Par Corbier, le 24/07/2008 à 11:43.
Dimdim est une application intranet-internet de réunion à distance, à l’instar de logiciels comme Netmeeting ou Ekiga. Ainsi, il est possible de diffuser la voix de trois personnes au maximum sur tous les clients, ou de voir la caméra du maître de conférence. Ce dernier peut choisir, en outre, d’afficher :
son écran
un document au format PDF
un document au format Word
un document au format Excel
un document au format PowerPoint
Dimdim ne se trouve pas sous forme de logiciel, mais s’intègre à un site Internet déjà existant. L’éxécutable installera un serveur apache, Tomcat. Dès lors, l’intérêt devient énorme quand on pense aux plateformes d’apprentissage en ligne, où les étudiants pourront avoir des cours en direct.
Dimdim semble à terme avoir un gros potentiel, d’autant plus que des paquetages d’installation existent pour différents LCMS (Learning Content Management System) : Claroline, Moodle et SugarCRM et s’installent facilement, comme des modules.
Beaucoup de personnes sur les forums n’arrivent pas à le faire fonctionner sous Ubuntu. Voici un script qui permet le téléchargement et l’installation des paquets nécessaire afin de le faire fonctionner sous Ubuntu.
Install_dimdim.sh
#######ChangeLOG##################
#Createur : Maussion Frederic
#Contact : Fmaussion@starxpert.fr
#Date de creation : 16/05/08
####################################Installation des paquets necessaire a dimdim
apt-get update && apt-get -qy install lighttpd openoffice.org sun-java6-jre wget python-setuptools#On stop lighttpd pour plus tard
/etc/init.d/lighttpd stop#Telechargement de Dimdim
cd /usr/src/
wget http://surfnet.dl.sourceforge.net/sourceforge/dimdim/Dimdim_Linux_Native_Install_v3.5.tar.gz#Decompression de dimdim
tar xzvf Dimdim_Linux_Native_Install_v3.5.tar.gz
mv dimdim/ /usr/local/#Telechargement et installation de cherrypy
wget http://download.cherrypy.org/cherrypy/3.0.3/CherryPy-3.0.3.tar.gz
tar xzvf CherryPy-3.0.3.tar.gz
cd CherryPy-3.0.3
chmod +x *
python setup.py install
cd /usr/src
rm -rf CherryPy-3.0.3/
rm -rf CherryPy-3.0.3.tar.gz#Telechargement et installation de flup
wget http://www.saddi.com/software/flup/dist/flup-1.0.tar.gz
tar xzvf flup-1.0.tar.gz
cd flup-1.0
chmod +x *
python setup.py install
cd /usr/src/
rm -rf flup-1.0
rm -rf flup-1.0.tar.gz#Telechargement et installation de zdeamon
wget http://pypi.python.org/packages/source/z/zdaemon/zdaemon-2.0.2.tar.gz
tar xzvf zdaemon-2.0.2.tar.gz
cd zdaemon-2.0.2
python setup.py install
cd /usr/src/
rm -rf zdaemon-2.0.2
rm -rf zdaemon-2.0.2.tar.gz#On backup les fichiers de configuration que l’on va modificer
cp /usr/local/dimdim/ConferenceServer/apache-tomcat-5.5.17/conf/wrapper.conf /usr/local/dimdim/ConferenceServer/apache-tomcat-5.5.17/conf/wrapper.conf.bak
cp /usr/local/dimdim/Mediaserver/mods/toolkit/osconfig.py /usr/local/dimdim/Mediaserver/mods/toolkit/osconfig.py.bak
cp /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_status.sh /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_status.sh.bak
cp /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_start.sh /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_start.sh.bak
cp /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_stop.sh /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_stop.sh.bak
cp /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_watcher.sh /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_watcher.sh.bak
cp /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_daemon_checker.sh /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_daemon_checker.sh.bak
cp /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_check.sh /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_check.sh.bak#On indique ou se situe le fichier dans une variable
wrapper=/usr/local/dimdim/ConferenceServer/apache-tomcat-5.5.17/conf/wrapper.conf
osconfig=/usr/local/dimdim/Mediaserver/mods/toolkit/osconfig.py
java=/usr/lib/jvm/java-6-sun-1.6.0.06/jre/lib/i386/jvm.cfg
startdimdim=/usr/bin/startDimdim#On remplace la commande “source” par un point
sed -e ’s#source#.#’ -i /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_status.sh
sed -e ’s#source#.#’ -i /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_start.sh
sed -e ’s#source#.#’ -i /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_stop.sh
sed -e ’s#source#.#’ -i /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_watcher.sh
sed -e ’s#source#.#’ -i /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_daemon_checker.sh
sed -e ’s#source#.#’ -i /usr/local/dimdim/DTP3/Deployment/Reflector/reflector_check.sh
#Dans le fichier de configuration on remplace le root de java par le notre
sed -e ’s#wrapper.java.command=DIMDIM_JAVA_HOME/bin/java#wrapper.java.command=/usr/lib/jvm/java-6-sun-1.6.0.06/bin/java#’ -i $wrapper#Dans le fichier de configuration on remplace le root de OOo par le notre
sed -e ’s#/opt/openoffice.org2.3/program/#/usr/lib/openoffice/program/#’ -i $osconfig#Dans le fichier de configuration de java on indique a java qu’il n’agisse pas en temps que client regle des pb dans openvz
sed -e ’s#-client IF_SERVER_CLASS -server#-client KNOWN#’ -i $java#Changement de l’executable de lighthttpd
sed -e ’s#/usr/local/dimdim/lighty/sbin/lighttpd#/usr/sbin/lighttpd#’ -i $startdimdim#On creer les dossiers
mkdir /usr/local/share/swftools#Copie des fichiers necessaire a dimdim
cp /usr/local/dimdim/swftools/pdf2swf /usr/bin
cp /usr/local/dimdim/swftools/swfextract /usr/bin
cp /usr/local/dimdim/swftools/swfdump /usr/bin
cp /usr/local/dimdim/swftools/libs/* /usr/lib
cp -r /usr/local/dimdim/swftools/swffonts/fonts /usr/local/share/swftools/
cp -r /usr/local/dimdim/swftools/swffonts/swfs /usr/local/share/swftools/#Export du home de java dans le .bashrc
echo “JAVA_HOME=/usr/lib/jvm/java-6-sun-1.6.0.06/” >> /root/.bashrc
echo “export JAVA_HOME” >> /root/.bashrc
echo “PATH=$JAVA_HOME/bin:$PATH” >> /root/.bashrc
echo “export PATH” >> /root/.bashrc#Creation de lien symobilques
ln -s /usr/lib/openoffice/program/soffice.bin /usr/bin/soffice.bin
ln -s /usr/local/dimdim/startDimdim.pl /usr/bin/startDimdim
ln -s /usr/local/dimdim/stopDimdim.pl /usr/bin/stopDimdim
ln -s /usr/lib/libpcre.so.0 /usr/lib/libpcre.so.3
#pour wrapper
ln -s /bin/ps /usr/bin/ps#On applique les permissions aux differents dossier
chmod +x /usr/local/dimdim/ConferenceServer/apache-tomcat-5.5.17/bin/*
chmod +x /usr/local/dimdim/red5/*
chmod +x /usr/local/dimdim/red5/conf/*
chmod +x /usr/local/dimdim/nginx/sbin/*
chmod +x /usr/local/dimdim/DTP3/Deployment/Reflector/*
chmod +x /usr/local/dimdim/Mediaserver/mods/*
chmod +x /usr/local/dimdim/Mediaserver/www/pages/*
chmod +x /usr/local/dimdim/swftools/*
chmod +x /usr/bin/*
chmod +x /usr/lib/*
chmod +x /usr/local/share/*#/usr/lib/jvm/java-6-sun-1.6.0.06/jre/lib/i386/jvm.cfg
#Lancement de dimdim
startDimdim
Si vous avez des soucis vous pouvez me contacter sur l’adresse suivante : fmaussion (at) starxpert.fr
Télécharger le script Install_Dimdim.sh
Références :
Par Corbier, le 14/06/2008 à 11:01.
Nous sommes donc le jour tant attendu, ce soir c’est du plaisir,
Nouvelle année, nouveaux locaux et nouveaux programmes, la nuit du hack revient du 14 au 15 Juin à Orsay avec au programme :
- des conférences sur l’actualité underground et la sécurité informatique ;
- un challenge Hacking codé spécialement pour l’occasion par nos rooteurs sur pattes ;
- divers concours avec de nombreux lots à gagner ;
Les conf :
| Horaires | Sujet | Conférencier |
|---|---|---|
| 18H-19H | Nitendo DS | Virtualabs |
| 19H-20H | Scapy | Nono2357 |
| 20H-21H | Exploitation kernel | Ivanlef0u |
| 21H-22H | Securité physique | Virtualabs’ Brother |
| 22H-23H | BackTrack 3 Final | Shaman virtuel |
Donc du plaisir j’attends avec impatience la conférence sur scappy de l’ami Nono2357, conférence que j’avais le plaisir de voir lors des python days. J’ai entendu dire de source plus ou moins sur (il se reconnaîtra) que la conférence de la nuit du hack sera beaucoup poussé techniquement.
Je vous posterai les photos dans la semaine.
Pourquoi un tel post sur le planet-libre ?
Tout simplement car je pense que le hacking dans son sens premier entre pleinement dans la philosophie du libre.
Par Corbier, le 05/06/2008 à 21:53.
This option adds a `ROUTE’ target, which enables you to setup unusual
routes. For example, the ROUTE lets you route a received packet through
an interface or towards a host, even if the regular destination of the
packet is the router itself. The ROUTE target is also able to change the
incoming interface of a packet.
To copy (duplicate) all traffic from and to a local ECHO server to a second box (nonfinal target)
iptables -A PREROUTING -t mangle -p tcp –dport 7 -j ROUTE –gw 1.2.3.4 –tee
iptables -A POSTROUTING -t mangle -p tcp –sport 7 -j ROUTE –gw 1.2.3.4 –tee
Afin d’activer la cible route pour iptables il est nécéssaire de recompiler l’ensemble « noyau + iptables »
Nous allons donc préparer notre environnement de travail.
apt-get install linux-source-2.6.18 gcc make ncurses-dev
cd /usr/src
tar -xvjf linux-source-2.6.18.tar.bz2
ln -s linux-source-2.6.18 linux
On télécharge les sources d’iptables et on les décompresses
wget http://www.netfilter.org/projects/iptables/files/iptables-1.3.6.tar.bz2
tar -xjpf iptables-1.3.6.tar.bz2
On peut maintenant télécharger le patch-o-matic :
wget http://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/patch-o-matic-ng-20070728.tar.bz2
tar xvjf patch-o-matic-ng-20070728.tar.bz2
cd patch-o-matic-ng-20070728
Nous devons spécifié le dossier des sources d’iptables
IPTABLES_DIR=/usr/src/iptables-1.3.6 ./runme ROUTE
Hey! KERNEL_DIR is not set.
Where is your kernel source directory? [/usr/src/linux]
Loading patchlet definitions…………….. done
Welcome to Patch-o-matic ($Revision: 6736 $)!
Kernel: 2.6.18, /usr/src/linux
Iptables: 1.3.6, /usr/src/iptables-1.3.6
Each patch is a new feature: many have minimal impact, some do not.
Almost every one has bugs, so don’t apply what you don’t need!
——————————————————-
Already applied:
Testing ROUTE… not applied
The ROUTE patch:
Author: Cédric de Launois <delaunois@info.ucl.ac.be>
Status: Experimental
This option adds a `ROUTE’ target, which enables you to setup unusual
routes. For example, the ROUTE lets you route a received packet through
an interface or towards a host, even if the regular destination of the
packet is the router itself. The ROUTE target is also able to change the
incoming interface of a packet.
The target can be or not a final target. It has to be used inside the
mangle table.
ROUTE target options:
–oif ifname Send the packet out using `ifname’ network interface.
–iif ifname Change the packet’s incoming interface to `ifname’.
–gw ip Route the packet via this gateway.
–continue Route the packet and continue traversing the rules.
–tee Route a copy of the packet, but continue traversing
the rules with the original packet, undisturbed.
Note that –iif, –continue, and –tee, are mutually exclusive.
Examples :
# To force all outgoing icmp packet to go through the eth1 interface
# (final target) :
iptables -A POSTROUTING -t mangle -p icmp -j ROUTE –oif eth1
# To tunnel outgoing http packets and continue traversing the rules :
iptables -A POSTROUTING -t mangle -p tcp –dport 80 -j ROUTE –oif tunl1 –continue
# To forward all ssh packets to gateway w.x.y.z, and continue traversing
# the rules :
iptables -A POSTROUTING -t mangle -p tcp –dport 22 -j ROUTE –gw w.x.y.z –continue
# To change the incoming network interface from eth0 to eth1 for all icmp
# packets (final target) :
iptables -A PREROUTING -t mangle -p icmp -i eth0 -j ROUTE –iif eth1
# To copy (duplicate) all traffic from and to a local ECHO server
# to a second box (nonfinal target)
iptables -A PREROUTING -t mangle -p tcp –dport 7 -j ROUTE –gw 1.2.3.4 –tee
iptables -A POSTROUTING -t mangle -p tcp –sport 7 -j ROUTE –gw 1.2.3.4 –tee
—————————————————————–
Do you want to apply this patch [N/y/t/f/a/r/b/w/q/?] y
Excellent! Source trees are ready for compilation.
Nous pouvons maintenant compiler le noyau
cd /usr/src/linux
make oldconfig
Quelques librairies sont rapidement indispensable ;o)
apt-get install kernel-package
Et c’est partie pour de la compilation
make-kpkg clean
make-kpkg –initrd kernel_image kernel_headers
make-kpkg –initrd kernel_image
Une fois la compilation effectué il faut installer et booter sur le noyau.
dpkg –i monnoyau.deb
Vérifiez votre /boot/grub/menu.lst afin de voir si votre nouveau noyau apparait.
Ensuite Reboot
Pour monitorer tout le trafic entrant vers une ip (Un IDS par exemple J) utiliser la règle iptables suivante :
iptables -A POSTROUTING -t mangle -p tcp –sport 7 -j ROUTE –gw 1.2.3.4 –tee
Nous verrons dans un prochain billet comment utiliser ce trafic avec un IDS.
Par Corbier, le 29/05/2008 à 16:46.
Définition du mot de passe root mysql :
mysql> SET PASSWORD FOR root@localhost=PASSWORD(’new_password’);
Query OK, 1 row affected (0.00 sec)
Lors de l’installation mysqld créée deux users avec ” en nom de user et ” en password il faut les supprimer.
mysql> DELETE FROM mysql.user WHERE user=” or pass ”;
Suppression des utilisateurs inutiles :
mysql> DELETE FROM user WHERE Host=’monhost’ AND User=’monuser’;
Query OK, 1 row affected (0.00 sec)
Ainsi que les mots de passe vides :
mysql> DELETE FROM user WHERE Password=”;
Query OK, 2 rows affected (0.00 sec)
La base de donné test créée par mysql à l’installation est inutile.
mysql> DROP DATABASE test;
Query OK, 0 rows affected (0.00 sec)
Par défaut, la base test et toutes les bases commençant par “test_” sont accessibles par tous.
mysql> DELETE FROM db WHERE db=’test’ OR db=’test\_%’;
Query OK, 2 rows affected (0.00 sec)
Afin d’activé les modifications il est nécessaire de recharger les privilèges
mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.00 sec)
Privilèges
Afin de garantir la confidentialité des données et des utilisateurs. Il faut autoriser les différents utilisateurs à se connecter et à modifier uniquement leurs bases de données. Nous utilisons la commande GRANT.
GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,ALTER,DROP ON userdb.* TO someuser@”%” IDENTIFIED BY “pwd”;
Lister les bases de données
A l’aide de la commande SHOW DATABASES, un utilisateur lister toutes les bases de données du serveur.
mysql -u someuser -p
Enter password:
mysql> show databases;
+——————–+
| Database |
+——————–+
| mysql |
| someuserdb |
+——————–+
Il est possible de désactiver cette commande. Cependant il serait judicieux d’autoriser l’utilisateur à lister que les bases de données sur lesquelles il a des droits. Dans le fichier my.cnf, dans la section mysqld, ajouter safe-show-database.
mysql -u someuser -p
Enter password:
mysql> show databases;
+———-+
| Database |
+———-+
| someuserdb |
+———-+
Restriction réseau
Afin de limiter l’écoute du deamon mysql à une interface, utilisez bind-address.
netstat -lataupen |grep 3306
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 27 19963 7045/mysqld
Si aucune connexion réseau n’est requise, on peux la supprimer avec –skip-networking.
Chrooter Mysql
Malgré toutes ces modifications, nous ne sommes pas à l’abri d’un exploit sur le service mysqld. Il apparait donc nécessaire de chrooter mysqld. Ceci fait, mysqld ne pourra pas accéder à l’ensemble du disque. Il restera dans sa nouvelle racine.
Nous allons donc créer l’arborescence :
mkdir -p /chroot/mysql/var/lib/
cd /chroot/mysql
mkdir -p var/run etc tmp
chmod 1777 tmp
Ensuite nous allons recréer l’environnement de mysql et les bases nécessaires
grep “mysql:” /etc/passwd > etc/passwd
mv /var/lib/mysql var/lib/
ln -s /chroot/mysql/var/lib/mysql/ /var/lib/mysql
mv /var/run/mysqld var/run
ln -s /chroot/mysql/var/run/mysqld/ /var/run/mysqld
Enfin, nous ajoutons les librairies de mysqld.
[root@localhost mysql]# ldd /usr/libexec/mysqld
librt.so.1 => /lib64/librt.so.1 (0×0000003d59200000)
libz.so.1 => /usr/lib64/libz.so.1 (0×0000003d58600000)
libdl.so.2 => /lib64/libdl.so.2 (0×0000003d57a00000)
libssl.so.6 => /lib64/libssl.so.6 (0×0000003d65400000)
libcrypto.so.6 => /lib64/libcrypto.so.6 (0×0000003d61600000)
libpthread.so.0 => /lib64/libpthread.so.0 (0×0000003d58200000)
libcrypt.so.1 => /lib64/libcrypt.so.1 (0×0000003d6a000000)
libnsl.so.1 => /lib64/libnsl.so.1 (0×0000003d5b200000)
libstdc++.so.6 => /usr/lib64/libstdc++.so.6 (0×0000003d69c00000)
libm.so.6 => /lib64/libm.so.6 (0×0000003d57e00000)
libgcc_s.so.1 => /lib64/libgcc_s.so.1 (0×0000003d69800000)
libc.so.6 => /lib64/libc.so.6 (0×0000003d57600000)
/lib64/ld-linux-x86-64.so.2 (0×0000003d57200000)
libgssapi_krb5.so.2 => /usr/lib64/libgssapi_krb5.so.2 (0×0000003d63400000)
libkrb5.so.3 => /usr/lib64/libkrb5.so.3 (0×0000003d63800000)
libcom_err.so.2 => /lib64/libcom_err.so.2 (0×0000003d5e200000)
libk5crypto.so.3 => /usr/lib64/libk5crypto.so.3 (0×0000003d5fa00000)
libkrb5support.so.0 => /usr/lib64/libkrb5support.so.0 (0×0000003d5fe00000)
libkeyutils.so.1 => /lib64/libkeyutils.so.1 (0×0000003d64000000)
libresolv.so.2 => /lib64/libresolv.so.2 (0×0000003d5ce00000)
libselinux.so.1 => /lib64/libselinux.so.1 (0×0000003d58e00000)
libsepol.so.1 => /lib64/libsepol.so.1 (0×0000003d58a00000)
mkdir -p lib64/ usr/lib64
cp /lib64/librt.so.1 /lib64/libdl.so.2 /lib64/libcrypto.so.6 /lib64/libpthread.so.0 /lib64/libcrypt.so.1 /lib64/libnsl.so.1 /lib64/libm.so.6 /lib64/libgcc_s.so.1 /lib64/libc.so.6 /lib64/ld-linux-x86-64.so.2 /lib64/libcom_err.so.2 /lib64/libkeyutils.so.1 /lib64/libresolv.so.2 /lib64/libselinux.so.1 /lib64/libsepol.so.1 lib64/
cp /usr/lib64/libz.so.1 /usr/lib64/libstdc++.so.6 /usr/lib64/libgssapi_krb5.so.2 /usr/lib64/libkrb5.so.3 /usr/lib64/libk5crypto.so.3 /usr/lib64/libkrb5support.so.0 usr/lib64/
Il faut aussi ajouter les librairies nécessaires à la résolution de noms
cp /lib/libnss_compat.so.2 /lib/libnss_files.so.2 lib64
Il nous reste à compléter la nouvelle racine dans le fichier my.cnf
/etc/my.cnf: chroot=/chroot/mysql
Par Corbier, le 30/04/2008 à 09:07.
Ntop est un outil d’analyse réseau permettant de surveiller un parc informatique en temps réel. Toutes les données et statistiques sont représentées via une interface Web.
Quelques fonctionnalités de Ntop :
Ntop s’installe en ligne de commande :
Installation du package
apt-get install ntop
Vérification de la version
apt-cache policy ntop
Ntop est maintenant installé.
Renseigner le mot de passe Admin permettant de gérer l’interface Web Admin :
ntop -A
Pour lancer ntop, plusieurs possibilités de démarrage :
-i : défini l’interface de capture (Possibilité de mettre plusieurs interfaces séparés d’une virgule)
-w : permet de spécifier l’adresse IP du serveur ntop suivi du port
-W : permet de spécifier également une IP mais cette fois-ci en HTTPS
-d : permet de démarrer ntop en daemon
-u : défini l’utilisateur (par défaut l’utilisateur ntop est créé)
Dans mon exemple, je vais lancer ntop en daemon sur l’interface eth0 et eth1 sur mon serveur 192.168.0.1 en https avec le port 3001 :
ntop -u ntop -d -i eth0,eth1 -W 192.168.0.1:3001
L’utilisateur ntop doit être spécifié dans la commande afin d’avoir les droits nécessaires pour visualiser toutes les stats. Puis, si vous ne lancez pas ntop en daemon, vous devrez arréter le service manuellement (kill) au lieu de le faire via le daemon (/etc/ini.d/ntop stop).
Il est possible maintenant d’attaquer le serveur en https. Ntop intègre son propre serveur Web, il n’y a pas besoin d’installer un serveur Apache à coté.
https://votre_site:3001
Plusieurs onglets sont disponibles sur l’interface :
Dans le cas où l’on capture avec plusieurs interfaces réseaux, l’interface Web affiche les stats d’une seule interface. Pour switcher, il suffit de cliquer sur l’ongler Admin puis Switch NIC. L’interface Web vous affichera les interfaces disponibles.
Ntop permet de sniffer un réseau IP. Si la partie sniffée est un réseau IP avec Hub, il n’y a pas de problème car tous les paquets transitent sur tous les ports. Par contre, la plupart des réseaux utilisent aujour’hui des switchs. Dans ce cas, il faut dupliquer le trafic vert le port où se trouve le serveur Ntop.
Sur un switch Cisco, il faut configurer le SPAN permettant de récupérer le trafic que l’on souhaite vers un port de destination :
Dans mon exemple, j’utilise un switch Cisco Catalyst 2950. Ma sonde se trouve sur le port Fa0/11 et je veux dupliquer le trafic du port Fa0/12 et FA0/14 :
monitor session 1 source interface Fa0/11
monitor session 1 destination Fa0/12
monitor session 1 destination Fa0/14
Afficher votre configuration (sh run) pour voir si les commandes ont bien été appliquées et surveiller si Ntop récupère bien le trafic.
Par Corbier, le 29/04/2008 à 20:13.
Zimbra est l’une des plus performante messagerie unifiée dans le monde Open Source. Cette plateforme permet de centraliser toutes les données de l’entreprise (contacts, calendriers, notes, documents). En plus du rôle de serveur de messagerie, cette solution intègre un système anti-spam et d’un antivirus.
Zimbra existe en plusieurs versions (Open Source, Network Edition, …) mais ce tutorial est adapté exclusivement à la version Open Source. Pour plus d’information, un comparatif est disponible sur le site http://www.zimbra.com/products/product_editions.html
Ce document a pour but de vous montrer l’installation d’un serveur Zimbra sur un serveur Linux puis d’interagir Zimbra avec un serveur Funambol.
Funambol est un serveur de synchronisation permettant de transférer sur des clients (Outlook, Mobile phone, Smartphone) tous les contacts et calendriers d’un compte zimbra.
La première partie du document concernera l’installation de Zimbra puis en second temps, nous verrons le fonctionnement du serveur Funambol.
Téléchargez la dernière version de Zimbra Open Source Edition sur le site officiel :
http://www.zimbra.com/community/downloads.html
Placez le fichier téléchargé dans le répertoire /usr/src/ puis l’extraire :
cd /usr/src/
tar -xvfz Zimbra-5.0.2.tgz
Avant d’installer Zimbra, téléchargez les paquets nécessaires :
apt-get install sudo libidn11 fetchmail libpcre3 libgmp3c2 libxml2 libstdc++6 openssl libltdl3 perl
Maintenant, exécutez le script install.sh :
cd /usr/src/Zimbra-5.0.2/
./install.sh
Normalement, le script trouvera les paquets téléchargés précédemment. S’il manque des paquets, téléchargez les via « apt » ou sur les sites officiels.
L’assistant Zimbra vous proposera désormais d’installer les services Zimbra que vous souhaitez. Répondez « Y » pour installé sinon « N ».
Install zimbra-ldap [Y]
Install zimbra-logger [Y]
Install zimbra-mta [Y]
Install zimbra-snmp [Y]
Install zimbra-store [Y]
Install zimbra-apache [Y]
Install zimbra-spell [Y]
Install zimbra-proxy [N]
Ensuite, il vous dira que le système a été modifié et si vous voulez continuer l’installation, répondez « Y » :
The system will be modified. Continue? [N] Y
Il va maintenant installer les services Zimbra sélectionnés auparavant. Cette étape est assez longue :
zimbra-core……zimbra-core_5.0.2_GA_1975.DEBIAN4.0_i386.deb…done
zimbra-ldap……zimbra-ldap_5.0.2_GA_1975.DEBIAN4.0_i386.deb…done
zimbra-logger……zimbra-logger_5.0.2_GA_1975.DEBIAN4.0_i386.deb…done
zimbra-mta……zimbra-mta_5.0.2_GA_1975.DEBIAN4.0_i386.deb…done
zimbra-snmp……zimbra-snmp_5.0.2_GA_1975.DEBIAN4.0_i386.deb…done
zimbra-store……zimbra-store_5.0.2_GA_1975.DEBIAN4.0_i386.deb…done
zimbra-apache……zimbra-apache_5.0.2_GA_1975.DEBIAN4.0_i386.deb…done
zimbra-spell……zimbra-spell_5.0.2_GA_1975.DEBIAN4.0_i386.deb…done
Si vous n’avez pas d’enregistrement MX sur votre serveur DNS, il va vous afficher un message d’erreur :
DNS ERROR resolving MX for zimbra.ace-service.fr
It is suggested that the domain name have an MX record configured in DNS
C’est alors qu’il va vous suggérer de changer de domaine. Si vous souhaitez changer de domaine, tapez « Yes », sinon « No ». L’installation continuera normalement même si vous n’avez pas d’enregistrement MX, c’est seulement un message à titre informatif.
Change domain name? [Yes] No
Ensuite, il vous affiche un menu pour connaître les informations manquantes pour continuer l’installation. Les informations manquantes sont précédées des caractères « ** ».
Dans mon exemple, je dois renseigner le mot de passe Admin :
******* +Admin Password UNSET
Pour cela je tape le numéro 3 pour accéder au menu « zimbra-store » où se trouve le sous-menu Admin password. Puis le 4 pour définir le mot de passe Admin.
Après avoir défini le mot de passe, tapez « r » pour revenir au menu général.
Enfin, tapez « a » pour continuer l’installation.
Après avoir défini les fichiers de sauvegarde, zimbra va procéder au démarrage des services installés :
Save configuration data to a file? [Yes]
Save config in file: [/opt/zimbra/config.14265]
The system will be modified - continue? [No] Yes
Liens web zimbra :
L’installation de zimbra est terminée. Toutes les configurations se passent dans l’interface Admin de Zimbra (Gestion des comptes, Alias, services, domaines, …)
Funambol est une suite logicielle permettant la synchronisation de données telles qu’un carnet d’adresses, un calendrier ou des emails, entre plusieurs ordinateurs et/ou périphériques portables.
Dans notre tutorial, Funambol nous servira de serveur de synchronisation entre un client outlook et un zimbra.
Rendez vous sur la page http://funambol.com/opensource/downloads.php
Fichier binaire pour installer le serveur sous linux
Fichier exécutable permet de configurer le serveur à distance sur un windows
Coté serveur placez votre binaire dans /usr/src puis rendez votre fichier exécutable :
cd /usr/src/
chmod 777 funambol-6.5.14.bin
Lancez le script :
./funambol-6.5.14.bin
Le script vous affichera la licence Funambol, rendez-vous en bas de la page et répondez « Yes » :
Do you agree to the above license terms? [yes or no]
yes
Laissez par défaut le répertoire d’installation /opt :
Directory to extract Funambol [/opt] <return to accept>?
Le serveur est bien installé et vous pouvez le démarrer.
Afin d’intégrer Zimbra au serveur de synchronisation, télécharger la dernière version du module Zimbra à l’adresse https://sourceforge.net/project/showfiles.php?group_id=219645
Placez le fichier téléchargé dans le dossier /opt/Funambol/ds-server-modules puis renommez le en ZimbraConnector :
cd /opt/Funambol/ds-server/modules
mv ZimbraConnector-0.4.96.s4j ZimbraConnector.s4j
Renseignez le nouveau module dans le fichier de configuration « install.properties » :
nano /opt/Funambol/ds-server/install.properties
Rajoutez le nom du module à la fin du fichier à la ligne « modules-to-install » :
modules-to-install=foundation-6.5.10,…,funambol-email-connector-6.5.9,ZimbraConnector
Pour appliquer les changements, lancez le script « install-modules.sh » à partir du répertoire « ds-server » :
cd /opt/Funambol/ds-server
./bin/install-modules-sh
Répondez « y » pour installer ou mettre à jour les modules
Coté serveur, tout est installé.
Nous allons désormais utiliser le logiciel sous windows pour attaquer le serveur Funambol/zimbra à distance. Après l’avoir téléchargé et installé, lancez-le.
Pour vous connectez au serveur, il vous suffit de cliquer droit sur Funambol Administrative Tool à gauche de la fenêtre puis « Login ». A la prochaine fenêtre, rentrez votre adresse IP de votre serveur Funambol puis laissez les paramètres par défaut (login = admin et password = sa et port = 8080).
Une fois connecté au serveur, vous devrez avoir les 3 modules suivants apparents :
L’étape suivante consiste à supprimer les champs suivants dans l’arboresence Modules > Foundation > FunambolFoundationConnector :
PIM Contact SyncSource — card; scard
Ensuite, nous allons ajouter des champs dans le module Zimbra > FunambolZimbraConnector :
Modules > zimbra > FunambolZimbraConnector>CalendarSyncSource
Ajouter les champs suivants : cal, event, scal, stask and task.
Source URI = cal,event,scal,stask,task
Name = cal,event,scal,stask,task
Zimbra URL = http://<hostname>:port/service/soap/
secure URL = https://<hostname>:port/service/soap/
Modules > zimbra > FunambolZimbraConnector>ContactSyncSource
Ajouter les champs card and scard.
Source URI = card, scard
Name = card, scard
Zimbra URL = http://<hostname>:port/service/soap/
secure URL = https://<hostname>:port/service/soap/
Modules > zimbra > FunambolZimbraConnector>GALContactSyncSource
Source URI = zimbraGalContacts
Name = zimbraGalContacts
Zimbra URL = http://<hostname>:port/service/soap/
secure URL = https://<hostname>:port/service/soap/
Maintenant, pour synchroniser vos contacts et agendas, téléchargez et installez le logiciel client Outlook sur le site http://funambol.com/opensource/downloads.php
Après installation, un plugin va s’ajouter dans votre client de messagerie et vous pourrez configurez vos différentes options selon vos besoins.
Ce document prmet également une synhcronisation avec les clients :
Windows Mobile PocketPC
Windows Mobile SmartPhone
IPod
Par Corbier, le 17/04/2008 à 17:31.
Dans le cadre de mon travail je suis parfois obliger de faire des retours sur incident dans le cadre de dysfonctionement ou d’attaque.
J’ai donc choisi d’utiliser pyflag.
L’installation se fait facilement a coup de ./configure make make install
J’ai donc récupéré les logs httpd sur le serveur du client ainsi que les logs tomcat. Le problême constaté est que le service tomcat tombe régulièrement (genre tous les deux jours).
Une fois pyflag configuré, il nous reste à nous connecter à l’adresse http://127.0.0.1:8000
Afin d’intégrer les log apache, il est nécessaire de créer un log Preset qui contiendra l’ensemble des log à analyser.
Un assistant apparaît pour injecter les logs. Quelques points me semble essentiel.
Sélectionnez Apache Log 
Ainsi que le format debian_forensic cliquez sur next et les logs apparaissent sous la forme de tableau
Ensuite il nous reste a nommer notre preset.
Cliquez sur Load a Log file
Sélectionner les logs a injecter dans le base mysql
L’upload est assez rapide.
Je peux donc travailler sur mes log’s
La suite au prochaine épisode :p
Par Corbier, le 11/04/2008 à 14:57.
J’avais fait un précédent billet sur l7-filter mais il n’est plus à jour. J’ai donc décidé d’en refaire un nouveau pour debian Etch noyau 2.6.18 avec iptables-1.3.5
C’est un module pour netfilter servant à filtrer le trafic par applicatif. L’utilisation se fait à l’aide d’expression régulière (pattern) servant de prise d’empreinte pour les protocoles.
Dans un premier temps installons les outils nécessaires à la compilation de noyau.
apt-get install build-essential fakeroot kernel-package
Puis installons les sources du noyau.
apt-get install linux-source-2.6.18
Maintenant que les sources sont téléchargé dans /usr/src il faut les extraire.
cd /usr/src & tar xvjf linux-source-2.6.18.tar.bz2
Créons un lien symbolique vers les sources.
ln -s linux-source-2.6.18 linux
Il faut maintenant télécharger l7-filter
wget http://switch.dl.sourceforge.net/sourceforge/l7-filter/netfilter-layer7-v2.17.tar.gz
tar xvzf netfilter-layer7-v2.17.tar.gz
Afin de profiter des fonctionnalités de l7filter il faut patcher le noyau.
cp netfilter-layer7-v2.17/for_older_kernels/kernel-2.6.18-2.6.19-layer7-2.9.patch linux
cd linux
Procédons au patch.
patch -p1 < kernel-2.6.18-2.6.19-layer7-2.9.patch
cd ..
Il faut ensuite préparer iptables à recevoir l7-filter. Pour ce faire téléchargeons les sources afin de les patcher.
Copions le patch
cp netfilter-layer7-v2.17/iptables-1.3-for-kernel-pre2.6.20-layer7-2.17.patch iptables-1.3.5-20061006/
cd iptables-1.3.5-20061006
patch -p1 < iptables-1.3-for-kernel-pre2.6.20-layer7-2.17.patch
Ensuite il faut installer iptables patché dans les sources du noyau.
chmod +x extensions/.layer7-test
make KERNEL_DIR=/usr/src/linux
make install KERNEL_DIR=/usr/src/linux
cd..
Enfin il nous reste à activer les modules afin de compiler le noyau.
cd linux
make menuconfig
Comme l’indique la doc, il faut activer les modules suivants :
* EXPERIMENTAL (Code maturity level options & Prompt for development and/or incomplete code/drivers)
* Netfilter (Device Drivers &Networking support & Networking Options & Network packet filtering)
* Connection tracking (Network packet filtering & IP: Netfilter Configuration & Connection tracking)
* “Connection tracking flow accounting” and “IP tables support” (on the same screen)
* And finally, “Layer 7 match support”
* Optional: Lots of other Netfilter options, ntably “FTP support” and other matches. If you don’t know what you’re doing, go ahead and enable all of them.
Il faut ensuite compiler les sources du noyau et créez les packages .deb.
make-kpkg
fakeroot make-kpkg –append-to-version=.666666 –initrd kernel_image
Et c’est parti pour une longue compilation.
Une fois ceci fait nous avons les packages dans /usr/src
linux-doc-2.6.18.181004_2.6.18.181004-10.00.Custom_all.deb
linux-image-2.6.18.181004_2.6.18.181004-10.00.Custom_i386.deb
linux-manual-2.6.18.181004_2.6.18.181004-10.00.Custom_all.deb
linux-source-2.6.18.181004_2.6.18.181004-10.00.Custom_all.deb
Installons-les.
dpkg -i *.deb
Un reboot est nécessaire. N’oubliez pas de vérifier dans votre /boot/grub/menu.lst que le noyau est disponible
Une fois rebooté regardons les commandes disponibles pour l7filter
iptables -m layer7 –help
iptables v1.3.8-20071014
LAYER7 match v1.3.8-20071014 options:
–l7dir <directory> : Look for patterns here instead of /etc/l7-protocols/
(–l7dir must be specified before –l7proto if used!)
–l7proto [!] <name> : Match the protocol defined in /etc/l7-protocols/name.pat
Il est donc possible de modifier le path de recherche des patterns via –l7dir
Ainsi que spécifier un protocole via - -l7proto
Justement jetons un coup d’œil a ces fameux patterns.
Il faut les télécharger et les installer.
wget http://surfnet.dl.sourceforge.net/sourceforge/l7-filter/l7-protocols-2008-02-20.tar.gz
tar xzf l7-protocols-2008-02-20.tar.gz
cd l7-protocols-2008-02-20
make install
cd /etc/l7-protocols/protocols/
Prenons par exemple le protocole http.
Voici le pattern http qui match ce protocole.
http/(0\.9|1\.0|1\.1) [1-5][0-9][0-9] [\x09-\x0d -~]*(connection:|content-type:|content-length:|date:)|post [\x09-\x0d -~]* http/[01]\.[019]
On voit qu’en fait l7-filter match sur les entêtes http. Ce qui nous indique bien qu’il s’agisse du protocole http
Cependant selon la documentation :
Considérant ceci il semblerait que l7-filter soit plus utiliser dans le cadre de restriction de bande passante.
Dans un prochaine article nous verrons le traffic control sous linux avec l7filter.
Par Corbier, le 25/03/2008 à 22:10.
Lorsque nous avons un serveur VPN comportant beaucoup d’utilisateurs, il devient rapidement difficile à administrer. Surtout dans le cadre de révocation de client, ajout de nouveaux utilisateurs etc …
Pour cela j’ai découvert un GUI web permettant de :
|
|
Ce projet est encore en développement, cependant il reste a suivre de près car les fonctionnalités annoncé m’ont l’air prometteuse.
La liste des dépendances est la suivante : apache2, php5, php5-session, php-pcre, smarty. Il faut obsolument que php soit installé avec le support ssl (–with-openssl).
Une fois les dépendances satisfaites, il ne reste plus qu’a télécharger et décompressé l’archive ==> http://openvpn-web-gui.sourceforge.net/
Il faut éditer le fichier config.inc pour renseigner les différents chemins du fichier de configuration de openvpn et du fichier de log.
IMPORTANT : il faut qu’openvpn génére un fichier de log version 2. Il faut donc ajouter status-version 2 au fichier de conf
Voici la liste des utilisateurs connectés :
Ainsi que la liste des certificats et des users creés :
Par Corbier, le 16/03/2008 à 12:52.
Selon Wikipedia,
Security-Enhanced Linux, abrégé SELinux, est un LSM (Linux security module), qui permet de définir une politique d’accès MAC (mandatory access control) aux éléments d’un système basé sur Linux. Initié par la NSA sur la base de travaux menés avec SCC et l’université d’Utah aux USA (prototypes DTMach, DTOS, projet FLASK), son architecture dissocie l’application de la politique d’accès et sa définition. Il permet notamment de classer les applications d’un système, en différents groupes, avec des niveaux d’accès plus fins. Il permet aussi d’attribuer un niveau de confidentialité pour l’accès à des objets systèmes, comme des descripteurs de fichier, selon un modèle de sécurité multi-niveaux MLS (Multi level Security). SELinux utilise le modèle Bell LaPadula avec Type enforcement de SCC pour l’intégrité. Il s’agit d’un logiciel libre, certaines parties étant sous licences GNU GPL ou BSD.
Sous un système Linux classique le contrôle d’accès est dit de type DAC Discretionary Access Control Ce type de controle d’accès vérifie simplement le propriétaire, le groupe, et les autres (les autres désignent tout ce qui ne fait pas partie du propriétaire et du groupe) en se basant sur le GID et l’UID.
Cependant, les limites de ce système de permission est facile à définir. Imaginons que nous avons un compte sur une système type Linux. Un compte utilisateur avec tout les permissions qui l’en découle. Lorsque ce compte user exécute un processus, le processus hérite des droits du compte user mais aussi de tous ses privilèges.
Transposons ce modèle dans un autre contexte. Je travaille avec un collègue sur un projet professionnelle, et il hérite donc de mes privilèges et droit dans l’environnement professionnel mais il hérite également du droit de rentrer chez moi, dormir dans mon lit etc … Inacceptable non ?
Il est donc impensable de donnez tout les droits en se basant uniquement sur l’UID et le GID. Il faut intégrer une notion fondamentale dans la gestion de sa sécurité : le contexte.
Voici un exemple de droit classique linux.
[root@CentOs www]# ls -l
total 48
drwxr-xr-x 2 root root 4096 jan 16 02:36 cgi-bin
drwxr-xr-x 3 root root 4096 mar 12 22:38 error
drwxr-xr-x 3 root root 4096 mar 16 12:19 html
drwxr-xr-x 3 root root 4096 mar 12 22:38 icons
drwxr-xr-x 14 root root 4096 mar 12 22:42 manual
drwxr-xr-x 2 webalizer root 4096 mar 14 04:02 usage
Et voici les droits SELinux
drwxr-xr-x root root system_u:object_r:httpd_sys_script_exec_t cgi-bin
drwxr-xr-x root root system_u:object_r:httpd_sys_content_t error
drwxr-xr-x root root system_u:object_r:httpd_sys_content_t html
drwxr-xr-x root root system_u:object_r:httpd_sys_content_t icons
drwxr-xr-x root root system_u:object_r:httpd_sys_content_t manual
drwxr-xr-x webalizer root system_u:object_r:httpd_sys_content_t usage
Ce qui m’intéresse c’est httpd_sys_content_t. C’est a dire que le répertoire html est accessible par l’utilisateur apache uniquement lors du contexte d’utilisation du deamon httpd.
Un utilisateur usurpant ou détournant l’identité d’apache n’aura pas accès au répertoire html car il sortira du contexte d’utilisation du deamon httpd. Fabuleux non ?
Pour le reste, je vous laisse avec l’utilisation de la commande chcon pour modifier les contextes et les permissions de SELinux.
Donc.
man chcon
Le contenu des blogs syndiqués sur ce Planet n'engage que leurs auteurs respectifs.
Si vous voulez ajouter votre site web à Planet Libre, vous pouvez le faire via la page d'inscription.
Ce site est maintenu par Sebastien Bilbeau.
Mise à jour toutes les :
1 heures
Dernière mise à jour :
24-07-2008 à 20:38
Vous pouvez consulter les logs de mise à jour en cliquant ici.
Aka Another Pinky Punky AnTav Artisan Numérique Asher256 Aternatik Atlas95 Aurélien Ohan Bastnic Bastoune46 BnouK bouleetbil Breizh ardente BZarcH team Cameleon Ced Cedynamix ChEza Christophe-Marie Corbier Costalfy CrEv blog CyberSDF Damien Cougar Damocles Daria David Larlet Ddmdllt Debinux Devil505 Dhjiz Diti djibux E-PhasE Eddy33 Effraie eMerzh Emilien Macchi Emmanuel Gontcho Equinoxefr FACIL Finss Franck Archange Fredg Freetux Génération Linux G3L Gaëtan Tenshu Gilir Grégory Gutierez Gregory Colpart Guillaume Kulakowski Haypo Hugo Hugues illovae Iron-maedels Iulius Jeff JJL Johan Cwiklinski Jp Fox Julien Leatherface Julius ka.da Kagou Kate KissCoolMan Labo-Linux Le chocolat blanc LeDucDuBleuet Littlewing Lordphoenix Macsim Marc Dramces Marc Millien Marco Matao Mathieu Larose Maxime Carron Mben Michauko Minimumserious Motarion mozillaZine-fr Mr.Yann MrTom Mumbly Mydoom666 Nÿco Nawak Nicodeme Nicofo Nicolargo Nicolas Nicosmos Nicoz NiKo Noplay Olivier Faurax Omega Oncle Tom Openb2 openSyd Osku Paquet Fedora du Jour Patrice Govez Ploum Poupoul2 Raphaël Hertzog Ricard Robin Millette Roland Mas RollsRox Sébastien Bilbeau Sahid Samuel Martin SckyzO Scullder Silvyn Sinklar Slobberbone SombrErrancE Splitsch StandarT Stephane Sales Sylvain Szdavid Taltan Tbellemb Tchouvince theClimber TheGlu TheLinuxFr Thierry Andriamirado Thomas Bassetto Tigrou Damien TitaX Tuxicoman Uggy Ulrich Diplodocus Une goutte de blog Warren Dumortier Wattazoum Xavier Yannig yeKcim Yoho Yves Gesnel Zanko Zarer Zic Zippy Zitrouille
Nb de membres : 154
Nb de flux : 195
©2007 :: Hébergé par Tux-planet :: Valid CSS & XHTML :: Version 3.2.1
