Yoann's Blog

Des icones gratuites & de bonne qualité graphique

Yoann — Tue, 30 Mar 2010 16:07:00 +0200

Si vous recherchez des packs d'icônes (systèmes, web, ...) de bonne qualité graphique, je vous conseil la visite du site IconArchive :

Vous y trouverez de tout, des GPS, des voitures, mais bien sur toutes les icones "informatiques", disque dur, memoire, etc ...

http://www.iconarchive.com/

AstriEurop : salon Européen des solutions Asterisk - 14-15-16 Avril 2010, espace Champerret, PARIS

Yoann — Fri, 26 Mar 2010 16:14:00 +0100

AstriEurop, Le salon Européen des solutions Asterisk ce deroulera les 14-15-16 Avril prochain à l'espace Champerret à PARIS.

Au rendez-vous :

17 conférences dédiées à l'Open Source Asterisk
19 ateliers pour découvrir les produits et services du marché
Pas moins de 30 sociétés acteurs du marché seront représentées
DIGIUM est le Premier sponsor - stand et démonstrations.
Les partenaires :
- AASTRA Platinum sponsor
- WISP-e Gold sponsor
- SANGOMA Silver sponsor
- ALLNET Sponsor.
- etc ...
2 auteurs d'ouvrages sur Asterisk seront présents pour une séance de dédicace :
- mercredi 14 avril à 16h00 - Philippe Sultan - "Asterisk - La téléphonie d'entreprise libre"
- jeudi 15 avril à 16h00 - Sébastien DÉON - "VoIP et ToIP, Asterisk"

Plus d'info sur http://www.astrieurop.com

PS : L'accès au salon est gratuit (demandez votre badge sur le site d'astrieurop)

Le site de l'UMP de Rodez piraté

Yoann — Sat, 06 Mar 2010 12:41:00 +0100

Hacked by eymz & WaZo ... one more timz

Le site de l'ump de rodez (et visiblement quelques site du gouvernement) se sont fait piraté (le 25 Février2010 ??).

Indisponibilité des services hebergés (web, mail, etc ...) cette apres midi

Yoann — Fri, 05 Mar 2010 20:37:00 +0100

Suite à 2 coupures de courant sur le data-center de telehouse 2 (bld Voltaire) de la Zone EST du 1er étage, tous les services hébergés sur nos serveurs ont été indisponibles à plusieurs reprises cette après midi.

Même si nos serveurs hébergeant les différents services ne sont pas sur le site de telehouse2, nous en somme cependant totalement depend pour ce qui est de la connectivité et plus particulièrement la connectivité IPV6 qui n'arrive que pas TH2.

Pour vous donner une idée de lampleur qu'une coupure de courant peut provoquer, voici le "weather map" du réseau de nerim pendant la première coupure ou l'on peut voir que tous les liens arrivant sur le site de Voltaire (telehouse2) sont donc down.

Il faudra expliqué aux electriciens de Telehouse que faire du "green" ce n'est pas couper le courant :-)

Chrooter une session SSH utilisateur

Yoann — Thu, 04 Mar 2010 09:30:00 +0100

Vous souhaitez donner un accès SSH à vos utilisateurs, mais dans un environnement que vous maitrisez, dont vous pouvez limiter les commandes accessibles, mais aussi et surtout les mettres dans une "cage" (C'est dire qu'ils ne verront pas l'integralité du système de fichier, mais uniquement l'endroit où ils sont chrooter).

Installation du serveur ssh (si ce n'est pas déjà fait)

 apt-get install ssh openssh-server

Configuration du serveur ssh

Editer le fichier /etc/ssh/sshd_config

 vim /etc/ssh/sshd_config

Vérifier que la ligne ci-dessous est bien présente :

 Subsystem sftp /usr/lib/openssh/sftp-server

Ajouter le bloc ci-dessous à la fin du fichier pour chrooter l'utilisateur john:

 Match User john
     ChrootDirectory /chroot
     AllowTCPForwarding no
     X11Forwarding no

On peut aussi chrooter un ensemble d'utilisateurs (les utilisateurs du groupe users par exemple) :

 Match Group users
     ChrootDirectory /chroot
     AllowTCPForwarding no
     X11Forwarding no

Creation du dossier chroot

 mkdir /chroot

Les librairies necessaires a bash

 ldd /bin/bash

Installation des outils necessaire pour créer l'environnement chrooter

 apt-get install sudo debianutils coreutils

Récupération du script permettant de créer l'environnement chrooter

 cd /usr/local/sbin
 wget http://www.fuschlberger.net/programs/ssh-scp-sftp-chroot-jail/make_chroot_jail.sh
 chmod 700 /usr/local/sbin/make_chroot_jail.sh

Modification du script make_chroot_jail.sh

Editer le fichier /usr/local/sbin/make_chroot_jail.sh :

 vim /usr/local/sbin/make_chroot_jail.sh

Modifier la ligne APPS correspondant aux distrib. debian en fonction des commandes que vous souhaitez authoriser :

 [...]
 elif [ "$DISTRO" = DEBIAN ]; then
   APPS="/bin/bash /bin/cp /usr/bin/dircolors /bin/ls /bin/mkdir /bin/mv /bin/rm /bin/rmdir /bin/sh /bin/su /usr/bin/groups /usr/bin/id /usr/bin/rsync /usr/bin/ssh /usr/bin/scp /sbin/unix_chkpwd /bin/cat /bin/more /usr/bin/find /bin/which /bin/grep /bin/tar /usr/bin/tail /usr/bin/head /usr/bin/clear /usr/bin/less /usr/bin/wc /usr/bin/vim"
 [...]

Création de l'environnement chrooter

 cd /chroot/
 make_chroot_jail.sh john /bin/bash /chroot

//repondre a YES au questions//

Pour mettre a jour la liste des applications auxquelles l'utilisateur à le droits d'accèder :

 cd /chroot/
 make_chroot_jail.sh update /bin/bash /chroot

Problème avec le $HOME

Lorsque vous vous connectez avec votre utlisateurs john chrooter (en ssh), celui-ci a pour home /chroot/home/john/.

Si vous utilisez des clefs SSH pour vous y connecter le serveur ssh trouvera bien les clefs dans /chroot/home/john/.ssh/, mais lorsque vous arrivez dans votre environnement chrooter, /chroot correspond à la racine / de votre environnement et n'est donc pas accessible. Les fichiers .bashrc ne sont alors pas pris en compte, le cd ~ ne fonctionnera pas, etc ....

NOTE : J'aurais penser qu'une fois arrivé dans l'environnement chrooter le systeme aurait utiliser le fichier /chroot/etc/passwd, mais non ...

Pour résoudre ce problème :

Linker le home chrooter (/chroot/home/john/) de l'utilisateur vers le home non chrooter (/home/john/)

 rm -Rf /home/john/
 ln -s /chroot/home/john/ /home/john/

Changer le home dans /etc/passwd

Le script make_chroot_jail.sh modifie egalement le fichier /etc/passwd en transformant /home/john/ en /chroot/home/john/. (Notre $HOME est /chroot/home/john/ alors qu'il devrait être /home/john/ en environnement chrooter)

Il faut donc editer le fichier /etc/passwd et changer le home de l'utilisateur john

 /chroot/home/john/

par

 /home/john/

Lier un repertoire a notre environnement chrooter

Il peut être necessaire de donner accès depuis un environnement chrooter a une arboresence n'etant pas dans l'environnement chrooter. Par exemple l'arboresence /data/, pour cela nous utiliserons mount comme suis :

 mkdir /chroot/data/
 mount --bind /data/ /chroot/data/

Debian Lenny & Cacti : Vos graph cacti, plus jolies !

Yoann — Wed, 03 Mar 2010 12:13:00 +0100

Installater les fonts defoma

 aptitude install defoma

Configurer l'utilisation des fonts dans l'interface d'admin. de cacti

Settings -> onglet Visual

Changer la taille des fonts ainsi que la police d'ecriture :

Une font avec un rendu sympa : /var/lib/defoma/x-ttcidfont-conf.d/dirs/TrueType/DejaVuSans.ttf

Un flux RSS pour les alertes enlevements

Yoann — Tue, 17 Nov 2009 22:40:00 +0100

L'information n'est pas recente, et le service est disponible depuis mars 2009, mais vu que la plupart des lecteurs de ce blog possède un site perso, un blog, ... je sort ce billet un peu comme une piqure de rappel :-)

Depuis le 22 Mars 2009, le ministère de la Justice et particulièrement le site http://www.alerte-enlevement.gouv.fr/ propose un flux XML afin que nous puissions relayer l'information en cas d'alerte sur nos sites.

Si vous ne l'avez pas encore fait sur votre site/blog, vous ~~pouvez~~ devez rajouter cef flux XML ( http://www.justice.gouv.fr/rss/alerte_enlevement.xml ), qui en temps normal (et on l'espère pour la plupart du temps) reste vide et donc rien ne s'affiche sur votre site/blog. Mais en cas d'alerte, vous relayer automatiquement le message.

C'était le billet de bon citoyen :-p

Gérer une authorité de certification (CA) complète avec OpenSSL (SSL/TLS)

Yoann — Wed, 02 Sep 2009 23:50:00 +0200

Quand vous allez sur un site e-commerce celui-ci se doit d'être sécurisé (HTTPS).

Cette sécurisation s'effectue grace à TLS (ou SSL - Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS.) qui a pour objectifs :

l'authentification du serveur
la confidentialité des données échangées
l'intégrité des données échangées

Cela peut s'appliquer a des services aussi diverses que variés (POP, SMTP, IMAP, Jabber, FTP, VPN, ...) et ne se limite en aucun cas à HTTP. Sur le model OSI, ces services sont sur la couche 7 - applicative, tandis que SSL/TLS est sur la couche 5 - session.

Transport Layer Security (TLS), anciennement nommé Secure Socket Layer (SSL), est un protocole de sécurisation des échanges sur Internet, développé à l'origine par Netscape (SSL version 2 et SSL version 3). Il a été renommé en Transport Layer Security (TLS) par l'IETF suite au rachat du brevet de Netscape par l'IETF en 2001.

Je vous explique dans la suite de ce billet la mise en place d'une authorité de certification complete, qui va vous permettre de générer des certificats serveurs (http, ftp, pop, .., vpn, ..) & clients, de les signés, mais également de les revoquer.

Installation d'openssl

 apt-get install openssl

Préparation de l'arborescence et du fichier de configuration d'openssl

La premiere chose à faire est de créer une arborescence pour les fichiers de l'authorité de certification, ici /root/CA/ :

 mkdir -p /root/CA/queret.net/{certs,crl,newcerts,private}
 touch /root/CA/queret.net/index.txt
 echo "01" > /root/CA/queret.net/serial
 echo "01" > /root/CA/queret.net/crlnumber

Il nous faut maintenant configurer OpenSSL pour qu'il connaisse notre arboresence comme celle d'une AC. Nous allons copier le fichier openssl.cnf présent dans /etc/ssl/ dans notre arboresence avant de le modifier.

 cp /etc/ssl/openssl.cnf /root/CA/queret.net/

Vous devez changer :

 * dir             = /root/CA/queret.net

Le fichier de configuration est divisé en sections, qui commencent par [ nom_de_la_section ]

Une AC est définie dans une section, le nom de l'AC dans le contexte d'OpenSSL est défini par le nom de cette section. La section particulière [ ca ] permet de définir l'AC par défault.

Le fichier de configuration contient un exemple ([ CA_default ]) qu'on va utiliser comme base pour l'exemple :

Voir le fichier openssl.cnf complet.

Création de l'authorité de certification (CA)

Il nous faut créer la bi-clé auto-signé pour l'AC :

 cd /root/CA/queret.net
 openssl req -config /root/CA/queret.net/openssl.cnf -x509 -newkey rsa:1024 -days 3650 -keyout private/cakey.pem -out cacert.pem

 Generating a 1024 bit RSA private key
 ..........................++
 ...........++
 writing new private key to 'private/cakey.pem'
 Enter PEM pass phrase: xxxxxxx
 Verifying - Enter PEM pass phrase: xxxxxxx
 -
 You are about to be asked to enter information that will be incorporated
 into your certificate request.
 What you are about to enter is what is called a Distinguished Name or a DN.
 There are quite a few fields but you can leave some blank
 For some fields there will be a default value,
 If you enter '.', the field will be left blank.
 -
 Country Name (2 letter code) FR:
 State or Province Name (full name) Ile-de-France:
 Locality Name (eg, city) Paris:
 Organization Name (eg, company) Queret dot Net:
 Organizational Unit Name (eg, section) :
 Common Name (eg, YOUR name) :Queret dot Net AC
 Email Address :yoann@queret.net

Pour assurer la sécurité de la clé privée de l'AC, on restreint les permissions :

 chmod -R 600 /root/CA/queret.net/private

L'AC est maintenant configurée, on peut commencer à signer des demandes de certificats.

Génération d'un certificat serveur

On commence par générer une demande de certificat (un certificat non-signé).

 openssl req -config /root/CA/queret.net/openssl.cnf -newkey rsa:1024 -keyout queret.net.key -out queret.net.req

 Generating a 1024 bit RSA private key
 .........++
 ...........................................................++
 writing new private key to 'queret.net.key'
 Enter PEM pass phrase:
 Verifying - Enter PEM pass phrase:
 phrase is too short, needs to be at least 4 chars
 Enter PEM pass phrase: xxxxx
 Verifying - Enter PEM pass phrase: xxxxx
 -
 You are about to be asked to enter information that will be incorporated
 into your certificate request.
 What you are about to enter is what is called a Distinguished Name or a DN.
 There are quite a few fields but you can leave some blank
 For some fields there will be a default value,
 If you enter '.', the field will be left blank.
 -
 Country Name (2 letter code) FR:
 State or Province Name (full name) Ile-de-France:
 Locality Name (eg, city) Paris:
 Organization Name (eg, company) Queret dot Net:
 Organizational Unit Name (eg, section) :
 Common Name (eg, YOUR name) :*.queret.net
 Email Address :yoann@queret.net
 
 Please enter the following 'extra' attributes
 to be sent with your certificate request
 A challenge password :
 An optional company name :

il faut émettre, et signer le certificat à partir de la demande précédente :

 openssl ca -config /root/CA/queret.net/openssl.cnf -in queret.net.req -out queret.net.pem

 Using configuration from /root/CA/queret.net/openssl.cnf
 Enter pass phrase for /root/CA/queret.net/private/cakey.pem:
 Check that the request matches the signature
 Signature ok
 Certificate Details:
         Serial Number: 1 (0x1)
         Validity
             Not Before: Aug 17 19:17:10 2009 GMT
             Not After : Aug 17 19:17:10 2010 GMT
         Subject:
             countryName               = FR
             stateOrProvinceName       = Ile-de-France
             organizationName          = Queret dot Net
             commonName                = *.queret.net
             emailAddress              = yoann@queret.net
         X509v3 extensions:
             X509v3 Basic Constraints: 
                 CA:FALSE
             Netscape Comment: 
                 OpenSSL Generated Certificate
             X509v3 Subject Key Identifier: 
                 B4:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:BD
             X509v3 Authority Key Identifier: 
                 keyid:BB:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:7C
 
 Certificate is to be certified until Aug 17 19:17:10 2010 GMT (365 days)
 Sign the certificate? y/n:y
 
 
 1 out of 1 certificate requests certified, commit? y/ny
 Write out database with 1 new entries
 Data Base Updated

Pour eviter que vos services (apache, postfix, courier, ..) nous demande de saisir la passphrase a chaque lancement (penser au logrotate qui reload apache), il faut supprimer la passphrase de la clef :

 mv queret.net.key queret.net-secret.key
 openssl rsa -in queret.net-secret.key -out queret.net.key

Utilisation du certificat avec apache

Je vous conseil de placer les fichiers dans /etc/apache2/ssl/

 mkdir /etc/apache2/ssl/
 cp queret.net.pem /etc/apache2/ssl/
 cp queret.net.key /etc/apache2/ssl/
 cp cacert.pem /etc/apache2/ssl/

Ainsi vous pourrez utiliser dans la config. de apache :

 SSLEngine on
 SSLCertificateFile    /etc/apache2/ssl/queret.net.crt
 SSLCertificateKeyFile    /etc/apache2/ssl/queret.net.key
 SSLCertificateChainFile /etc/apache2/ssl/ca.crt
 SSLCACertificateFile    /etc/apache2/ssl/ca.crt
 SSLVerifyClient None

Vous pouvez egalement fournir à vos visiteurs le fichier /root/CA/queret.net/cacert.pem en le renommant en ca.crt. En ouvrant ce fichier avec un navigateur le visiteur ce verrant demander si il souhaite ajouter cette authorité aux authorité de confiance. Ansi il n'aura plus de message d'avertissement.

Utilisation du certificat avec postfix (serveur SMTP)

On ne va pas rentrer ici dans les details sur le comment configurer postfix pour utiliser les certificats, juste les directives appelant les fichiers :

 smtpd_tls_cert_file=/etc/postfix/ssl/queret.net.crt
 smtpd_tls_key_file=/etc/postfix/ssl/queret.net.key
 smtpd_tls_CAfile = /etc/postfix/ssl/ca.crt
 
 smtp_tls_cert_file = /etc/postfix/ssl/queret.net.crt
 smtp_tls_key_file = /etc/postfix/ssl/queret.net.key
 smtp_tls_CAfile = /etc/postfix/ssl/ca.ctr

Utilisation du certificat avec courier (serveur POP/IMAP)

Courrier (imapd ou pop3d) necessite d'avoir le certificat et la clef dans un seul fichier PEM que vous devrez construire comme suit :

 -BEGIN CERTIFICATE-
 <ici le contenu du fichier queret.net.crt>
 -END CERTIFICATE-
 -BEGIN RSA PRIVATE KEY-
 <ici le contenu du fichier queret.net.key>
 -END RSA PRIVATE KEY-

Pour pour la configuration de courier pop3d-ssl & imapd-ssl dans les fichiers /etc/courier/imapd-ssl & /etc/courier/pop3d-ssl

 TLS_CERTFILE=/etc/courier/ssl/queret.net.pem
 TLS_TRUSTCERTS=/etc/courier/ssl/ca.pem

Utilisation du certificat avec proftpd (serveur FTP)

 TLSRSACertificateFile                   /etc/proftpd/ssl/queret.net.crt
 TLSRSACertificateKeyFile                /etc/proftpd/ssl/queret.net.key
 TLSCACertificateFile                     /etc/proftpd/ssl/ca.pem

Générer une clef client

Il faut générer un bi-clé :

 openssl req -config /root/CA/queret.net/openssl.cnf -newkey rsa:1024 -keyout yoann.key -out yoann.req

 Generating a 1024 bit RSA private key
 .++
 ...++
 writing new private key to 'yoann.key'
 Enter PEM pass phrase: xxxxxx
 Verifying - Enter PEM pass phrase: xxxxxx
 -
 You are about to be asked to enter information that will be incorporated
 into your certificate request.
 What you are about to enter is what is called a Distinguished Name or a DN.
 There are quite a few fields but you can leave some blank
 For some fields there will be a default value,
 If you enter '.', the field will be left blank.
 -
 Country Name (2 letter code) FR:
 State or Province Name (full name) Ile-de-France:
 Locality Name (eg, city) Paris:
 Organization Name (eg, company) Queret dot Net:
 Organizational Unit Name (eg, section) :
 Common Name (eg, YOUR name) :Yoann QUERET
 Email Address :yoann@queret.net
 
 Please enter the following 'extra' attributes
 to be sent with your certificate request
 A challenge password :
 An optional company name :

Puis signer la demande de certificat par notre AC :

 openssl ca -config /root/CA/queret.net/openssl.cnf -in yoann.req -out yoann.pem

 Using configuration from /root/CA/queret.net/openssl.cnf
 Enter pass phrase for /root/CA/queret.net/private/cakey.pem:
 Check that the request matches the signature
 Signature ok
 Certificate Details:
         Serial Number: 2 (0x2)
         Validity
             Not Before: Aug 17 19:27:23 2009 GMT
             Not After : Aug 17 19:27:23 2010 GMT
         Subject:
             countryName               = FR
             stateOrProvinceName       = Ile-de-France
             organizationName          = Queret dot Net
             commonName                = Yoann QUERET
             emailAddress              = yoann@queret.net
         X509v3 extensions:
             X509v3 Basic Constraints: 
                 CA:FALSE
             Netscape Comment: 
                 OpenSSL Generated Certificate
             X509v3 Subject Key Identifier: 
                 DE:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:C8
             X509v3 Authority Key Identifier: 
                 keyid:BB:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:7C
 
 Certificate is to be certified until Aug 17 19:27:23 2010 GMT (365 days)
 Sign the certificate? y/n:y
 
 
 1 out of 1 certificate requests certified, commit? y/ny
 Write out database with 1 new entries
 Data Base Updated

Pour pouvoir importer la clé de l'utilisateur dans un navigateur web, il faut qu'elle soit au format PKCS#12:

 openssl pkcs12 -export -in yoann.pem -inkey yoann.key -out yoann.p12 -name "Yoann QUERET"

 Enter pass phrase for yoann.key:
 Enter Export Password:
 Verifying - Enter Export Password:

Utilisation de la clef client avec apache

Si vous voulez restreindre l'acces a votre site https au seul visiteurs possedant une clé PKCS#12, vous devez juste modifier la variable SSLVerifyClient à Yes dans votre configuration de apache.

 SSLVerifyClient Yes

Revoker un certificat

Pour révoquer un certificat, il est utile de connaître son numéro de série, car les certificats émis par l'AC sont stockés dans le répertoire /root/CA/queret.net/newcerts sous la forme <numéro>.pem. La correspondance entre les informations nominatives du certificat et le numéro de série est possible grâce à la base de donnée sauvée dans le fichier /root/CA/queret.net/index.txt.

 openssl ca -config /root/CA/queret.net/openssl.cnf -revoke ./newcerts/02.pem

Il faut également générer la CRL qui va permettre au serveur Apache d'être au courant de la revocation, par exemple :

 openssl ca -config /root/CA/queret.net/openssl.cnf -gencrl -out crl.pem

Il faut penser aussi a rejouter dans la configuration de apache :

 SSLCARevocationFile /etc/apache2/ssl/crl.pem

et de copier le fichier de la CRL a cette endroit :

 cp crl.pem /etc/apache2/ssl/crl.pem

Ressources

http://rtfm.asia/rubriques/systeme/98-apache-ssltls-mini-howto
http://www.andesi.org/reseau:gestion-de-certificats-avec-openssl

Apache, Forcer le téléchargement de fichier

Yoann — Thu, 27 Aug 2009 09:31:00 +0200

Vous avec sur votre serveur web, un repertoire http://siteweb.tld/bordel/ avec tout plein de fichiers dedans ...

Vous voulez que lorsque les visiteurs clique que l'un d'entre eux (une video par exemple) ce fichier soit téléchargé plutot qu'ouvert (affiché) dans le navigateur.

Pour cela, il suffit de créer un fichier .htaccess dans ce dossier /bordel/ et d'y mettre ce qui suis :

 <Files *>
   ForceType application/octet-stream
 </Files>

Tous les fichiers seront alors téléchargé, plutôt qu'ouvert par le navigateur.

Faite le curieux avec ngrep; le grep du reseau

Yoann — Wed, 26 Aug 2009 10:00:00 +0200

Ngrep est un outil de surveillance de paquets réseau.

D'une facilité d'utilisation deconsertante, le résultat en impressionant.

ATTENTION : On vous surveille !!!

Installation

 aptitude install ngrep

Exemple d'utilisation

Mettre en clair les mots de passe et utilisateurs qui passe par eth1/tcp/port 21 (une authentification ftp en sorte ..)

 ngrep -d eth1 -T "USER|PASS" tcp port 21

Le résultat lors d'une connexion FTP :

 interface: eth1 (193.17.192.xx/255.255.255.224)
 filter: (ip or ip6) and ( port 21 )
 match: USER|PASS
 ######
 T +4.434428 77.xx.xx.xx:39207 -> 193.17.192.xx:21 [AP]
 USER yoann..                                                                                                                                                                 
 ###
 T +0.014241 77.xx.xx.xx:39207 -> 193.17.192.xx:21 [AP]
 PASS xxxxxxxxxx..
 #############

La meme chose pour l'IMAP :

 ngrep -T "login" port 143

Et rien de bien plus compliqué pour le POP :

 ngrep -T "USER|PASS" port 110

Ma conclusion

Il n'y a rien de plus simple que de recupérer des logins/mots de passes sur des services non sécurisés.

Sécuriser vos services critiques avec SSL/TLS !

Asterisk + FreePBX sur Debian /Lenny/Ubuntu/... : Installation Script V.0.3.4

Yoann — Mon, 24 Aug 2009 14:00:00 +0200

J'aurais du vous annoncé la version 0.4 mais en attendant d'avoir un peu plus de temps pour finaliser tout ce que je veux faire pour cette version 0.4, voici la 0.3.4.

Il y a quelques corrections de bug, et améliorations dans cette version 0.3.4 !!

 - Passage de asterisk 1.4.22 a 1.4.26.1
 - Passage de la lipri 1.4.7 à 1.4.10.1
 - Passage des addons asterisk 1.4.7 à 1.4.9
 - Passage de dahdi linux 2.1.0.4 à 2.1.0.2
 - Passage de dahdi tools 2.1.0.2 à 2.2.0
 | La version de freepbx ne change pas (2.5.1)

Télécharger le script :

~~Francais : asterisk-freepbx_0.3.4_fr_2009-08-24.sh~~
Francais : asterisk-freepbx_0.3.4_fr_2010-01-14.sh
Anglais : no english version for 0.3.4 (from 0.4.0 this script are only in english)

Historiques de versions :

Consulter l'historique des versions (FR)

Mailing-List VOIP :

Afin d'être tenu au courant dès la sortie d'une nouvelle version du script, abonnez-vous à la mailing liste VOIP. Plus d'info sur le billet : asterisk-freepbx-mailing-liste

A NE PAS OUBLIER :

Il y a un problème avec le Flash Operator Panel (FOP) qui se ressoud très facilement en installant le module " FreePBX FOP Framework" depuis l'interface HTTP de votre FreePBX.
Dans tous les cas après installation, la 1ere chose a faire est de mettre a jours FreePBX en allant sur l'interface HTTP, (En haut à gauche onglet Tool, puis Module Admin) cliquer sur "Check for updates online" puis "Upgrade All" puis "Process".

Apache2 & authentification http & stockage login/mot de passe en base MySQL

Yoann — Mon, 24 Aug 2009 10:00:00 +0200

L'authentification HTTP, avec le stockage des login/mot de passe dans une base mysql c'est simple ... mais pas si simple ..

Historiquement, le package du module de apache permettant cette authentification etait disponible dans la version 3.0 (sarge) de Debian. Il avait completement disparu avec la version 4.0 (etch) et le revoilà maintenant de nouveau dans la version 5.0 (lenny)

Voici en detail la mise en place de cette authentification.

Il pourra d'ailleur être interessant d'utiliser une base de données déjà existant, afin de centraliser la gestion des identifiants.

Pré-requis

Nous avons bien sur besoin d'un serveur apache & d'une base de données mysql

 aptitude install apache2 mysql-server

Installation du packages

On install le module apache permettant l'authentification mysql :

 aptitude install libapache2-mod-auth-mysql

On active ce module :

 a2enmod auth_mysql

Recharger apache2 pour prendre en compte les changements :

 /etc/init.d/apache2 reload

Voila c'est installer !!

Création de la base mysql

 mysqladmin --user=root -p create httpauth

(saisir le mot de passe root mysql)

Creation de l'utilisateur mysql pour l'authentification

Nous pourrions nous connecter en root à notre base de données httpauth mais nous allons préférer créer un utilisateur mysql spécifique qui ne pourra accèder qu'a la base de données httpauth.

Nous allons appeler cette utilisateur : httpauth

Remplacer ci dessous <password_mysql_httpauth> pas le mot de passe que vous souhaitez donner à l'utilisateur httpauth

 mysql -u root -p mysql
 mysql> GRANT ALL ON httpauth.* TO httpauth@localhost IDENTIFIED BY '<password_mysql_httpauth>';
 mysql> flush privileges;
 mysql> quit;

Nous avons donc maintenant :

Une base de données : httpauth
Un utilisateur mysql : httpauth qui ne peux accèder qu'a la base de données httpauth

Creation de la table users

 mysql -u root -p httpauth

 CREATE TABLE `users` (
 `username` varchar(25) NOT NULL default '',
 `password` varchar(25) NOT NULL default '',
 `groups` varchar(25) NOT NULL default '',
 PRIMARY KEY (`username`),
 KEY `groups` (`groups`)
 ) ENGINE=MyISAM DEFAULT CHARSET=latin1;

Modifier votre vhosts

Ici je modifie le Vhosts par default, a vous de l'adapter en fonction de vos besoin.

On edite le fichier /etc/apache2/sites-enabled/000-default afin d'y ajouter AuthConfig à la directive AllowOverride.

Cela va nous permettre de gérer la configuration de l'authentification dans un fichier .htaccess

 <Directory />
   Options Indexes MultiViews FollowSymLinks
   AllowOverride AuthConfig Options FileInfo Limit
 </Directory>

Créer le fichier .htaccess contenant la configuration de l'authentification

Le fichier .htaccess doit être placé dans votre arboresence web (/var/www/ ?) à l'endroit où vous souhaitez qu'il y ai l'authentification.

 AuthMYSQL on
 AuthMySQL_Authoritative on
 AuthMySQL_Host localhost
 AuthMySQL_User httpauth
 AuthMySQL_Password <mot de passe mysql>
 AuthMySQL_DB httpauth
 AuthMySQL_Password_Table users
 AuthMySQL_Empty_Passwords off
 AuthMySQL_Encrypted_Passwords On
 AuthMySQL_Encryption_Types Crypt_MD5 Plaintext Crypt_DES PHP_MD5
 AuthMySQL_Username_Field username
 AuthMySQL_Password_Field password
 
 AuthName "private"
 AuthType Basic
 AuthBasicAuthoritative Off
 
 AuthUserFile /dev/null
 
 Require valid-user

Ajout d'un utilisateur dans la base de données

 mysql -u root -p httpauth
 INSERT INTO `users` VALUES ('<username>', '<password>', '<group>');

Changer <username>, <password> et <group> a votre convenance.

Le mot de passe peut également être encrypté comme suis :

 INSERT INTO `users` VALUES ('<username>',ENCRYPT( '<password>'), '<group>');

Ici le group n'est pas pris en compte dans notre configuration. (Il faut encore que je face quelques tests.)

Windows : Désactiver la possibilité de sauvegarder le mot de passe des connexions VPN

Yoann — Sat, 22 Aug 2009 07:00:00 +0200

On a beau expliquer à un utilisateur d'ordinateur portable sous Windows (ceux sous linux, on des partitions crypté), qu'il ne doit pas sauvegarder ces mots de passe de messagerie et de connexion VPN (au cas où il se fera voler sont portable) ...

Il le fait quand même ... ( LE faignant !! )

Pour remedier efficacement à cette problématique de faignantise, le moyen encore le plus sûr, est de ne pas permettre à l'utilisateur de sauvegarder son mot de passe (désactiver la cache à cocher).

Edition de la base de registre

A l'aide de regedit, vous devez rajouter une entrée dans la base de registre à ce niveau :

 HKLM\System\CurrentControlSet\Services\RasMan\Parameters

Ajouter une entrée Dword et appeler là "DisableSavePassword" et mettez la valeur à 1.

Via les scripts de demarrage :

Si vous utilisez des scripts de demarrage, vous pouvez rajouter un batch contenant ceci :

 reg add HKLM\System\CurrentControlSet\Services\RasMan\Parameters /v DisableSavePassword /t REG_DWORD /d 1 /f

Crypter/Chiffrer une partition avec dm-crypt et luks

Yoann — Fri, 21 Aug 2009 22:20:00 +0200

Surement un effet Hadopi, le cryptage c'est à la mode en ce momment !

Puisque les articles fleurisses dans les magazines papier & web, pourquoi pas ici ? :-)

Je vais vous décrire dans ce billet, comment crypter une partition sur votre distribution linux préféré Debian (ou Ubuntu .. ?) à l'aide de dm-crypt et luks (Linux Unified Key Setup).

ATTENTION !!!

Il n'est pas possible de crypter une partition existante sans en effacer les données
Si vous avez des données sur la partition que vous souhaitez crypter sauvegarder les avant !!!
TOUTES LES DONNEES DES PARTITIONS QUE VOUS ALLEZ CRYPTER SERONT EFFACEES

LUKS

Le projet LUKS, vise à standardiser le chiffrement de systèmes de fichiers. Les partitions LUKS peuvent être accédées aussi bien sous linux que sous Windows grâce à l’outil gratuit FreeOTFE.

http://en.wikipedia.org/wiki/Linux_Unified_Key_Setup
http://en.wikipedia.org/wiki/FreeOTFE

Préparation du système

Le kernel

Le kernel doit être, ou avoir été, compilé avec les options suivantes :

Pour un noyau 2.6.27, ces deux options se trouvent dans la rubrique Device drivers --> Multiple devices driver support (RAID and LVM).

CONFIG_BLK_DEV_DM (Device mapper support)
CONFIG_DM_CRYPT (Crypt target support)

Pour un noyau 2.6.27, ces trois options se trouvent dans la rubrique Cryptographic API.

CONFIG_CRYPTO_SHA256 (SHA224 and SHA256 digest algorithm)
CONFIG_CRYPTO_SHA512 (SHA384 and SHA512 digest algorithms)
CONFIG_CRYPTO_AES (AES cipher algorithms)

Rassurez-vous c'est le cas sur les kernel par default au moins sur Debian 5.0 & Ubuntu 8.04

Chargement des modules necessaires

 modprobe aes
 modprobe dm-mod
 modprobe dm_crypt

Chargement des modules au boot de la machine

 echo aes >> /etc/modules
 echo dm_mod   >> /etc/modules
 echo dm_crypt >> /etc/modules

Installation des packages necessaire

 aptitude install cryptsetup

Préparation du disque

Création de la partition à l'aide de fdisk

 fdisk /dev/sdb

pour supprimer toutes les partitions : d (a repéter pour toutes les partitions)
puis pour ajouter une nouvelle parition : n (les valeurs par default concernant les tailles, utilise tout l'espace du disque)
et enfin : w (pour enregistrer les changements)

Supprimer toutes les données de la partition Nous allons supprimé toutes les trace des données qui sont actuellement sur la partition. Il existe des outils dit de "forensic" comme TCT, qui peuvent retrouver des données effacées. Une donnée sur un disque dur disparait au bout d'environ sept écritures au même endroit, il existe un outil nommé shred qui effectue se genre de chose.

 shred -n 10 -v /dev/sdb1

Shred n'etant pas efficace pour la génération d'entropie (reproduit toujours la même séquence), on va donc généré de l'entropie depuis /dev/urandom

 dd if=/dev/urandom of=/dev/sdb1

Crypter le disque

Initialisez la partition

 cryptsetup --verbose --verify-passphrase luksFormat /dev/sdb1

On vous demandera de saisir une passphrase qui elle seul permettra de decrypter les données de la partition.

Prenez soins de bien la noter et quel soit assé compliqué.

Ouvrir le nouveau volume crypté L'opération consiste à mapper notre partition (crypté) avec une partition virtuelle (dé-crypté). On vous demandera bien-sûr lors de cette opération la passphrase permettant de dé-crypté la partition.

 cryptsetup luksOpen /dev/sdb1 data

La partition mapper (donc dé-crypté) ici data se trouvera dans /dev/mapper/

Pour vérifier que le volume est bien ouvert :

 ls -l /dev/mapper | grep data

Création du système de fichier (ext3 dans notre exemple) sur la partition crypté

 mkfs.ext3 /dev/mapper/data

Monter la partition

 mkdir /mnt/data/
 mount /dev/mapper/data /mnt/data/

Pour vérifier que le point de montage est bien visible :

 df -h

Ouvrir & monter la partition crypté au boot de la machine

ATTENTION !!!

Vous noterez bien que je ne dis pas ici Ouvrir & monter automatiquement.

Si vous decidez de monter votre partition au demarrage, la passphrase vous sera demandé avant même de charger les différents services (y compris réseau & bien sûr ssh). Pensez-y si vous le faite sur un serveur distant !!

Le fichier /etc/crypttab (à créer au besoin) décrit les périphériques de bloc chiffrés qui sont configurés au démarrage du système. Nous y ajoutons notre partition crypté

 echo "data /dev/sdb1 none luks" >> /etc/crypttab

data : correspond à notre mapping
/dev/sdb1 : correspond à la partition crypté
none : indique que nous n'utilisons pas de fichier de clef
luks : indique le type de cryptage utilisé

Modifier le fichier /etc/fstab : echo "/dev/mapper/data /data ext3 defaults 1 2" >> /etc/fstab

Ouvrir & monter la partition crypté manuellement Si vous utilisez une partition crypté sur un serveur, il vous faudra utiliser cette methode manuelle :

 cryptsetup luksOpen /dev/sdb1 data
 mount -a

Dé-monter & Fermer la partition crypté On commence par demonter la partition :

 umount /mnt/data/

Puis par fermer le mapping :

 cryptsetup luksClose data

Script d'installation d'asterisk + FreePBX repris et bien modifié :-)

Yoann — Thu, 04 Jun 2009 00:29:00 +0200

En testant un peu le nouveau moteur de recherche de M$ Bing.com, je suis tombé sur le blog de Matt Chipman http://www.corenetworks.com.au/ qui publie un billet sur l'installation vraiment facile d'asterisk sur debian ce qui nous donne dans la langue de Shakespeare really easy Debian Asterisk Install

Les modifications fait par Matt sont mineurs, et les améliorations apportés seront reprisent dans la prochaine version (qui tarde vraiment à sortir, mais en ce momment, je manque vraiment de temps)

Cela me fait vraiment plaisir de voir que mon petit bout de script est arrivé en australie, et est repris et optimisé.

FreeBox UPnP AV : Installation de MediaTomb sous Debian/Ubuntu

Yoann — Fri, 15 May 2009 15:46:00 +0200

Le 14 Mai 2009, Free ajoute une nouvelle fonctionnalité sur le boitier HD de la freebox.

Free simplifie la diffusion des contenus numériques sur la télévision

Cette nouvelle fonctionnalité, vous permet d'accèder aux contenus multimédia (Videos, Images, Audio) stocker sur vos postes informatiques et cela fonctionne aussi bien sous Windows, Mac, ou Linux !!! Vous y accèder quasiement comme si vous accèder à un partage réseau samba ou nfs.

Dans la suite de ce billet, je vais vous expliquer comment installer le serveur UPnP MediaTomb sur Ubuntu/Debian.

L'installation de MediaTomb est vraiment très très compliqué :

 aptitude install mediatomb

Et ca configuration encore plus; puisque qu'il n'y a rien d'autre a faire. :-)

Allumer maintenant votre freebox HD, appuyer sur le bouton FREE de la télécommande et aller faire un tour du coté du magnéto. Vous devriez voir apparaitre dans les Périphériques Réseaux "MediaTomb".

Et là vous aller me dir, ca marche pas, y'a rien a part un dossier "PC Directory" vide ....

Il faut effectivement indiquer a MediaTomb les repertoires que vous souhaitez partager. Pour cela, il faut vous rendre à l'url : http://<ipv4 de votre machine>:49152

On retrouve bien le dossier "PC Directory"

Pour ajouter un contenu, cliquer sur "FileSystem", vous y retrouverez toute l'arborescence de votre systeme linux.

Il suffit maintenant de choisir, dans la partie gauche, le dossier que vous souhaitez partager, et de cliquer sur le "+" en haut à droite. MediaTomb a partir de ce momment la, va analyser tous les fichiers conteu dans l'arborescence que vous lui avez indiquer.

Retourner sur la partie "Database", et vous verrez apparaitre des nouveaux dossiers "Audio, Photos, Video" pour peut que vous ayez ces 3 type de media dans l'arborescence choisis. (Attention, MediaTomb dois faire une découverte de tous les fichiers, si vous en avez beaucoup, il apparaitrons au fil de leur traitement.)

Vous retrouverez également dans "PC Directory" votre dossier partagé comme sur votre disque (chez moi /mnt/videos/)

Vous pouvez maintenant retournez sur votre FreeBOX HD, et vous verrez que vos fichiers sont accessible.

Conclusion : Fonctionnalité sympa, mais si la freebox est capable de lire la plupart des fichiers video et images, ce n'est pas le cas pour ce qui est des fichiers audios. Les videos sont fluides (rien a dire), pour ce qui est des images, photos, le temps de chargement est long, et la qualité (pixelisation) assez mediocre. Pour l'audio, c'est simple ca ne marche pas du tout (mp3, flac, ogg, wav la freebox n'affiche meme pas les fichiers dans le navigteur).

Introduction à l'utilisation de apache2 en repartiteur de charge / load balanceur (mod_proxy & mod_proxy_balancer)

Yoann — Thu, 30 Apr 2009 19:05:00 +0200

Je vous présente dans la suite de ce billet une introduction à l'utilisation de apache2 (=> 2.1) en repartiteur de charge / load balanceur (mod_proxy, mod_proxy_http & mod_proxy_balancer).

J'ai essayé de faire une approche assez didactic. (Les problématiques seraient différents sur un cas concret)

Repartiteur de charge / Load balanceur avec apache2 par l'exemple

Nous avons un site web diffusant du contenu images et videos (media) hébergé sur un serveur.

Ayant une grand quantité d'image et de medias à servir, ca consomme beaucoup de ressources processeurs et on aimerais pouvoir avoir les images, les medias, et le site web sur des machines différents.

Ce site web est bien consu, car nous avons :

un dossier /images/
un dossier /media/

Nous allons donc ici mettre en place un système de proxy, grace a apache2.

Après avoir installer une Distribution Debian 5.0 Lenny (qui dispose d'un apache2 supérieur à la version 2.1), nous allons avoir quelques configuration à effectuer.

On installe le module mod_proxy de apache2

 # aptitude install apache2 libapache2-mod-proxy-html

On active les modules proxy & proxy_http de apache2

 # a2enmod proxy
 # a2enmod proxy_http

Par default les droits sur le mod_proxy est très limitatif, on edite le fichier /etc/apache2/mods-available/proxy.conf en remplacant

 Deny from all

par

 Allow from all

Puis nous allons editer le fichier /etc/apache2/sites-enabled/000-default et ajouter

 ProxyRequests off
 ProxyPass / http://10.0.0.1/
 ProxyPass /images/ http://10.0.0.10/
 ProxyPass /medias/ http://10.0.0.20/

Après un rédemarrage de apache2 (apache2ctl restart) notre système de proxy est fonctionnel.

http://monsite.com/ arrive bien sur le serveur web
http://monsite.com/images/ arrive bien sur le serveur images
http://monsite.com/medias/ arrive bien sur le serveur medias

Aie !!!

Nos images et videos sont tellement consommatrices de ressources processeurs coté serveurs, qu'il serait interessant de dupliquer les serveurs images & medias et de faire du loadbalancing.

Il va nous falloir activer le module proxy_balancer de apache2

 # a2enmod proxy_balancer

Et bien sûr adapter notre configuration dans le fichier /etc/apache2/sites-enabled/000-default

 ProxyRequests off
 ProxyPass / http://10.0.0.1/
 
 <Proxy balancer://monClusterImages>
               BalancerMember http://10.0.0.10:80
               BalancerMember http://10.0.0.11:80
 </Proxy>
 
 <Proxy balancer://monClusterMedias>
               BalancerMember http://10.0.0.20:80
               BalancerMember http://10.0.0.21:80
 </Proxy>
 
 ProxyPass /images/ balancer://monClusterImages/
 ProxyPass /medias/ balancer://monClusterMedias/

Nous avons ici créé 2 groupes de machines (monClusterImages & monClusterMedias) qui sont utiliser par la suite dans la regle de ProxyPass.

http://monsite.com/ arrive bien sur le serveur web
http://monsite.com/images/ arrive bien sur l'un des deux serveurs images
http://monsite.com/medias/ arrive bien sur l'un des deux serveurs medias

Pou gérer ce load balanceur, vous pouvez rajouter a ce même fichier :

 <Location /balancer-manager>
               SetHandler balancer-manager
               Order Deny,Allow
               Deny from all
               Allow from host.monfai.net
 </Location>

N'oubliez pas de changer le "host.monfai.net" par votre adresse IP, ou votre hostname ou *.votredomaine.tld.

Il vous suffit maintenant de vous rendre a l'adresse http://monsite.com/balancer-manager pour voir le status de chaque serveur. Vous avez également la possibilité de "Désactiver" un serveur.

Si un des serveurs d'un groupe de machine, ne repond plus, notre proxy sera capable de le detecter et d'envoyer les requêtes a celui encore debout ;-)

SSH : Sécuriser un serveur SSH

Yoann — Wed, 29 Apr 2009 16:21:00 +0200

Ce billet est la suite de celui sur l'utilisation des clefs publique et privée ave SSH.

Nous verrons ici comment sécuriser notre serveur SSH (le daemon sshd)

PermitEmptyPasswords

Sur le serveur dans /etc/ssh/sshd_config, vous pouvez ajouter la ligne

 PermitEmptyPasswords no

Ceci interdit de pouvoir ce logger avec un mot de passe vide.

PermitRootLogin

Sur le serveur dans /etc/ssh/sshd_config, vous pouvez ajouter la ligne

 PermitRootLogin no

Ceci interdit de pouvoir ce logger avec l'utilisateur root. Effectivement celui-ci existe sur toutes les machines linux, et il ne resterait donc aux pirates qu'a trouver le mot de passe au lieu d'avoir a chercher un couple login + mot de passe.

 PermitRootLogin without-password

Si l'utilisation du login root est requis - ex. pour un system de backup distant - vous pouvez authoriser la connexion en root uniquement par l'utilisation de clefs

 PermitRootLogin forced-commands-only

Il est aussi possible de limiter l'acces root a utiliser des commandes spécifiques

Port

Aujourd'hui les pirates, scan nos serveurs, et si il trouve un port 22 (celui de SSH) à l'ecoute, ils risquent de vouloir essayer de ce connecter. Pour cela, une solution simple est de changer le port sur lequel ecoute le daemon SSH

 port 2222

PasswordAuthentication

Sur le serveur dans /etc/ssh/sshd_config, vous pouvez ajouter la ligne

 PasswordAuthentication no

Attention, ceci desactive l'authentification par mot de passe, vous ne pourrez alors utiliser que l'authentification par clefs.

Protocol

Sur le serveur dans /etc/ssh/sshd_config, vous pouvez ajouter la ligne

 Protocol 2

Ceci n'authorise que l'utilisation de la version 2 de SSH. La verison 1 n'etant plus sûr.

StrictModes

Sur le serveur dans /etc/ssh/sshd_config, la ligne "StrictModes yes" indique que le serveur va être très pointilleux sur les droits du compte sur lequel on se connecte en ssh. Ceci permet de bloquer les connexions ssh si :

Le group, ou tout le monde peut ecrire dans le dossier de l'utilisateur
Le dossier ~/.ssh n'est pas accessible en lecture/ecriture qu'a l'utilisateur
Le dossier ~/.ssh/authorized_keys n'est pas accessible en lecture qu'a l'utilisateur

Pour tout bien faire comme il faut :

 serveur$ chmod go-w ~/
 serveur$ chmod 700 ~/.ssh
 serveur$ chmod 600 ~/.ssh/authorized_keys

Sur le client, dans /etc/ssh/ssh_config, rajoutez la ligne "PreferredAuthentications publickey"

MaxStartups

Sur le serveur dans /etc/ssh/sshd_config, vous pouvez ajouter la ligne

 MaxStartups 10

Spécifie un nombre maximal de connexions concurrentes au démon sshd non authentifiées. Les connexions supplémentaires sont purgées si elles ne peuvent pas s'authentifier ou si le délai de grâce défini à l'aide de l'option LoginGraceTime expire pour une connexion. Par défaut 10.

 MaxStartups 10:30:60

Par ailleurs, on peut activer une purge hâtive aléatoire en spécifiant un triplet « début:taux:total » (par exemple, « 10:30:60 »). sshd refuse les tentatives de connexion avec une probabilité de « taux/100 » (30 %) s'il y a « début » (10) connexions non authentifiées en cours. La probabilité augmente linéairement et toutes les tentatives de connexion sont refusées si le nombre de connexions non authentifiées atteint « total » (60).

AllowUsers

Sur le serveur dans /etc/ssh/sshd_config, vous pouvez ajouter la ligne

 AllowUsers john david

Cela pécifie les logins des seuls utilisateurs autorisés à se connecter (ici john & david)

Ressources

http://www.delafond.org/traducmanfr/man/man5/sshd_config.5.html
http://fedorasolved.org/post-install-solutions/securing-ssh

SSH : Statistques sur les echecs d'authentification

Yoann — Tue, 28 Apr 2009 11:38:00 +0200

Voici de quoi avoir quelques statistiques sur les echesc d'authentification SSH.

top 5 des comptes qui on eu echec d'authentification

 # awk 'gsub(".*sshd.*Failed password for (invalid user )?", "") {print $1}' /var/log/auth* | sort | uniq -c | sort -rn | head -5
   723 root
    66 admin
    45 test
    39 ftpuser
    34 mysql

top 5 des adresses IP qui on eu echec d'authentification

 # awk 'gsub(".*sshd.*Failed password for (invalid user )?", "") {print $3}' /var/log/auth* | sort | uniq -c | sort -rn | head -5
   1042 193.251.XXX.XXX
   556 85.21.XXX.XXX
   373 218.189.XXX.XXX
   284 121.156.XX.XXX
   228 121.140.XX.XXX

SSH : Gestion des clefs SSH

Yoann — Mon, 27 Apr 2009 22:58:00 +0200

Je ne vais pas ici vous expliquer pourquoi SSH est beaucoup plus sûr que Telnet, Rlogin, FTP, etc ..., qui transmettent les mots de passe en clair sur le réseau..

Outre le fais de pouvoir s'identifier avec un login et un mot de passe qui transitent crypté sur le réseau, SSH permet également de s'authentifier avec des clefs publiques & privées.

Ce billet est une présentation de l'utilisation des clefs publiques / privées

Introduction

SSH offre l'Authentification par clé publique/privée au lieu de simples mots de passe. Ainsi, il faut être en possession de non plus une mais de deux informations pour se connecter (avoir la clé privée & connaître le mot de passe de cette clé).

Le système de clef se decompose en deux partie, la clef privée (celle que vous devez garder secret et protégé), et la clef publique (celle que vous devez communiquer et installer sur les serveurs distants)

Génération des clefs

Génération des clefs sous Linux

Sous linux, la commande suivante permet de créer le jeu de clef publique et privée.

 ssh-keygen -t dsa

Il vous sera demandé de confirmer l'emplacement où seront stocké les fichiers contenant les clefs, ainsi que la passphrase (mot de passe de la clef privée)

 Generating public/private dsa key pair.
 Enter file in which to save the key (/home/yoann/.ssh/id_dsa): 
 Enter passphrase (empty for no passphrase): xxxx
 Enter same passphrase again: xxxx
 Your identification has been saved in /home/yoann/.ssh/id_dsa.
 Your public key has been saved in /home/yoann/.ssh/id_dsa.pub.
 The key fingerprint is:
 ef:eb:ed:5a:91:fa:75:97:34:31:ed:b0:77:a7:3f:eb yoann@cube

Vous trouverez donc dans le dossier .ssh de votre home ces deux fichiers :

id_dsa : Il contient la clef privée
id_dsa.pub : Il contient le clef publique

Génération des clefs sous Windows

Si vous utilisez ssh depuis un poste Windows, vous connaissez surement l'utilitaire putty (si ce n'est pas le cas, ce n'est pas le but de ce billet que de présenter putty).

Nous allons utiliser ici, l'utilitaire puttygen.exe ( voir le site de putty )

Il faut sélectionner le type de clef SSH2 (DSA) et ensuite lancer la génération des clefs en cliquant sur le bouton Generate.

Pour générer les clés, n'oublier pas de bouger la souris.

Après la génération, il est possible d'entrer une passphrase (ou non, mais c'est moins secure).

Puis, il faut enregistrer les clefs :

la clé publique en cliquant sur "Save public key" sous le nom id_dsa.pub
la clé privée en cliquant sur "Save private key" sous le nom id_dsa.

Installation de la clef publique sur le serveur distant

Il faut maintenant envoyer au serveur votre clef publique pour qu'il puisse vous crypter des messages.

L'utilisateur distant doit avoir cette clef (c'est une ligne de caractères en code ASCII) dans son fichier de clé d'autorisation situé à « ~/.ssh/authorized_keys » sur le système distant.

Installation de la clef depuis Linux

Employez la commande ssh-copy-id.

ssh-copy-id est un script qui utilise ssh pour se connecter à une machine à distance en utilisant le mot de passe de l'utilisateur. L'authentification par mot de passe "PasswordAuthentication yes" doit donc être autorisée dans le fichier de configuration du serveur ssh. Il change également les permissions des répertoires : /.ssh/authorized_keys de l'hôte distant pour enlever l'accès en écriture du groupe (qui vous empêcheriez de vous connecter si le serveur distant ssh a "StrictModes yes" dans son fichier de configuration).

 ssh-copy-id -i ~/.ssh/id_dsa.pub <username>@<ipaddress>

ou bien si le port est différent de celui par default (22)

 ssh-copy-id -i ~/.ssh/id_dsa.pub "-p <num_port> <username>@<ipaddress>"

Si l'authentification par mot de passe est désactivée, alors vous aurez besoin de copier-coller votre clé suivant un autre moyen.

 ssh login@serveur "echo $(cat ~/.ssh/id_dsa.pub) >> .ssh/authorized_keys"

Installation de la clef depuis Linux

Il vous faudra copier la clef dans le fichier .ssh/authorized_keys du serveur en utilisant scp.

Utilisation

Maintenant que nous avons ajouté notre clef publique sur le serveur, nous devenons un hôte de confiance.

Utilisation des clefs sous Linux

 ssh <username>@<ipaddress> -p <num_port>

Vous devrez saisir votre passphrase et plus votre mot de passe vous connecter. La différence entre le mot de passe et la passphrase est que le mot de passe est situé dans /etc/passwd du système distant alors que la passphrase sert à déchiffrer votre clé privée de votre système local.

Utilisation des clefs sous Windows

Je vous invite a regarder les liens suivants (pourquoi réinventer la roue ...) :

http://www.betaphile.net/index.php/2008/03/09/12-s-authentifier-par-cle-publique-privee-avec-putty-sous-windows

Voilà vous avez maintenant sécurisez votre connexion a l'aide d'une clef qui est elle meme protégée par un mot de passe.

Nous verrons dans un autre billet, comment sécuriser un serveur SSH.