Le Monde de KrysKool - debian

Marre des tentatives d'intrusion en ssh dans vos log

KrysKool — Mon, 01 Dec 2008 23:13:00 +0100

Si vous lisez régulièrement vos logs de vos serveurs, vous avez surement remarqué qu'il se remplissent de plus en plus souvent avec des tentatives de connexion en ssh (port 22), ce sont des bots qui essai de pénétrer votre serveur a l'aide de dictionnaire et de compte non sécurisé. Pour bloquer ses tentatives vous utilisez sans doute déjà Fail2Ban qui blacklist via IpTables l'ip qui a loupé ses tentatives (3 fois par défaut), d'ailleurs vous avez surement pester dessus les journées ou vous avez de gros doigts :), fail2ban a la facheuse tendance a envoyé un mail à chaque tentative, depuis quelques semaines il est surement devenu votre spammer favori, pourtant une autre solution existe, c'est de ne rendre le port ssh visible seulement après avoir exécuter un rituel, cela s'appelle le port knocking.

Voici la définition Wikipédia du port knocking

Le port-knocking est une méthode permettant de modifier le comportement d'un firewall en temps réel en provoquant l'ouverture de ports permettant la communication, grâce au lancement préalable d'une suite de connexions sur des ports distincts dans le bon ordre, à l'instar d'un code frappé à une porte.

Cette technique est notamment utilisée pour protéger l'accès au port 22 dédié au Secure shell (SSH), elle ne nécessite pas beaucoup de ressources et reste facile à mettre en œuvre. En 2008, cette technique n'est pas encore largement adoptée par la communauté informatique, mais elle a déjà été intégrée dans certains rootkits.

coté serveur

Pour cela il existe une service qui permet de faire du port knocking knockd

sous Debian et dérivé, faite juste un

# apt-get install knockd

editer le fichier /etc/knockd.conf et changer la séquence par défaut

redemarez le service via

# invoke-rc.d knockd restart

coté client

Pour vous connectez a votre serveur en ssh direct, cela sera impossible, car knockd veille au grain. il vous faut également installe knockd coté client, puis exécuter la ligne ci dessous.

$ knock mon_serveur 7000 8000 900

Vous changerez bien sur la séquence de port et mettrez celle que vous avez choisi. ensuite vous avez un laps de temps définit par la variable cmd_timeout pour vous connecter avec ssh. passer ce delai les nouvelles connexions ssh seront refusés, mais celle déjà établit resterons.

Premier patch pour TinyERP/OpenERP

KrysKool — Sun, 07 Sep 2008 22:13:00 +0200

Aujourd'hui j'avais recensé quelques petites corrections utiles, que j'ai décidé de coder en utilisant la nouvelle plateforme de développement de TinyERP/OpenERP sur Launchpad

Mes premières modifications ont portés sur la gestion des exceptions lors de la création des port d'écoutes (XMLRPC et NETRPC), en effet si vous avez lancé 2 fois votre serveur TinyERP, le second lancement se traduit par l'arret du processus (ce qui est normal) en indiquant que le port d'écoute est utilisé, or lors du lancement du serveur TinyERP par un script init.d, celui sort avec un code erreur 0, ce qui indique que tout c'est bien passé, ce qui n'est pas le cas. Le patch proposé récupère l'exception, puis indique sur la sortie stderr qu'il y'a une erreur et que le port d'écoute est déjà occupé, puis retourne le code erreur 1 (au lieu de 0). Le patch proposé l'a été pour la version stable 4.2{1} et la version Trunk{2} (développement).

L'autre patch concerne la comptabilité avec PostgreSQL 8.3 pour la version 4.2. En effet dans un billet précédent je vous expliquait que la version 4.2 ne fonctionnerait pas avec PostgreSQL 8.3 et qu'il fallait ne pas y toucher. Comme dit le proverbe "Faites ce que je dis, mais faites pas ce que je fais", j'y ai touché ;) , vous allez me dire "Mais pourquoi donc", a cela je vous répond.

PostgreSQL 8.3 fait parti de Ubuntu Hardy Heron (8.04), La 8.2 est marqué obsolète.
Dans Debian Lenny, seule PostgreSQl 8.3 est dispo, la version 8.2 n'est même pas disponible dans des backports.
Seul les reporting basés sur des vues PostgreSQL posent problèmes, l'impact sur une éventuelle régression est inexistant.

Les 2 premiers points ont fait pencher la balance, d'ailleurs au moment ou j'écris ces lignes, les patchs viennent d'être intégré à la version 4.2 :).

1 https://code.launchpad.net/~syleam/openobject-server/4.2_exit-properly
2 https://code.launchpad.net/~syleam/openobject-server/exit-properly
3 https://code.launchpad.net/~syleam/openobject-addons/4.2_postgresql8.3_compat

Mapping clavier MacBook sous Debian Lenny

KrysKool — Thu, 21 Aug 2008 23:09:00 +0200

Ci dessous la configuration pour obtenir un mapping de clavier de MacBook correcte sous Debian Lenny

Editez le fichier /etc/X11/xorg.conf

Section "InputDevice"
       Identifier      "Generic Keyboard"
       Driver          "kbd"
       Option          "CoreKeyboard"
       Option          "XkbRules"      "xorg"
       Option          "XkbModel"      "pc105"
       Option          "XkbLayout"     "fr"
       Option          "XkbOptions"    "lv3:enter_switch,apple:goodmap,numpad:mac"
EndSection

Ensuite redémmarrer le serveur X

Réalisation du paquet de pgBouncer sous Debian Sarge

KrysKool — Fri, 24 Aug 2007 10:21:00 +0200

pgPool premier du nom déstabilisant un de mes serveurs sous Debian Sarge, j'ai décidé de m'intéresser à pgBouncer.

On récupère tout d'abord les sources (version 1.0.8 lors de la rédaction de l'article)

# http://pgfoundry.org/frs/download.php/1399/pgbouncer-1.0.8.tgz

# tar zxvf pgbouncer-1.0.8.tgz

Il convient de vérifier que l'on dispose de la librairie libevent de développement

# apt-get install libevent-dev

ensuite les instructions standard

# ./configure
# make

si vous ne disposez pas des outils de création de paquet lancer

# apt-get install devscripts yada

ensuite l'on va réaliser le paquet source

# make deb

Si vous n'avez aucun message d'erreur vous avez le paquet Debian qui est disponible dans le répertoire précédent, il ne reste plus qu'a l'installer

# cd ..
# dpkg -i pgbouncer_1.0.8-1_i386.deb

Ensuite reporter à cette page pour l'installation

Il manque un script init.d pour pgBouncer il faut donc le lancer à la main.

Installation de Dotclear 2 sous PostgreSQL

KrysKool — Thu, 17 Aug 2006 15:12:00 +0200

Dotclear 2 étant sortie en béta 2 fonctionnant sous PostgreSQL je me devais de le tester, l'installation se fait simplement en suivant les recommandations de la documentation.

WG511 sur Debian

KrysKool — Fri, 20 Aug 2004 21:15:00 +0200

Guide explicatif de l'installation d'une carte PCMCIA Wifi Netgear WG511 sur une Debian Sarge.

Introduction

Cet article détail la procédure d'installation et de configuration d'une carte Wifi Netgear WG511 PCMCIA sur une Debian Sarge.
Cette carte est équipée d'un chip Prism

Pré-requis

Debian Sarge ou Sid
Noyau 2.6.6+ (réalisé avec un 2.6.7)
Firmware site

Installation

Le module pour les cartes à base de chipset Prism, est inclus dans la série de Noyau 2.6, il suffit de s'assurer que le module est chargé.

# modprobe prism54

Si ce n'est pas le cas tapez :

# modconf

Puis sélectionner le module Prism54 dans la section Kernel->Drivers->Net->Wireless->Prism54 (un plus doit apparaître à coté du nom)

Ensuite recuperer le Firmware puis le copier dans le répertoire /usr/lib/hotplug/firmware/ et le renommer isl3890 voici un exemple:

# wget http://prism54.org/~mcgrof/firmware/1.0.4.3.arm 
# cp ./1.0.4.3.arm /usr/lib/hotplug/firmware/isl3890

l'installation est terminée, maintenant il faut paramétrer notre carte réseau

Configuration

Nous allons renseigner certains paramètres de configuration dans /etc/network/interfaces

iface eth1 inet static
            address 192.168.0.5
            netmask 255.255.255.0
            network 192.168.0.0
            broadcast 192.168.0.255
            gateway 192.168.0.1
            wireless_essid Linux_Debian  <- A remplacé par votre ESSID

ensuite taper la commande suivante

# ifup eth1

puis executer, pour verifier les paramètres

# iwconfig

A noter qu'il est possible d'utiliser un DHCP pour fournir les informations à la carte. La configuration est maintenant terminée, a vous la Liberté.

Module mod_auth_pgsql

KrysKool — Tue, 06 Jul 2004 15:22:00 +0200

ce module permet d'ouvrir une fenêtre d'authentification (a l'aide d'un fichier .htaccess) et de vérifier les informations rentrées dans une base de données utilisateurs. Cette install est testée sous Debian Sarge

Pré-requis.

- Debian ou autre
- Apache
- PostgreSQL
- mod_auth_pgsql

Configuration d'Apache.

Dans cette partie l'on considère que Apache est déja installé et fonctionnel Tous d'abord nous installons le module Apache : Mod-Auth-Pgsql.

apt-get install libapache-mod-auth-pgsql

Ensuite nous devons utiliser

/usr/sbin/modules-config apache

Pour ajouter le chargement du module dans /etc/apache/modules.conf.
Cette manipulation n'a pas fonctionné correctement chez moi et je vous conseille de rajouter la ligne ci dessous si celle ci n'est pas présente dans votre fichier modules.conf.

LoadModule auth_pgsql_module /usr/lib/apache/1.3/mod_auth_pgsql.so

ensuite un rechargement de la configuration d'Apache pour prendre en compte ce nouveau module.

/etc/init.d/apache reload

Configuration PostgreSQL.

Du coté de PostgreSQL, il suffit de créer une table contenant un minimum de 2 champs (login, mot de passe).

Voici mon exemple.

CREATE TABLE users (
   id integer NOT NULL,
   login character varying(20) NOT NULL,
   nom character varying(20),
   prenom character varying(16),
   mail character varying(120),
   adresse character varying(50),
   codpos character(5),
   ville character varying(26),
   pays character varying(20),
   description text,
   gnupg character(40),
   passwd character varying(32) NOT NULL
);

Vous pouvez charger cette table via PHPPgAdmin .

Protection du répertoire.

Pour cela nous utilisons les .htaccess, voici en détail la configuration que j'utilise. Dans la base, mon mot de passe est crypter en MD5.

AuthName "Mon Reseau"
AuthType Basic
Auth_PG_host localhost
Auth_PG_port 5432
Auth_PG_user kryskool
Auth_PG_pwd xxxxxxxx
Auth_PG_database test
Auth_PG_pwd_table "users"
Auth_PG_uid_field login
Auth_PG_pwd_field passwd
Auth_PG_encrypted on
Auth_PG_hash_type MD5
<LIMIT GET POST>
       require valid-user
</LIMIT>

Il faut renseigner les champs suivants avec vos valeurs

Auth_PG_host : Nom ou adresse IP du serveur PostgreSQL
Auth_PG_port : Port utilisé, par default 5432
Auth_PG_user : Nom de l'utilisateur PostGresql
Auth_PG_pwd : Mot de passe de l'utilisateur
Auth_PG_database : Nom de la base de données
Auth_PG_pwd_table : Nom de la table ou sont stockées les utilisateurs
Auth_PG_uid_field : Nom du champ qui contient le Login de l'utilisateur
Auth_PG_pwd_field : Nom du champ qui contient les mot de passe
Auth_PG_encrypted : Si off les mot de passe sont stockés en clair dans la table (déconseillé)
Auth_PG_hash_type : Soit MD5 ou CRYPT

le reste est standard au fichier .htaccess
A noter qu'il existe le même module pour MySql et LDAP.