Felix.getBlog()

Je passe au vert...

Après avoir aidé ces derniers jours Gaetan a configuré son réseau de VPNs pour qu'il puisse bosser pour sa boite où qu'il soit dans le monde, il a décidé de faire une documentation de la chose plutôt bien faite que je vous recommande : le lien .

A l'époque j'avais utilisé la documentation de Coagul que j'avais trouvé parfaite.

Bon ca faisait longtemps que j'avais pas mis à jour notre petit shéma, alors en voici un tout beau tout neuf ici

Bon, il me fallait pour les sites hébergés un système de transfert de fichiers authentifié. Le FTP avec les pass en clair, faut pas rêver ... Le FTPs pourquoi pas, mais après un rapide test avec tcpdump, je m'aperçois que les commandes sont cryptées mais que le data est en clair (ennuyeux pour les fichiers avec mots de passe).

Bref, la solution que j'ai trouvée (si vous en avez une meilleure) est évidemment le SFTP (FTP over SSH). Bon le soucis c'est qu'il faut qu'ils aient des comptes systèmes, ce qui m'ennuyait évidemment. Donc l'astuce a été de créer un systeme chrooté est d'y lancer un sshd. Grâce au patch ChrootSSH, je lance un sshd qui a pour particularité de nous chrooter dans le répertoire précédent un . dansl e /etc/passwd.

Exemple de la ligne en question dans le /etc/passwd: test:x:1004:1002:,,,:/chroot/./ftp/:/bin/sh

Et là l'utilisateur test est chrooté dans /chroot.

Bon évidemment pour que sftp-server marche, il faut un minimum dans ce système chrooté (ls, mv,rm, plus toutes les librairies).

Donc vous trouverez ici un tar d'un système fonctionnel : sftpchroot.tar.gz

Et ici le binaire sshd (3.8.1) patché pour le chroot : sshd-chroot.

Et vous voilà avec un système de transfert de fichiers totallement sécurisé !

PS: Je cherche le moyen d'avoir mes logs sshd en mode w3c, si un de vous a une idée (pas de "just code it", merci :p).

Ouala, amusez vous bien !

Aujourd'hui, Kessel est née, c'est un joli bébé de 1U de haut et de 40 CM de profondeur.

Elle se porte au mieux, et a un grand avenir devant elle (backup d'endor et du serveur Traduc.org).

Un petit apercu :

Voila, j'aurai du le faire il y a des semaines et des semaines, endor est passée en 2.6 (2.6.12-ck2s, même).

Voyons ce qu'il donne en performances par rapport au 2.4 ...

Pour les hébergés, si vous avez des problèmes, prévenez moi.

PS: Je cherche 2 disques durs 40 Go SCSI de même marque si possible

Jabber est un protocole de communication instantanné, au même titre que MSN ou AIM, mais libre. Il permet entre autres d'avoir son propre serveur, sans être dépendant des serveurs principaux ou d'envoyer un message à un contact offline.

J'ai donc décidé d'installer un serveur Jabber sur endor. Il supporte les domaines gaule.org et ordrejedis.net. C'est un serveur open, donc amusez vous !

Dans les dernières versions de Mailman (en fait, pas celle de la woody ...), l'url par défaut d'une liste ne peut plus être définie dans l'interface d'administration, pour jenesaisquelleraison !

Mon problème, c'est que cette url est en HTTP par défaut, ce qui n'est pas extra ... Donc pour modifier l'url des listes, il faut modifier la variable DEFAULT_URL_PATTERN dans /var/lib/mailman/Mailman/Defaults.py. Grâce à ceci, toutes les listes crées auront l'adresse voulues (et vous mettez https, caimieux !)

Le problème réside dans les listes déjà crées, auquel ne s'applique pas le Defaults.py ... Pour cela, il faut utiliser la commande suivante :

/var/lib/mailman/bin/withlist -l -r fix_url LISTE

Et hop, l'url de la liste sera celle fournie dans DEFAULT_URL_PATTERN !

Maintenant, OrdreJedis fournit une interface d'admin de ses listes en HTTPs, trofor !

• Fevrier m'a montré quelques astuces Postfix bien pratiques pour supprimer pas mal de spams. Je vous en fais profiter, ceci est à mettre dans votre main.cf :

  smtpd_recipient_restrictions =
          permit_mynetworks,
          reject_unauth_pipelining,
          reject_unauth_destination,
          reject_unknown_sender_domain,
          reject_invalid_hostname,
          reject_non_fqdn_hostname,
          reject_non_fqdn_sender,
          permit
  
  smtpd_delay_reject = yes
  smtpd_helo_required = yes
  strict_rfc821_envelopes = yes
  smtpd_reject_unlisted_recipient = yes
  bounce_size_limit = 8192
  

  Après quelques tests, je peux vous dire que c'est excellent !
• Vu que je faisais mumuse avec endor (le dédié ordrejedis), j'ai décidé de faire de celle ci le smtp de mon réseau personnel, un

  relay_hosts = endor.ordrejedis.net

  sur mes machines, et hop !
• Lassé de MRTG, je suis passé, comme me l'avait conseillé dup, à munin. C'est vraiment excellent. Mise en place très facile,

  apt-get install munin

  sur la machine qui va grapher,

  apt-get install munin-node

  sur les autres (sans oublier le allow-host sur celles ci)
  Voici la nouvelle page de monitoring : http://kamino.dmz.ordrejedis.net/munin/

Aujourd'hui, mon ami acid m'a fait un rebuild du paquet Debian Pure-FTPd. Pourquoi ? Parce que le maintaineur du paquet n'a pas jugé utile de rajouté l'option si pratique : --with-virtualchroot.

Cette option est indispensable, puisqu'elle permet aux utilisateurs chrooté, de suivre des liens symboliques qui pointent vers un répertoire situé hors d'un jail (prison). Cette option était indispensable pour OrdreJedis, vu l'architecture mise en place pour les projets hébergés.

Un bugreport a été fait : http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=172029 par Maxou il y a presque 2 ans, mais il faut croire que le message n'était pas passé. Relancé hier par acid, j'espère que ça réussira.

Voila voila mardi dernier nous avons mis une machine, endor (voir billet précédent) chez un hébergeur : Frontier. Hébergeur dont même le nom ne me disait rien jusqu'a Samedi dernier. Ces personnes ont une installation au Telehouse 2, mais surtout ont leurs bureaux juste derriere l'INT d'Evry avec une connection 100 Mbits, très pratique. Pis ca fait toujours plaisir de rentrer et de voir une dizaine de geeks en train de coder d'arrache pieds Je profite de ce billet pour les remercier pour leur hébergement.

Endor a donc déménagé la bas, et a l'air de s'y ravir. Vous trouverez quelques photos ici.

Endor héberge déjà quelques sites. Depuis hier, l'énorme projet Eagle-USB nous a rejoint (avec leur dizaine de sites). Je ferai un peu de monitoring dès que je comprendrai comment ca marche :)))

Qu'est ce donc que ce nouveau truc ?

Lire la suite