Geekeries diverses

Pour placer un garde fou au niveau réseau sur vos serveurs ces quelques bases vous seront utiles:

• en entrée par défaut couper tout
• en sortie par défaut autoriser tout (c’est pas spécialement une bonne politique, mais c’est un premier jet)
• ouverture du port ssh de façon limitée
• ouverture du port http ET https

Et pour moi c’est tout.

Je vais reporter tout ça dans un tit script ansible ;-)

# become must be on each ufw if not I got a 'ERROR: You need to be root to run this script'

- name: Limit ssh access (brutforce)
  ufw:
    rule: limit
    port: ssh
    proto: tcp
  become: true

- name: Incoming disabled as default
  ufw:
    direction: incoming
    policy: deny
  become: true

- name: Outcoming enabled as default
  ufw:
    direction: outgoing
    policy: allow
  become: true

- name: Enable UFW
  ufw:
    state: enabled
  become: true

- name: Http server
  ufw:
    rule: allow
    port: http
    proto: tcp
  become: true

- name: Https server
  ufw:
    rule: allow
    port: https
    proto: tcp
  become: true

- name: Set logging
  ufw:
    logging: on
  become: true

J’ai un tit script python qui tourne quotidiennement au travers du cron.

A titre de rappel, il faut changer le fichier:

/etc/config/crontab

Lancer le process pour persister le changement:

crontab /etc/config/crontab

Redémarrer crontab:

/etc/init.d/crond.sh restart

Et c’est bon ! Vous pouvez vérifier que c’est en ordre au travers du classique

crontab -l

Comme tout cron, faites attention à la variable d’env $PATH et utilisez des path absolus ;-)

Et voilà, z’avez fait l’andouille, vous avez oublié de lancer screen/tmux avant de faire un yum update et la liaison s’est coupée en plein upgrade.

On commence par récuperer la liste des duplicates:

yum update | grep duplicate | sed ‘s/ is a.*//’ | sed ‘s/.*://’ > error-packages.list

Read More…

Gnome shell est l’application (avec FF) que j’ai la plus de mal à customiser et à garder avec une config cohérente entre mes postes .

Il est fort complexe d’automatiser l’installation et sa configuration et je ne me retrouve jamais avec qque chose de similaire.

Je vais donc écrire un petit post décrivant ma config, et je verrais si je m’y tiens (au pire j’updaterai ce post en fonction).

Et qui sait un jour j’arriverai à automatiser son install/config…

Read More…

Les déboires

Installer DKIM sur exim4 est la croix et la bannière. Les nombreux exemples en ligne ne fonctionnent tout simplement pas.

Mon approche:

• Demander à exim4 de passer en mode multiples fichiers à travers

dpkg-reconfigure exim4-config

• lancer une première fois update-exim4.conf pour récupérer les variables DKIM à modifier dans le fichier généré
• faire un petit grep sur le fichier généré dispo sous /var/lib/exim4/config.autogenerated pour récupérer les variables DKIM utilisées

grep '^dkim_' /var/lib/exim4/config.autogenerated

dkim_domain = DKIM_DOMAIN
dkim_selector = DKIM_SELECTOR
dkim_private_key = DKIM_PRIVATE_KEY
dkim_canon = DKIM_CANON
dkim_strict = DKIM_STRICT
dkim_sign_headers = DKIM_SIGN_HEADERS

Ceci m’a permis de trouver que la variable DKIM_FILE utilisée dans la plupart des exemples n’a plus d’utilité aujourd’hui et est remplacée par DKIM_PRIVATE_KEY .

La config Exim4

Read More…

As I wrote in Mooltipass on fedora I acquire recently a Mooltipass.

But I’m in love with Fedora and rpm instead of Debian with apt. Sadly the official repo doesn’t provide standalone app for Fedora.

Thanks to scips I discover alien soft to fix that: it’s job is to create a rpm from a deb for instance.

In our case that doesn’t work due to the fact that we don’t have rpm spec file at debian debootstrapping step.

I don’t have enough experience to build a rpm spec file, but we’re not blocked.

Read More…

Mooltipass is an hardware solution to store securely passwords. In few words: it’s a Atmega with a screen, a card reader and a scroll wheel to type the password.

I backed that on kickstarter and a more complete description is available on official website

Read More…