, celui ci accepte le format Mp3 pour l'API, j'utilise la librairie Libshout.

C'est parti !

Je suis sur un syst�me Ubuntu 6.06 serveur, commen�ons par installer le serveur Icecast2 avec un traditionnel apt-get !

Code BASH :

moi@mon-serveur:~$ sudo apt-get install icecast2

Le fichier de configuration du serveur se trouve dans le r�pertoire /etc/icecast2 et il est au format .XML, �ditons le afin de proc�der a quelques r�glage, et changer le mot de passe par d�faut du serveur.

Code BASH :

moi@mon-serveur:~$ sudo vi /etc/icecast2/icecast.xml

Voici ce que cela nous renvoi :
Code XML :

 
<icecast>
     <limits>
         <clients>100</clients>
         <sources>2</sources>
         <threadpool>5</threadpool>
         <queue-size>524288</queue-size>
         <client-timeout>30</client-timeout>
         <header-timeout>15</header-timeout>
         <source-timeout>10</source-timeout>
         <!-- If enabled, this will provide a burst of data when a client 
              first connects, thereby significantly reducing the startup 
              time for listeners that do substantial buffering. However,
              it also significantly increases latency between the source
              client and listening client.  For low-latency setups, you
              might want to disable this. -->
         <burst-on-connect>1</burst-on-connect>
         <!-- same as burst-on-connect, but this allows for being more
              specific on how much to burst. Most people won't need to
              change from the default 64k. Applies to all mountpoints  -->
         <burst-size>65535</burst-size>
     </limits>
 
     <authentication>
         <! Sources log in with username 'source' >
         <source-password>Le-mot-de-passe-que-vous-voulez</source-password>
         <! Relays log in username 'relay' >
         <relay-password>Le-m�me-mot-de-passe</relay-password>
 
         <! Admin logs in with the username given below >
         <admin-user>admin</admin-user>
         <admin-password>Le-mot-de-passe-que-vous-voulez</admin-password>
     </authentication>
 
     <! Uncomment this if you want directory listings >
     <!--
     <directory>
         <yp-url-timeout>15</yp-url-timeout>
         <yp-url>http://dir.xiph.org/cgi-bin/yp-cgi</yp-url>
     </directory>
      -->
 
     <!-- This is the hostname other people will use to connect to your server.
     It affects mainly the urls generated by Icecast for playlists and yp
     listings. -->
     <hostname>localhost</hostname>
 
     <! You can use these two if you only want a single listener >
     <!<port>8000</port> >
     <!<bind-address>127.0.0.1</bind-address>>
 
     <! You may have multiple <listener> elements >
     <listen-socket>
         <port>8000</port>
         <! <bind-address>127.0.0.1</bind-address> >
     </listen-socket>
     <!--
     <listen-socket>
         <port>8001</port>
     </listen-socket>
     -->
 
     <!<master-server>127.0.0.1</master-server>>
     <!<master-server-port>8001</master-server-port>>
     <!<master-update-interval>120</master-update-interval>>
     <!<master-password>hackme</master-password>>
 
     <!-- setting this makes all relays on-demand unless overridden, this is
          useful for master relays which do not have <relay> definitions here.
          The default is 0 -->
     <!<relays-on-demand>1</relays-on-demand>>
 
     <!--
     <relay>
         <server>127.0.0.1</server>
         <port>8001</port>
         <mount>/example.ogg</mount>
         <local-mount>/different.ogg</local-mount>
         <on-demand>0</on-demand>
 
         <relay-shoutcast-metadata>0</relay-shoutcast-metadata>
     </relay>
     -->
 
     <!-- Only define a <mount> section if you want to use advanced options,
          like alternative usernames or passwords
     <mount>
         <mount-name>/example-complex.ogg</mount-name>
 
         <username>othersource</username>
         <password>hackmemore</password>
 
         <max-listeners>1</max-listeners>
         <dump-file>/tmp/dump-example1.ogg</dump-file>
         <burst-size>65536</burst-size>
         <fallback-mount>/example2.ogg</fallback-mount>
         <fallback-override>1</fallback-override>
         <fallback-when-full>1</fallback-when-full>
         <intro>/example_intro.ogg</intro>
         <hidden>1</hidden>
         <no-yp>1</no-yp>
         <authentication type="htpasswd">
                 <option name="filename" value="myauth"/>
                 <option name="allow_duplicate_users" value="0"/>
         </authentication>
         <on-connect>/home/icecast/bin/stream-start</on-connect>
         <on-disconnect>/home/icecast/bin/stream-stop</on-disconnect>
     </mount>
 
     <mount>
         <mount-name>/auth_example.ogg</mount-name>
         <authentication type="url">
             <option name="mount_add"       value="http://myauthserver.net/notify_mount.php"/>
             <option name="mount_remove"    value="http://myauthserver.net/notify_mount.php"/>
             <option name="listener_add"    value="http://myauthserver.net/notify_listener.php"/>
             <option name="listener_remove" value="http://myauthserver.net/notify_listener.php"/>
         </authentication>
     </mount>
 
     -->
 
     <fileserve>1</fileserve>
 
     <!-- set the mountpoint for a shoutcast source to use, the default if not
          specified is /stream but you can change it here if an alternative is
          wanted or an extension is required
     <shoutcast-mount>/live.nsv</shoutcast-mount>
     -->
 
     <paths>
 		<! basedir is only used if chroot is enabled >
         <basedir>/usr/share/icecast2</basedir>
 
         <!-- Note that if <chroot> is turned on below, these paths must both
              be relative to the new root, not the original root -->
         <logdir>/var/log/icecast2</logdir>
         <webroot>/usr/share/icecast2/web</webroot>
         <adminroot>/usr/share/icecast2/admin</adminroot>
         <! <pidfile>/usr/share/icecast2/icecast.pid</pidfile> >
 
         <!-- Aliases: treat requests for 'source' path as being for 'dest' path
              May be made specific to a port or bound address using the "port"
              and "bind-address" attributes.
           -->
         <!--
         <alias source="/foo" dest="/bar"/>
           -->
         <!-- Aliases: can also be used for simple redirections as well,
              this example will redirect all requests for [url=http://server]http://server[/url]:port/ to
              the status page
           -->
         <alias source="/" dest="/status.xsl"/>
     </paths>
<logging>
         <accesslog>access.log</accesslog>
         <errorlog>error.log</errorlog>
         <! <playlistlog>playlist.log</playlistlog> >
       	<loglevel>4</loglevel> <! 4 Debug, 3 Info, 2 Warn, 1 Error >
       	<logsize>10000</logsize> <! Max size of a logfile >
         <!-- If logarchive is enabled (1), then when logsize is reached
              the logfile will be moved to error.log.DATESTAMP,
              otherwise it will be moved to error.log.old.
              Default is non-archive mode (i.e. overwrite)
         -->
         <! <logarchive>1</logarchive> >
</logging>
 
     <security>
         <chroot>0</chroot>
         <!--
         <changeowner>
             <user>nobody</user>
             <group>nogroup</group>
         </changeowner>
         -->
     </security>
</icecast>

Le XML, c'est un peu comme du HTML, ce langage s'�crit sous forme de balises, sauf que dans le XML, l'ordre des balises n'a pas d'importance.

Commen�ons par les balises <limits></limits>, ce qui se trouve entre ces balises parle tout seul, je ne rentrerai pas dans le d�tail.

Puis vient les balises <authentification></authentification>, c'est entre ces balises qu'il faut modifier les mots de passe par d�faut et ce, avant la mise en route du serveur pour des raison �vidente de s�curit� !

Ensuite, les balises <hostname></hostname>, localhost si le serveur tourne en local ou le nom de machine si le serveur diffuse sur le web.

Pour configurer l'acc�s au flux, c'est a dire le port d'�coute du serveur, c'est entre les balise <port></port> que cela se passe, le port par d�faut et le 8000, il n'est pas vraiment utile dans le cas pr�sent de le changer.

Voila, pour une configuration minimum et fonctionnel, reste plus qu'a pr�ciser a init de lancer icecast2 comme un service au d�marrage, pour cela, il faut modifier le fichier /etc/default/icecast2 � la ligne ENABLE=false pour la changer en ENABLE=true.

Voila, le serveur est pr�t et il ne reste plus qu'a le lancer avec la commande /etc/init.d/icecast2 start.

Une fois le serveur lanc�, pour verifier si il n'y a pas de mouche dans la soupe, avec votre navigateur pr�f�r�, rendez vous a l'adresse => http://localhost:8000.

Reste plus qu'a d�signer des "points de montage", ces points seront en fait des playlist...La suite tout bient�t !

Edit du 15/06/2010 : Ou un de ces jours...

Serveur Mandataire Squid

Sun, 12 Oct 2008 15:03:01 +0200

Ce billet assez court a pour but d'expliquer de maniere simple l'installation d'un serveur mandataire (ou proxy) Squid, je ne rentrerai donc pas trop pas le d�tail, et pour ce qui est de �l�ments additionnels (SquidGuard, Dansguardian...), ils feront l'objet d'un autre billet.

Squid kezako ?? Squid est une serveur mandataire, c'est lui qui se trouvera entre le navigateur et le web, c'est a dire, quand vous faite une requ�te vers un site, cette requ�te sera en fait envoy� a Squid, et c'est lui qui vas se charger d'effectuer cette requ�te vers ce site, il sera donc mandater par vous pour aller contacter la cible.
Il peut avoir plusieurs fonctions :

* cache (met en "m�moire" les pages vues afin de pourvoir les r�-afficher plus rapidement si besoin)

* filtrage (utile en milieu professionnel pour �viter les surfs inutiles)

Comme a l'habitude, cette installation se fait sur une Ubuntu 7.10 Gutsy Desktop.

Commen�ons par installer Squid :

Code BASH :

moi@ma-machine:~$ sudo apt-get install squid

Ok, Squid est install� est vous avez remarqu� un "Fail" lors du d�marrage, et c'est normal... Comme pour beaucoup de programmes, le fichier de configuration de Squid ce trouve dans le r�pertoire etc, il se nomme squid.conf et nous allons l'�diter afin d'affiner sa config.
Mais avant cela, sauvegardons ce fichier :

Code BASH :

moi@ma-machine:~$ sudo cp /etc/squid/squid.conf /etc/squid/squid.conf.back

A partir de la, on peut modifier le fichier comme on l'entend, il suffira de faire la proc�dure inverse pour le restaurer.

Code BASH :

moi@ma-machine:~$ sudo vi /etc/squid/squid.conf

Il faut maintenant maintenant modifier quelques directives afin de rendre notre proxy fonctionnel, car par d�faut, squid refuse tout....
Reperez la la directive "visible_hostname" et remplissez la de la maniere suivante :

Code BASH :

visible_hostname mon-nom-de-machine

Ensuite, parce que vous ne voulez pas que le nom de notre syst�me ou notre adresse ip soit inclut dans les requ�tes, cherchez donc la directive "forwarded_for" qui par defaut et sur "on", modifiez la comme suit :

Code BASH :

forwarded_for off

Apr�s, ce qui serait bien, c'est d'avoir les messages d'erreur en fran�ais ! for that, you have to search this tag :

Code BASH :

error_directory /usr/share/squid/errors/French

Bon, on y est presque, reste plus qu'a se mettre client de notre beau serveur mandataire, pour cela, cherchez la directive
"#Recommended minimum configuration:"
et placer ceci a la fin :
Code BASH :

 
acl mon-acl src 192.168.1.0/255.255.255.0

Dans ce cas, je part du principe que cette access-list s' appel "mon-acl" et que mon r�seau est 192.168.1.0/255.255.255.0, a modifier selon votre config perso.
Reste plus qu'a configurer votre navigateur pour qu'il passe par Squid pour faire ces requ�tes et hop !

Monter un syst�me de fichier distant avec sshfs....

Sun, 12 Oct 2008 15:00:01 +0200

Vous disposez d'un petit serveur web a la maison, sur une autre machine que votre station de travail bien sur, et vous en avez assez de faire du ssh et du scp entre ces deux machines, et bien il existe une solution permettant de faire cela via un gestionnaire de fichier, Nautilus ou autre...donc de mani�re graphique gr�ce a sshfs*!!!
*sshfs : Secure SHell File System

Avantages

* On conserve la s�curit� li� a ssh pour les �changes sur le r�seau.

* Confort de gestion gr�ce a l'interface graphique de la machine sur laquelle on monte le syst�me.

* Ne n�cessite pas de droits root pour fonctionner (sauf cas pr�cis).

Voici la config utilis�e pour faire cette manipulation :

=> Serveur web (web1) : Ubuntu 6.06 (ip=192.168.1.100)

=> Station de travail (stat1) : Ubuntu 7.10 (ip-192.168.1.50)

Cette article part du principe que bien �videment les paquets openssh-server, openssh-client (si on veut le faire dans les deux sens ! ) soit install�s sur ces machines (ainsi que Fuse pour la machine qui vas monter le syst�me, mais ce dernier est install� de base sur Ubuntu 7.10 me semble t-il).

Commen�ons par un exemple simple, vous souhaitez monter le dossier personnel du serveur web (/home/web1) dans le r�pertoire mnt de votre station de travail (/mnt/web1).
Pour ce faire, vous avez besoin d'installer sur la station, le paquet sshfs (pour Secure Shell File System), c'est partit !!

Code BASH :

stat1@stat1:~$ sudo apt-get install sshfs

A partir d'ici on peut se servir de sshfs, cependant, il se peut que vous ayez l'erreur suivante :

Code BASH :

failed to open /dev/fuse: Permission denied

Le moyen de r�soudre ce probl�me est simple, il suffit de v�rifier que votre utilisateur fait bien parti du groupe Fuse, en effet, Fuse permet a un simple utilisateur de monter des syst�mes de fichiers....pour plus de pr�cisions sur Fuse, c'est par ici.
Si tel n'est pas le cas, il vous faudra rajouter votre user dans le group Fuse et red�marrer la machine pour que ce changement soit pris en compte.

Ok, vous avez red�marr� votre machine, vous faite partit du group Fuse, ssh est install� (enfin j'esp�re, sinon vous avez fait �a pour rien !! )
Montons donc ce r�pertoire ! Il faut, au pr�alable, cr�er le point de montage sur le syst�me de fichier de stat1

Code BASH :

stat1@stat1:~$ sudo mkdir /mnt/web1

La syntaxe a utiliser avec sshfs est la suivante :

Code :


user@desktop:~$sshfs utilisateur-local@ip-machine:le-chemein-vers-le-dossier-a-monter point-de-montage

Dans notre cas, �a donne quelque chose comme �a :

Code BASH :

stat1@stat1:~$sshfs web1@192.168.1.100:/home/web1 /mnt/web1
web1@192.168.1.00's password : 
stat1@stat1:~$

Votre mot de passe inscrit et valid�, n'attendez pas de message de congratulation, vous n'aurez de r�ponse que si il y a une erreur si il n'y en a pas, vous pouvez de ce pas ouvrir votre gestionnaire de fichier et aller au point de montage, vous y trouverez le graal....

Maintenant pour d�monter ce syst�me de fichier, nous allons utiliser Fuse...et oui, c'est gr�ce a lui qu'on peut monter un syst�me en tant que simple utilisateur ! Voici la syntaxe a utiliser :

Code BASH :

user@desktop:~$ fusermount -u chemin-vers-point-de-montage

donc

Code BASH :

stat1@stat1:~$ fusermount -u /mnt/tmp

Il est �galement possible, si vous montez ce syst�me r�guli�rement, d'�diter le fichier fstab afin d'y ajouter ce point de montage.Supposons que vous ayez ce point : /mnt/web1, cela donnerait la ligne suivantes :

Code BASH :

sshfs#web1@192.168.1.100:/home/web1                /mnt/web1          fuse            user,rw,uid=1000,gid=1000     0 0

Et voila ! vous savez d�sormais monter un syst�me de fichier distant sur votre propre machine, je vous laisse imaginer les avantage que l'on peut en tirer, surtout pour les r�fractaires a la ligne de commande mais qui veulent conserver une certaine s�curit�...heureusement, ssh est la !

Configurer son firewall Netfilter avec Iptables

Sun, 12 Oct 2008 14:52:01 +0200

Voici un petit passage du site d'Olivier Allard-Jacquin que j'ai ador� :

Citation:

C'est juste une petite remarque auquel j'invite l'utilisateur de Windows� � r�fl�chir quelques secondes. Qu'est-ce qui vous prouve que toutes les trames IP qui rentrent ou qui sortent de votre Windows� passent bien par la validation du firewall que vous avez install� ? Le code source de Windows� ? Vous l'avez vu ? La belle affaire : M�me si c'est le cas, je vous rappelle que vous avez un accord de non divulgation qui vous interdit de parler de ce que vous avez pu y trouver...

Netfilter est un module firewall directement impl�ment� dans le noyau LinuX, il est l'un des plus puissant du march� et �a configuration, bien qu'elle ai l'air ardue est en faite simple, du moins pour une config de base, a savoir qu'avec Netfilter on peut faire des choses absolument �norme, du routage, du bridge (switch ethernet, on parle dans ce cas la de "bridge firewallant") etc...

C'est un firewall de type "modulaire", enfin je le vois comme �a �tant donn� qu'il se decompose en plusieurs tables, filter, nat et mangle mais pour une station simple, nous n'utiliserons que la table filter pour commencer puis nous verrons plus tard comment appliquer ce firewall sur un serveur web par exemple.

Le principe de fonctionnement est le suivant : ''Netfilter'' installe des ''hooks'' (crochets) sp�cifique a chaque protocole r�seau et les cha�nes que nous allons cr�er seront inscrite sur chacune des tables d�sign�es, dans notre cas la table filter, pour vulgariser un peu, imaginons un barrage hydro-�lectrique, le lac en amont serait le net, ''Netfilter'' le barrage et le petit ruisseau qui en d�coule notre machine, maintenant imaginons que le lac est hyper pollu�, qu'il y a du plombs et des mati�res radioactives dedans, bien sur on ne veut pas que cette pollution arrive jusqu'au petit ruisseau qui coule en bas du jardin et pour ce faire, on vas installer des filtres sur le barrage et chacun de ces filtres aura une fonction pr�cise pour arr�ter une pollution pr�cise, le ''hook'' sera le filtre et sa fonction une cha�ne ! c'est plus simple a dig�rer comme �a !

Attention : Toutes les r�gles ''iptables'' sont purg�es a l'extinction de la machine, il faut donc faire un script qui s'ex�cutera au d�marrage....

Comme d'habitude, nous cr�ons notre barrage sur une Ubuntu 7.10, a noter pour les utilisateurs de LinuX Mint, ''iptables'' est d�j� install� !

Commen�ons par installer ''iptables'', c'est "l'application" qui permet de configurer Netfilter.

Code BASH :

 moi@ma-machine:-$sudo apt-get install iptables

ou encore

Code BASH :

 moi@ma-machine:-$sudo aptitude install iptables

Il semblerait qu'Aptitude g�re mieux les d�pendances....A v�rifier !
Et hop c'est fait, me voila invincible ! Ca serait magnifique et chiant � la fois puisqu'il n'y aurait rien a faire, heureusement pour nous �a n'est pas le cas, v�rifions ensemble qu'elles sont les r�gles en vigueurs par d�faut apr�s l'install d'''iptables'', pour ce faire il y a une commande tr�s simple qui vas lister les r�gles attribu�es, il s'agit de :

sudo iptables -L

Code BASH :

 moi@ma-machine:-$sudo iptables -L

ce qui nous renvoit :

Code BASH :

 Chain INPUT (policy ACCEPT)
 target     prot opt source               destination         
 
 Chain FORWARD (policy ACCEPT)
 target     prot opt source               destination         
 
 Chain OUTPUT (policy ACCEPT)
 target     prot opt source               destination

Et oui, par d�faut il n'y a aucune r�gles, tous passe sans soucis ! c'est bien parce que rien ne bloque et pas bien parce que justement, rien n'est bloqu� !! Rapellons nous que notre cas est une station isol�e, donc les seules cha�nes qui nous int�ressent sont les cha�nes INPUT et OUTPUT.

Et oui, nous on veut juste un acc�s au Web donc la cha�ne FORWARD (routage...) ne nous int�resse pas !
Deux commandes sont importante si vous aviez d�j� install� ''iptables'', ou si vous vous �te plant� :

sudo iptables -F
sudo iptables -X

Ces deux commande permettent de r�initialiser une cha�ne s�lectionn�e (-F) d'un utilisateur donn� (-X), pour plus de renseignement sur toutes les options de la commande ''iptables'', je vous invite a consulter le man ''iptables'' en tapant dans votre terminal : man ''iptables'' ou simplement en lisant cette page.
Bon, et si nous nous attaquions au vif du sujet ?! Parce qu'elle n'est toujours pas prot�g�e ma station et si vous glandez trops je vais faire appel a quelqu'un d'autre !
Premi�res notions importante : faire attention a l'ordre dans lequel on ins�re ces r�gles, parce que si on dit en premier "j'accepte une connexion sortante a destination du Web" et que par la suite on ins�re " je bloque tout autre trafic entrant ou sortant" et bien c'est simple, ''Netfilter'' vas lire nos r�gles dans l'ordre qu'on lui a donn� ! donc au d�part oui il vas accepter nos connexion au net mais puisqu'apr�s on lui dit de tout bloquer, que ce soit entrant ou sortant, et bien ya rien qui passera, logique non ?

Et si on cr�� une variable afin que notre futur script puisse s'appliquer un peu partout sans trop de soucis ?

Code BASH :

 NET=eth0

Comme �a, plus besoin de modifier le nom de notre interface a chaque ligne dans le cas ou ce script serve sur plusieurs machines, il y aura seulement la variable NET= a changer si c'est n�cessaire !

C'est partit, montons notre barrage de police ! oui, se sont les ''Policy'' par d�faut de chaque cha�ne que nous allons �diter, c'est a dire le comportement de base de chaque cha�ne et ce, une par une !
La syntaxe est la suivante :

Code BASH :

 iptables -table -option cha�ne action-a-effectuer-sur-les-paquets

Nous utiliseront l'option -P pour dire a ''iptables'' que se sont les comportement par d�faut de chaque cha�ne que nous voulons modifier donc voici ce que cela donne :

Code BASH :

 moi@ma-machine:-$ sudo iptables -t filter -P INPUT DROP

puis

Code BASH :

 moi@ma-machine:-$ sudo iptables -t filter -P FORWARD DROP

et enfin

Code BASH :

 moi@ma-machine:-$ sudo iptables -t filter -P OUTPUT ACCEPT

Et hop, voila, la il y a plus rien qui rentre et tout peut sortir ! Et c'est a partir de LA qu'on vas d�finir ce qu'on autorise et ce qu'on interdit ! c'est magique non ? Alors occupons nous de notre connexion internet, j'ai envis de surfer la !
Voici la syntaxe a utiliser pour ins�rer une r�gle dans une cha�ne :

Code BASH :

iptables -table -option cha�ne-cible -interface -option protocole  -option action-sur-les-paquets

Commen�ons par autoriser les connexions de l'interface de loopback :

Code BASH :

 moi@ma-machine:-$ sudo iptables -t filter -A INPUT -i lo -j ACCEPT

Autorisons le ping :

Code BASH :

 moi@ma-machine:-$ sudo iptables -t filter -A INPUT -i $NET -p icmp -j ACC

EPT
Comme on dit : Ca, c'est fait !

Et pour un acc�s Web, ins�rons la r�gle suivante dans la cha�ne INPUT :

Code BASH :

 moi@ma-machine:-$ sudo iptables -A INPUT -t filter -i $NET -m state --state RELATED,ESTABLISHED -j ACCEPT

La je viens de dire a ''Netfilter'' que je voulais qu'il accepte les connexions deja etablie ou relatives a une connexion �tablie sur eth0, c'est simple non ? Et pour v�rifier que ma r�gle est bien inscrite dans la cha�ne INPUT, il suffit de taper un petit iptable -L, l'option -L dit a ''iptables'' de Lister !
Maintenant histoire de s�curiser un peu plus mon barrage et colmater les fissures, je vais dire a ''Netfilter'' que si une personne souhaiterai rentrer chez moi sans ma permission express, elle se fera purement et simplement bouler, sans doute parce qu'elle a des basket.....
La syntaxe est quasiment la m�me que pour dire qu'il n'y a que le type a qui je demande qui peut me r�pondre.
Toutes connexions initialis�es depuis le net a destination de chez moi et que je n'ai pas demand� sera rejet�es ! malin non ? Puisque l'on ne peut mettre REJECT comme politique par d�faut, nous allons mettre en place une "r�gle par d�faut" pour LA cha�ne INPUT :

Code BASH :

 moi@ma-machine:-$ sudo iptables -t filter -A INPUT -i $NET -j REJECT

Tout �a c'est bien chouette mais c'est dommage que cela soit perdu au prochain red�marrage de la machine, cr�ons un petit script pour automatiser ces r�gles et pla�ons celui ci correctement afin qu'il soit pris en compte des le d�marrage. �ditons un fichier texte dans lequel on vas placer toutes ces commandes :

Code BASH :

 moi@ma-machine:-$ sudo vi iptables-rules.sh

pla�ons toutes ces commandes :

Code BASH :

 
#!/bin/bash__
# Script qui d�marre les r�gles de filtrage "iptables"
# Creation d'une variable pour l'interface r�seau
########################################################
 NET=eth0
 
# REMISE � ZERO des r�gles de filtrage
 sudo iptables -F
 sudo iptables -X
 
# DEBUT des "politiques par d�faut"
# Je veux que les connexions entrantes soient bloqu�es par d�faut
 sudo iptables -t filter -P INPUT DROP
 
# Je veux que les connexions destin�es � �tre forward�es
# soient bloqu�es par d�faut
 sudo iptables -t filter -P FORWARD DROP
 
# Je veux que les connexions sortantes soient accept�es par d�faut
 sudo iptables -t filter -P OUTPUT ACCEPT
 
# FIN des "politiques par d�faut
# DEBUT des r�gles de filtrage
# Pas de filtrage sur l'interface de "loopback"
 sudo iptables -t filter -A INPUT -i lo -j ACCEPT
 
# J'accepte le protocole ICMP (le "ping")
 sudo iptables -t filter -A INPUT -i $NET -p icmp -j ACCEPT
 
# J'accepte les packets entrants relatifs � des connexions d�j� �tablie
 sudo iptables -t filter -A INPUT -i $NET -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# La r�gle par d�faut pour la chaine INPUT devient "REJECT
# (il n'est pas possible de mettre REJECT comme politique par d�faut)
 sudo iptables -t filter -A INPUT -j REJECT
 
# FIN des r�gles de filtrage

Et voili voilou, pour le placer au d�marrage, comme vous le sentez, via l'interface graphique ou en ligne de commande en lui attribuant avant les droit d'ex�cution :

Code BASH :

 moi@ma-machine:-$ sudo chmod 755 iptables-rules.sh

Ensuite il faut placer ce fichier dans le r�pertoire /etc/init.d et dire a la machine qu'il faut qu'elle prenne en compte ce script :

Code BASH :

 moi@ma-machine:-$ sudo update-rc.d iptable-rules.sh defaults

Au prochain red�marrage, un simple petit sudo iptables -L prouvera que nos r�gles sont bien charg�es.

Comme je suis quelqu'un de gentil, voici quelques r�gles suppl�mentaires pour adapter votre script a vos besoins (je pense a rsync pour ceux qui ont lu un de mes pr�c�dent billet...) il y a juste a les commentaires si pas besoin et Attention, a placer imp�rativement avant les derni�res ( celles que nous avons d�sign�es par d�faut..).

Code BASH :

 
# pour que le serveur FTP �ventuel
# soit joignable de l'ext�rieur
 
 sudo iptables -t filter -A INPUT -i $NET -p tcp --dport 20 -j ACCEPT
 sudo iptables -t filter -A INPUT -i $NET -p tcp --dport 21 -j ACCEPT
 
 
# pour que le serveur SSH �ventuel
# soit joignable de l'ext�rieu
 sudo iptables -t filter -A INPUT -i $NET -p tcp --dport 22 -j ACCEPT
 
# pour accepter les transferts rsync
 sudo iptables -t filter -A INPUT -i $NET -p tcp --dport 873 -j ACCEPT
 
# pour que le serveur de mail �ventuel
# soit joignable de l'ext�rieur
 sudo iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
 
# pour que le serveur de DNS �ventuel
# soit joignable de l'ext�rieur
 sudo iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
 sudo iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
 
# pour que le serveur Web �ventuel
# soit joignable de l'ext�rieur
 sudo iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
 
# pour autoriser Webmin
 sudo iptables -t filter -A INPUT -i $NET -p tcp --dport 10000 -j ACCEPT
 
# pour que le serveur CUPS �ventuel
# soit joignable de l'ext�rieur
 sudo iptables -t filter -A INPUT -p tcp --dport 631 -j ACCEPT
 sudo iptables -t filter -A INPUT -p udp --dport 631 -j ACCEPT
 
# pour que le serveur Samba �ventuel
# soit joignable de l'ext�rieur
 sudo iptables -t filter -A INPUT -p tcp --dport 139 -j ACCEPT
 sudo iptables -t filter -A INPUT -p udp --dport 139 -j ACCEPT
 
# pour que des clients puissent se connecter
# � l'ordinateur par XDMCP)
 sudo iptables -t filter -A INPUT -p udp --dport 177 -j ACCEPT
 
# pour que l'odinateur puisse se connecte
# par XDMCP � une machine distante
 sudo iptables -t filter -A INPUT -p tcp --dport 6001 -j ACCEPT
 
# pour que le serveur CVS �ventuel
# soit joignable de l'ext�rieur via le m�canisme de "pserver"
# (si les utilisateurs acc�dent au serveur CVS exclusivement via SSH,
# seule la ligne concernant le serveur SSH doit �tre d�comment�e
 sudo iptables -t filter -A INPUT -p tcp --dport 2401 -j ACCEPT
 
# pouvoir re�evoir des flux VideoLAN
# (ce sont des flux UDP entrants sur le port 1234)
 sudo iptables -t filter -A INPUT -p udp --dport 1234 -j ACCEPT
 
# pouvoir re�evoir des annonces SAP
# (ce sont des annonces de session multicast)
 sudo iptables -t filter -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT
 
# pouvoir utiliser GnomeMeeting
 sudo iptables -t filter -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
 sudo iptables -t filter -A INPUT -p tcp --dport 1720 -j ACCEPT
 sudo iptables -t filter -A INPUT -p udp --dport 5000:5006 -j ACCEPT

Bon, la on en est qu'au d�but mais ce script si petit soit il constitue d�j� une premi�re barri�re que nous allons faire �voluer, Il reste a voir et ajouter des modules suppl�mentaire comme ip_conntrak, ip_conntrack_ftp pour le suivit des connexions...
je finirai plus tard car il reste de nombreuses choses a faire, nous n'avons la que la moiti� de la base.

Voici mes quelques sources :

Un tuto hyper complet

Encore un ici

Et biensur les pages de man