Mémo Debian & VDR

Mise en oeuvre simple de iptable

michael — 2016-11-08T15:40:33Z

Ce petit tuto est la pour une mise en eouvre assez minimaliste de iptable.

Nous pouvons deja voir avec cette commande si des regles sont en place :

iptables -L -n

Nous devrions avoir ce type de resultat si nous avons aucune regle :

Chain INPUT (policy ACCEPT)
num target prot opt source destination Chain FORWARD (policy ACCEPT)
num target prot opt source destination Chain OUTPUT (policy ACCEPT)
num target prot opt source destination

Dans un premier temps, nous allons tout accepter sur l'adresse de loopback :

iptables -A INPUT -i lo -j ACCEPT

La suite des actions sont realise sur l'interface de la carte reseau. Pour faciliter la suite du document, nous allons initialiser une variable contenant le nom de notre interface reseau (Dans mon cas eth0) :

_ETHERNET="eth0"

Nous allons deja accepte toutes les requetes qui sont deja en statut etablis (cela evite de se faire killer :) ) :

iptables -A INPUT -i ${_ETHERNET} -m state --state RELATED,ESTABLISHED -j ACCEPT

Nous autorisons a present les connexions SSH sur le port 22 :

iptables -A INPUT -i ${_ETHERNET} -p tcp -m tcp --dport 22 -j ACCEPT

Nous allons activer une journalisation des paquets qui sont droppes pour ainsi aider a une analyse si quelques choses ne fonctionne pas :

iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "iptables-dropped: "
iptables -A LOGGING -j DROP

Tous les autres paquets sont a present droppe via cette commande :

iptables -A INPUT -i ${_ETHERNET} -j DROP

Mise en place de la persistance de notre configuration :

aptitude install iptables-persistent
iptables-save > /etc/iptables/rules.v4

la derniere commande iptables-save sera a refaire a chaque ajout/modification de regle iptables si nous ne voulons pas les perdre lors d'un reboot.

Configuration de syslog pour avoir un fichier de log particulier pour les DROP :

sed -i 's/^#\(.*imklog.*\)/\1/'g /etc/rsyslog.conf
printf ":msg, contains, \"iptables-dropped\" /var/log/iptables.log\n& stop\n" >> /etc/rsyslog.d/iptables.conf
systemctl restart rsyslog

Mise en place d'une rotation de cette log :

printf "/var/log/iptables.log\n{\n\trotate 4\n\tweekly\n\tmissingok\n\tnotifempty\n\tcompress\n\tdelaycompress\n\tsharedscripts\n\tpostrotate\n\t\tinvoke-rc.d rsyslog rotate > /dev/null\n\tendscript\n}\n" >> /etc/logrotate.d/iptables
printf "OK\n"

Mise en place d'un pont reseau

michael — 2016-10-28T09:33:44Z

Dans le cadre de l'utilisation de LXC par exemple, il est necessaire de mettre en place un bridge ethernet pour ainsi pouvoir faire communiquer nos containers via la carte reseau de notre serveur.

Cette documentation explique cette mise en place pour LXC.

Intallation du package

aptitude install bridge-utils

Aucune question sur cette installation.

Ajout du bridge dans la configuration reseau

printf "iface br inet static\n" > /etc/network/interfaces.d/bridge
printf "\tbridge_ports none\n" >> /etc/network/interfaces.d/bridge
printf "\tbridge_fd 0\n" >> /etc/network/interfaces.d/bridge
printf "\tbridge_maxwait 0\n" >> /etc/network/interfaces.d/bridge
printf "\taddress 192.168.1.1\n" >> /etc/network/interfaces.d/bridge
printf "\tnetmask 255.255.255.0\n" >> /etc/network/interfaces.d/bridge
printf "\t# Configuration du NAT\n" >> /etc/network/interfaces.d/bridge
printf "\tup iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE\n" >> /etc/network/interfaces.d/bridge

On autorise le forwarding de port au niveau du systeme :

printf "net.ipv4.ip_forward=1\n" >> /etc/sysctl.d/20-ipv4-forward.conf
sysctl --system

On peux a present monter notre interface reseau :

ifup br

Pour les explications sur les parametres mise en place, je vous invite a voir le man :

man bridge-utils-interfaces

Si vous avez mis en oeuvre un iptable, il faudra rajouter une regele pour autoriser l'utilisation du bridge. Vous pouvez inserer cette regle en position 2 par exemple :

iptables -I INPUT 2 -i br -j ACCEPT

Limite les acces par SSH

michael — 2016-06-20T09:21:56Z

Limiter les acces en SSH pour ainsi securise un peu plus les acces a notre environnement surtout si celui-ci est accessible en exterieur.

Permettre uniquement un acces par cle pour root

Le parametre PermitRootLogin permet de limiter les acces de root en ssh. Nous allons le permettre mais a l'unique condition que celui-ci utilise une cle SSH. Pour ce faire remplacer dans /etc/ssh/sshd_config, le parametre :
PermitRootLogin *
par
PermitRootLogin without-password

Autoriser uniquement les menbres d'un groupe a acceder en ssh

Le parametre AllowGroups permet de n'autoriser que les membres de ce groupe a acceder au serveur en ssh.

En premier lieu, creer un groupe ssh-allow :

addgroup --system ssh-allow

Ajouter nos utilisateurs dans ce groupe via cette commande :

adduser mon-user ssh-allow

Nous pouvons maintenant ajouter le parametre dans la configuration de sshd dans /etc/ssh/sshd_config :
AllowGroups ssh-allow

Vous pouvez maintenant redemarrer sshd.

ATTENTION : Avant de vous deconnecter de votre ssh, veuillez bien verifier que vous avez acces au serveur en ssh avec votre utilisateur

lftp - Erreur fatale : Certificate verification : Not trusted

michael — 2012-10-28T20:54:24Z

Lors de l'utilisation de lftp avec des sites utilisant le SSL dont le certificat n'a pas été certifié par une autorité reconnue, on peut rencontrer le message suivant :

Erreur fatale: Certificate verification: Not trusted

Si vous êtes sûr du site auquel vous souhaitez accéder, vous pouvez désactiver la vérification du certificat via la commande :

lftp> set ssl:verify-certificate no

Par contre, cette commande n'est pas définitive, elle ne concerne que la session en cours de lftp.

Il est possible de rendre cette configuration en ajoutant l'information dans le fichier /etc/lftp.conf ou dans /.lftprc qui n'impactera que votre utilisateur.

Installation du module Apache rpaf

michael — 2012-09-25T20:20:43Z

Pour diverses raisons, il peut être nécessaire dans son architecture de mettre en place un reverse proxy. La contre-partie de cette mise en place, c'est que le serveur apache final ne verra plus l'adresse IP réelle de l'utilisateur, mais celle du reverse proxy et donc toujours la même adresse IP. Pareil les variables telles que REMOTE_ADDR contiendra toujours l'adresse IP du proxy cela pourrait vous poser problème pour faire de la géolocalisation par exemple ou encore relevé l'adresse IP des dernières connexions d'un forum.

Pour toutes ces raisons, nous pouvons donc être amené à installer ce module qui nous permettra d'obtenir l'IP réelle de nos visiteurs.

Toutes les commandes seront réalisées avec le compte root.

Installation du module :
aptitude install libapache2-mod-rpaf

L'installation a automatiquement activé le module, mais si vous souhaitez être sûr ou suite à une désactivation, vous pouvez taper la commande suivante :
a2enmod rpaf

Si le module est déjà actif, vous obtiendrez l'information suivante :

Module rpaf already enabled

Après installation, le module a été automatiquement configuré avec l'adresse IP comme adresse de reverse proxy, vous souhaiterez peut-être modifier cette valeur. Cette valeur est à modifier dans le fichier : /etc/apache2/mods-enabled/rpaf.conf. Il suffit de remplacer devant RPAFproxy_ips le 127.0.0.1 par l'adresse IP de votre reverse proxy. Dans le cas, où il y aurait plusieurs adresses IP de reverse proxy, vous devez séparer les adresses IP par un espace.

Vous pouvez aussi utiliser la commande "sed" suivante, vous permettant de réécrire la ligne avec les valeurs souhaitées (remplacer IP_RP par votre/vos mod' title="Il faut mettre un espace devant la parenthèse.">mod' title="Il faut mettre un espace devant la parenthèse.">mod' title="Il faut mettre une espace devant la parenthèse.">adresse(s) IP) :
sed 's/^$RPAFproxy_ips$.*$/\1 IP_RP/'g /etc/apache2/mods-enabled/rpaf.conf

Suite à cette modification, il est nécessaire de rédémarrer Apache, vous pouvez utiliser le graceful qui est suffisant dans ce cadre :
/etc/init.d/apache2 graceful

Vous pouvez contrôler le bon fonctionnement en consultant vos logs Apache où vous devriez voir apparaître les IP réelles de vos utilisateurs et non celle du reverse proxy. Vous pouvez aussi contrôler le fonctionnement en construisant une page PHP, si votre serveur est capable de l'interpretter, qui vous renverra un certain nombre d'information dont REMOTE_ADDR. Pour ce faire créer un fichier phpinfo.php, par exemple, et coller le contenu ci-dessous dans le fichier :

<? phpinfo() ?>

Vous pouvez à présent via votre navigateur appeler la page suivante : http:/adresse_reverse_proxy/phpinfo.php Rechercher le mot clé REMOTE_ADDR, vous devriez voir votre adresse IP et non celle du reverse proxy.

Supprimer le fichier phpinfo.php qui donne un peu trop d'information.

Erreur apt/aptitude

michael — 2012-06-11T22:12:42Z

APT::Immediate-Configure
Erreur rencontre suite à une coupure réseau lors d'un update. Lors de la tentative d'installation de nouveau paquet, le message suivant était indiqué :

E: Impossible d'effectuer la configuration immédiate de « nom_paquet ». Veuillez consulter la page de manuel apt.conf(5) et notamment la section à propos de APT::Immediate-Configure, pour plus d'informations. (2)

Pour corriger ce probleme :
printf "APT::Immediate-Configure "false";\n" > /etc/apt/apt.conf.d/99immediate_configure

Vous devriez pouvoir faire votre installation ensuite.

Après votre installation, vous pourrez supprimer le fichier :
rm /etc/apt/apt.conf.d/99immediate_configure

Method rred has died unexpectedly

Lors de la mise à jour de la liste des paquets on peux rencontrer le message suivant :

E: Method rred has died unexpectedly!
E: Le sous-processus rred a commis une violation d'accès mémoire

Pour éviter cette erreur, il faut forcer le téléchargement des listes de packages et non pas utilisé les fichiers pdiff :
aptitude update -o Acquire::Pdiffs=false

Pour les mises à jour suivante, on peux de nouveau réutiliser la méthode classique.

Personnalisation aptitude

michael — 2010-02-07T15:23:40Z

Quelques astuces permettant de personnaliser le comportement de aptitude

Script /etc/cron.daily/apt lancé par cron

Le script qui est lancé périodiquement par cron est personnalisable via certaines variables.

Mettre automatiquement à jour

L'ajout de l'option APT::Periodic::Update-Package-Lists "n"; lance un apt-get update chaque n jour(s).

Ajout de la fonction :

printf 'APT::Periodic::Update-Package-Lists "1";\n' >> /etc/apt/apt.conf.d/10periodique

Télécharger automatiquement les paquets

L'ajout de l'option APT::Periodic::Download-Upgradeable-Packages "n"; lance la commande apt-get upgrade --download-only chaque n jour(s).

Ajout de la fonction :

printf 'APT::Periodic::Download-Upgradeable-Packages "1";\n' >> /etc/apt/apt.conf.d/10periodique

Nettoyage des paquets inutiles

L'ajout de l'option APT::Periodic::AutocleanInterval "n"; lance la commande apt-get autoclean chaque n jour(s).

Ajout de la fonction :

printf 'APT::Periodic::AutocleanInterval "1";\n' >> /etc/apt/apt.conf.d/10periodique

Comportement de aptitude

paquets recommandés

Par défaut, aptitude installe les paquets recommandés pour enlever cette option, il faut ajouter ceci :

printf 'APT::Install-Recommends "false";\n' >> /etc/apt/apt.conf.d/15recommande

Si de manière temporaire, vous souhaitez télécharger les paquets recommandés, il est possible de le faire en ajoutant le paramètre -r aptitude install paquet -r

Installation de Approx

michael — 2010-02-07T13:36:29Z

Installation du serveur d'archive Debian Approx.

Approx est très utile si vous avez plusieurs postes à mettre à jour sur votre réseau. Avec cette solution, vous ne téléchargerez qu'une seule fois le paquet sur Internet et les autres clients interrogeront votre serveur Approx.

Pré-requis

aptitude install approx

Configuration de Approx

L'ensemble de la configuration de Approx se passe dans le fichier /etc/approx/approx.conf

La configuration par défaut fournit par Debian fonctionne très bien, il faut juste rajouter les dépôts que Approx interrogera.

La syntaxe est la suivante :

debian http://ftp2.fr.debian.org/debian/

Quelques explications sur la ligne

debian => Nom du répertoire où seront disponible les paquets et qui sera utiliser pour le sources.list

http://ftp2.fr.debian.org/debian/ => Nom du serveur à interroger.

Exemple contenant les dépôts Debian, Sécurité, Multimedia

debian http://ftp2.fr.debian.org/debian/
security http://security.debian.org/
multimedia http://www.deb-multimedia.org/

Ceci est ajouter à votre fichier /etc/approx/approx.conf

Configuration du sources.list

Suite à l'installation, il est nécessaire de modifier le fichier sources.list de l'ensemble de vos stations pour qu'ils interrogent votre serveur Approx au lieu d'aller sur Internet.

Voici un exmple d'une ligne :

deb http://IP_serveur_Approx:9999/debian/ stable main contrib non-free

La syntaxe est exactement la même que d'habitude sauf qu'il faut mettre l'adresse IP du serveur Approx et le port d'écoute de Approx ainsi que le répertoire définit dans la configuration de Approx.

Exemple contenant les dépôts Debian, Sécurité et Multimedia

Ceci est basé sur l'exemple complet donné dans la configuration du fichier approx.conf et est pour une distribution stable.

# Stable principale - approx.conf : debian http://ftp2.fr.debian.org/debian/
deb http://IP_serveur_Approx:9999/debian/ stable main contrib non-free
deb-src http://IP_serveur_Approx:9999/debian/ stable main contrib non-free # Sécurité - approx.conf : security http://security.debian.org/
deb http://IP_serveur_Approx:9999/security/ stable/updates main contrib non-free
deb-src http://IP_serveur_Approx:9999/security/ stable/updates main contrib non-free # Multimedia - approx.conf : multimedia http://www.deb-multimedia.org/
deb http://192.168.1.254:9999/multimedia/ stable main

Conclusion

L'installation et la configuration de Approx est maintenant terminé pour que cela soit vraiment efficace, il est maintenant nécessaire de modifier l'ensemble des sources.list de vos PC pour qu'ils interroge le serveur Approx.

Mise à jour :
– Changement du domaine www.debian-multimedia.org (01.07.2012)
– Suppression des dépôts volatile (01.07.2012)

Installation de apt-p2p

michael — 2010-02-07T13:11:53Z

Installation du paquet apt-p2p permettant de télécharger en priorité sur les réseaux P2P les paquets Debian

Pré-requis

aptitude install apt-p2p

Configuration de apt-p2p

La configuration de apt-p2p tiens dans un seul fichier disponible dans /etc/apt-p2p/apt-p2p.conf. Par défaut, la configuration de apt-p2p conviens parfaitement.

Configuration réseau

Pour l'utilisation de cet outils, il est nécessaire d'ouvrir le port 9977 en TCP et UDP sur votre pare-feu, routeur, box...

Configuration du sources.list

Suite à l'installation de apt-p2p, il est nécessaire de modifier le fichier sources.list pour que celui-ci pointe sur le serveur mis en place par apt-p2p.

Votre syntaxe est certainement la suivante :

deb http://ftp2.fr.debian.org/debian stable main contrib non-free

Elle devra ensuite ressembler à ceci :

deb http://localhost:9977/ftp2.fr.debian.org/debian stable main contrib non-free

Quelques explications sur la ligne

deb => type deb ou deb-src pour les binaires ou les sources

http://localhost:9977/ => Accès au serveur apt-p2p

ftp2.fr.debian.org/debian => Miroir à utiliser si le paquet n'est pas disponible sur l'un des serveurs p2p

stable => Distribution à utiliser (stable, testing, unstable...)

main contrib non-free => Composant à récupérer

Ces lignes doivent être renseigné seulement pour les dépôts Debian principaux. Apt-p2p ne fonctionne pas pour les dépôts Sécurité, Volatile, Multimedia...

Conclusion

Lors de vos aptitude install, aptitude udate..., les fichiers seront en priorité téléchargés sur le réseau p2p et si celui-ci n'est pas disponible, il sera téléchargé sur le miroir.

Les mêmes sécurités restent activent (signatures...) en utilisant cette solution. Cela permet juste de limiter l'utilisation des serveurs principaux et de participer à une petite échelle à Debian.

Voir en ligne : Site officiel apt-p2p

Transfert image VDI vers disque physique

michael — 2010-01-31T12:42:14Z

Le but ici est de transformer une image disque de VirtualBox (fichier avec l'extension vdi) pour l'envoyer sur un disque dur physique pour utilisation normal dans un PC.

Voir les mises en gardes en fin de page.

Avant de créer votre machine dans VirtualBox, il faut connaitre la taille du disque physique. Pour ce faire, nous allons utiliser la commande fdisk (nécessite les droits root), il faut connaitre le nom du disque dans /dev/ dans mon exemple, le disque de destination sera /dev/sdc

fdisk -l /dev/sdc

Le résultat devrait être de ce type (les partitions pourront être différentes suivant l'ancienne configuration de votre disque) :

Disk /dev/sdc: 82.0 GB, 81964302336 bytes 255 heads, 63 sectors/track, 9964 cylinders Units = cylinders of 16065 * 512 = 8225280 bytes Disk identifier: 0x000c19dc Device Boot Start End Blocks Id System /dev/sdc1 * 1 12 96358+ 83 Linux /dev/sdc2 13 9790 78541785 8e Linux LVM

La ligne qui nous intéresse ici est la suivante, qui nous donne la taille de notre disque en bytes :

Disk /dev/sdc: 82.0 GB, 81964302336 bytes

Nous pouvons maintenant créer notre machine virtuelle dans VirtualBox et lors de la création du disque mettre la taille relevée plus haut. Soit pour mon cas 81964302336

Vous pouvez maintenant installer de manière classique votre OS dans VirtualBox.

Une fois que vous avez réalisé toutes les manipulations que vous vouliez dans VirtualBox, nous pouvons transformer notre image VDI.

Il est nécessaire d'avoir la taille du disque de destination disponible sur un autre disque pour effectuer les manipulations suivantes.

Création d'un répertoire qui recevra l'image disque convertie :

mkdir /chemin/avec/espace/disponible/convert

Transformation de l'image disque en raw :

VBoxManage internalcommands converttoraw ~/.VirtualBox/HardDisks/VirtualBox.vdi /chemin/avec/espace/disponible/convert/debian.raw

Mon image disque dans VirtualBox s'appelait VirtualBox.vdi et l'image transformée s'appellera debian.raw.

Nous pouvons maintenant transférer notre image disque de type raw sur le disque physique en utilisant la commande dd :

dd if=~/convert/debian.raw of=/dev/sdc bs=512

dd par défaut ne donne aucune statistique d'évolution de la copie mais il est tout de même possible de récupérer cette information en faisant un kill -USR1 dans une autre console :

kill -USR1 "num_PID_de_dd"

Vous devriez voir s'afficher les statistiques de copie sur la console où tourne dd.

A la fin de la commande dd, vous pouvez monter votre disque dans le PC de destination.

ATTENTION :
– Cette solution fonctionne bien avec Linux mais avec Windows, je ne suis pas sûr que cela fonctionne bien, car celui-ci est souvent trop lié au matériel
– Si le disque de destination est de type SATA dans VirtualBox, créez un device SATA et non IDE (par défaut) car vous pourriez rencontrer des soucis dans les noms de disques lors du démarrage sur le PC
– Il est préférable de supprimer le fichier /etc/udev/rules.d/70-persistent-net.rules avant d'arrêter votre machine hôte dans VirtualBox