Exemple avec l’utilisateur “paul”:

root@test:~/# passwd -l paul

Cette commande permets d’assigner a l’utilisateur paul un mot de passe non imprimable et impossible a taper sur un clavier.

Le principe est de renseigner dans son serveur DNS un clef RSA qui matchera celle ajouter par le serveur SMTP lors de l’envoie de l’email.

DKIM est la norme retenu par Yahoo! pour ne pas etre considere comme du spam lors de l’envoie d’un email a un utilisateur yahoo.

Commencons par install DKIM:

apt-get install opendkim

Par defaut la configuration se trouve a l’emplacement /etc/opendkim.conf.

Nous allons prendre le cas de deux noms de domaines (2, 3, 4, 1000 domaines.. la logique reste la même):

• undomaine.com
• deuxdomaine.com

Nous travaillerons dans le repertoire suivant: /tmp/opendkim

Commencons par generer nos certificats:

root@kenny:/tmp/opendkim# openssl genrsa -out private-undomaine.com.key 1024
Generating RSA private key, 1024 bit long modulus
………………………++++++
……………………..++++++
e is 65537 (0×10001)
root@kenny:/tmp/opendkim# openssl rsa -in private-undomaine.com.key -out public-undomaine.com.key -pubout -outform PEM
writing RSA key
root@kenny:/tmp/opendkim#

Meme chose pour le deuxieme domaine:

root@kenny:/tmp/opendkim# openssl genrsa -out private-deuxdomaine.com.key 1024
Generating RSA private key, 1024 bit long modulus
………………………++++++
……………………..++++++
e is 65537 (0×10001)
root@kenny:/tmp/opendkim# openssl rsa -in private-deuxdomaine.com.key -out public-deuxdomaine.com.key -pubout -outform PEM
writing RSA key
root@kenny:/tmp/opendkim#

Copions ces clefs dans un emplacements dedié:

root@kenny:/tmp/opendkim# mkdir /etc/opendkim
root@kenny:/tmp/opendkim# chmod 755 /etc/opendkim
root@kenny:/tmp/opendkim# cp private-undomaine.com.key /etc/opendkim
root@kenny:/tmp/opendkim# cp private-deuxdomaine.com.key /etc/opendkim

Passons a present a la configuration de opendkim.

Voici le contenu du fichier /etc/opendkim.conf:

Syslog yes
UMask 002
InternalHosts refile:/etc/opendkim/trusted-hosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
LogWhy yes
SyslogFacility mail

Les 3 lignes les plus importantes sont les suivantes:

InternalHosts refile:/etc/opendkim/trusted-hosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable

InternalHosts: Liste d’ips authoriser a etre signé par DKIM

KeyTable: Indique la correspondance selector -> clef

SigningTable: Fait la liaison domaine -> Selector

Voici leur contenu:

root@kenny:/tmp/opendkim# cat /etc/opendkim/SigningTable
*@undomaine.com mail._domainkey.undomaine.com
*@deuxdomaine.com mail._domainkey.deuxdomaine.com
root@kenny:/tmp/opendkim# cat /etc/opendkim/KeyTable
mail._domainkey.undomaine.com undomaine.com:default:/etc/opendkim/private-undomaine.com.key
mail._domainkey.deuxdomaine.com deuxdomaine.com:default:/etc/opendkim/private-deuxdomaine.com.key
root@kenny:/tmp/opendkim# cat /etc/opendkim/trusted-hosts
127.0.0.1
localhost
0.0.0.0/0
root@kenny:/tmp/opendkim#

A present il faut renseigner les clefs public dans vos serveurs DNS, par exemple voici le contenu d’une de mes clefs publics:

root@kenny:/tmp/opendkim# cat public-undomaine.com.key
—–BEGIN PUBLIC KEY—–
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCbbHf7RyMB5j7Md4oxQFjINe5B
xsgxyZvn8DK8anE3pYe9DfLTZr2aFYQ2NRUxWq441n83jpaszd/NJdQW+gc8JZav
595xfygpnLtP5QL5RD9Xi9xsyKidOPfpEks30BsP/8LncL7C3W3EFqXpLeHOT0Zl
U2fhhAdNpR0zjo4yXwIDAQAB
—–END PUBLIC KEY—–
root@kenny:/tmp/opendkim#

Ajoutez l’entrez suivante dans votre configuration DNS pour undomaine.com:

_domainkey.undomaine.com. IN TXT “t=y; o=-;”
mail._domainkey.undomaine.com. IN TXT “k=rsa; t=y; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCbbHf7RyMB5j7Md4oxQFjINe5B
xsgxyZvn8DK8anE3pYe9DfLTZr2aFYQ2NRUxWq441n83jpaszd/NJdQW+gc8JZav
595xfygpnLtP5QL5RD9Xi9xsyKidOPfpEks30BsP/8LncL7C3W3EFqXpLeHOT0Zl
U2fhhAdNpR0zjo4yXwIDAQAB”

Attention mail._domainkey.undomaine.com doit etre sur une seule ligne !

Faites la meme chose pour deuxdomaine.com

Ajoutez ceci a votre /etc/postfix/main.cf:

milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:12345
non_smtpd_milters = inet:localhost:12345

Activer opendkim:

root@kenny:/tmp/opendkim# cat /etc/default/opendkim
# Command-line options specified here will override the contents of
# /etc/opendkim.conf. See opendkim(8) for a complete list of options.
#DAEMON_OPTS=”"
#
# Uncomment to specify an alternate socket
# Note that setting this will override any Socket value in opendkim.conf
#SOCKET=”local:/var/run/opendkim/opendkim.sock” # default
#SOCKET=”inet:54321″ # listen on all interfaces on port 54321
SOCKET=”inet:12345@localhost” # listen on loopback on port 12345
#SOCKET=”inet:12345@192.0.2.1″ # listen on 192.0.2.1 on port 12345
root@kenny:/tmp/opendkim#

Il ne vous reste plus qu’a redemarrer postfix et opendkim puis a faire des tests en telnet, dans le mail vous devriez voir le header DKIM:

root@kenny:/tmp/opendkim# /etc/init.d/postfix restart && /etc/init.d/opendkim restart
Stopping Postfix Mail Transport Agent: postfix.
Starting Postfix Mail Transport Agent: postfix.
Restarting OpenDKIM: opendkim.
root@kenny:/tmp/opendkim#

Procurve#show time

Mon Jan 1 00:04:21 1990

Procurve#configure

Procurve#sntp unicast

Procurve#sntp server <ip server NTP>

Procurve#timesync sntp

Procurve#show time

Mon Jan 16 10:35:27 2012

Personnellement j’adore les procurve …

Ces derniers temps avec la crise Hadopi & co, la mode est au VPN… et pour cause quoi de plus beau que l’anonymat sur le nain ternet ?

Je vais vous expliquer comment mettre en place votre propre VPN pour au choix, être géolocalisé dans un pays différents du votre ? (Streaming?) ou tout simplement pour salir l’ip de votre dédié préféré !

Dans cet exemple nous aurons donc un serveur dedié nommé “serveur” et une machine cliente nommé cliente ! (Cet exemple permet aussi d’utiliser le VPN sur un device de type iPhone ou Android)

Commençons par installer le serveur pptp sur notre serveur debian:

serveur#apt-get install pptpd

Dans mon cas, je sais que je n’aurai jamais plus d’un client connecté a mon VPN à la fois et je décide de dédier a ce VPN le sous réseau suivant: 10.13.13.0/24

Voici donc le contenu de mon fichier /etc/pptpd.conf:

serveur# cat /etc/pptpd.conf | grep -v ‘^$’ |grep -v ‘^#’
option /etc/ppp/pptpd-options
logwtmp
localip 10.13.13.1
remoteip 10.13.13.2-3

Voici le contenu de mon fichier /etc/ppp/pptpd-options:

serveur# cat /etc/ppp/pptpd-options | grep -v ‘^$’ |grep -v ‘^#’
name NomdeVotre.VPN
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 8.8.8.8
proxyarp
lock
nobsdcomp
mtu 1490
mru 1490

On note le nom de votre VPN ainsi que les DNS publics de google qui seront utilisés par le client VPN

Je souhaite également pouvoir m’authentifier par login / password, pour cela il faut renseigner le fichier /etc/ppp/chap-secrets

serveur# cat /etc/ppp/chap-secrets
monlogin NomdeVotre.VPN  monpassword *

Le quatrième champs peut être utilisé pour faire un restriction par adresse IP cliente.

Coté serveur il ne reste plus qu’a redemarrer le service pptpd:

# /etc/init.d/pptpd restart

Vérifions à l’aide d’un ifconfig -a que le service est bien lancé que l’ip local est bien assignée:

server# ifconfig -a ppp0

ppp0 Link encap:Point-to-Point Protocol
inet addr:10.13.13.1 P-t-P:10.13.13.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
RX packets:6628 errors:0 dropped:0 overruns:0 frame:0
TX packets:11701 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:1123537 (1.0 MiB) TX bytes:8077239 (7.7 MiB)

Coté client, il ne reste plus qu’à configurer votre client pptp sous windows, iPhone, ou Android !

Un petit coup de MASQUERADE vous sera tres utile:

IPTABLES -t nat -A POSTROUTING -o eth0 -s 10.13.13.1/30-j MASQUERADE

Puis enfin activer le forward :

echo 1 > /proc/sys/net/ipv4/ip_forward

Verifier votre ip de sortie

Sur votre dedié vous pouvez faireu ne ping sur la machine cliente:

serveur

serveur# ping 10.13.13.2
PING 10.13.13.2 (10.13.13.2) 56(84) bytes of data.
64 bytes from 10.13.13.2: icmp_req=1 ttl=64 time=97.9 ms
64 bytes from 10.13.13.2: icmp_req=2 ttl=64 time=224 ms
64 bytes from 10.13.13.2: icmp_req=3 ttl=64 time=148 ms

P.S: on ne s’affole pas il s’agit du fabuleux réseaux 3g d’orange …

That’s done !!

iPhone VPN

D’ordinaire je ne suis que peu interressé par les offre de beta testing, et pourtant cette fois-ci, les 25 Go gratuits m’ont plutôt motivé!

Pour creer un compte rien de plus simple il suffit de télécharger l’applicatif adéquat (disponible a l’heure d’aujourd’hui: Android, iPhone, Windows), de le lancer pour s’inscrire:

hubic1

Lors de la face d’inscription un tcpdump montre que nous sommes bien sur du sécurisé avec du httpps a gogo, sur un windows on decouvre une interface QT assez sympa.

Pour le moment je n’ai pas encore prit le temps de lire les CGV, parce que bon, si je dois déposer toutes mes photos sur un compte gratuit pour commencer je réagirai assez mal à sa suppression arbitraire ou autre.

L’interface iPhone est simple mais au moins on s’y retrouve:

hubic-iphone

Bref, vivement le client Linux et/ou BSD ? :)

OVH continue de surfer sur la vague du cloud et ils ont bien raisons !

For example if you need to extract file/directory named blog from archive arch.tar.gz you can use the following command:

tar -zxvf arch.tar.gz directory/where/is/blog

You can extract files by using extensions too:

tar -xf arch.tar.gz –wildcards –no-anchored ‘*.php’

I hope these commands could help us.

Ci-dessous un reportage tourné par M6 sur le sujet en question (reportage supprimé sur dailymotion a la demande de M6)

First connect you to your mysql server as root:

# mysql – u root -p

Then use the following request:

mysql> select table_schema as BDD,round(sum(data_length+index_length)/1024/1024,2) as ‘Size(MB)’ from information_schema.tables group by table_schema;

+———————+———-+

| BDD                 | Size(MB) |

+———————+———-+

| database1  |    24.88 |

| information_schema  |     0.00 |

| mysql               |     0.51 |

+———————+———-+

3 rows in set (0.30 sec)

This script display only traffic on VPN, you can’t get state like OK, WARNING, CRITICAL, this script will only print,performance data related to traffic on vpn (like bandwith consumption)

You can download this script there

This is the reason why, i’ll explain how to create a tinyproxy’s package including this compilation option.

First, edit your /usr/ports/www/tinyproxy/Makefile like the following:

# New ports collection makefile for:    tinyproxy
# Date created:         01 Jul 1999
# Whom:                 Mitsuru Yoshida <mitsuru@riken.go.jp>
#
# $FreeBSD: ports/www/tinyproxy/Makefile,v 1.30 2009/10/19 18:41:40 wxs Exp $
#

PORTNAME=       tinyproxy
PORTVERSION=    1.6.5
PORTEPOCH=      1
CATEGORIES=     www
MASTER_SITES=   https://www.banu.com/pub/tinyproxy/1.6/

MAINTAINER=     wxs@FreeBSD.org
COMMENT=        A small, efficient HTTP proxy server

USE_RC_SUBR=    tinyproxy.sh
GNU_CONFIGURE=  yes
USE_GMAKE=      yes
CONFIGURE_ARGS= –bindir=${PREFIX}/sbin \
–with-config=${PREFIX}/etc/tinyproxy.conf \
–program-transform-name=”"
MAKE_JOBS_SAFE= yes

MAN8=           tinyproxy.8

OPTIONS=        REVERSE “Enable reverse proxy support” Off \
TRANSPARENT “Enable transparent proxy” Off

.include <bsd.port.pre.mk>

.if defined(WITH_REVERSE)
CONFIGURE_ARGS+=        –enable-reverse
.endif

.if defined(WITH_TRANSPARENT)
CONFIGURE_ARGS+=        –enable-transparent-proxy
.endif

post-patch:
@${REINPLACE_CMD} -e ‘s|-O2||’ ${WRKSRC}/configure
@${REINPLACE_CMD} -e ‘s|/etc/tinyproxy/tinyproxy.conf|${PREFIX}/etc/tinyproxy.conf|’ \
${WRKSRC}/doc/tinyproxy.8
@${REINPLACE_CMD} -e ‘s|/usr/share/tinyproxy|${DATADIR}|’ \
${WRKSRC}/doc/tinyproxy.conf

post-install:
@if [ ! -f ${PREFIX}/etc/tinyproxy.conf ]; then \
${CP} -p ${PREFIX}/etc/tinyproxy.conf-dist \
${PREFIX}/etc/tinyproxy.conf ; \
fi

.include <bsd.port.post.mk>

Be carefull, note that indentation is really important in Makefile!

Now just create the package by using:

make package

After a few seconds you’ll have a pakage store in this path:

/usr/ports/packages/All/tinyproxy-1.6.5,1.tbz