Skip to content →

Fabien Vincent Posts

Génération de prefix-list pour peering BGP sur un IXP par script

Published 02/09/2014 by Fabien Vincent

Lorsqu’on est connectĂ© sur un point d’Ă©change IX, type FranceIX ou Equinix-IX, il peut ĂŞtre intĂ©ressant pour les membres de se connecter en direct d’AS Ă  AS au lieu de passer par les routes servers de l’IXP.

Pour cela, il est conseillĂ© de filtrer par liste de prĂ©fixes les peerings directs, afin d’Ă©viter d’obtenir une mauvaise annonce de route(s). La gĂ©nĂ©ration de ces prefix-lists peut devenir fastidieuse et lourde en cas de nombreux peerings.

Ce script se base sur l’API Stat du RIPE-NCC, donc la documentation est ici : https://stat.ripe.net/docs/data_api

Le script est disponible sur mon repository github : https://github.com/beufanet/ripe-tools/blob/master/cisco_pfx_list_from_as.pl

Il permet de gĂ©nĂ©rer en Cisco IOS-Like des prefix-lists standardisĂ©es pour mise en place dans la configuration du peering BGP, qu’il sera assez simple d’appliquer pour Ă©viter des leaks de route voir un blackhole …

Continue readingGénération de prefix-list pour peering BGP sur un IXP par script
Comments closed

Bloquer le brute force sur une authentification Apache

Published 01/09/2014 by Fabien Vincent

Toujours et encore du fail2ban !

Pour bloquer des tentatives d’authentification et donc de l’Ă©numĂ©ration d’utilisateur type brute force sur des authentifications Apache / httpd, il existe dĂ©jĂ  le fichier de filtre suivant :

[20:18 user@server ~] > vim /etc/fail2ban/filter.d/apache-auth.conf
 
Fail2Ban apache-auth filter
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# apache-common.local
before = apache-common.conf

[Definition]


failregex = ^%(_apache_error_client)s (AH01797: )?client denied by server configuration: (uri )?\S*(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH01617: )?user .*? authentication failure for "\S*": Password Mismatch(, referer: \S+)?$
            ^%(_apache_error_client)s (AH01618: )?user .*? not found(: )?\S*(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH01614: )?client used wrong authentication scheme: \S*(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH\d+: )?Authorization of user \S+ to access \S* failed, reason: .*$
            ^%(_apache_error_client)s (AH0179[24]: )?(Digest: )?user .*?: password mismatch: \S*(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH0179[01]: |Digest: )user `.*?' in realm `.+' (not found|denied by provider): \S*(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH01631: )?user .*?: authorization failure for "\S*":(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH01775: )?(Digest: )?invalid nonce .* received - length is not \S+(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH01788: )?(Digest: )?realm mismatch - got `.*?' but expected `.+'(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH01789: )?(Digest: )?unknown algorithm `.*?' received: \S*(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH01793: )?invalid qop `.*?' received: \S*(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH01777: )?(Digest: )?invalid nonce .*? received - user attempted time travel(, referer: \S+)?\s*$

ignoreregex =

Il suffit ensuite d’activer le filtre fans la configuration globale de fail2ban :

[20:53 user@serveur ~] > vim /etc/fail2ban/jail.conf

[apache]
enabled  = true
port     = http,https
filter   = apache-auth
logpath  = /var/log/httpd/*/*error_log
action = iptables-multiport[name=Apache-auth, port="http,https", protocol=tcp]
         sendmail-whois[name=Apache-auth, dest=user@beufa.net, sender=sender@beufa.net]
maxretry = 6

Ceci permet de bloquer l’IP source sur le port 80 et 443 dans la chaĂ®ne iptables dĂ©diĂ©e (ici : fail2ban-Apache-auth), ainsi que d’envoyer un mail contenant un whois de l’IP source au bout de 6 authentifications Ă©chouĂ©es :

[20:56 user@serveur ~] > iptables -L fail2ban-Apache-auth
Chain fail2ban-Apache-auth (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Malheureusement avec fail2ban, toujours pas de compatibilité IPv6 native (cela est possible, mais via un patch fourni sur le wiki de fail2ban).

 

Comments closed

Auditer la configuration sécurité de votre Unix avec Lynis

Published 28/08/2014 by Fabien Vincent

Lynis est un outil d’audit de votre système Unix/Linux (et d’autres systèmes type AIX).

L’objectif est d’amĂ©liorer la sĂ©curitĂ© de votre système par une vĂ©rification de certains Ă©lĂ©ments de sĂ©curitĂ©. Bien sĂ»r, il ne faut pas s’attendre Ă  une vĂ©rification complète de votre système d’un point de vue applicatif, mais il s’agit d’un bon dĂ©but pour auditer ce qui pourrait poser un problème de sĂ©curisation de votre machine, en cas d’attaque sur un de vos applicatifs par exemple.

Pour téléchargez Lynis, rendez vous ici : http://cisofy.com/lynis/ (http://rootkit.nl/software/lynis/)

Continue readingAuditer la configuration sécurité de votre Unix avec Lynis
Comments closed

Doubler son upload chez Numéricable

Published 28/08/2014 by Fabien Vincent

Il est dĂ©sormais possible aux propriĂ©taires de LaBox by NumĂ©ricable qui sont Ă  100Mbps ou 200Mbps de download d’augmenter son dĂ©bit en upload par 2, pour passer de 5 Ă  10Mbps.

L’option est bien cachĂ©e dans l’espace client, mais vous pouvez la retrouvez en suivant la mĂ©tthode suivante :

Numéricable, doubler le débit montant
Numéricable, doubler le débit montant

Vous pouvez alors activer, votre Box devra se resynchroniser ou rebooter pour que le modification soit effective

Une fois opérationnel, vous pourrez constater avec un speedtest le passage à 10Mbps en upload au lieu des 5Mbps précédemment.

Comments closed

Installation de mailpile et de RainLoop

Published 06/12/2013 by Fabien Vincent

Après recherche de solutions remplaçant un Roundcube pour mon webmail perso, je suis tombé sur plusieurs projets :

  • MailPile, un webmail python, en cours de dĂ©veloppement
  • RainLoop, un webmail PHP/Ajax, qui semble plus fini

 

Installation de RainLoop

L’installation de RainLoop est assez simple :

cd /var/www/html/rainloop/
find . -type d -exec chmod 777 {} ;
find . -type f -exec chmod 666 {} ;
wget -qO- http://repository.rainloop.net/installer.php | php

Ensuite, il suffit de créer un vhost sur votre apache (ici en SSL sur myhost.beufa.net) :

<VirtualHost *:443>
        ServerAdmin postmaster@beufa.net
        ServerName  myhost.beufa.net
        DocumentRoot /var/www/html/rainloop
        SSLEngine on
        SSLCipherSuite ALL:!ADH:RC4+SHA:+HIGH:+MEDIUM:+LOW:+EXP:+eNULL
        SSLProtocol all -SSLv2
        SSLStrictSNIVHostCheck on
        SSLOptions StrictRequire
        SSLCertificateFile      /etc/ssl/certs/myhost.cert
        SSLCertificateKeyFile   /etc/ssl/private/myhost.key
        #GnuTLSEnable on
        #GnuTLSPriorities SECURE:!ANON-DH:!MD5
        #GnuTLSCertificateFile cert.pem
        #GnuTLSKeyFile cert.pem
        #GnuTLSCertificateChainFile cert.pem
        #GnuTLSCACertificatePath /

        <Directory /var/www/html/rainloop>
                Options FollowSymLinks MultiViews
                AllowOverride All
                Order allow,deny
                allow from all
        </Directory>

        <Directory /var/www/html/rainloop/data>
                Options -FollowSymLinks
                AllowOverride None
                Order allow,deny
                Deny from all
        </Directory>

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn

        ErrorLog /var/log/httpd/myhost.beufa.net/error_log
        CustomLog /var/log/httpd/myhost.beufa.net/access_log combined

</VirtualHost>

Et vous obtiendrez alors le webmail après une configuration sur https://myhost.beufa.net/?admin (Le login / mot de passe par défaut est admin :: 12345, il faut donc le changer !)

Une version de démonstration est disponible ici : http://rainloop.net/try-now/

Installation de MailPile

MailPile est encore en dĂ©veloppement, et honnĂŞtement, ca a l’air loin d’ĂŞtre fini. Curieux, j’ai quand mĂŞme gratter pour l’installer :

# Installation des dépendances (suivant votre système, ici en CentOS 6.5)
yum install python-imaging python-jinja2 python-lxml python-devel python-pip python-setuptools

# Clone git du repository github
cd /opt/
git clone https://github.com/pagekite/Mailpile.git 
cd Mailpile

# Installation des dépendances pip (upgrade de jinja2 pour éviter l'erreur sur les templates)
pip install -r requirements.txt
pip install jinja2 --upgrade

# Setup de Mailpile
./mp --setup

# On ajoute un compte et son dossier de stockage
./mp --set "profiles.0.email = mymail@beufa.net"
./mp --set "profiles.0.name = My Name FirstName"
./mp --add /opt/vmail/mymailhost.net/myname/  --rescan all

# On démarre le démon www
./mp --www

Le démon écoutant sur localhost et le port 33441, le plus simple est de créer un Reverse Proxy Apache pour le test :

<VirtualHost *:443>
        ServerAdmin postmaster@beufa.net
        ServerName  myhost.net
        #DocumentRoot /var/www/html/mailpile
        SSLEngine on
        SSLCipherSuite ALL:!ADH:RC4+SHA:+HIGH:+MEDIUM:+LOW:+EXP:+eNULL
        SSLProtocol all -SSLv2
        SSLStrictSNIVHostCheck on
        SSLOptions StrictRequire
        SSLCertificateFile      /etc/ssl/certs/myhost.net.cert
        SSLCertificateKeyFile   /etc/ssl/private/myhost.net.key
        #GnuTLSEnable on
        #GnuTLSPriorities SECURE:!ANON-DH:!MD5
        #GnuTLSCertificateFile cert.pem
        #GnuTLSKeyFile cert.pem
        #GnuTLSCertificateChainFile cert.pem
        #GnuTLSCACertificatePath /

        <Proxy *>
                Order deny,allow
                Allow from all
        </Proxy>

        ProxyRequests Off
        ProxyPreserveHost On
        ProxyPass / http://localhost:33411/
        ProxyPassReverse / http://localhost:33411/

        <Location />
                Order allow,deny
                Allow from all
        </Location>
        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn

        ErrorLog /var/log/httpd/myhost.net/error_log
        CustomLog /var/log/httpd/myhost.net/access_log combined

</VirtualHost>

Vous pouvez alors tester sur le vhost reverse proxy ainsi crĂ©Ă©. Par contre, par encore de formulaire d’authentification, ce qui fait que votre mail est accessible “all around the world” ! ProtĂ©gez l’interface Ă  minima avec un htaccess ou une authentification basique dans le vhost.

En résumé

RainLoop semble un produit fini, mais il y a certaines choses manquantes :

  • Pas d’import possible des contacts
  • FonctionnalitĂ©s et configuration très très basiques
  • Gestion des threads de conversation limitĂ©e et pas forcĂ©ment pratique
  • Pas d’affichage des headers mail comme sur Roundcube
  • Pas de vĂ©rification des sous dossiers IMAP

Pour MailPile, mĂŞme si le projet est prometteur (Support OpenPGP, chiffrement des pièces jointes …), il manque encore :

  • Un formulaire d’authentification !!!
  • Une interface d’administration Ă  minima comme sur RainLoop
  • La gestion des dossiers IMAP
  • Un produit fini et utilisable tout simplement.

Je vais suivre donc ce dernier plus spĂ©cifiquement, RainLoop me semblant agrĂ©able pour l’instant en plus de RoundCube, que je garde pour l’usage avancĂ© (gestion des filtres Sieve/ManageSieve). La bonne nouvelle de ces 2 projets est qu’ils supportent tous les deux mon serveur Dovecot / Postfix avec SASL pour IMAPS et SMTP/STARTTLS.

Bref, deux produits intéressants à suivre !

2 Comments