UFW: règles de base

Pour placer un garde fou au niveau réseau sur vos serveurs ces quelques bases vous seront utiles:

  • en entrée par défaut couper tout
  • en sortie par défaut autoriser tout (c’est pas spécialement une bonne politique, mais c’est un premier jet)
  • ouverture du port ssh de façon limitée
  • ouverture du port http ET https

Et pour moi c’est tout.

Je vais reporter tout ça dans un tit script ansible ;-)

 

# become must be on each ufw if not I got a 'ERROR: You need to be root to run this script'

- name: Limit ssh access (brutforce)
  ufw:
    rule: limit
    port: ssh
    proto: tcp
  become: true

- name: Incoming disabled as default
  ufw:
    direction: incoming
    policy: deny
  become: true

- name: Outcoming enabled as default
  ufw:
    direction: outgoing
    policy: allow
  become: true

- name: Enable UFW
  ufw:
    state: enabled
  become: true

- name: Http server
  ufw:
    rule: allow
    port: http
    proto: tcp
  become: true

- name: Https server
  ufw:
    rule: allow
    port: https
    proto: tcp
  become: true

- name: Set logging
  ufw:
    logging: on
  become: true

 

 

Posted in AdminSys at April 10th, 2018. Comments Off on UFW: règles de base.

Envoyer ses emails avec DKIM, SPF, DMARC sur exim4

Les déboires

Installer DKIM sur exim4 est la croix et la bannière. Les nombreux exemples en ligne ne fonctionnent tout simplement pas.

Mon approche:

  • Demander à exim4 de passer en mode multiples fichiers à travers
dpkg-reconfigure exim4-config
  • lancer une première fois update-exim4.conf pour récupérer les variables DKIM à modifier dans le fichier généré
  • faire un petit grep sur le fichier généré dispo sous /var/lib/exim4/config.autogenerated pour récupérer les variables DKIM utilisées
grep '^dkim_' /var/lib/exim4/config.autogenerated

dkim_domain = DKIM_DOMAIN
dkim_selector = DKIM_SELECTOR
dkim_private_key = DKIM_PRIVATE_KEY
dkim_canon = DKIM_CANON
dkim_strict = DKIM_STRICT
dkim_sign_headers = DKIM_SIGN_HEADERS

Ceci m’a permis de trouver que la variable DKIM_FILE utilisée dans la plupart des exemples n’a plus d’utilité aujourd’hui et est remplacée par DKIM_PRIVATE_KEY .

La config Exim4

Read More…

Posted in AdminSys at September 2nd, 2017. 1 Comment.

Vagrant config generator

Quelques générateurs de fichiers de config Vagrant bien pratiques:

  • Rove.io Sélectionner ce que vous voulez sur votre machine, et customiser les différentes variables disponibles
  • Vaprobash Vagrant Provisioning Bash Scripts (un script à télécharger et customiser selon les besoins)
  • PuPHPet Combiner Vagrant & Puppet à travers une petite GUI sympa & bien conçue
  • Phansible fournit une interface pour créer des installations Vagrant & Ansible dédiées aux applications PHP
  • Protobox vous permet de créer mais surtout de partager facilement vos scripts d’installations de VMs

Au passage j’ai découvert quelques petits tools qui pourraient être sympas:

Mailcatcher permet d’intercepter tout mail envoyé en émulant un serveur SMTP.

XHProf un profiler pour php.

NGrok du reverse tunnelling pour fournir à vos clients un accès à vos instances de dev sans devoir mettre en place un VPN ‘complexe’.

 

Posted in AdminSys at June 7th, 2015. Comments Off on Vagrant config generator.

Ansible tags parser

Depuis peu je m’essaie à Ansible pour installer mes machines en production et les maintenir.

Une des fonctionnalités bien utile est la possibilité de tagguer des taches pour pouvoir exécuter seulement une partie des tâches du playbook sans devoir rejouer la totalité de ce dernier qui peut vite devenir gros, lourd et de facto lent à exécuter.

Évidemment ces tags il faut les écrire tâche par tâche et cela peut vite devenir lourd, surtout si vous n’avez pas fait ça progressivement. C’est la que mon parseur arrive: il lit les tags déjà placés et déduit ceux qui devraient exister selon la structure hiérarchique mise en place.

C’est en php et c’est disponible sur Packagist sur https://packagist.org/packages/lgnap/ansible-tags-parser

N’hésitez pas à remonter des bugs ou à commenter ce post si vous désirez des nouvelles fonctionnalités. Je sais c’est pas très testé et c’est pas bien, mais c’est sur les planches. Si ça se trouve le jour où vous lirez ce post il y aura des tests ^^

Posted in AdminSys at May 25th, 2015. Comments Off on Ansible tags parser.