un compte supprimé a écrit 33 commentaires

  • [^] # Re: Pound

    Posté par  . En réponse au message Reverse proxy. Évalué à 1.

    Je reviens en force avec une question à 1 000 euros -)

    Je viens de trouver pour mettre le proxy Havp et DansGuardian en reverse proxy. Ils me permettent d'analyser la page à l'antivirus et de vérifier si son contenu n'est pas dangereux.

    Ca fonctionne pratiquement pareil que pound sauf qu'ils ne font pas de load balancing, ce que je ne cherche pas à faire.

    J'ai également ajouté le X-FORWARD-FOR dans les log de squid et j'ai bien l'adresse IP de la personne sur Internet. Dans les log, je peut placer l'adresse IP X(FORWARD-FOR à la place de la première adresse IP qui représente les IP simples.

    Cependant voilà, avec un webanalyser qui se fie au log, ca fonctionne, mais du coup, la variable $_SERVER['REMOTE_ADDR'] php est faussée, il faut utiliser la variable d'environnement X-FORWARD-FOR mais mes 200 hébergés ne le savent pas. En plus de ça, tout les .htaccess par IP ne fonctionne plus et les statistiques des sites genres phpbb ne fonctionnent plus.

    J'aimerrai savoir s'il est possible de modifier depuis les sources de httpd et placer le X-FORWARD-FOR dans REMOTE_ADDR.

    Je sais que c'est forcément possible, c'est une question d'affectation, par contre, je ne sais pas où ça se trouve.

    Pourriez vous m'aider sur ce point ?

    Merci d'avance ^^ -)
  • [^] # Re: Pound

    Posté par  . En réponse au message Reverse proxy. Évalué à 1.

    Bon, ça fonctionne, mais ça ne m'avance pas à grand chose ^^ (à moins que ça filtre peut être les paquets)

    L'intérêt d'utiliser squid étais de disposer d'un redirecteur sur l'antivirus.

    Peut t'on alors ajouter à pound une analyse antivirus (avec havp par exemple), de mot clef etc comme pour squid ?

    Merci d'avance -)
  • [^] # Re: Pound

    Posté par  . En réponse au message Reverse proxy. Évalué à 1.

    Merci beaucoup, je vais regarder du coté de pound, j'espère que je vais pouvoir y mettre un redirecteur style havp (pour l'analyse antivirus). Qu'il n'y ai pas de cache ... c'est moins bien, mais ca sera déjà ça. De plus, il permet de faire du load balancing et c'est son domaine de prédilection (à ce que j'ai pu en lire).

    Merci encore
  • [^] # Re: je le fait mais avec une ACL

    Posté par  . En réponse au message Squid intelligent. Évalué à 3.

    En fait c'est tout simple ... Merci encore moudj :)
  • [^] # Re: Route des clients

    Posté par  . En réponse au message Question sur tunnel VPN. Évalué à 1.

    " en meme temps faire du routage pour chaque hote c'est un peu la misere à gerer "

    Effectivement, sauf que dans mon cas, il n'y a qu'une machine qui doit être accessible sur les deux réseaux, d'où un VPN. Je pense que comme il n'y avais qu'une machine, un serveur VPN aurrai été judicieux, mais en mettant un tunnel VPN, celà me permet d'ajouter d'autres machines, mais il n'y en aurra que très peu.

    Après, la qestion, c'est que cette machine vas être un Active Directory ...

    Attaquer le PDC via son IP, c'est une chose, mais pour le simple ajout d'une machine au Domaine, il y a t'il comme avant le DNS? une référence au Netbios de la machine ? Comme il y a tout de même un semi routage et que le NETBIOS n'est pas routable (non, pitié, pas de WINS ^^); est ce que le DNS devrai suffire ?

    Ces questions dépassent un peu le VPN et je pense découvrir celà par la suite. J'ai un apprenti qui vas revenir en janvier (et si il lis ceci), voici sans doute quelque chose qui l'attend ... héhé.

    " comme les passerelles sont en 192.168.0.254, mon instinct me dis que ce sont des freebox "

    Ce sont effectivement des Freebox, mais en mode modem (pas routeur). Donc ca aurrai pu être autre chose ;)

    Voici finalement mon réseau personnel : http://www.franceserv.fr/images/fs_reseau.jpg

    Après tous le mal que je me suis donné à xxx mes IP (haha).

    Je met également mon étude en ligne ... Même avec le plan sous les yeux, quand tout sera mis en place, il sera impossible de passer outre les règles de filtrage iptables.

    http://xander.franceserv.fr/plan_boulot.jpg
  • [^] # Re: Route des clients

    Posté par  . En réponse au message Question sur tunnel VPN. Évalué à 1.

    Interessant ...

    J'arrive à comprend le soucis.

    Je vais donc faire deux réseaux entièrement différents à mon boulot pour éviter ce genre de situation.

    Par contre ainsi, avec deux réseaux différents, je pourrai mettre une route non plus host mais réseau cette fois ci pour atteindre depuis le réseau 1, le réseau 2 distant si je comprend bien ? Ce peut faciliter la jonction entre les deux réseau par un simple tunnel.

    Par contre, je ne vois pas bien à ce que peut servir le port 8000 dans tout cas ... est ce pour permettre la connexion entre les deux postes ? Car le port 8000 n'est pas ouvert sur l'un ou l'autre réseau depuis Internet alors que le VPN fonctionne dessus.

    Je sais bien que le VPN est là pour l'interne seulement ... Mais il doit bien y avoir un moment où il y a une communication Internet cette fois ci. Ou alors, le port 8000 n'est là seulement pour des reverses shell, l'un et l'autre se connecte sur le port 8000, même non ouverts, si les deux communiquent correctement, la liaison est établie ...

    Merci en tout cas Neox. Mais il n'y a t'il pas moyen de contourner ceci sans changer entièrement de réseau, ce serai ce que modifier l'IP paserelle, est ce que ca fonctionnerai ? en sachant que le route vers un host précis devrai fonctionner ...
  • [^] # Re: Route des clients

    Posté par  . En réponse au message Question sur tunnel VPN. Évalué à 1.

    Merci, c'est bien dont je pensai.

    Par contre, les machines clientes distantes (sur le réseau de mon collègue) ont bien une paserelle pour se connecter sur Internet.

    Par contre, on utilise à peu près les mêmes IP ... mais je ne pense pas que ca soit un conflit IP, comme on défini des route machine et non réseau, je fais bien attention de ne pas router une IP machine qui existerait déjà sur mon réseau vers le réseau distant

    Chacun de nos réseaux a un routeur / VPN accessible en interne via 192.168.0.254/C, ainsi qu'une IP VPN bien différentes sur no deux réseau, 10.0.4.1 et 10.0.4.2.

    Je ne vois donc pas ce qui peu clocher ...
  • [^] # Re: Route des clients

    Posté par  . En réponse au message Question sur tunnel VPN. Évalué à 1.

    et d'ailleurs pour moi, si je fais appel à une adresse IP qu'il ne connais pas, mon client vas se connecter à ma paserelle routeur / vpn 1, celui ci connais la route vers l'ip voulue, alors, il vas guider le chemin vers l'interface tun1 direction le vpn 2 ...

    L'avanatage de gérer les routes sur un routeur, c'est d'éviter les route sur chaque machine ... Mais peut être il y a t'il ecore cette histoire de table de routage machine et table de routage réseau ...

    J'y pense .... une table de route machine doit être définie sur chaque machine ? Si oui, comment je dois faire avec chaques machines ?

    Merci d'avance
  • [^] # Re: Route des clients

    Posté par  . En réponse au message Question sur tunnel VPN. Évalué à 1.

    Je pense que oui, mon réseau est fonctionnel et j'héberge des sites Internet, tchat IRC ... sur mon réseau et à partir de mes machines clientes, j'arrive à gérer mes serveurs, me connecter sur Internet etc ... Depuis mon IP cliente 192.168.1.2/C, j'arrive à atteindre via ping, la machine 10.4.0.1 qui est l'interface réseau tun1 de mon routeur, mais pas au délà. Le fichier ip_forward est bien mis à 1 sur les deux machines. Voici ce que donne la table de routage de ma machine cliente Windows (je n'ai jamais rien touché dedans, elle est dont par défaut) :
    ===========================================================================
    Liste d'Interfaces
      9 ...xx xx xx xx xx xx ...... Connexion réseau PRO/Sans fil 3945ABG Intel(R)
      1 ........................... Software Loopback Interface 1
     18 ...00 00 00 00 00 00 00 e0  isatap.{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
     10 ...xx xx xx xx xx xx ...... Teredo Tunneling Pseudo-Interface
    ===========================================================================
    
    IPv4 Table de routage
    ===========================================================================
    Itinraires actifsÿ:
    Destination rseau    Masque rseau  Adr. passerelle   Adr. interface Mtrique
              0.0.0.0          0.0.0.0    192.168.1.254      192.168.1.2    281
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
          192.168.1.0    255.255.255.0         On-link       192.168.1.2    281
          192.168.1.2  255.255.255.255         On-link       192.168.1.2    281
        192.168.1.255  255.255.255.255         On-link       192.168.1.2    281
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link       192.168.1.2    281
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link       192.168.1.2    281
    ===========================================================================
    Itinraires persistantsÿ:
      Adresse rseau    Masque rseau  Adresse passerelle Mtrique
              0.0.0.0          0.0.0.0    192.168.1.254  Par dfaut 
              0.0.0.0          0.0.0.0    192.168.0.254  Par dfaut 
    ===========================================================================
    
    IPv6 Table de routage
    ===========================================================================
    Itinraires actifsÿ:
     If Metric Network Destination      Gateway
     10     18 ::/0                     On-link
      1    306 ::1/128                  On-link
     10     18 2001::/32                On-link
     10    266 2001:0:4136:e38e:2c34:383e:3f57:fefd/128
                                        On-link
      9    281 fe80::/64                On-link
     10    266 fe80::/64                On-link
     18    286 fe80::5efe:192.168.1.2/128
                                        On-link
     10    266 fe80::2c34:383e:3f57:fefd/128
                                        On-link
      9    281 fe80::a08c:25fe:d6ca:f35f/128
                                        On-link
      1    306 ff00::/8                 On-link
     10    266 ff00::/8                 On-link
      9    281 ff00::/8                 On-link
    ===========================================================================
    Itinraires persistantsÿ:
      Aucun
    La table IPV6, c'est pour faire joli ...
  • [^] # Script final

    Posté par  . En réponse au message système de verrou ( 1 = 2, sisi avec linux ). Évalué à 2.

    Je me suis inspiré fortement de ta solution, ce qui me donne ceci :

    #!/bin/sh
    PID=$$
    if [ `ps -ao pid,ppid,command | tail +2 | grep ' /bin/sh ' | grep /\`basename $0$\` | grep -v "$PID " | wc -l` -ne 0 ]
    then
    echo "tourne deja"
    exit
    fi

    Je n'aime pas trop awk (enfin, je ne saisie pas son sens).
  • [^] # Re: écorchage

    Posté par  . En réponse au message système de verrou ( 1 = 2, sisi avec linux ). Évalué à 1.

    Merci pour tout.

    J'ai encore du soucis avec mon orthographe (avant, c'était pire).

    Merci totof2000.
  • [^] # Re: De toute façon ça ne marche pas ...

    Posté par  . En réponse au message système de verrou ( 1 = 2, sisi avec linux ). Évalué à 1.

    Pour ce qui est de l'erreur classique du grep, c'est géré.

    grep -v 'grep'

    et pour ce qui est de l'absolu ou du relatif, c'est géré également :

    grep " $0$\|/$0$"

    soit :
    espace nomduscrip puis $
    ou
    slash nomduscript puis $

    Et les deux lignes sont strictement identiques.

    L'erreur est que pendant l'éxécution en mémoire, une même commande peut avoir plusieurs thread en process ...

    Le problème du fichier verrou, c'est que s'il n'est pas supprimé, le script considère qu'il tourne perpétuellement.
  • [^] # Re: utiliser --newer-mtime

    Posté par  . En réponse au message Script de sauvegarde totale/incrémentielle via tar. Évalué à 1.

    Je pense bien faire une sauvegarde incrémentielle ...

    Le man de la commande tar parle de "-G, --incremental " et l'explication de Wikipedia explique bien la méthode utilisée par l'index de tar comme étant une sauvegarde incrémentielle.

    Ta méthode n'utilise pas de fichier index, je pense alors que ta méthode peut être différentielle.
  • [^] # Re: Backup-manager

    Posté par  . En réponse au message Script de sauvegarde totale/incrémentielle via tar. Évalué à 2.

    Voici ma fonction de nettoyage :


    function _purge(){
    for date_archive in `ls "$dir_backup/$cat/$scat/" | grep "full\|incremental" | grep '.tar.gz' | cut -d'-' -f1`
    do
    date_archive_humanoid=$date_archive
    date_archive=`echo $date_archive | tr -d '_'`
    if [ $date_archive -lt `date --date "$day_retention days ago" "+%Y%m%d"` ]
    then
    echo "Suppression des anciennes archives du $date_archive_humanoid ..."
    rm "$dir_backup/$cat/$scat/$date_archive_humanoid-"*
    fi
    done
    }
  • [^] # Re: Backup-manager

    Posté par  . En réponse au message Script de sauvegarde totale/incrémentielle via tar. Évalué à 2.

    Je viens de finir mon script (manque juste le nettoyage des trop anciennes sauvegardes). Voici mon code (pour qui ca interesse) :


    #!/bin/sh

    date_current=`date "+%Y_%m_%d"`
    dir_synchro='/home/synchro'
    dir_backup='/home/backup'

    function _full(){
    tar -c --atime-preserve -f "$dir_backup/$cat/$scat/$date_current-full.tar.gz" --gzip "$dir_synchro/$cat/$scat" -g "$dir_backup/$cat/$scat/index"
    }
    function _incremental(){
    tar -c --atime-preserve -f "$dir_backup/$cat/$scat/$date_current-incremental.tar.gz" --gzip "$dir_synchro/$cat/$scat" -g "$dir_backup/$cat/$scat/index"
    }
    function _added(){
    tar -c --atime-preserve -f "$dir_backup/$cat/$scat/$date_current-full-added.tar.gz" --gzip "$dir_synchro/$cat/$scat"
    }

    for cat in `ls "$dir_synchro" | tr -s ' ' '!'`
    do
    cat=`echo "$cat" | tr -s '!' ' '`
    for scat in `ls "$dir_synchro/$cat" | tr -s ' ' '!'`
    do
    scat=`echo "$scat" | tr -s '!' ' '`
    mkdir "$dir_backup/$cat/$scat" -p
    if [ `ls "$dir_backup/$cat/$scat/" | grep '.tar.gz' | grep -v 'added' | grep "full\|incremental" | wc -l` -eq 0 ]
    then
    _full
    else
    if [ ! -e "$dir_backup/$cat/$scat/$date_current-full.tar.gz" ] && [ ! -e "$dir_backup/$cat/$scat/$date_current-incremental.tar.gz" ]
    then
    if [ `date "+%w"` -eq 1 ]
    then
    _full
    else
    _incremental
    fi
    else
    if [ -e "$dir_backup/$cat/$scat/$date_current-full.tar.gz" ] && [ ! -e "$dir_backup/$cat/$scat/$date_current-incremental.tar.gz" ]
    then
    _incremental
    else
    _added
    fi
    fi
    fi
    done
    done
  • [^] # Re: tar -g

    Posté par  . En réponse au message Script de sauvegarde totale/incrémentielle via tar. Évalué à 1.

    Merci beaucoup.

    Je pense comprendre, je vais adapter mon script via l'utilisation d'un fichier index.

    Merci pour tout, je test ça de suite.
  • [^] # Re: Quelle puce gère le scsi ?

    Posté par  . En réponse au message Netfinity 5500 sur Slackware, Kernel ?. Évalué à 1.

    Finallement, je vais installer une Fedora dessus, car j'ai une autre machine pratiquement identique plus récente où Slack est dessus. Je pense même que c'est l'IBM ServeRAID II controller (two channels) on system board dont vous parlez.

    Sinon, lors de l'installation de la slackware, certaines commandes n'existe pas, telle que lspci et dmesg en grep me donne le détail de la machine, mais aucunes information sur le Raid 5 SCSI.

    Sinon, pour information, c'est un Netfinity 5500 d'IBM ServeRAID 5 SCSI Model 8660-42X.

    Merci encore :)
  • [^] # Re: donne plus d'informations

    Posté par  . En réponse au message Carte SATA avec lilo. Évalué à 1.

    Pour une information complète, voici le lien pour voir l'ensemble du système : http://info.franceserv.com

    Sinon, mon BIOS boot sur un disque dur IDE de la carte mère, le hda et mon / est sur le hda1.

    La séquence de boot du système est celle ci :
    BIOS ordi --> BIOS Raid Scsi --> BIOS Serial ATA --> LILO --> Système Linux.

    Je commence à me demander si il n'y aurrai pas de conflit IRQ entre mes deux cartes contrôleur, mais je ne pense pas, car tout fonctionne en amorcant le lilo depuis le CD de Slack et en montant le système...

    Je n'utilise ni de SATA, si de RAID scsi pour booter. Je ne comprend pas pourquoi LILO pleur devant ça.
  • [^] # Re: Interdire les autres méthodes

    Posté par  . En réponse au message config ssh par clef uniquement ?. Évalué à 1.

    Bonne idée ça pour le Protocol, tu m'y fait penser, comme on n'utilise que du proto 2, autant retirer le 1, ca évite peut être une faille.

    Enfin de compte, on change un peu de politique, comme on est que deux admin, on se connecte obligatoirement root en DSA, et on bloque tout les autres user par la methode AllowUsers root.

    Je sais, c'est pas bien d'utiliser un compte root, mais comme c'est un serveur et non une machine où l'on ouvre tout et n'importe quoi et que l'on connais ce que l'on y ajoute, pas de soucis.
  • # ok

    Posté par  . En réponse au message config ssh par clef uniquement ?. Évalué à 1.

    Trouvé,

    il faut mettre : PermitRootLogin without-password

    Je pensai que "without-password" fesai une connexion au root sans mot de passe, donc en accès direct, une porte grande ouverte, mais en fait, pas du tout.

    Et pour le reste de mes users, je les bloque par : AllowUsers root
  • [^] # Re: changer de port

    Posté par  . En réponse au message où se trouve les logs sshd svp ?. Évalué à 0.

    Pour info, voilà où je post également pour me dépatouiller sur ce script :

    http://forum.hardware.fr/forum2.php?config=hardwarefr.inc&cat=1(...)
  • [^] # Re: changer de port

    Posté par  . En réponse au message où se trouve les logs sshd svp ?. Évalué à 0.

    Bonjour à nouveau.

    J'aimerai faire une petite modification dans la façon où mon log est construit, actuellement, j'ai ceci :

    Jul 29 15:15:31 ns sshd[15833]: Failed password for user from 192.168.0.2 port 1793 ssh2

    et j'aimerai ne pas afficher "port ???? ssh2" à la fin de mes lignes. Même en modifiant le LogLevel, ca ne se retire pas. Il y as t'il une possibilité de le faire sous Slackware ? Car sous des logs de Debian, ca n'existe pas ces infos superflues.

    Je souhaites retirer ces info car le script en perl qui fait un 'parsing' du fichier log ne fonctionne pas avec ça. On m'a dit de modifier le parse, mais je n'y connais rien en perl.

    Si une personne as la solution, qu'il me le dise, où si il y as une personne qui souhaites voir le script perl et m'aider à le personnaliser en fonction de mon log, ca serai très gentils.

    Merci une nouvelle fois ...
  • [^] # Re: syslog

    Posté par  . En réponse au message où se trouve les logs sshd svp ?. Évalué à 1.

    Cool, merci kolter, je n'avais pas vu le Tarball en bas de la page, et le logcheck que j'avais récupéré sur sourceforge n'était pas aussi complet.

    En plus ca fonctionne, Nickel !
  • [^] # Re: syslog

    Posté par  . En réponse au message où se trouve les logs sshd svp ?. Évalué à 0.

    Sympa, j'ai ajouté un bloc de nom auth qui pointe sur le fichier /var/log/auth.log

    Le script perl fonctionne, cependant, il utilise un outils debian, logtail, qui n'existe pas en package Slackware. J'ai essayé un tail seul, mais ca ne fonctionne pas plus.

    J'attend donc la validation de mon inscription sur un autre forum (où j'ai récupéré ce script suite à une discussion), mais c'est long, c'est une personne qui valide, bouhhh (linuxfr powaa :P).

    Sinon, il y aurrai une personne qui sait où trouver les sources de logtail, car je trouve tout en .deb.

    Ce package est disponible en apt-get pour debian, mais n'existe pas pour slapt-get de Slackware.

    merci d'avance :D
  • [^] # Re: syslog

    Posté par  . En réponse au message où se trouve les logs sshd svp ?. Évalué à 0.

    Cool, merci pour la soluce avec le syslog.conf, je l'utilisai en tail -f, mais je ne savais pas qu'il y avait un fichier de configuration pour ça. Ca semble identique avec la Slack.

    Sinon, même en changeant de port, un nmap suffit pour connaître les ports ouvert, mais c'est vrai que ca peut être une solution.

    Mais une personne qui attaque le ssh, peut aussi attaquer autre chose, donc ca fait genre piège à souris mon port 22. (Pas de root permit en login, clef RSA, et mot de passe assez long :P, je vais surement aussi mettre en crond un temps de fonctionnement du serveur Ssh, comme font les grosses banques, par exemple de telle heure à telle heure, ca ne fonctionnera pas :P, enfin, ce sont des idées...

    Sinon, il est vrai que trop de règles, tue l'efficacité, mais il suffit d'ajouter dans le crond un netoyage du log, tout les mois par exemple, et le script perl reprend en compte les modifs et nettoye les règles en même temps. Ca fait donc 3 essais et ceci, par mois, si le gars tiens, c'est qu'il est tenace :D

    Merci encore à tous, je vais tester ça :P