Relai DHCP sous Debian

Le relai DHCP permet d’isoler son serveur DHCP autoritaire du réseau de ses clients.

Que le serveur DHCP soit sous UNIX ou sur un OS propriétaire (ce qui est dommage), le relai DHCP va permettre aux clients d’interroger un DHCP en utilisant ce relai comme proxy.

Un relai DHCP est un outil très simple utilisant un système ajoutant le réseau source (connu par le relai DHCP) et un nombre de sauts (utile si vous souhaitez chaîner plusieurs relais DHCP, mais non recommandé en terme de latence).

Installation

Installez le paquet isc-dhcp-relay.

Configuration

Bien que le prompt isc-dhcp-relay vous offre la possibilité de configurer directement le service, nous allons le configurer manuellement. Ouvrez le fichier /etc/default/isc-dhcp-relay

Editez ensuite la ligne SERVERS afin d’ajouter une liste de serveurs DHCP autoritaires et la ligne INTERFACES afin de spécifier les interfaces sur lesquelles votre DHCP va écouter.

Relancez ensuite le service isc-dhcp-relay

Postfix: blacklist unix-experience

Hello,

Suite à l’augmentation du SPAM dans ma boîte mail, malgré un spamassassin correctement configuré et à jour, du DKIM, du SPF, des vérifications de domaine strictes, etc… le SPAM arrive régulièrement à passer mes filtres standard. J’ai donc commencé à constituer une blacklist des domaines venant polluer mes domaines.

Pourquoi consistuer ma propre blacklist et non utiliser une existante ? Effectivement il serait possible d’utiliser RBL ou une blacklist fournie par une ensemble d’utilisateurs « certifiés », le problème c’est que ce genre de blacklist contient parfois des faux-positifs, que ce soit parce que les domaines ont été émetteurs de SPAM à cause d’une erreur de configuration de la part de l’équipe système ou parce qu’il se sont fait pirater des postes. J’ai préféré repartir de zéro et monter ma propre blacklist, ne recevant pas non plus 500 mails de spam par jour sur mes MX mais plutôt une dizaine grand maximum, ce qui se traite assez facilement.

Je vous proposer donc ci-joint une blacklist non exhaustive de quelques émetteurs de SPAM un peu gênants, qui plus est, directement utilisable avec une postmap postfix

Postfix & OpenDKIM: authentification du domaine émetteur de mails

Le protocole DKIM permet d’authentifier le serveur d’envoi SMTP auprès de différents pairs externes, ainsi que la provenance d’un mail.

Il s’appuie sur un enregistrement DNS de type TXT et deux en-têtes mail:

  • L’enregistrement DNS contient un ensemble d’options DKIM, dont la clef publique du serveur SMTP.
  • L’en-tête DKIM-signature authentifie le mail en lui attribuant une signature et un timestamp
  • L’en-tête DKIM Authentication-Result contient le résultat de la vérification DKIM

OpenDKIM est un démon écrit en C qui s’interface avec les MTAs courants (Postfix, sendmail…). Il offre la possibilité de signer les mails relayés mais également de s’assurer de l’authentification des domaines distants, si ceux-ci l’offrent. Continuer à lire

Linux: authentifier une machine sur un domaine Samba/Windows

Linux peut être vu comme un formidable outil que ce soit en serveur ou en bureautique. Néanmoins l’intégration dans un parc existant, bien souvent avec des contrôleurs de domaine Windows ou samba, n’est pas forcément évidente nativement.

Nous allons étudier ici la mise en place de l’authentification samba sous Linux (Ubuntu/Debian)

Continuer à lire

Shibboleth (IdP): installation et retour d’expérience

Shibboleth est un système de fédération d’identités. Il permet d’authentifier des utilisateurs faisant partie d’établissements/entreprises différentes sur des applications mutualisées.

Peu présent et utile dans le secteur privé, Shibboleth est une référence en terme d’authentification dans le secteur public, au sein du ministère de l’enseignement supérieur et de la recherche. Renater, fournisseur d’accès à Internet réservé aux établissement d’enseignement supérieur et de recherche, est l’un des organismes qui l’utilise le plus.

Shibboleth est composé de plusieurs briques, notamment le Service Provider (SP, fournisseur de services) et dans notre cas le fournisseur d’identité (Identity Provider, IdP)

Continuer à lire

OpenSSL: guide de création de certificats

OpenSSL est un outil très puissant permettant de gérer des certificats, que ce soit leur création, leur signature ou leur révocation.

Création d’une autorité de certification

Dans un environnement d’entreprise, il peut être intéressant de créer une autorité de certification qui sera installée sur tous les postes et ainsi pouvoir signer ses propres certificats sans passer par une autorité de certification racine reconnue (et économiser quelques deniers).

Dans un premier temps on créée la clef privée de notre autorité (minimum 2048 bits, 4096 bits recommandés) Continuer à lire

Spamassassin: antispam pour vos serveurs mails

Spamassasin est un excellent outil de gestion de spams. Il est généralement greffé sur un serveur SMTP comme postfix et permet de faire du whitelisting et du blacklisting.

Il existe en réalité 3 types de filtrages mails:

  • whitelisting: autoriser
  • blacklisting: marquer comme spam
  • graylisting: demander de retenter plus tard

Le graylisting peut être intéressant car il oblige un réseau de bot générant des spams à utiliser des mécaniques moins standard, et souvent moins supportées. postgray permet de répondre à cette problématique, mais nous ne le traiterons pas ici.

Continuer à lire

Sauvegarder son système d’informations avec Bacula

Bacula est un système de sauvegarde libre extrêmement puissant. Le logiciel dispose d’un ensemble de fonctionnalités extrêmement intéressant, et d’une qualité professionnelle telle que certains logiciels propriétaires devraient suivre son exemple.

Le logiciel se découpe en 4 parties:

  • Une ou plusieurs bases de données qui servent de catalogue (tâches, liens vers les fichiers, évènements…)
  • Un ou plusieurs directeurs qui gèrent l’ensemble des stratégies de sauvegarde et référencent les clients
  • Un ou plusieurs services de stockage qui vont gérer un ensemble de volumes virtuels ou physiques
  • Des clients à sauvegarder

Un petit schéma permettra de mieux comprendre l’architecture: Continuer à lire

Authentifier une machine Ubuntu (12.10) sur un annuaire OpenLDAP

Suite à la création d’un nouveau projet que j’ai en tête (le projet Icare), visant à créer une sorte de contrôleur de domaine mais avec des outils UNIX (se basant sur un openLDAP local ou existant et puppet, et une interface web), je vais vous exposer ici comment intégrer une machine Ubuntu 12.10 sur un annuaire de type OpenLDAP.

Vous pourrez trouver une ancienne version (2011) plus générique et moins guidée du pam_ldap ici. Continuer à lire

Migrer de Squid 3.1.X à Squid 3.2.X

Squid 3.2 est depuis peu devenu la branche stable de Squid. FreeBSD propose désormais d’utiliser cette version dans les ports à la place de Squid 3.1.20, Debian devrait la faire remonter d’ici quelques semaines dans unstable puis testing et dans le prochain Debian 8.0 d’ici 2 ans.

Ici nous utilisons OpenBSD. Squid est donc fraîchement compilé depuis les sources (en 3.2.5 au moment de la rédaction de l’article). Voici nos options de compilation:

Nettoyage de la configuration

Dans un premier temps, il faut nettoyer les définitions des ACL. En effet plusieurs d’entre-elles sont désormais intégrée directement dans le binaire. Supprimez les ACLs suivantes:

  • manager
  • localhost
  • to_localhost

Si vous venez d’une version 2.7 il faut également supprimer

  • all

Configuration de squidGuard dans squid

Quelques options ont changé, notamment pour le nombre de fils squidGuard, qui ne sont plus gérés de manière statique mais dynamique. Editez la lignes url_rewrite_children de la manière suivante (à adapter):

Le premier nombre est toujours le nombre maximal. startup définit le nombre de fils au démarrage, idle le nombre de fils en spare et concurrency le nombre de requêtes traitées en parallèle via des threads (avec squidGuard il faut mettre 0)

C’est tout !

Si vous n’arrivez pas à démarrer, il se peut que ce soit d’autres options que je n’ai pas activées, dans ce cas tapez:

Cela permettra de charger le service en foreground et de voir ce qui bloque. N’hésitez pas à ajouter des commentaires qui permettent de compléter l’article !