Administration de serveurs apache : virtualhost

Bonsoir …

<pour les l33ts>
Histoire de se passer de l’article et de passer à l’essentiel :

echo "alias apctl='/etc/init.d/apache2'">> ~/.bashrc
echo 'function ap_gen_virt { cat /etc/apache2/sites-enabled/000-default | sudo sed "/^[#t].*/ d" | sed "s/<VirtualHost [a-z.*]*/<VirtualHost $1/"|sed "1a\tServerName $1ntDocumentRoot /var/www/$1" > /etc/apache2/sites-enabled/$1.conf; }"' >> ~/.bashrc
sudo ap_gen_virt monsite.fr  && apctl restart

</pour les l33ts>

Pour les autres 😉 :

Les virtualhosts d’apache, à quoi ça peut servir ??? à héberger plusieurs sites sur le même ordinateur de façon « transparente ». On peut même y rajouter des options genre des Handlers différent, des règles de sécurité à part (via le mod_security, …)

Simple exemple : sur le même ordinateur on pourrait héberger le site 192.168.0.10 et monsite.fr … sans avoir à installer plusieurs serveurs … (manquerait plus que ça :p).

Configuration pour le site à l’ip 192.168.0.10 (inutile, mais juste pour l’exemple)

Pour mon premier exemple donc on choisit de « rediriger » (pas le bon mot, puisque c’est directement le DocumentRoot, donc la personne n’accedra à rien d’autre.) les requêtes faites sur l’ip vers le dossier /var/www/pirate … pourquoi pirate ?? en générale, lorsque quelqu’un accède à un serveur via une ip … soit c’est l’admin qui fait son kikoo, soit c’est un pirate qui vient de trouver votre serveur par un scan.

Donc on créer le dossier pirate dans /var/www et on y met un petit fichier html citant pas exemple les différent articles contre des intrusions ou la tentative d’intrusions sur des systèmes de traitements de données automatisées (genre Article 323-1 à 7 du code pénal … ça m’étonnerait que ça calme le pirate, mais ça fait toujours bien de citer les peines encouru ;)).

On va créer un fichier nommé 192.168.0.10.conf dans le dossier /etc/apache2/sites-enabled

<VirtualHost 192.168.0.10:80>
ServerName 192.168.0.10
DocumentRoot /var/www/pirate
</VirtualHost>

Pour la génération de la configuration, on peut utiliser cette commande si on aime bien faire son l33t (à exécuter dans le dossier /etc/apache2/sites-enabled/ en root) :

cat 000-default | sed "/^[#t].*/ d" | sed "s/<VirtualHost [a-z.*]*/<VirtualHost 192.168.0.10/"|sed "1a\tServerName 192.168.0.10ntDocumentRoot /var/www/pirate">192_168._0_10.conf

Configuration pour l’accès monsite.fr

Ensuite, on crée la conf pour l’accès à monsite.fr (à peu près pareil), sauf que le dossier de contenu ce trouve maintenant dans /var/www/mon_site ce qui donne la config suivante à mettre dans le fichier /etc/apache2/sites-enabled/mon_site.fr :

<VirtualHost monsite.fr:80>
ServerName 192.168.0.10
DocumentRoot /var/www/mon_site
</VirtualHost>

et pis là si on a une dizaine de sites à configurer (et que l’on ne veut pas utiliser le superbe module vhostalias qui permettrait de ce passer de ce genre de configuration) … créer les fichiers un par un c’est bof même avec la commande filé plus haut d’autant plus qu’il faut la modifier à chaque fois …

La superbe fonction bash du kikoo qui veut pas se taper les configs à la main

donc une solution existe … faire une fonction bash … ça donne  :

function ap_gen_virt { cat /etc/apache2/sites-enabled/000-default | sudo sed "/^[#t].*/ d" | sed "s/<VirtualHost [a-z.*]*/<VirtualHost $1/"|sed "1a\tServerName $1ntDocumentRoot /var/www/$1" > /etc/apache2/sites-enabled/$1.conf; }

(à exécuter directement dans un terminal, le mieux étant de la rajouter au .bashrc, pour y avoir accès après chaque démarrage), il suffit alors de faire :

sudo ap_gen_virt 192.168.0.10

(pour générer le virtualhost de 192.168.0.10 dans /etc/apache2/sites-enabled/192.168.0.10.conf)

sudo ap_gen_virt monsite.fr

(pour générer le virtualhost de monsite.fr dans /etc/apache2/sites-enabled/monsite.fr.conf)

et voilà … il suffit maintenant de redémarrer le serveur apache pour profiter de ces nouvelles configs :

sudo /etc/init.d/apache2 restart

à noter que là aussi faire un sudo /etc/init.d/apache2 restart c’est pas très sexy, donc on peut exécuter la commande :

alias apctl=’/etc/init.d/apache2′

et là on peut donc redémarrer le serveur apache en tapant :

apctl restart

Voilà … terminé 😉

A noter que la convention voudrait que l’on fassent ça de façon plus propre en passant par un ServerName et/ou un ServerAlias genre :

<VirtualHost 192.168.0.10:80>
ServerName monsite.fr
ServerAlias www.monsite.fr
DocumentRoot /var/www/monsite.fr
</VirtualHost>

Primary Domain Controller sous Linux …

Bijour à tous …

Aujourd’hui juste un petit lien avec quelques petites explications ^^ (personnelles pour louer les mérites de l’article fournit en lien ;)).

Alors bon c’est quoi un Primary Domain Controller ?? (PDC pour les intimes) C’est un système qui permet plus ou moins de centraliser les authentifications sur les machines d’un réseaux et de permettre certains automatismes lors de la connexion des utilisateurs sur le réseaux (genre monter des lecteurs, lancer des services de monitoring, mettre à jour l’av, …), en utilisant divers services comme Samba et LDAP (je ne citerais pas les outils payant fournit par les p’tites boite d’informatique de quartier comme Microsoft ;)).

Pour faire court c’est grâce à ce genre de procéder qu’en entreprises, en universités, … on peut se logguer sur à peu près n’importe quel poste et avoir accès à son dossier personnel et … super utile quoi.;) (surtout sur mon réseau perso comprenant … 2 ordis ^^).

Sinon, plus sérieusement, la plupart des petites entreprises qui tentent « d’uniformiser » leurs réseaux, veulent au minimum un PDC (donc si vous cherchez du boulot ;)). Mais pourquoi j’en parle maintenant ?

<partie explication personnelle du pourquoi l’article est super bien expliqué, car sans lui, on peut perdre pas mal de temps>
Dernièrement, chez Advisa, l’apprenti-admin qui est dans la boite a dû mettre en place un PDC … pendant 2 à 3 semaines il s’est battu avec son serveur pour mettre en place le LDAP, le « synchroniser » avec Samba et permettre de se logguer.
</partie explication personnelle du pourquoi l’article est super bien expliqué, car sans lui, on peut perdre pas mal de temps>

Mais aujourd’hui (et ouai … we de geek!!), avec un peu de courage, j’ai tenté de monter la bête sur un réseaux virtuel (avec une machine debian en PDC et une machine windows pour l’authentification), après quelques recherches sur google, je suis tombé sur le lien plus haut … et en 1 heure c’était bouclé ^^ comme quoi, c’est super simple de monter un PDC!!

Le petit screen pour fêter ça :

pdc-sambaEnsuite, iI suffit juste d’utiliser la commande : (clin d’oeil à l’apprenti-admin en question … fan de caméra-café)

smbldap-useradd -a -c "Jean-Claude Convenant" -m -P jcconvenant

Pour créer un nouvel utilisateur ici jcconvenant (…), lui fournir un dossier personnel et l’autoriser à ce connecter sur une machine du réseaux. (Bien sûr, ensuite il faut créer des groupes, pour mieux gérer les droits, et … mais ça c’est fait en 2secs ou pas ;)).

Donc voilà, tous ce speech pour rien …

Sinon, quelque petites astuces pour rajouter son ordi au domaine :

Tout d’abord il faut modifier une ou deux clé(s) du registre de windows :
Celle-ci (parce que tous les sites qui parlent de PDC disent qu’il faut le mettre, mais ça n’a rien changé pour moi)

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices etlogonparameters “RequireSignOrSeal”=dword:00000000

et celle-ci pour avoir accès à ce panneau à l’écran de login :

ok-logintype

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon "LogonType"=dword:00000000

Mais avant d’obtenir cet écran, il faut ajouter son ordinateur au domaine :

Il faut donc aller dans les propriétés système :

ok-propriete-system

Il faut donc cocher « Membre de Domaine », en renseignant le domaine (ici PERSO.LAN).

Pour le Nom d’utilisateur, (ici j’ai filé le login et pass de l’admin du domaine … root ?)

ok-pajout-domaine

Après un redémarrage : (j’ai du changé le nom de l’ordinateur … conflit :p).

ok-ajout-domaineComme vous l’aurez remarqué, mon nom de domaine est PERSO.LAN … et si vous avez lu le tuto de damstux, il ne faut pas mettre de point dans le workgroup (allez savoir pourquoi … ^^), et pourtant ça marche … (grâce à la ligne ) :

ok-ajout-sambaet voilà… terminé 😉

Gnome : Désactiver la prévisualisation de medias

Bijour à tous …

Une rapide astuce aujourd’hui … pour désactiver la pré-visualisation d’images et de vidéos avec votre gestionnaire de bureau préféré.

Pourquoi ?

  • ça peut géner le déplacement dans des dossiers (genre l’appareil photo qui contient 700 photos)
  • ça bouffe du CPU (on s’en doutait)
  • ça bouffe de la ram (je cherche la petite bête au microscope …)
  • ça bouffe du DD (pour 500 mo dans le home … je suis Gripsou ^^ d’autant plus que l’on peut le baisser ou l’augmenter).

La manip :

ALT+F2 -> et on tape gconf-editor (sans le frapper trop fort bien sûr ;))

Puis on cherche la « clé » / -> desktop -> gnome -> thumbnailers,on clique dessus, une clé nommée « disable_all » s’affiche … il suffit de la cocher.

Si vous préférez disable un type particulier d’app, vous verrez sûrement les clé « application@type » dont il faut décocher la clé « enable » (on s’en doutait ;)).

Et vous voilà avec un gnome un peu plus répondant 😉

Obtenir une ipv6 lorsque son ISP ne propose que de l’ipv4

Kikoo à tous ^^

Dans les sujets qui n’ont aucun interêt … obtenir une ipv6 quand son FAI ne propose que de l’ipv4 … il vous faut bien entendu ubuntu!!!

Et effectuer la commande suivante.

sudo apt-get install tspc

Un rapide ifconfig vous renverra :

ipv6et vous pourrez fièrement accéder à ipv6.google.com ^^ … en vrai, très peu de site son accessible en IPv6. (à noter que le service n’est pas démarré au démarrage de l’ordinateur)

Si vous n’obtenez pas d’ip … retentez un sudo /etc/init.d/tspc start.

Petite remarque, l’ip fournit est dynamique, donc à chaque démarrage du service, on chope une autre ip … à part si l’on se crée un compte ici.

Il faudra ensuite modifier le fichier /etc/tsp/tspc.conf pour :

  • modifier le userid
  • modifier le passwd
  • décommenter la ligne « server=broker.freenet6.net »
  • et commenter la ligne « server=anon.freenet6.net »

et faite un zoli /etc/init.d/tspc start et hop … d’une ipv6 en fixe, d’une ^^.

A noter que la plupart des routeurs-firewall laissent passer l’ipv6 donc n’oubliez pas de configurer votre firewall ^^. Utile pour garder un accès au pc du bureau sans passer par un vpn 😉

On peut aussi utiliser ce superbe service sur windows en passant par da gateway!!  (Honte à vous si vous passez par ce lien :p).

Amusez-vous bien 😉

La nouvelle année commence bien ^^

Bonsoir à tous …

Bé voilà … en espérant que l’année 2009 débute bien pour vous 😉

Pour revenir en 2008 un instant …

Tout d’abord, une news sympa du security team de microsoft après un petit cafouillage … j’adore en général l’enrobage de l’article de ce blog genre celui-ci ou celui-là tentant à chaque fois de protéger les intérêts de microsoft, sachant que seul des personnes « au courant  » s’intéresse à ce blog, je ne comprends pas trop la prise de pincette pour la rédaction de ces articles ^^.

Sinon, ça aurait dû être la fin d’internet (pour rire bien sûr comme d’hab’) suite à l’exploitation du problème des collisions (la possibilité que deux sommes de contenu différent soient identiques) en MD5, qui était utilisé par verisign (en l’occurrence et quelques autres) pour valider leurs certificats racine, qui aurait pu permettre à des personnes plus ou moins bien intentionnés de générer des certificats valides et ainsi de pouvoir détourner du trafic chiffré et …

Heureusement, ce sont des chercheurs plutôt bien intentionnés, qui ont réussi le challenge en montant en parallèle quelques PS3 … 200 pour être précis :-p. Nous avons donc évité le pire ^^.

Bonne nuit 😉