Proxmox Virtual Environnement

Proxmox VE s’installe sur un serveur nu, à partir d’une image iso téléchargeable sur le site officiel. Etant donné qu’il repose sur une distribution Debian Lenny, il est tout à fait possible de l’installer, sur un système existant, à partir de paquets. La dernière version (1.8) utilise les extensions de virtualisation des processeurs 64 bits, elle n’est disponible que pour cette architecture, inutile donc,  de tenter une installation sur une machine 32 bits.

Une interface web d’administration offre une surveillance et une gestion simplifiée des machines virtuelles KVM (kernel-based Virtual Machine) et para-virtuelles OpenVZ . Nous pouvons en quelques clics, créer, modifier, supprimer, démarrer, arrêter, suspendre ou visualiser l’état d’une machine.

Des outils, en lignes de commandes, permettent des fonctionnalités plus poussées, telles que la sauvegarde à chaud par snapshot ou la restauration.  Enfin, des fonctions de clustering permettent, par exemple, la migration à chaud de machines virtuelles d’un serveur physique à un autre.

Je vous propose ci-dessous, trois petites démonstrations en screencast. La première montre l’utilisation de l’interface Web pour la création et l’installation d’un serveur virtuel kvm sous Debian Squeeze, la deuxième, le clonage de ce serveur à l’aide des outils de snapshot et de restauration et enfin, la troisième, la création d’un cluster de deux serveurs Proxmox VE ainsi que la migration d’une machine virtuelle d’un serveur vers l’autre.

Démo n°1 – Installation d’un serveur virtuel Debian.

Click here to view the video on YouTube.

Démo n°2 – Utilisation des outils de sauvegarde et de restauration pour le clonage d’une VM.

Click here to view the video on YouTube.

Démo n°3 – Création d’un cluster Proxmox VE et migration à chaud.

Click here to view the video on YouTube.

Sources :

• Site officiel Proxmox,
• Wikipedia.

Le problème principal de système, tel qu’il est décrit, est l’absence de maîtrise de la bande passante utilisée… Quand les « synchros » se mettent en route, la connexion Internet en prend un coup, souvent au dépend d’autres services. En bref, « ça rame dur ! ».

Une bonne solution pour ne pas pénaliser l’utilisation courante du réseau serait de gérer de la QoS (qualité de service), mais ça reste assez lourd à mettre en place… La gestion de la QoS au sein d’un réseau fera très probablement l’objet d’un prochain billet. En attendant, je vais aborder une solution très simple, qui permet de limiter la bande passante au niveau des clients.

« Trickle » est un gestionnaire de bande passante en espace utilisateur. Dans son utilisation la plus simple, il permet de lancer une commande en limitant sa bande passante montante (upload)  ou descendante (download), avec, respectivement, les options ‘-u‘ et ‘-d‘.

L’exemple suivant va lancer « wget » (pour télécharger les sources d’un noyau linux depuis kernel.org) en limitant l’utilisation de la bande passante à 20 Ko/s :

$ trickle -d 20 wget -c  http://www.kernel.org/pub/linux/kernel/v2.6/testing/linux-2.6.35-rc3.tar.bz2

Autre exemple : l’utilisation d’unison pour synchroniser un dossier via ssh en limitant le débit montant à 10 Ko/s et le débit descendant à 30 Ko/s.

$ trickle -u 10 -d 30 unison ~/JopaOne ssh://joel@monserveur.jopa.fr//home/joel/JopaOne

Trickle peut fonctionner en mode « collaboratif » grâce à un démon : trickled, qui peut, lui aussi, être lancé en espace utilisateur. Contrairement à l’utilisation précédente, la limitation n’est plus définie pour chaque commande mais  la bande passante maximale est passée en paramètres au démon et partagée par toutes les instances de trickle.

$ trickled -u 10 -d 30 

$ trickle unison /home/joel/JopaOne ssh://joel@monserveur.jopa.fr//home/joel/JopaOne -batch

$ trickle wget -c  http://www.kernel.org/pub/linux/kernel/v2.6/testing/linux-2.6.35-rc3.tar.bz2

Si besoin, il est également possible de prioriser certaines applications par rapport à d’autres pour ce partage de ressources. Je vous renvoie vers le man ou le site du projet pour la liste des options et paramètres disponibles.

Lien :

Trickle (http://monkey.org/~marius/pages/?page=trickle)

Tor (The Onion Router) est un réseau permettant la transmission anonyme de paquets TCP au travers d’internet…

…Au lieu d’emprunter un itinéraire direct entre la source et la destination, les paquets de données suivent une trajectoire aléatoire à travers plusieurs relais…

La suite de ce billet donne une brève introduction à Tor et à son principe de fonctionnement, pour finir par un exemple pratique d’installation et d’utilisation.

Comment ça marche ?

Après interrogation d’un serveur Tor, le client reçoit une liste de noeuds. Il construit alors un chemin aléatoire au travers, de telle sorte que chaque relais ne connaisse que l’adresse de son prédécesseur et de son successeur. Aucun noeud ne connait à lui seul le chemin complet.

Un nouveau chemin sera recalculé régulièrement.

Pour garantir sa confidentialité dès le départ, un paquet tcp est chiffré « en couches » successives avec la clef publique de chaque noeud, en commençant par le dernier…

Lorsque le paquet parcours son chemin, chaque couche de chiffrement sera enlevée par son noeud respectif, jusqu’au dernier, qui transmettra alors le paquet en clair au serveur destinataire. Je vous laisse faire l’analogie avec l’oignon… Même si mon schéma est un peu « carré ».

Il faut être conscient, cependant, que Tor a ses limites : Il gère seulement le transport des paquets TCP et n’assure pas de protection en UDP. Protocole utilisé entre autres pour les requêtes DNS. De plus, une page web peut récolter directement des informations privées (dont l’adresse IP), directement auprès du navigateur, par l’utilisation de Javascript ou la lecture de cookies.

Pour la navigation Web, on va généralement coupler Tor  à un serveur mandataire (proxy) tel que privoxy. Ce dernier va faire l’interface entre le navigateur et Tor, tout en fournissant un filtrage anonymisant supplémentaire (gestion des cookies, des accès, suppression des pubs, etc…).

En pratique

Tor est disponible sous licence BSD et facilement installable pour la majorité des distributions Linux et BSD. Il est également disponible pour de nombreuses plateformes telles que Windows, OSX ou Androïd… si si !).

Sous Ubuntu 10.4 :

 # echo "deb http://deb.torproject.org/torproject.org lucid main" >
         /etc/apt/sources.list.d/tor.list
 # gpg --keyserver keys.gnupg.net --recv 886DDD89
 # gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | apt-key add -
 # apt-get update
 # apt-get install tor privoxy
. 

Un (tout) petit peu de configuration…

/etc/privoxy/config/

...
#  Décommenter la ligne suivante pour connecter Privoxy à Tor
forward-socks5   /               127.0.0.1:9050 .
...
# Il peut être judicieux de commenter la ligne suivante pour
# que les logs ne soient pas écrits.
# logfile logfile
...

On redémarre tout ça :

 # /etc/init.d/tor restart
 # /etc/init.d/privoxy restart

Privoxy doit ensuite être déclaré comme proxy dans les préférences du navigateur ou directement dans les préférences réseaux de Gnome. Dans l’exemple, nous avons bien une installation locale (127.0.0.1) et le port laissé par défaut (8118).

Le premier indice permettant de conclure que la configuration est bonne est la lenteur de la navigation. Le passage au travers du réseau Tor ne se fait pas sans perte de performances…

Le second peut se trouver sur la page : http://www.monip.org, qui ne devrait plus retourner notre adresse IP publique, mais celle du dernier relai traversé.

Au delà de la navigation

Au delà de la navigation web et des services pris en charge par le proxy, TOR est capable de sécuriser les connexions d’autres services grâce à la commande « torify« . Par exemple, la commande suivante permet une connexion ssh à travers le réseau Tor.

$ torify ssh mon.serveur.public.et.fictif.com

Voilà pour un petit tour rapide au pays de Tor… Pour (beaucoup) plus d’informations, je vous conseille de visiter le site officiel du projet et sa page Wikipédia.

Liens :

• Tor Project,
• Wikipedia – Tor (Réseau),
• Privoxy.

Ces deux applications sont très similaires et proposent, entre autre, un espace de stockage en ligne de 2 Go, dans une version de base gratuite, ainsi que des options payantes permettant d’étendre la capacité à 50 Go ou plus. A ce jour, il faut compter un peu moins de 10 € par mois pour 50 Go. Dropbox propose un système de parrainage qui vous fera gagner 250 Mo supplémentaires chaque fois que vous parrainez une nouvel inscrit (dans la limite de 8Go).

Les fichiers sont accessibles depuis n’importe quel ordinateur connecté à Internet via une interface web. Ceci n’est pas pour déplaire à Mamie,  qui se voit rassurée de pouvoir sauvegarder ses précieuses recettes de cuisine à l’abri d’un incendie ou de je ne sais quelle autre catastrophe domestique.

L’installation d’un logiciel client sur un ou plusieurs postes va permettre de synchroniser un répertoire local avec l’espace de stockage en ligne. Ainsi, un fichier ajouté dans ce dossier sera automatiquement ajouté par synchronisation dans l’espace en ligne.  Ce dernier se synchronisera à son tour avec les autres machines sur lequel le client est installé. C’est très pratique pour Mamie, qui peut taper sa recette de cookies au chocolats sur l’ordinateur de son bureau et l’emporter à son club de cuisine sur son Ipad automatiquement synchronisé – Qu’elle frimeuse cette mamie –   Pour cela, je dois préciser qu’elle a une préférence pour DropBox, porté sur de nombreux systèmes, contrairement à Ubuntu One, qui reste encore limité à un environnement Ubuntu.

Image : Dropbox.com

Enfin, parmi les multiples utilisations possibles, nous trouvons bien entendu la possibilité de partager des fichiers ou des dossiers avec d’autres utilisateurs. Très pratique pour Mamie, qui peut diffuser, à toute la famille, les photos de ses pâtisseries qu’elle prend en 10 MégaPixel grâce à son réflex numérique.

Outre la capacité limitée dans les versions gratuites, le fait que les fichiers soient stockés en clair, on ne sais où, peut-être perturbant. Il est bien sûr possible de chiffrer les données avant leur stockage, mais il faut bien avouer que ce n’est pas très pratique.

Sachant que des outils libres, tels qu’ unison, on largement fait leurs preuves en matière de synchronisation, l’idée de construire ma propre architecture « JopaOne » m’a traversé l’esprit. C’est alors que je suis tombé sur le tuto de KIK-IT : UbuntuOne VS MyOne, décrivant exactement ce que je souhaitais faire : Un espace de stockage sur un de mes serveurs et des répertoires locaux sur mes différentes machines, le tout synchronisé grâce à unision,  de préférence à travers ssh…

Pour conclure et je pense que Mamie sera d’accord avec moi, ma préférence va vers DropBox pour le partage de fichiers non sensibles avec les amis. Ce dernier est plus abouti qu’Ubuntu One et bien plus rapide pour  les synchronisation. La disponibilité du client sous de multiples plateforme est un de ses atouts majeurs… Mamie nous fait remarquer que le client « Androïd » est très sympathique pour ajouter son Smartphone

Pour la synchronisation de documents entre mes machines, j’ai préféré une solution basée sur Unison et ssh… Il n’y a pas a dire, on est bien plus tranquille quand les fichiers sont sur un serveur bien à nous…

Liens :

• Ubuntu One
• DropBox
• MyOne (KIK-IT)

• Côté Windows Mobile, c’est « ActiveSync » qui va gérer et maintenir la connexion avec le serveur, donc rien à installer, c’est super !
• Côté serveur, nous allons utiliser « Z-Push », une implémentation open source du protocole ActiveSync, écrite par la société Zafara (en PHP).

Avant de commencer, nous aurons besoin :

• D’un serveur Linux avec PHP 5 et Apache 2 installés (et accessible depuis Internet évidemment) – Pour le test, j’ai utilisé une Debian Lenny -,
• Un serveur IMAP (local ou distant),
• Dans l’optique de la configuration d’un VirtualHost Apache, une entrée DNS spécifique, c’est plus propre, mais ce n’est pas obligatoire,
• Les sources de Z-Push,
• Un terminal Windows Mobile (testé avec Windows Mobile 6).

Z-Push

Commençons par décompresser les sources à la racine de notre serveur web :

# tar xvzf  z-push-1.2.2.tar.gz -C /var/www/

Le répertoire /var/www/z-push/state doit être accessible en écriture par l’utilisateur Apache :

# chmod 700 /var/www/z-push/state
# chown www-data:www-data /var/www/z-push/state

Editons ensuite le fichier de configuration  (/var/www/z-push/config.php)

...
// The data providers that we are using (see configuration below)
    $BACKEND_PROVIDER = "BackendIMAP";
...
    // ************************
    //  BackendIMAP settings
    // ************************
 
    // Defines the server to which we want to connect
    // recommended to use local servers only
    define('IMAP_SERVER', 'localhost');
 
    // connecting to default port (143)
    define('IMAP_PORT', 143);
 
    // best cross-platform compatibility (see http://php.net/imap_open for options)
    define('IMAP_OPTIONS', '/notls/norsh/ssl/novalidate-cert');
 
    // overwrite the "from" header if it isn't set when sending emails
    // options: 'username'    - the username will be set (usefull if your login is equal to your emailaddress)
    //        'domain'    - the value of the "domain" field is used
    //        '@mydomain.com' - the username is used and the given string will be appended
    define('IMAP_DEFAULTFROM', 'username');
 
    // copy outgoing mail to this folder. If not set z-push will try the default folders
    define('IMAP_SENTFOLDER', '');
 
...

Les paramètres ci-dessus sont adaptés au serveur imap local. Ils peuvent être ajustés à un autre serveur. Ceci devrait fonctionner avec n’importe quel serveur IMAP.

Par exemple, pour Gmail :

define('IMAP_SERVER', 'localhost');
define('IMAP_PORT', 993);
define('IMAP_OPTIONS', '/notls/norsh/ssl/novalidate-cert');
define('IMAP_DEFAULTFROM', 'username')
define('IMAP_SENTFOLDER', '');

Apache

Nous allons avoir besoin de satisfaire quelques dépendences avant d’attaquer la configuration d’Apache.  Z-Push a en effet besoin de quelques paquets pour pouvoir fonctionner correctement :

#  apt-get install pear php5-imap php5-mail php5-mail-mime php5-pear
# pear install –alldeps Mail

Nous avons ensuite deux alternatives :

• Créer un VirtualHost afin d’accéder au serveur directement par son nom : http://z-push.mondomaine.net, (plus propre à mon sens)
• Ou configurer un répertoire d’un site existant : (http://mon_serveur_ou_son_ip/z-push).

Virtualhost

Pour créer un VirtualHost, il nous faut ajouter un fichier dans /etc/apache2/sites-available. Arbitrairement, nous allons choisir z-push comme nom de fichier.

/etc/apache2/sites-available/z-push

	ServerAlias zpush.mondomaine.net
	ServerAdmin webmaster@mondomaine.net
	DocumentRoot /var/www/z-push
	Alias /Microsoft-Server-ActiveSync /var/www/z-push/index.php
 
		Options -Indexes
		AllowOverride none
		Order allow,deny
		allow from all
		php_flag magic_quotes_gpc off
		php_flag register_globals off
		php_flag magic_quotes_runtime off
		php_flag short_open_tag on
 
	ErrorLog /var/log/apache2/zpush-error.log
	LogLevel warn
	CustomLog /var/log/apache2/zpush-access.log combined
	ServerSignature Off

La commande a2ensite (Apache2 Enable Site) permet de rendre le VirtualHost actif (équivaut à faire un lien symbolique dans /etc/apache2/sites-enabled)

$ sudo a2ensite z-push
$ /etc/init.d/apache2 reload

Config par défaut ou .htaccess

La deuxième technique  consiste à ne configurer que le répertoire z-push, sans création d’un VirtualHost. Pour cela, nous ajouterons simplement les lignes suivantes dans le fichier de configuration du site par défaut (normalement /etc/apache2/sites-avaible/defaut) ou directement dans un fichier un .htaccess à la racine du site :

	Alias /Microsoft-Server-ActiveSync /var/www/z-push/index.php
 
		Options -Indexes
		AllowOverride none
		Order allow,deny
		allow from all
		php_flag magic_quotes_gpc off
		php_flag register_globals off
		php_flag magic_quotes_runtime off
		php_flag short_open_tag on

Le mobile

La configuration du serveur étant terminée, nous pouvons tester sur un terminal. Nous allons configurer ActiveSync pour qu’il se connecte au serveur.

• Dans ActiveSync : Menu -> Configurer le serveur,
  • Adresse du serveur : zpush.mondomaine.net (nom du VirtualHost ou Url complète d’accès à z-push),
  • Décôcher SSL (n’est pas encore configuré sur le serveur Apache),
  • Nom d’utilisateur : L’utilisateur Imap pour lequel nous voulons recevoir les mails,
  • Mot de passe : Mot de passe de l’utilisateur sur le serveur Imap,
  • Domaine : Domaine de messagerie,
  • Ne synchroniser que les mails : nous avons utilisé z-push pour l’Imap uniquement.
• La synchro devrait ensuite fonctionner. L’activation du mode Push peut se faire dans le « Comm Manager » en activant « Microsoft Direct Push« .

La méthode est biensûr perfectible par l’ajout du support SSL. Je ne suis pas arrivé, pour l’instant, à une solution très satisfaisante concernant ce point. A moins qu’ils ne nous soit possible de faire certifier le certificat serveur par un autorithé reconnue, il faudra importer ce cetificat sur le mobile. La chose est plutôt fastidieuse, l’option d’import n’étant pas disponible dans Internet Explorer mobile. Il est nécessaire de passer par un export au format xml, que l’on insère ensuite dans un fichier cab pour l’installer sur le terminal. Bref, du bon gros bricolage !

Références : http://andrew.tj.id.au/activesync-for-gmail/

]]> http://www.jopa.fr/index.php/2009/08/05/push-mail-sur-serveur-imap-gmail/feed/ 4 http://www.jopa.fr/index.php/2009/07/28/alias-forward-postfix-openldap/ http://www.jopa.fr/index.php/2009/07/28/alias-forward-postfix-openldap/#comments Tue, 28 Jul 2009 20:10:23 +0000 Jopa http://www.jopa.fr/?p=1563 En me basant sur l’architecture présentée dans le billet : Installation d’un serveur mail brique par brique… (OpenLDAP, Postfix, Cyrus-imap, TLS, SASL, Spamassassin, Amavis, etc…), je vais chercher, au travers de cet article, à améliorer la distribution des mails entrants. Ce que je souhaite mettre en place est assez simple d’un point de vue fonctionnel :

1. Chaque utilisateur doit pouvoir disposer de plusieurs adresses email pour une même boîte, sans que l’on ait besoin de le créer plusieurs fois dans l’annuaire (notion d’alias) ,
2. Les messages entrants doivent pouvoir être stockés sur le serveur Imap Local, transférés vers d’autres adresses (notion de forward) ou, soyons fous, les deux.

Le serveur Imap utilisé est Cyrus, mais ceci n’a pas vraiment d’importance, n’importe quel gestionnaire Imap fera l’affaire. Il en va de même pour le serveur OpenLDAP qui peut être remplacé par un autre annuaire, pourvu qu’il respecte les standards. Vous l’aurez compris, c’est bel et bien Postfix qui va permettre ces petites galipettes.

Pour l’exemple, je vais une fois de plus solliciter mon utilisateur préféré : Monsieur Dupont (Jean pour les intimes) . Ce Monsieur souhaite recevoir tous les mails adressés à :

• jean@linet.jopa.fr,
• dupont@linet.jopa.fr,
• jean.dupont@linet.jopa.fr.

Il dispose bien entendu d’une boîte Imap sur le serveur, mais souhaite qu’une copie de ses messages soient transférés sur son compte gmail :  jean.dupont@gmail.com.  C’est pas très très joli pour la sécurité de l’entreprise, mais pour l’exemple (et pour Jean), je vais fermer les yeux !

Le serveur  IMAP :

Je vous l’ai dit, sur le serveur IMAP, rien de particulier. Il faut juste s’assurer qu’il est fonctionnel et que l’utilisateur Jean y est bien présent. Dans le cas contraire, je vous invite à consulter l’article précédent pour l’installation et la configuration d’un serveur Cyrus-Imap.

# cyradm –user cyrus localhost
Password:
localhost> lm
user.jean (HasNoChildren) user.jojo (HasNoChildren)
user.joel (HasNoChildren)
localhost> quit

L’annuaire :

Dans l’annuaire, j’ai légèrement modifié le schéma pour y insérer un deuxième attribut « Mail« , nommé « maildrop ». J’ai emprunté cet attribut à la classe CourierMailAlias (fournie par courier-Imap), mais en fait, n’importe quel attribut texte peut faire l’affaire.

L’idée est d’utiliser l’attribut « Mail » pour enregistrer les adresses pour lesquelles la réception de courrier est autorisée pour l’utilisateur :

• jean@linet.jopa.fr,
• dupont@linet.jopa.fr,
• jean.dupont@linet.jopa.fr

Et l’attribut « MailDrop«  pour les adresses auxquelles le courrier va être effectivement distribué. Il faut noter que cet attribut doit correspondre à des boîtes réellement existantes. Dans sa configuration initiale, Cyrus cherche à stocker les messages dans des boîtes identifiées par le préfixe de l’adresse du destinataire (ce qui est avant le @).

• jean@linet.jopa.fr,
• jean.dupont@gmail.com

Dans cet exemple, tout message adressé  à l’une ou l’autre  des 3 adresses définies par l’attribut « Mail » devra  être distribué aux 2 adresses définies par l’attribut « MailDrop« .

Côté ldiff, ça donne ça :

 
# utilisateurs.ldif
dn: uid=jean,dc=linet,dc=jopa,dc=fr
objectClass: top
objectClass: inetOrgPerson
objectClass: CourierMailAlias
uid: jean
cn: Jean DUPONT
sn: Jean
mail: jean@linet.jopa.fr
mail: dupont@linet.jopa.fr
mail: jean.dupont@linet.jopa.fr
maildrop: jean@linet.jopa.fr
maildrop: jean.dupont@gmail.com
userPassword: toto

Pour utiliser l’attribut « Maildrop » de la classe CourierMailAlias, il est nécessaire de récupérer le schéma décrivant la classe et de l’intégrer à l’annuaire. Le fichier s’appelle authldap.schema et vient avec la doc de Courier-Imap. (/usr/share/doc)… Vous pouvez également le récupérer ici :

authldap.schema

Le fichier doit être copié dans le répertoire contenant les schémas ( /etc/ldap/schema logiquement) et intégré à la structure de l’annuaire dans le fichier /etc/ldap/slapd.conf

/etc/ldap/slapd.conf

# This is the main slapd configuration file. See slapd.conf(5) for more
# info on the configuration options.
 
#######################################################################
# Global Directives:
 
# Features to permit
allow bind_v2
 
# Schema and objectClass definitions
include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema
include         /etc/ldap/schema/authldap.schema
...
...

Postfix :

Le but ici, est de définir Cyrus comme agent de transport local (et virtuel) et de paramétrer les recherches dans l’annuaire LDAP. Cette recherche sera définie dans deux fichiers de configuration externes : ldap-accounts.cf pour la validation des destinataires et ldap-aliases.cf pour la gestion des alias.

/etc/postfix.main.cf

# See /usr/share/postfix/main.cf.dist for a commented, more complete version
# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
myorigin = /etc/mailname
...
...
# PARAMETRES LDAP
# Utilisateurs :
virtual_mailbox_maps = ldap:/etc/postfix/ldap-accounts.cf
# Alias :
virtual_alias_maps = ldap:/etc/postfix/ldap-aliases.cf
...
...
# Agent de transport local : CYRUS
local_transport = cyrus
virtual_transport = cyrus
mailbox_transport = cyrus
...
...
...

/etc/postfix/ldap-accounts.cf

Ce fichier configure la recherche dans l’annuaire pour l’identification et la validation des destinataires. Il spécifie l’adresse email comme critère de recherche et  cas de succès, précise que c’est  l’uid de l’utilisateur qui doit être retourné.

server_host = localhost
server_port = 389
search_base = dc=linet, dc=jopa, dc=fr
query_filter = (& (objectClass=InetOrgPerson)(mail=%s))
result_attribute = uid
bind = yes
bind_dn = cn=admin,dc=linet,dc=jopa,dc=fr
bind_pw = ******************
version = 3

/etc/postfix/ldap-aliases.cf

Ce fichier permet, quant à lui, de gérer les Alias. Il définit lui aussi une recherche sur l‘adresse email (champ mail) mais cette fois, c’est l’attribut « Maildrop » que sera retourné.

server_host = localhost
server_port = 389
search_base = dc=linet, dc=jopa, dc=fr
query_filter = (& (objectClass=InetOrgPerson)(mail=%s))
result_attribute = maildrop
bind = yes
bind_dn = cn=admin,dc=linet,dc=jopa,dc=fr
bind_pw = ******************
version = 3

En résumé, encore une démonstration de la puissance du duo Postfix/Ldap, pour une fonctionnalité très pratique et relativement simple à mettre en oeuvre.

J’ai publié, en début d’année, un billet sur l’installation d’un serveur mail basé sur différentes « briques » :

• OpenLDAP,
• Postfix,
• Cyrus-imap,
• TLS,
• SALS,
• Spamassassin,
• Amavis,
• etc…

En réutilisant ce tuto pour l’installation d’un nouveau serveur, je me suis aperçu de quelques coquilles et de légères différences pour une installation sous Lenny.

L’occasion pour moi de réactualiser l’article, en tenant comptes de vos remarques et commentaires.

Installation d’un serveur mail brique par brique… (OpenLDAP, Postfix, Cyrus-imap, TLS, SASL, Spamassassin, Amavis, etc…)

Avec son chipset wifi Atheros supportant le mode monitor et l’injection de packets, sans oublier son connecteur SMA permettant de raccorder une antenne extérieure, la Fonera semble toute indiquée pour tester la sécurité de son réseau Wifi (j’ai bien dit « son » !).  D’autant plus que la suite aircrack-ng est disponible en paquet sous Kamikaze. Ce qui va inévitablement pêcher, c’est la puissance du CPU (Atheros AR2315) avec ses pauvres 183.5 BogoMIPS et éventuellement un léger problème de stockage – Quoique, la Fonéra 2 et son port usb permettent de facilement palier à ce manque de place.

Nous pouvons, bien sûr, bricoler une solution pour contourner le problème en enregistrant les dumps sur une partition réseau (nfs, smb, etc…) ou un  quelconque support usb. Le tout étant de faire tourner les outils gourmands en ressources  sur une autre machine. Ca fonctionne, mais ça reste du bon vieux bricolage…

Heureusement, les supermans et spidermans de la team aircrack-ng ont prévu une solution bien plus élégante… Dans ce cas précis, c’est par airserv-ng qu’ils vont briller de mille éclats.

- Au passage, merci à eux pour tous leurs outils robustes et fonctionnels ! -

Airserv-ng est un serveur de cartes wifi qui va permettre à de nombreuses applications (au moins celles de la suite aircrack-ng) d’utiliser la carte via une connexion TCP client-serveur.

Son utilisation est assez triviale, nous allons le voir dans un petit exemple.

1 – Pré-requis

Pour notre exemple, nous utiliserons :

• Une Fonera
  • installée sous OpenWrt Kamikaze (version 8.09),
  • aircrack-ng installé  (version 1.0 rc1 r1142 : opkg update && opkg install aircrack-ng),
  • l’interface ethernet configurée (192.168.1.1) :
  ^?View Code INI

  # /etc/config/network # Copyright (C) 2006 OpenWrt.org   config interface loopback option ifname lo option proto static option ipaddr 127.0.0.1 option netmask 255.0.0.0   config interface lan option ifname eth0 option proto static option ipaddr 192.168.1.1 option netmask 255.255.255.0

• l’interface wifi activée (/etc/config/wireless) :

# /etc/config/wireless
config wifi-device       wifi0
   option disabled           0
   option diversity          0
   option type           atheros
   option channel          auto
   option txantenna         1
   option rxantenna         1

• Un PC sous Debian Lenny
  • aircrack-ng installé ( apt-get update && apt-get install aircrack-ng ),
  • L’interface ethernet configurée (192.168.1.2) et connectée à la Fonera.

2 – Sur la fonera (le serveur)

Commençons par passer la carte en mode monitor :

root@OpenWrt:~# airmon-ng start wifi0

Interface       Chipset         Driver

wifi0           Atheros         madwifi-ng
ath0            Atheros         madwifi-ng VAP (parent: wifi0) (monitor mode enabled)

Et lançons airserv-ng :

root@OpenWrt:~# airserv-ng -d ath0
Opening card ath0
Setting chan 1
Opening sock port 666
Serving ath0 chan 1 on port 666

Par défaut, le port utilisé est le 666 et la carte wifi est positionnée sur le channel 1. Ces paramètres peuvent respectivement être changés par les options -p et -c.

3 – Sur la station (le client)

L’utilisation des outils sur le PC ne change que par le nom de l’interface wifi à utiliser. Il suffit tout simplement de préciser l’adresse IP du serveur, suivi du numéro de port TCP à la place du nom de l’interface :

192.168.1.1:666

Par exemple pour airodump-ng :

# airodump-ng 192.168.1.1:666
CH  4 ][ Elapsed: 32 s ][ 2009-02-06 06:30

BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:18:84:A0:FC:ED   45       40        0    0  11  54e. WPA2 CCMP   PSK  wjopa2
 00:18:84:24:1E:7D   43       81        0    0   1  54e. OPN              FON_LINET
 00:18:84:24:1E:7E   41       96        0    0   1  54e. WPA  TKIP   PSK  LINET_PRIV
 00:1E:37:96:F8:27   14       57        0    0  10  54e  WPA  TKIP   PSK  Livebox-461a

 BSSID              STATION            PWR   Rate   Lost  Packets  Probe

4 – En conclusion…

L’intérêt d’un tel montage est, bien sûr, l’utilisation du matériel wifi dont est doté la Fonera, par une station qui en est dépourvu mais dispose d’un processeur bien plus performant. Outre c’est avantage, il n’est pas déplaisant de pouvoir transformer notre Fonera en sonde wifi, que nous pourrons connecter au plus près de notre point d’accès. Nous réaliserons ainsi nos tests, tranquillement, sans sortir du bureau et surtout, sans devoir répondre aux collègues qui se demandent pourquoi nous travaillons dans la cage d’escalier, un labtop sur les genoux… – Hum… Ils sont vraiment bizarres ces gars de l’info…-

En terminant cet article, j’imagine, qu’en bidouillant un minimum, nous pourrions nous affranchir du transformateur secteur de la Fonera en l’alimentant grâce à une batterie, de l’usb ou pourquoi pas,  depuis un switch POE.  Décidément, c’est vraiment un beau jouet cette Fonera !!!

$ sudo apt-get install subversion pkg-config python perl g++ bison flex gperf libnss3-dev libgtk2.0-dev libnspr4-0d libnspr4-dev msttcorefonts libgconf2-dev libcairo2-dev libdbus-1-dev

Si comme moi, vous jouissez d’une distribution 64 bits :

$ sudo apt-get install gcc-multilib g++-multilib gobjc-multilib gobjc++-multilib

Et en option :

$ sudo apt-get install wdiff lighttpd php5-cgi sun-java6-fonts

Nous allons ensuite installer les utilitaires nécessaires pour l’accès au SVN google ( depot tools ) :

$ mkdir CHROME
$ cd CHROME
$ svn co http://src.chromium.org/svn/trunk/tools/depot_tools

Et récupérer les sources :

$ export LANG=C
$ depot_tools/gclient config http://src.chromium.org/svn/trunk/src http://chromium-status.appspot.com/lkgr
$ depot_tools/gclient sync

gclient va rapatrier un peu plus de 3 Go ( C’est que ce n’est pas du code de fillette tout ça ! ) …

Révision 43806 extraite.

________ running ‘/usr/bin/python src/tools/gyp/gyp_dogfood src/build/all.gyp’ in ‘/usr/local/src/CHROME
Updating projects from gyp files…

A ce stade, j’en suis à me demander comment, avec un code source de 3Go, je vais obtenir un navigateur réputé pour sa légèreté et sa rapidité d’exécution… Même si, par défaut, les sources incluent toutes les plateformes, les librairies utilisées et tout un tas de bazard…

Pour le savoir, le mieux est de lancer la compil :

$  cd src/build
$ ../../depot_tools/hammer

Par defaut, chromium est compilé en mode debug et c’est plutôt logique pour une version de developpement. Pour forcer le mode release :

$ ../../depot_tools/hammer –mode=Release

Les binaires sont placés dans le répertoire src/sconsbuild/debug ou srv/sconsbuild/release suivant le mode compilé.

$ CHROME/src/sconsbuild/release/chrome

Comme vous le verrez sur la page de démarrage, ornée d’un immanquable panneau stop rouge, le navigateur est en version pre-alpha… En bref, ne vous attendez pas à quelque chose de très stable…

Pour plus d’informations, vous pouvez consulter les instruction de compilation, sur le wiki officiel : http://code.google.com/p/chromium/wiki/LinuxBuildInstructions

Nous allons créer un script contenant les règles à mettre en place. Ce script sera lancé au démarrage du serveur.

Initialisation

La toute première étape va consister à vider les tables :

# RAZ DES TABLES
iptables -t filter -F
iptables -t filter -X
 .

Les connexions existantes ne doivent pas être cassées… C’est utile sur un serveur dédié, pour ne pas perdre la main.

# Ne pas casser les connexions établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 .

Comme toujours quand on parle de sécurité, nous allons commencer par tout interdire. Aucun paquet, qu’il soit entrant, sortant ou routé par le serveur ne doit passer.

# Interdire tous les paquets...tous...
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
 .

A nous maintenant d’autoriser le trafic nécessaire… Et seulement le trafic nécessaire. Nous allons, dans l’ordre, étudier les connexions entrante, sortantes et éventuellement celles susceptibles d’ être routées par la machine; C’est relativement rare pour un serveur dédié, mais possible, dans le cas de VPN par exemple.

Règles pour les paquets entrants

Quels services sont fournis par le serveur ?

• Un serveur WEB,

# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
.

• Un serveur VPN (OpenVPN) pour un client dont l’adresse IP est XXX.XXX.XXX.XXX,

# OpenVPN
iptables -t filter -A INPUT -p udp --dport 1194 -s XXX.XXX.XXX.XXX -j ACCEPT
.

• Un serveur de mails,

# SMTP
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
.

• Les boites mails sont accessibles en POP et IMAP, mais depuis le VPN uniquement,

# POP3
iptables -t filter -A INPUT  -i tun+ -p tcp --dport 110 -j ACCEPT
# IMAP
iptables -t filter -A INPUT -i tun+ -p tcp --dport 143 -j ACCEPT
.

• De même, un serveur DNS est disponible pour les machines du vpn,

# DNS en Entrée
iptables -t filter -A INPUT -i tun+ -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -i tun+ -p udp --dport 53 -j ACCEPT
.

• Pour être conforme au RFC, le serveur répond aux requêtes ICMP (ping),

# ICMP
iptables -t filter -A INPUT -p icmp -j ACCEPT
.

• N’oublions pas SSH… Ca peut toujours servir,

# SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
.

• Enfin, aucune restriction n’est appliquée pour l’interface Loopback (Localhost)

# LOOPBACK
iptables -t filter -A INPUT -i lo -j ACCEPT
.

Règles pour les paquets sortants

Quels services sont nécessaires au serveur ?

• Le serveur doit pouvoir envoyer des requêtes DNS,

# DNS
iptables -t filter -A OUTPUT  -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT  -p udp --dport 53 -j ACCEPT
.

• Disposer d’un accès HTTP ( utile pour les mises à jour ),

# HTTP
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
.

• Ssh est autorisé en sortie,

# SSH
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
.

• Envoyer des mails,

# SMTP
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
.

• Récupérer des mails sur un compte POP3 par l’intermédiaire de fetchmail,

# POP3
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
.

• Pinguer (ben tiens !),

# ICMP
iptables -t filter -A OUTPUT -t icmp -j ACCEPT
.

• Etablir une connexion OpenVPN vers un autre serveur dont l’adresse IP est YYY.YYY.YYY.YYY : Ce serveur interconnecte un VPN dont il est le serveur avec un VPN dont il est client,

# VPN
iptables -t filter -A OUTPUT -p udp --dport 1194 -d YYY.YYY.YYY.YYY -j ACCEPT
.

• Enfin, aucune restriction sur l’interface loopback,

# LOOPBACK
iptables -t filter -A OUTPUT -o lo -j ACCEPT
.

Règle pour les paquets traversants (routés)

• Ce serveur interconnecte deux VPN, on ne souhaite pas filter le trafic d’un VPN vers l’autre,

# VPN2VPN
iptables -t filter -A FORWARD -i tun+ -o tun+ -j ACCEPT

.

Syn flood, spoofing et compagnie…

Pour finir, ajoutons quelques règles pour limiter tout ça, quelques traces dans les logs et le tour sera joué…

• Limitation du syn flood

# Syn Flood
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp  -m limit --limit 1/second -j ACCEPT
.

• « Anti-spoofing »

# Spoofing
iptables -N SPOOFED
iptables -A SPOOFED -s 127.0.0.0/8 -j DROP
iptables -A SPOOFED -s 169.254.0.0/12 -j DROP
iptables -A SPOOFED -s 172.16.0.0/12 -j DROP
iptables -A SPOOFED -s 192.168.0.0/16 -j DROP
iptables -A SPOOFED -s 10.0.0.0/8 -j DROP
.

• Log des paquets rejetés dans syslog

# LOG des paquets rejetés
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP]:'
iptables -A LOG_DROP -j DROP
iptables -t filter -A INPUT -j LOG_DROP
iptables -t filter -A OUTPUT -j LOG_DROP
iptables -t filter -A FORWARD -j LOG_DROP
.

Voilà, ce n’est pas trop mal pour un début ; ) Ci-dessous, le script « recollé » :

##########
## INIT ##
##########
 
# RAZ DES TABLES
iptables -t filter -F
iptables -t filter -X
 
# Ne pas casser les connexions établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# Interdire tous les paquets...tous...
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
 
###########
## INPUT ##
###########
# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
# OpenVPN
iptables -t filter -A INPUT -p udp --dport 1194 -s XXX.XXX.XXX.XXX -j ACCEPT
# SMTP
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
# POP3
iptables -t filter -A INPUT  -i tun+ -p tcp --dport 110 -j ACCEPT
# IMAP
iptables -t filter -A INPUT -i tun+ -p tcp --dport 143 -j ACCEPT
# DNS en Entrée
iptables -t filter -A INPUT -i tun+ -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -i tun+ -p udp --dport 53 -j ACCEPT
# ICMP
iptables -t filter -A INPUT -p icmp -j ACCEPT
# SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
# LOOPBACK
iptables -t filter -A INPUT -i lo -j ACCEPT
 
############
## OUTPUT ##
############
# DNS
iptables -t filter -A OUTPUT  -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT  -p udp --dport 53 -j ACCEPT
# HTTP
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
# SSH
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
# SMTP
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
# POP3
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
# ICMP
iptables -t filter -A OUTPUT -t icmp -j ACCEPT
# VPN
iptables -t filter -A OUTPUT -p udp --dport 1194 -d YYY.YYY.YYY.YYY -j ACCEPT
# LOOPBACK
iptables -t filter -A OUTPUT -o lo -j ACCEPT
 
###############
## FORWARD ##
###############
# VPN2VPN
iptables -t filter -A FORWARD -i tun+ -o tun+ -j ACCEPT
 
###############
## FINITIONS ##
###############
# Syn Flood
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp  -m limit --limit 1/second -j ACCEPT
 
# Spoofing
iptables -N SPOOFED
iptables -A SPOOFED -s 127.0.0.0/8 -j DROP
iptables -A SPOOFED -s 169.254.0.0/12 -j DROP
iptables -A SPOOFED -s 172.16.0.0/12 -j DROP
iptables -A SPOOFED -s 192.168.0.0/16 -j DROP
iptables -A SPOOFED -s 10.0.0.0/8 -j DROP
 
# LOG des paquets rejetés
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP]:'
iptables -A LOG_DROP -j DROP
iptables -t filter -A INPUT -j LOG_DROP
iptables -t filter -A OUTPUT -j LOG_DROP
iptables -t filter -A FORWARD -j LOG_DROP