vendredi 29 mars 2013

Adobe Flash Player

Voici les liens pour télécharger directement les exécutable du plugin flash depuis le site d'Abobe :

Windows
Mac OsX
Linux (ce sera la dernière version stable)

Voici le lien pour vérifier les dernières versions en date.

EDIT : Voici la page de téléchargement direct du site d'Abobe. Trouvé après la création de ce billet ... T.T

lundi 21 janvier 2013

Remplacer la Freebox par un modem Alcatel Speed Touch Home

Comme avec le SOHO97, le but ici est de configurer un modem Alcatel Speed Touch Home (STH dans la suite) pour se connecter à une ligne dégroupée chez Free. Notons qu'il est nécessaire d'avoir passé le STH en Speed Touch Pro.

Avant de commencer, il faut savoir que Free utilise de l'IPoA, c'est-à-dire où IP est encapsulé directement dans ATM. L'encapsulation utilisée est VC-MUX. Or, même si le STH support l'IPoA et le VC-MUX, il ne permet pas d'utiliser les deux à la fois. Heureusement, il existe une version patchée du firmware qui remédie à ce problème. Originalement posté sur Forpage, il est devenu difficile à trouver et il figure en pièce jointe de ce billet.
Attention, deux remarques concernant ce firmware :
- il s'adresse à la version K du STH, pas la version G ;
- il fait disparaître le mode "EXPERT" du STH. Je recommande donc de conserver en passif une version qui autorise ce mode.

La première étape consiste donc à envoyer le nouveau firmware. La manière la plus simple est de passer par l'interface web du modem (http://10.0.0.138/) ; si cela échoue, il reste la méthode du telnet/FTP.

Ensuite, il faut configurer le VP/VC : sur la page "phonebook", supprimer le VP/VC 8/36 et le recréer de type "CIP".
Puis, sur la page CIP, ajouter une interface avec l'adresse IP publique et un masque de 255.255.255.0. Ajouter une connexion CIP utilisant le canal (8/36) créé précédemment, avec comme destination l'adresse IP de la passerelle Free, généralement la dernière adresse du sous-réseau (x.x.x.254)
Il convient ensuite d'ajouter la route suivante :
Destination : 0.0.0.0/0
Source : any
Passerelle : <adresse_IP_passerelle>
Le NAT doit être configuré depuis telnet :

nat enable addr=<adresse_ip_publique> type=pat


D'ailleurs, toute la configuration décrite précédemment est réalisable par telnet :

phonebook delete name=Br2
phonebook add name=cip1 addr=8*36 type=cip
cip ifadd addr=<addresse_IP_publique> netmask=255.255.255.0
cip pvcadd dest=8*36 destaddr=<adresse_IP_passerelle>
ip rtadd dst=0.0.0.0 gateway=<adresse_IP_passerelle>

mercredi 19 décembre 2012

Configurer l'authentification SSH par clé sous CentOS/Redhat 6.*

Il est généralement utile de configurer une machine pour accepter l'authentification SSH par clé. Ce genre d'authentification est assez simple à mettre en place mais dans le cas des dernières versions de Redhat et CentOS, versions 6 et supérieures, il y a quelques petits pièges qui peuvent vite vous faire péter une pile.

Lire la suite...

mardi 18 septembre 2012

Les logiciels Adobe en standalone

Puisque chaque fois que j'en ai besoin je dois faire une recherche Google, voici une bonne fois pour toutes l'emplacement des logiciels Adobe en version offline (standalone) :

ftp://ftp.adobe.com/pub/adobe/reader/

mardi 4 septembre 2012

Désactiver IPV6 sur Debian/Ubuntu

Il arrive que l'on ne souhaite pas avoir d'ipv6 sur une machine ou que ce dernier nous pose des soucis, car un service l'utilise au lieu de l'ipv4. 

Lire la suite...

mardi 28 août 2012

dns2tcp

Petit tutoriel rapide pour installer et configurer un environnement dns2tcp. Juste rapidement, le but de cet environnement est d'utiliser les requêtes DNS pour établir une connexion TCP entre un client et un serveur (très pratique quand seul le DNS est autorisé ... ).

/!\ Ce tuto par d'un VKS tout fraichement installé, mais peut être adapté à tout type d'environnement. /!\

-- Parenthèse

Je passe la configuration du système lui-même mais en profite pour rappeler que pouvoir se connecter en root sur un serveur, c'est pas top, et que laisser des clés SSH d'OVH, ben c'est pas top non plus :

bash ~# cat /etc/ssh/sshd_config
[...]
PermitRootLogin no

bash ~# rm ~/.ssh/authorized_keys2

-- Fin parenthèse

-- Pré-requis

<< un serveur accessible sur Internet (évidemment)

<< un nom de domaine (pour l'exemple : poney.net)

<< le port 53 disponible sur le serveur (si bind est installé par défaut, il faudra arréter le service ou le désinstaller, et certainement modifier la configuration dans /etc/resolv.conf)

-- Fin pré-requis

1) Déjà, un petit update du système ne fait pas de mal

bash ~# aptitude update && aptitude dist-upgrade
[...]

2) Récupérer et compiler dns2tcp

bash ~# aptitude install build-essential
bash ~$ wget http://hsc.fr/ressources/outils/dns2tcp/download/dns2tcp-0.5.2.tar.gz
bash ~$ tar xzf dns2tcp-0.5.2.tar.gz && rm dns2tcp-0.5.2.tar.gz
bash ~$ cd dns2tcp-0.5.2
bash ~$ ./configure && make
bash ~# make install

3) Configuration du DNS

<< Nouvelle entrée pour poney.net.

dnstcp  NS      dnstcp.poney.net.
dnstcp  A       @IP_Serveur

<<

4) Confiugration et lancement du service

Plusieurs mode de fonctionnement sont configurables avec dns2tcp, nous allons voir comment configurer un tunnel SSH (pour plus d'informations : http://hsc.fr/ressources/outils/dns2tcp/download/README).

bash ~# mkdir /var/dns2tcp

bash ~# cat /etc/dns2tcp.conf
# listen = 0.0.0.0
port = 53
user = nobody
domain = dnstcp.poney.net
chroot = /var/dns2tcp
key = macleavecpleindecaracteresquiveulentriendiredjizeojzeoi23E3EZDKJoczhir
ressources = ssh:127.0.0.1:22

bash ~# /usr/local/bin/dns2tcpd -f /etc/dns2tcp.conf -d 1

-- Script à appeler depuis un cron pour vérifier que le service tourne bien

bash ~# cat test_services.sh
if [ `pidof dns2tcpd` ]
then
echo "[+] dns2tcp OK"
else
echo "[-] dns2tcp KO"
echo "[-]  * kill processus (just to be sure)"
killall dns2tcpd
echo "[-]  * laucnh daemon"
/usr/local/bin/dns2tcpd -f /etc/dns2tcp.conf -d 1
echo "[+] dns2tcp OK"
fi

bash ~# crontab -l
*/1 * * * *     /bin/bash /root/test_services.sh &> /dev/null

-- Fin script

5) Configuration du client

<< Même étape que la 2) pour la compilation

bash ~$ dns2tcpc -z dnstcp.poney.net -r ssh -k macleavecpleindecaracteresquiveulentriendiredjizeojzeoi23E3EZDKJoczhir -l 4443 &
bash ~$ ssh -D 1234 -p 4443 user@localhost

L'option -D 1234 permet de créer un proxy SOCKS4/5 en local sur le port 1234, qui utilisera automatiquement la connexion SSH comme tunnel.

lundi 20 août 2012

Cntlm Authentication Proxy

Cntlm est un utilitaire permettant de s'authentifier auprès d'un proxy.

Une fois l'utilitaire installé (téléchargeable ici), il faut modifier le finir cntlm.ini :

Username	identifiant_AD
Domain		nom_domaine
Auth		mode_auth
PassNTLMv2	hash_trouvé
Proxy		ip_proxy:port_proxy
Listen		3128
SOCKS5Proxy	8010

Il est possible de remplir le fichier cntlm.ini avec votre mot de passe de domaine en clair, mais il est préférable de le laisser vide et d'utiliser cntlm pour récupérer la méthode d'authentification de votre AD ainsi que le hash de votre mot de passe. Il suffit d’exécuter la commande suivante dans le dossier de cntlm

cntlm -I -M http://test.com
Config profile  1/11... OK (HTTP code: 200)
Config profile  2/11... OK (HTTP code: 200)
Config profile  3/11... OK (HTTP code: 200)
Config profile  4/11... OK (HTTP code: 200)
Config profile  5/11... OK (HTTP code: 200)
Config profile  6/11... Credentials rejected
Config profile  7/11... Credentials rejected
Config profile  8/11... OK (HTTP code: 200)
Config profile  9/11... OK (HTTP code: 200)
Config profile 10/11... OK (HTTP code: 200)
Config profile 11/11... OK (HTTP code: 200)
----------------------------[ Profile  0 ]------
Auth            NTLMv2
PassNTLMv2      4AC6525378DF8C69CF6B6234532943AC
------------------------------------------------

Il suffit alors de rajouter les 2 lignes dans le fichier cntlm.ini.

On peut ensuite configurer Putty pour utiliser cntlm :
Dans l'onglet Connexion/proxy :
proxy type : SOCKS 5
proxy hostname : 127.0.0.1
port : 8010

jeudi 2 août 2012

Linux Mint Live en PXE par NFS

Il est possible, très simplement, de démarrer la distribution Linux Mint depuis un serveur PXE. Cette façon de faire peut être adaptée à d'autres distributions, elle est d'ailleurs inspirée de celle d'Ubuntu (d'où est tirée Mint).

mount -o loop linuxmint-13-mate-dvd-64bit.iso /media/imagecd
mkdir /tftpboot/mint
cp -r /media/imagecd/casper /tftpboot/mint/
umount /media/imagecd
  • Rendre ce répertoire accessible en NFS. Pour cela, installer le serveur NFS et ajouter une ligne d'export au fichier /etc/exports :
apt-get install nfs-kernel-server
echo '/tftpboot/mint *(ro,no_root_squash,no_subtree_check,async)' >> /etc/exports
/etc/init.d/nfs-kernel-server restart
  • Ajouter une entrée dans le fichier <racine TFTP>/pxelinux.cfg/default. Pour ma part j'ai aussi passé l'OS en français :
LABEL mint
     MENU LABEL Mint Live (NFS)
     KERNEL mint/casper/vmlinuz
     APPEND initrd=mint/casper/initrd.lz boot=casper netboot=nfs nfsroot=192.168.1.1:/tftpboot/mint locale=fr_FR keymap=fr console-setup/layoutcode=fr



Mise à jour (21/11/2012) : le réseau fonctionne sous Linux Mint 13, mais plus sous Mint 14. Il faut alors redemander une IP :

sudo dhclient eth0

samedi 7 juillet 2012

Installer Windows depuis un serveur PXE Linux

Voyons comment installer Windows depuis un démarrage PXE. Ceci revient en fait à lancer l'installation de Windows (7 par exemple) depuis un environnement WinPE personnalisé de la manière suivante :
- intégration du pilote Realtek Gigabit PCIe, de plus en plus répandu et indispensable pour lancer l'installation par le réseau ;
- une fois WinPE chargé, montage du media en CIFS contenant le répertoire "source" du média d'installation et lancement de l'assistant.

Lire la suite...

jeudi 5 juillet 2012

Utilisateurs et domains virtuels avec Postfix et Dovecot

Dans un article précédent, j'ai expliqué comment mettre en place un serveur de messagerie. Nous allons ici ajouter un support MySQL pour profiter des alias et domaines virtuels; mais aussi de l'authentification basée dessus.

Lire la suite...

lundi 2 juillet 2012

Serveur mail avec Postfix et dovecot

Nous allons mettre en place un serveur mail relativement basique avec pour MTA Postfix et MDA Dovecot. L'accès à la boite mail se fera par un client lourd (genre thunderbirds) via IMAP/IMAPS avec une authentification sasl/Plain/TLS pour s'y connecter de n'importe où. Les utilisateurs seront les utilisateurs du serveurs de messagerie.

Lire la suite...

jeudi 28 juin 2012

Vmware tools pour Ubuntu (et d'autres systèmes :p)

Installer les vmwares tools sur un host linux se résume généralement à monter l'iso fournis avec l'hyperviseur et faire l'installation à la main. Mais il existe une autre solution : les paquets :)

Lire la suite...

vendredi 13 avril 2012

Remplacer la Freebox par un routeur Cisco SOHO 97

Voici une configuration possible du Cisco SOHO97 pour se connecter sur une ligne ADSL Free en dégroupage total (donc en IPoA). On y voit la configuration de l'encapsulation des VP/VC 8/36, l'adressage fixe (le DHCP ne fonctionne qu'avec certaines versions d'IOS) et le NAT. On peut aussi ajouter des redirectiosn de ports.

Attention toutefois, le SOHO97 ne fait pas d'ADSL2+, seulement de l'ADSL. Sur une ligne de piètre qualité (2,5 km), je perds environ 26 % de débit en download, 14 % en upload et 20 ms de ping, ce qui est énorme.

interface Ethernet0
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 no atm address-registration
 no atm ilmi-enable
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address <adresse_ip_publique> 255.255.255.0
 ip nat outside
 pvc 8/36
  encapsulation aal5mux ip
 !
!
ip nat inside source list 1 interface ATM0.1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip http server
no ip http secure-server
!
access-list 1 permit 192.168.1.0 0.0.0.255

Débit montant : 107,6 ko/s avec la Freebox ; 92,7 ko/s avec le SOHO97. (envoi en FTP de 32768.rnd vers un FTP Free)
Débit descendant : 380 ko/s avec la Freebox ; 281 ko/s avec le SOHO97. (wget http://test-debit.free.fr/32768.rnd)
Ping : 20,4 ms avec la Freebox, 39,6 ms avec le SOHO97. (ping -f <ip_passerelle> pendant une minute)

jeudi 2 février 2012

Serveur VPN PPTP

Ce mécanisme se base sur un tunnel GRE au travers de TCP pour encapsuler des paquets PPP dans le but de former un réseau virtuel privé. Pour ce faire, le client ouvre un tunnel avec le serveur sur le port 1723. Une fois la liaison établie, il ouvre un second tunnel dans le premier en utilisant le protocole GRE (port 47) pour faire transiter les informations.

Assez ancien et non standardisé, il est reconnu comme vulnérable, mais il a l'avantage d'être utilisable nativement dans la plupart des OS (plus d'information sur cette page).

Donc tenez vous le pour dit, ce n'est pas ce qui se fait de mieux en VPN, mais ça peut servir.

Lire la suite...

vendredi 20 janvier 2012

Ouvrir une session sous Windows 7 sans mot de passe

Le saviez-vous ? Il est possible de créer un compte administrateur sur Windows 7, sans avoir à ouvrir de session (donc sans connaître le mot de passe admin).
En effet sur l'écran d'ouverture de session figure un bouton "Options d'ergonomie" qui démarre %windir%\system32\utilman.exe en administrateur. Il suffit donc, depuis un liveCD, de remplacer cet exécutable par cmd.exe puis redémarrer, pour qu'un clic sur le bouton "Options d'ergonomie" démarre une invite de commande à partir de laquelle on peut exécuter une MMC pour aller créer un deuxième compte administrateur.

mardi 6 septembre 2011

Webmin

Webmin est l’une des plus connues des interfaces web d’administration.

Elle s’installe facilement sous Debian puisqu’il existe des dépots APT.

Ainsi, il suffit d’ajouter les dépots au fichier "/etc/apt/sources.list":

deb http://download.webmin.com/download/repository sarge contrib

deb http://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib

puis d’ajouter la clé GPG du créateur de Webmin :

wget http://www.webmin.com/jcameron-key.asc

apt-key add jcameron-key.asc

et ensuite d’installer le paquet :

apt-get update

apt-get install webmin

L’interface d’administration est alors disponible à : https://serveur:10000. Seul l’utilisateur « root » à accès au début, mais il est possible d’aller dans les paramètres de Webmin et d’ajouter des utilisateurs, voir de synchroniser automatiquement la création d’utilisateurs Webmin lors de la création d’utilisateurs Linux.

XFS et les Quota de projets

Il peut être parfois pratique de pouvoir gérer les quotas des utilisateurs en fonction du dossier et non de l'utilisateur ou du groupe auquel il appartient.

L'une des solutions consiste à utiliser le système de fichier nomme "XFS". En effet, il permet la mise en place quota de projet ( c'est le nom utilisé pour désigner l'application de quotas sur des dossiers).

Une fois le système fichier installé, il faut ajouter deux paquets permettant la gestion des quotas :

# apt-get install xfsprogrs xfsdump

puis il faut ensuite aller modifier le fichier "/etc/fsttab" afin de rajouter au système de fichier l'option "prjquota". La ligne de votre fichier doit ressembler à :

# <file system> <mount point> <type> <options> <dump> <pass>

# /home was on /dev/sdb6 during installation

UUID=f9a6b742-1131-4d5a-aa09-fc9514379ef4 /home xfs defaults,prjquota 0 2

Il faut ensuite utiliser quelques commandes afin d'ajouter un quota. On notera qu'XFS_quota utilise sa propre commande.

  • déclarer un quota de projet dans "/etc/projects" en associant au dossier à limiter un identifiant de projet :

echo 1:/home/a-hyaric >> /etc/projects

  • affecter un nom (« prrjtest ») en lien avec ce même identifiant de projet dans le fichier "/etc/projid" :

echo prjtest:1 >> /etc/projid

  • enregistrer le quota de projet auprès du système de fichier :

xfs_quota -x -c 'project -s prjtest' /home

  • mettre en place la limite de quota (20m ici):

xfs_quota -x -c 'limit -p bhard=20m prjtest' /home

La mise en place des quotas peut être vérifier grâce à la commande : xfs_quota -x -c report /home 2>/dev/null

Source : ici

Samba Logs

La création d'un partage Samba a déjà été évoqué précédemment.

Une fois les différents partages et contrôle d'accès mis en place, il peut être intéressant d'avoir des logs clairs permettant de suivre l'activité des différents partages. En effet, par défaut, Samba regroupe ses logs dans plusieurs fichiers(1 par utilisateur et machine), et il peut être fastidieux de les parcourir et d'y trouver la bonne information. La solution préconisée par Samba est l'utilisation de . Le module le plus précis et paramétrable est .

Il vous suffit alors de compléter le fichier smb.conf de la manière suivante :

#======================= Global Settings =======================
[global]

       log level = 1 vfs:10
       vfs objects = full_audit
       full_audit:prefix = %u|%I|%m|%S
       full_audit:success = mkdir rename unlink rmdir pwrite
       full_audit:failure = none
       full_audit:facility = LOCAL7
       full_audit:priority = NOTICE

# penser à commenter les lignes suivantes :
# log file = /var/log/samba/%U.%m.log
# syslog only = yes
# syslog = 2

Les déclarations du module sont mises dans la section globale mais peuvent être également placées dans chaque partage.

Un peu d'explication à propos des déclarations :

  • la ligne "log level" : elle permet de préciser le niveau des logs (1 donnant le minimum d'informations utiles et 10 le maximum). Ici, on met le niveau global des logs de samba à "1" et celui du module à "10".
  • la ligne "vfs objects" : elle permet de déclarer l'utilisation du module full_audit sur tous les partages
  • la ligne "full_audit:prefix" : elle spécifie la syntaxe des lignes de logs (les samba peuvent être utilisées). Cette ligne donnera alors le nom d'utilisateur, l'adresse IP du client, le nom de la machine et le partage accédé, séparés par des pipes.
  • la ligne "full_audit:prefix" : elle permet de spécifier les à enregistrer.
  • la ligne "full_audit:failure" : de même avec les actions échouées
  • la ligne "full_audit:facility" elle permet d'attribuer une instance du syslog (1)
  • la ligne "full_audit:priority" : elle permet d'attribuer l'importance des messages (dans l'ordre d'urgence : EMERG, ALERT, CRIT, ERR, WARNING, NOTICE, INFO, DEBUG)
(1) Créer une instance du syslog

Pour créer une nouvelle instance du syslog, il faut aller modifier le fichier de configuration /etc/rsyslog.conf afin d'y rajouter :

       #creating a syslog facility
       local7.*        /var/log/samba/log.audit

Ce qui signifie que tous les messages de local7 seront écrit dans /var/log/samba/log.audit (qui devient alors notre fichier d'audit principal). Il faut ensuite redémarer le démon syslog pour prendre en compte les changements (avec /etc/init.d/rsyslog restart).

Exemple du fichier log.audit :
     Aug  4 16:46:04 localhost smbd[29819]: a-hyaric|172.18.60.233|cnu85175wc|a-hyaric|pwrite|ok|~$uveau Document Microsoft Word.docx
     Aug  4 16:46:12 localhost smbd[29819]: a-hyaric|172.18.60.233|cnu85175wc|a-hyaric|rename|ok|./93DC53A7.tmp|./Nouveau Document Microsoft Word.docx
     Aug  4 16:47:37 localhost smbd[29819]: a-hyaric|172.18.60.233|cnu85175wc|a-hyaric|unlink|ok|Copie de favicon.ico

Source : ici

DFS et samba

La création d'un partage Samba a déjà été évoqué précédemment.

Samba permet d'utiliser l'architecture Microsoft DFS permettant de regrouper des partages de différents serveurs sous un même partage appelé racine DFS.

Cela peut permettre de regrouper tous les liens des partages sous un seul partage réseau pour les utilisateurs ou encore de permettre une "double authentification" (la racine DFS ayant sa propre liste d'utilisateurs autorisés).

Par exemple, dans une entreprise ayant 3 partages (HR, Logistique, Compta) sur respectivement 3 serveurs de fichiers (srv1, srv2, srv3) sur 3 sites différents (172.18.10.251, 172.18.20.252, 172.18.30.253), il est alors possible de regrouper tous ses partages sous un seul partage sur un serveur. Les utilisateurs n'auront plus qu'à monter le lecteur réseau commun pour avoir accès ensuite aux différents partages. Il est également possible de mettre une racine DFS dans un racine DFS et ainsi de suite.

Il suffit pour cela d'abord modifier le fichier smb.conf :

#======================= Global Settings =======================

[global]

       host msdfs = yes

...

#======================= Share Definitions =======================

[nom_du_partage]

       msdfs root = yes
       path = /chemin/vers/le/dossier

Il faut ensuite aller dans le dossier de la racine DFS et faire un lien DFS :

# ln -s msdfs:adresse_serveur\\nom_partage_distant nom_local

Exemple de script permettant d'automatiser la création des liens DFS : symlink_DFS

Il se peut que vous rencontriez des erreurs lors de l'utilisation des DFS avec Samba 3.5.6, un passage à Samba 3.5.8 ou 3.5.9 peut résoudre vos problèmes.

lundi 29 août 2011

CloneZilla : serveur de ghost

Un serveur de Ghost permet de faire une copie d'une machine et de la déployer sur d'autre machines, de faire une remise à plat de votre de machine dans les délais les plus bref, sans devoir tout refaire à la mains. Vous lancer le ghost, allez boire un café, et de retour vous recommencez à travailler ;)

Lire la suite...

- page 2 de 3 -