Posts avec le tag "server"

#nimo@irc.geeknode.org

Ajouté le 12.05.2008 - 00:00 dans  •  Commentaires (0)
Tags: server irc communauté

En fait c'est pas une nouveauté. Ce chan existe depuis quelques temps, voire mois .
M'enfin, j'le mets ici.

Au menu : déconnades, trolls, bonne humeur et pourrissage d'un certain membre ...

Pour les origines, Genève, Vaud... parfois la France entre deux ping timeout... ah nan, en fait la France est pas mal représentée par deux genevois :->

Bref, le chan est là, et geeknode support le ssl

++

Lire plus

Un petit firewall cool

Ajouté le 02.08.2008 - 18:50 dans  •  Commentaires (3)
Tags: sécurité firewall iptables linux server

- "Je veux un firewall, mais chais pas comment faire??"
- "Easy, iptables est là pour toi"



Certains vont de suite commenter et dire "iptables pue, c'est pas lisible".
je répondrai "retournez faire du ruby" :P

Pour revenir à nos moutons, voici en 2-3 lignes de quoi vous faire un firewall efficace et cool avec iptables : 

#!/bin/bash

ipt=$(which iptables)

#### on commence par cleaner complètement les règles existantes
$ipt -F
$ipt -X
$ipt -P INPUT ACCEPT
$ipt -P OUTPUT ACCEPT

#### On laisse les connexions établies
$ipt -A INPUT -m state --state established,related -j ACCEPT

#### On va être cool et mettre 2-3 trucs en whitelist
$ipt -N SCAN_WHITELIST
$ipt -A SCAN_WHITELIST -m iprange --src-range xx.xx.xx.xx-yy.yy.yy.yy -j ACCEPT
$ipt -A SCAN_WHITELIST -s zz.zz.zz.zz -j ACCEPT

#### Filtre des packets : on veut du propre uniquement
$ipt -N badPacks
## on fait passer dans la whitelist...
$ipt -A badPacks -j SCAN_WHITELIST
$ipt -A badPacks -p tcp -m state --state NEW -m tcp ! --tcp-flags \
SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset
$ipt -A badPacks -m state --state invalid -j REJECT
$ipt -A badPacks -j RETURN

#### De quoi ralentir les scan 
#### (radical contre la majorité des scriptkiddies)
$ipt -N scanning
## on fait passer dans la whitelist...
$ipt -A scanning -j SCAN_WHITELIST
$ipt -A scanning -i eth0 -m state --state NEW -m recent --set --name SCAN1
$ipt -A scanning -i eth0 -m state --state NEW -m recent --update \
--seconds 90 --hitcount 10 --rttl --name SCAN1 -j REJECT
$ipt -A scanning -i eth0 -m state --state NEW -m recent --set --name SCAN2
$ipt -A scanning -i eth0 -m state --state NEW -m recent --update \
--seconds 180 --hitcount 10 --rttl --name SCAN2 -j REJECT
$ipt -A scanning -j RETURN

#### Et on applique
$ipt -A INPUT -j scanning
$ipt -A INPUT -j badPacks

#### Tout ce qui vient de localhost : Ok
$ipt -A INPUT -i lo -j ACCEPT
$ipt -A OUTPUT -o lo -j ACCEPT
$ipt -A INPUT -i 127.0.0.1 -j ACCEPT
$ipt -A OUTPUT -o 127.0.0.1 -j ACCEPT

#### On ouvre quelques ports
$ipt -A INPUT -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 53 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT


Et Voilà! un petit firewall monté en deux minutes. J'ai mis deux règles pour filtrer les scans, au cas où un petit malin voudrait monter les temps entre les requêtes. Mais en l'occurence, la majorité s'écrasent déjà au niveau de SCAN1...

Simple, efficace...

Enjoy :->

Lire plus

Nouveau serveur

Ajouté le 01.08.2008 - 20:27 dans  •  Commentaires (2)
Tags: server linux

Et oué, cette fois j'ai craqué, j'ai fais des frais : je me suis pris mon serveur dédié à moi.
Certes, il s'agit d'un virtualisé (merci Xen), mais j'ai plein accès dessus, et c'est plus moi qui subit le bruit.

Bref, maintenant ce superbe blog est chez swisscenter, qui pour la modique somme de 35CHF par mois me filent 10G d'espace disque, 256M de ram et je sais plus quoi comme processeur. En tous cas ma gentoo a été vite purgée et mise à jour;
En passant, contrairement à OVH ils ont un peu réfléchi au niveau des USEs par défaut.

A l'heure actuelle, tous mes services sont migrés sur ce serveur; j'ai même pris le temps de configurer à l'arrache un jabber, faudra encore que je modifie 2-3 trucs mais il tourne déjà pas trop mal.

Je verrai si je fais un système d'inscription ou pas. J'aurai déjà un serveur de mail à planter derrière histoire de faire cool, et finir 2-3 configs.

Bref, content. Armitage va prendre son repos à partir de demain normalement.

Seul vrai regret : l'uptime d'armitage... tout de même passés 70 jours, c'est pas mal. On tâchera de faire mieux avec ce Xen!

++

Lire plus

Secouage DNS

Ajouté le 28.08.2008 - 21:41 dans  •  Commentaires (3)
Tags: migration server

Voilà, c'est fait. internux.ch sera géré uniquement par illyasviel (alias nimo.internux.ch), et ce dès que la propagation DNS sera faite.
Il y a donc un risque non-négligeable que ça plantouille et que je cours après le serveur un petit moment, me connaissant.
Encore que, selon les tests faits via divers moyens, la zone est solide et correcte.
Le fait de pouvoir compter sur un dns secondaire est des plus agréable d'ailleurs. Je pense même pouvoir en poser un 3e "histoire de", de manière à réellement assurer mes arrières.

Bref, si vous lisez ce message, c'est que:
1- le DNS est pas encore propagé
2- le DNS est propagé ET ça marche

un petit host internux.ch pourra vous aider normalement. Si le résultat pointe vers 217.162.3.213 c'est que tout est bon :->

Souhaitez-moi bonne chance :S

Lire plus

àvenir

Ajouté le 04.08.2008 - 20:05 dans  •  Commentaires (0)
Tags: server todo

ouais, j'trouvais marrant de faire un "avenir" mêlé à "à venir". Après tout, cela peut avoir le même sens, non?
Donc OUI, l'accent est voulu ;)

Bref, dans les choses à venir dans un avenir proche sur nimo :
serveur mail (à voir si je le rends public ou pas, j'en doute)
serveur DNS (déjà plus ou moins monté) pour gérer la zone *.internux.ch (ainsi que les autes noms de domaines rattachés)

Cela promet donc quelques petites secousses dans le site, enfin les sites complets d'internux. Je ne ferai les changements que quand j'aurai un serveur mail fonctionnel reprenant les mêmes comptes que l'existant; faudra ensuite que j'arrive à transférer mes mails de chez infomaniak -> nimo; Cela va prendre une certaine place, je devrai sans doute virer pas mal de bordel de mes anciennes vies...

En gros, nettoyages de printemps estival ;)

Donc si une fois le site ne répond plus, c'est que je me suis complètement brouté, ou que la propagation DNS n'est pas encore faite :->

++

Lire plus

Et un serveur, Un!

Ajouté le 09.02.2010 - 21:58 dans  •  Commentaires (0)
Tags: server

Cette fois ça y est : j'vais avoir MON serveur !

Une grosse institution a décidé de liquider un cluster, ou du moins une partie de cluster. Ce qui m'a permis de récupérer un petit serveur 1U, quelque chose ressemblant furieusement à un IBM eserver 325, et ce à moindre prix (50CHF :P).

Avec son bi-opteron 2.4GHz et ses 4G de ram, il va pas trop mal. Actuellement, je suis en train de l'installer avec CentOS et un kernel Xen, dans le but d'accueillir quelques machines virtuelles.

Après quelques réflexions, je pense faire quelque chose de ce genre : 


          IP IP IP                            IP      IP     IP

          |  |  |                             |       |      |

          [proxy]                           [dns]   [sip] [users]

             |                                |       |

     ________|_______________________         |       |

    |        |       |               |        |       |

 [akemi] [yubico] [sites client] [gallery]    |       |

    |________|_______|_______________|        |       |

             |                                |       |

     [postgresql.local]-----------------------'-------'


En gros, les machines "web" seront uniquement avec des IP internes, et un proxy se chargera de distribuer les contenus. Ce dernier aura les X IP publiques nécessaires (à priori 3).
A côté de cela, je compte me monter un petit service SIP pour le privé. Le lien vers postgres me semble nécessaire pour les CDR, à voir selon le système que je vais mettre en place.
Et pour finir, une machine pour les users SSH que j'ai (y en a pas trop, heureusement :D).

Bref. De quoi jouer un peu. Les VM sont dans des volumes LVM, ce qui permet de les agrandir assez facilement, et de passer des images disques rébarbatives à créer.

Le tout sera certainement hébergé chez Nimag, et si tout va bien, cela sera fait courant mars. ou avril, dépend de mon temps libre qui fond comme neige au soleil.

Je ferai sans doute un bout de post sur comment créer de manière simple des DomU Debian, encore qu'il y a largement assez de tutoriaux disponibles sur le Net ;).

Allez, j'vais continuer de jouer un peu.

Lire plus

Et un serveur en moins, un

Ajouté le 15.05.2010 - 13:00 dans  •  Commentaires (0)
Tags: server

Illyasviel va bientôt disparaître. Première version de Nimo, il arrivent gentiment au bout.
Dès à présent, tout est mis sur akemi, mon RPS de chez OVH.

Ceci est la première partie d'une migration plus importante, qui me verra arriver finalement chez hetzner, un fournisseur allemand qui ne se fout pas de la gueule des clients qui paient, LUI (contrairement à OVH....)

Dans le courant de Juin, akemi va donc déménager, et se trouver sur un serveur légèrement plus gros et puissant.

Je reproduirai à peu près la structure interne prévue dans ce post, avec du centos comme base, et des gentoo comme machines virtuelles xen. Cela me permettra d'être souple, et de répondre aux attentes de mes clients (sisi, j'ai des clients).

Faudra aussi que je clean un peu mes dns, ça devient le foutoire complet là. Des CNAME partout dans tous les sens, même une maman Chat n'y retrouverait pas ses petits.

Je vais aussi sans doute me défaire de quelques noms de domaine inutilisés. Au final, je compte en garder 4 ou 5 sur la dizaine enregistrée...

Et, enfin, une fois cette migration terminée et les xen configurées correctement, je me mettrai à faire un serveur de mail correct. Il était temps que je m'y mette...

Au final, il devrait y avoir environ 5 Xen (proxy nginx, pylons, users, mails, dns), ce qui représentera 6 IP publiques. Peut-être que la SIP fera aussi son apparition. Dans tous les cas, je pense prendre un petit pack d'IPs supplémentaires histoire d'être à l'aise. Vu les prix de hetzner, j'aurais tord de m'en passer :D

Allez. Fin de cette news ;)

++

Tengu

Lire plus

Eviter 2-3 problèmes de flood avec iptables

Ajouté le 01.06.2010 - 14:24 dans  •  Commentaires (1)
Tags: iptables sécurité linux server

Petites astuces rapides pour éviter deux-trois problèmes de flood (pouvant mener à un DDOS) avec iptables.

Attention, il faut que le module "limit" soit activé dans le kernel, soit en dur, soit en module!!

ICMP


Tout le monde sait lancer un ping -f, aka ping flood (à ne pas confondre avec Pink Floyd ;) ).
C'est simple, mais peut être embêtant. Avec cette petite règle, vous serez un peu plus tranquille: 
$ipt -A INPUT -i eth0 -p icmp -m limit --limit 30/minute -j ACCEPT

En gros, on accepte que 30 pings par minute. Dans le cas d'un ping normal, environ une requête sur deux sera balancée loin : 
41 packets transmitted, 24 received, 41% packet loss, time 40153ms
rtt min/avg/max/mdev = 33.459/36.091/38.764/1.796 ms


Par contre, dans le cas d'un ping -f, c'est de suite plus drôle : 
201 packets transmitted, 6 received, 97% packet loss, time 2664ms
rtt min/avg/max/mdev = 34.533/35.892/38.487/1.276 ms, pipe 4, ipg/ewma 13.324/35.603 ms


Flood UDP


Tout d'abord, il faut savoir un petit détail : quand on passe par UDP, la bande passante ne peut pas être partagée équitablement. La trame UDP prend le pas sur TCP, et pour finir, bin TCP passe plus du tout. Simple, efficace, radical.
Pour parer à ce problème, on peut imaginer bloquer l'UDP. Seulement, tout ce qui est DNS passe justement par UDP.
C'est là qu'une petite règle iptables intervient encore : 
$ipt -A INPUT -i eth0 -p udp -m limit --limit 5/s -j ACCEPT

Si on test avec un hping : 
hping2 -i u10000 -2 nimo.internux.ch 
HPING nimo.internux.ch (eth0 78.46.64.14): udp mode set, 28 headers + 0 data bytes
ICMP Port Unreachable from ip=78.46.64.14 name=dns.akemi.internux.ch
ICMP Port Unreachable from ip=78.46.64.14 name=dns.akemi.internux.ch
ICMP Port Unreachable from ip=78.46.64.14 name=dns.akemi.internux.ch
ICMP Port Unreachable from ip=78.46.64.14 name=dns.akemi.internux.ch
ICMP Port Unreachable from ip=78.46.64.14 name=dns.akemi.internux.ch
ICMP Port Unreachable from ip=78.46.64.14 name=dns.akemi.internux.ch
ICMP Port Unreachable from ip=78.46.64.14 name=dns.akemi.internux.ch
ICMP Port Unreachable from ip=78.46.64.14 name=dns.akemi.internux.ch
ICMP Port Unreachable from ip=78.46.64.14 name=dns.akemi.internux.ch
ICMP Port Unreachable from ip=78.46.64.14 name=dns.akemi.internux.ch
ICMP Port Unreachable from ip=78.46.64.14 name=dns.akemi.internux.ch
ICMP Port Unreachable from ip=78.46.64.14 name=dns.akemi.internux.ch
^C
--- nimo.internux.ch hping statistic ---
704 packets tramitted, 12 packets received, 99% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms


En gros, ça ralentit les scans, et surtout, ça drop à fond dès qu'on tape la limite. ça permet d'éviter quelques problèmes, au final.
Je n'ai pas remarqué de problème au niveau de mon DNS, donc je suppose que tout est ok avec cette limite.

Voili-voilou.

++

Tengu

Lire plus

Naissance de Chii

Ajouté le 21.05.2010 - 01:53 dans  •  Commentaires (0)
Tags: hetzner server

Chii.internux.ch est né. Ce petit serveur, chez Hetzner vient enfin de booter sous Gentoo. Après moultes essais où je me suis complètement planté pour divers raisons (la dernière était un mauvais format de partition pour du raid soft...), le voilà tou frais et dispo, en train de se recompiler en entier avec le nouveau GCC, et une batterie de uses propres.

Dès que cette compilation mondiale (emerge -ave world ;) ) sera finie, je pourrai commencer à remettre les packages nécessaires pour faire tourner mes applications.

Pour finir, je n'ai pas mis en place le support Xen. Par contre, si j'ai besoin de faire des tests, je pourrai lancer 1-2 KVM pour la cause.

La sécurité sera donc assurée différemment que ce que je pensais à l'origine, mais cela devrait aller tout aussi bien :D.

Bref. Content. Et en plus, il fonce !

++

Tengu

Lire plus

Changement de serveur !

Ajouté le 21.08.2009 - 19:12 dans  •  Commentaires (0)
Tags: server migration

Nimo's blog a déménagé!
Il passe de Swisscenter (xen, peu de ram, un peu poussif et super-limité niveau espace disque...) à un RPS chez OVH. Certes, OVH, c'est pas la rolls, certes, ils sont pas non plus parmis les meilleurs etc... m'enfin bon, j'me suis dit que pour tester, ça peut le faire.

Donc akemi est née. 30G, avec le "premium" pour les disques durs, et un peu plus de ram que illyasviel (le vrai nom de la machine xen ;) )

Je vais migrer petit à petit mes applications sur akemi, et voir ce qu'il donne en charge "normale" (doit pas y avoir plus de 10 visiteurs par semaine de toutes façons :D

Donc bin voilà. On verra combien de temps ça durera.

A+

Tengu

Lire plus

Fail2ban - des logs dans postgres

Ajouté le 19.06.2010 - 20:47 dans  •  Commentaires (0)
Tags: linux sécurité iptables server

Ayant mis fail2ban sur mon serveur, je me suis dit qu'il pourrait être intéressant de garder des logs dans un coin, histoire de savoir qui a tendance à revenir 15 fois se faire banir sur mon serveur.

Voici donc le petit bout de code qui va bien :

Dans fail.conf : 
[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
           sendmail-whois[name=SSH, dest=titi@toto.com, sender=fail2ban@toto.com]
           savetopostgres[name=SSH]
logpath  = /var/log/auth.log
maxretry = 5


Et dans action.d/savetopostgres.conf : 
[Definition]

actionstart =
actionstop =
actioncheck =

actionban = <psqlpath> -h localhost -U <psqlusr> -c "insert into fail2ban (date, ip, type) values (now(), '<ip>', '<name>')" -d <psqldbname>

actionunban =

[Init]
psqldbname = fail2ban
psqlusr = titi
psqlpath = /usr/bin/psql
psqlcmd = insert into fail2ban (date, ip, type) values (now(), '<ip>', '<name>')


Simple, efficace... Et tout bonnement bien, dirais-je. Cela me permettra de sortir des listings des IP qui reviennent. Je pourrais même me faire un script qui me sort les plages IP à virer (pas mal de Chine d'ailleurs).

Et ça marche bien :D

Happy Sec!

Tengu

Lire plus

Serveur de mails

Ajouté le 22.06.2010 - 22:11 dans  •  Commentaires (1)
Tags: mail server migration

J'en rêvais, je l'ai (enfin) fait : mon serveur de mails à moi.

Pour se faire, j'ai installé et configuré postfix, dovecot, spamassassin et roundcube (oui, une application php..).

Merci à rhaamo pour les configs ;).

Concernant la bête, rien de bien spectaculaire - tout passe par du ssl, imap, pop, smtp, webmail. Spamassassin a de quoi s'entraîner sur mes spams, et est déjà bien efficace. Il profite aussi des listes de SARE, ce qui fait que je pense pouvoir dire : c'est radical.

J'ai aussi vite codé une petite interface pylons pour permettre aux 2-3 users de mon service de changer leur mot de passe, ainsi qu'ajouter des aliases.

Bref. J'suis content, va juste falloir migrer les MX de manière smooth sans perdre de mails. Pour ce faire, imapsync est pas mal du tout, avec une redirection le temps que les MX se propagent.

Une fois ce changement de MX fait, je pourrai arrêter mon abonnement chez infomaniak. Ils m'auront rendu bien service tout au long de mon séjour chez eux, mais maintenant il faut que je réduise les frais. Actuellement, le serveur de hetzner ne me coûte pas trop cher, j'ai mis en place un backup crypté, et tout tourne à merveille. Que demander de plus ? :D

Allez, ++

Tengu

Lire plus