Archives pour février, 2013

Debian : configuration du scheduler I/O

root@debian:~# apt-get install sysfsutils
root@debian:~# cat /etc/sysfs.conf
block/sda/queue/scheduler = deadline
block/sdb/queue/scheduler = deadline
root@debian:~# service sysfsutils restart

Samba : forcer les droits d’un partage

Le partage suivant assurer un accès lecture et écriture aux utilisateurs du groupe users :

[share]
comment = share
browseable = Yes
writeable = Yes
public = No
path = /home/share/
valid users = @users
read list = @users
write list = @users
force group = users
force security mode = 0664
force create mode = 0664
force directory mode = 0775

Rsyslog : activer le log d’un hôte distant

root@lovejoy:~# mkdir /var/log/remote
root@lovejoy:~# nano /etc/rsyslog.conf
# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

# rules
if $fromhost-ip startswith '10.0.0.1' then /var/log/remote/host.log
& stop
root@lovejoy:~# /etc/init.d/rsyslog restart

Amavis : mise en place du support DKIM

Amavis intègre depuis la version 2.6 le support DKIM ce qui évite de faire appel à un filtre/logiciel externe. Je présente ici l’activation du support pour le domaine domaine.fr.

Génération des clés DKIM

root@mail# mkdir -p /etc/amavis/dkim/domaine.fr
root@mail# cd /etc/amavis/dkim/domaine.fr
root@mail# amavisd-new genrsa domaine.fr.key

Configuration d’Amavis

root@mail# nano /etc/amavis/conf.d/52-dkim
use strict;

$enable_dkim_verification = 0;
$enable_dkim_signing = 0;

dkim_key('domaine.fr', 'default', '/etc/amavis/dkim/domaine.fr/key.pem');

@dkim_signature_options_bysender_maps = (
  { '.' => { ttl => 21*24*3600, c => 'relaxed/simple' } }
);

#------------ Do not modify anything below this line -------------
1;  # ensure a defined return

La clé publique DKIM peut enfin être affichée et déclarée dans la zone DNS :

root@mail:/etc/amavis/conf.d# amavisd-new showkeys
; key#1, domain domaine.fr, /etc/amavis/dkim/domaine.fr/key.pem
default._domainkey.domaine.fr.	3600 TXT (
  "v=DKIM1; p="
  "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCr9GYVLvcBqDhE1+GidlfLf8u1"
  "DURlfC8r8on1nr6cWM3r2H3yEPGQwsctVEQWtKRIEonBR+cUZNJWizeE1UslqL32"
  "YnppNcZJq7BMzFJO+uAYU7nLC1ZWueGKDUr7IgYmmW2TDJWpt7DgBMkD2Y/d6qOc"
  "7oOVkQMdIduxPsI6kQIDAQAB")
root@mail:/etc/amavis/conf.d# amavisd-new testkeys
TESTING#1: default._domainkey.domaine.fr      => pass

Le test étant validé, la vérification et la signature DKIM peuvent être activés :

root@mail# nano /etc/amavis/conf.d/52-dkim
$enable_dkim_verification = 1;
$enable_dkim_signing = 1;

Debian : flashback avec dpkg

root@debian:~# dpkg --get-selections > packages.dpkg
root@debian:~# apt-get install gnome-session
root@debian:~# dpkg --clear-selections
root@debian:~# dpkg --set-selections < packages.dpkg
root@debian:~# apt-get deselect-upgrade

MySQL : utilisation d’un RAM-disque pour les tables temporaires

root@sql:~# mkdir /tmp/mysqltmp
root@sql:~# chown mysql:mysql /tmp/mysql
root@sql:~# nano /etc/fstab
tmpfs /tmp/mysqltmp tmpfs noatime,nodev,nosuid,noexec,uid=mysql,gid=mysql,mode=0700,size=768m,nr_inodes=10k 0 0
root@sql:~# nano /etc/mysql/my.cnf
tmpdir = /tmp/mysqltmp

Bind : sécuriser les communications serveurs

TSIG – Transaction Signatures Configuration – est un mécanisme simple de sécurisation du dialogue entre un serveur DNS master et ses slaves. Sachant qu’un client peut usurper son adresse IP source, la protection du transfert de zones par ACL n’est pas suffisante. TSIG s’appuie sur une clé asymétrique pour chiffrer le dialogue DNS et garantir l’authenticité d’un serveur (par partage de la clé publique). Si vous souhaitez sécuriser les données DNS de bout en bout (des serveurs aux clients/résolveurs DNS), il faudra voir du côté de DNSSEC qui pousse le chiffrement jusqu’à chaque enregistrement des zones.

Voici les points nécessaires à la mise en place de TSIG entre un master et un slave.

Serveur master

Les clé privée/publique TSIG sont à générer en premier lieu  :

master# cd /etc/namedb
master# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST tsig-key
master# cat Ktsig-key.+157+27548.key
tsig-key. IN KEY 512 3 157 kvd6eDiceCdADTj+dp99kA==

La clé publique est à copier dans le fichier de configuration tsig.key :

master# nano tsig.key
key "TRANSFER" {
   algorithm hmac-md5;
   secret "kvd6eDiceCdADTj+dp99kA==";
};

server 88.8.8.8 {
   keys {
      TRANSFER;
   };
};

Ce fichier declare l’ensemble des serveurs slaves autorisés pour le transfert des zones (ici 88.8.8.8).

Reste à inclure le support TSIG et limiter le transfert de chaque zone DNS dans le fichier de configuration principal :

master# nano /etc/bind/named.conf
include "/etc/bind/tsig.key";

options {
   allow-transfer {
      88.8.8.8;
      key TRANSFER;
   };
}

Le transfert de zones est ici autorisé globalement, mais il peut être limité à une zone.

Serveur slave

Sur le slave, seul le fichier de configuration tsig.key est nécessaire :

slave# cd /etc/namedb
slave# nano tsig.key
key "TRANSFER" {
   algorithm hmac-md5;
   secret "kvd6eDiceCdADTj+dp99kA==";
};

server 66.6.6.6 {
   keys {
      TRANSFER;
   };
};

Le serveur master y est indiqué (ici 66.6.6.6).

Reste à reloader les serveurs DNS et tester le transfert de zones en mettant à jour une zone sur le master.

Haut de page