Plop …
Un petit retour sur l’article du failover mysql avec les clusters de red hat.
» En lire plus:Fake fencing sur Red Hat6
Archive pour le ‘Administration’ catégorie
Fake fencing sur Red Hat6
16 janvier 2012Ossec et stats sur munin
16 mai 2011Plop à tous …
Encore un article sur Ossec … avec cette fois-ci quelques exemples de statistiques à afficher avec munin. Les scripts sont extrêmement simple à modifier pour chercher des infos spécifique à certaines exploitations propres à une infrastructure données (web, mails, …).
Le but de l’article est de présenter rapidement comment créer des graphes sur munin en bash
» En lire plus:Ossec et stats sur munin
Améliorer les performances d’apache avec nginx
15 avril 2011Plop à tous …
Comme vous l’aurez surement remarqué, la quasi-totalité de mes derniers articles sont tirés d’expériences (plutôt foireuses) me poussant souvent à remettre en questions certaines notions que je pensais acquises … cet article n’y couperas pas :s.
Après avoir vénéré les serveurs apache pendant 7 ans, j’ai eu récemment à m’asseoir sur mes convictions et à installer nginx pour avoir des performances convenable …
» En lire plus:Améliorer les performances d’apache avec nginx
Connecter un réseau de machines virtuelles sur un réseau local
13 avril 2011Plop à tous …
Les tutos concernant les interconnexions entre réseaux virtuelles et réseaux locaux sont légions sur internet, mais leur propretés pour le réseau ou leur flexibilité laissent souvent à désirer (entre les techniques foireuse à coup de nat iptables, les rejeux arp via parprouted et j’en passe).
» En lire plus:Connecter un réseau de machines virtuelles sur un réseau local
SSL via GNUTLS sur apache2
12 mars 2011Plop à tous …
Aujourd’hui j’ai joué a « qui a la plus grosse » config ssl et c’est là que j’ai remarqué que le mod_ssl d’apache ne supportait que les protocoles SSLv3 et TLSv1.0 (le TLSv1.1 est en cours de dev) ce qui donnait un score pitoyable à mon blog sur ssllabs (qui permet d’avoir une idée du niveau de sécurité de l’implémentation ssl/tls d’un serveur web).
(Au passage certaine banques françaises en sont encore au niveau F, donc c’était déjà pas trop mal pour un blog ^^).
Protection DDos et ban de masse
5 mars 2011Plop …
J’ai eu droit à ma première intervention sur serveur DDosé, au départ 2/3 machines qui envoyaient des paquets SYN en boucle sur un serveur minecraft (écrit en java donc avec 200 SYN/sec le serveur tombe), et à la fin c’est environ 150 machines qui se sont relayés pour Dosé.
La plupart du temps lorsque l’on recherche des protections DDos on trouve des sites qui recommandent de mettre direct un limit sur un port sans tenir compte de la source … ce qui peut se révéler utile sur des petits serveurs, mais pas lorsque l’on tourne à plusieurs centaines de connexion seconde.
[OSSEC et SSH]Bannissement ip définitif de cracker
19 février 2011plop,
today du ban au menu, à la base j’utilise au minimum fail2ban pour me protéger des attaques par bruteforce et ossec pour une protection plus personnalisée, mais depuis peu, j’ai remarqué que bannir un host 5/10 minutes ne servait à rien contre des machines automatisées dédiée à cette tâche, et une fois la période de ban terminée recommençaient leur manège, me polluant de mails me signalant une tentative de bruteforce.
» En lire plus:[OSSEC et SSH]Bannissement ip définitif de cracker
Configuration de processus apache au poil …
5 février 2011salut à tous …
Aujourd’hui on va parler configuration de processus apache … J’ai eu l’occasion en 3-4 jours de connaitre des problèmes sur plusieurs serveurs différents liée à une surconsommation de mémoire due à apache et à sa gestion des processus faisant littéralement planter mon blog (ça swap mal un RPS! donc 2 crash de la machine en 24 heures … avec les nouveaux prix des serveurs dédiés de chez online.net … je risque probablement de migrer prochainement 
).
WXen administration simplifiée de machine Xen
1 février 2011Plop à vous,
Aujourd’hui, je vous présente, un rapide script/web qui permet d’administrer (en fait : démarrer, arreter, susprendre et reprendre), vos machines Xen via une interface web en cgi-bin (un script sh histoire de faire Geek … avec plein de commandes loufoques comme à mon habitude ^^ : du sed, du awk, du grep, …).
» En lire plus:WXen administration simplifiée de machine Xen
OpenVPN et authentification par CA, Login et mot de passe
7 novembre 2010plop à tous.
Aujourd’hui, un rapide tuto, sur la mise en place d’une authentification via le module PAM sur votre OpenVPN.
ATTENTION, comme on passe par une authentification par login/mot de passe, la sécurité est moins élevée qu’un système d’authentification par certificat serveur et client, néanmoins, il faut encore le certificat serveur, donc on peut considérer que le niveau de sécurité est encore pas mal élevé.
On va partir de l’idée que vous avez suivi ce tuto pour installer votre serveur VPN, et que donc votre config serveur ressemble à celle-là :
-
port 1194
-
proto udp
-
;proto tcp
-
;dev tun
-
dev tap
-
-
ca /etc/openvpn/keys/ca.crt
-
cert /etc/openvpn/keys/$server.crt
-
key /etc/openvpn/keys/$server.key
-
dh /etc/openvpn/keys/dh1024.pem
-
-
server 10.8.0.0 255.255.255.0
-
ifconfig-pool-persist /etc/openvpn/ipp.txt
-
-
push "redirect-gateway"
-
-
push "dhcp-option DNS $SERVER_DNS1"
-
push "dhcp-option DNS $SERVER_DNS2"
-
-
comp-lzo
-
keepalive 10 120
-
-
log /var/log/openvpn.log
-
log-append /var/log/openvpn.log
-
status /var/log/openvpn-status.log
-
-
verb 3
il vous suffit alors de rajouter ces 3 lignes à la fin du fichier :
-
client-cert-not-required
-
username-as-common-name
-
plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth
Et redémarrez le serveur.
Il sera alors possible d’utiliser comme identifiant les utilisateurs du système sur lequel est installé le VPN.
Pour qu’un utilisateur puisse se connecter en VPN, sans qu’il soit autorisé à se connecter au sytème, il suffit de déclarer son shell comme /bin/false.
-
useradd -s /bin/false monUtilisateur
-
sudo passwd monUtilisateur
Le passwd est nécessaire sous certain système linux, car en passant par l’option useradd -p monmotdepasse, le mot de passe est enregistré en clair, alors que le système utilise un chiffrement, rendant l’utilisation du mot de passe impossible.
Il est ensuite possible de se connecter via le NetworkManager via login/mdp et CA :
.
Pour ceux voulant utiliser un ldap pour automatiser la création d’un compte, il suffit de configurer le module pam pour utiliser votre ldap.
