Archive for the ‘Administration’ Category

Default passwords list

Administration, Sécurité | Posted by Christophe
jan 27 2012

image password
Ce n’est pas à proprement parlé d’un billet, mais plutôt d’un lien sur les mots de passe (password) par défaut des équipements informatique, classé par constructeur :

http://www.default-password.info/

Tags:
No Comments »

Restauration Windows via la partition cachée de réstauration

Administration, Windows | Posted by Christophe
jan 19 2012

Voici un petit billet pour activer suivant les marques d’ordinateur la partition cachée de restauration du système. La procédure est sensiblement la même, d’une marque à l’autre :

ASUS

1/ faire F9 au boot,
2/ faire entrée pour sélectionner Windows setup (EMS enabled)
3/ selectionner option 1 ou 2 partitions, ou first partition only. (si vous avez des données sur D, celles-ci ne serrons pas supprimées)

Tags:
No Comments »

Installation d’openvpn sur DEBIAN

Administration, Debian, Système | Posted by Christophe
sept 16 2011

Cet article est un copier d’un article de l’excellent blog de Toorop disponible ici : http://blog.toorop.fr/vpn-openvpn-cloud-ovh-ubuntu/

Installation de base du serveur

apt-get update
apt_get upgrade

Installation d’openvpn

apt-get install openvpn

Création de l’autorité de certification maître

cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/
vi vars
# These are the default values for fields

# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="US"
export KEY_PROVINCE="CA"
export KEY_CITY="SanFrancisco"
export KEY_ORG="Fort-Funston"
export KEY_EMAIL="me@myhost.mydomain"

On initialise ces variables

. ./vars

Puis un petit nettoyage

./clean-all

l’autorité de certification maitre :

./build-ca

Durant cette étape, répondez par defaut a toutes les questions posées sauf pour le FQN:

''Common Name (eg, your name or your server's hostname) []:''

Création du certificat serveur et de sa clé

./build-key-server vpn.hostname.fr
# ./build-key-server vpn.hostname.fr
Generating a 1024 bit RSA private key
.................................++++++
...............++++++
writing new private key to 'vpn.hostname.fr.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [IDF]:
Locality Name (eg, city) [Paris]:
Organization Name (eg, company) [Société Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [vpn.hostname.fr]:
Name []:
Email Address [contact@hostname.fr]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /usr/share/doc/openvpn/examples/easy-rsa/2.0/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName RINTABLE:'FR'
stateOrProvinceName RINTABLE:'IDF'
localityName RINTABLE:'Paris'
organizationName RINTABLE:'Société Ltd'
commonName RINTABLE:'vpn.hostname.fr'
emailAddress :IA5STRING:'contact @ hostname. fr'
Certificate is to be certified until Jun 4 12:00:35 2020 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Création de la clé pour le client

Ici nous avons un seul client, évidement, l’opération est à répéter s’il faut plusieurs clients

./build-key christophe
# ./build-key christophe
Generating a 1024 bit RSA private key
................++++++
.....................................................++++++
writing new private key to 'christophe.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [IDF]:
Locality Name (eg, city) [Paris]:
Organization Name (eg, company) [Sociétép Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [christophe]:
Name []:
Email Address [christophe@hostname.fr]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /usr/share/doc/openvpn/examples/easy-rsa/2.0/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName RINTABLE:'FR'
stateOrProvinceName RINTABLE:'IDF'
localityName RINTABLE:'Paris'
organizationName RINTABLE:'Société Ltd'
commonName RINTABLE:'christophe'
emailAddress :IA5STRING:'christophe@hostname.fr'
Certificate is to be certified until Jun 4 12:05:50 2020 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Création des paramètres Diffie-Hellman

une clé de « Diffie Hellman » sera utilisée pour sécuriser l’échange de clés SSL avant que la communication ne soit chiffrée.

./build-dh

Mise en place des certificats

Les certificats doivent être dans /etc/openvpn

cp dh*.pem ca.crt vpn.hostname.fr.crt vpn.hostname.fr.key /etc/openvpn/

Configuration du serveur

cd /usr/share/doc/openvpn/examples/sample-config-files
gunzip server.conf.gz
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/
vi /etc/openvpn/server.conf
# Which TCP/UDP port should OpenVPN listen on?
# If you want to run multiple OpenVPN instances
# on the same machine, use a different port
# number for each one. You will need to
# open up this port on your firewall.
port 443
.
.
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
dev tap
;dev tun
.
.
#
# Any X509 key management system can be used.
# OpenVPN can also use a PKCS #12 formatted key file
# (see "pkcs12" directive in man page).
ca ca.crt
cert vpn.hostname.fr.crt
key vpn.hstname.fr.key # This file should be kept secret
.
.
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# or bridge the TUN/TAP interface to the internet
# in order for this to work properly).
;push "redirect-gateway def1 bypass-dhcp"
push "redirect-gateway def1"
.
.
push "dhcp-option DNS 213.186.33.99"

On stop le serveur OpenVPN, puis on test :

/etc/init.d/openvpn stop
cd /etc/openvpn
openvpn server.conf
.openvpn server.conf
Mon Jun 7 16:38:24 2010 OpenVPN 2.1.0 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jan 26 2010
Mon Jun 7 14:38:24 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Jun 7 14:38:24 2010 Diffie-Hellman initialized with 1024 bit key
Mon Jun 7 14:38:24 2010 /usr/bin/openssl-vulnkey -q -b 1024 -m
Mon Jun 7 14:38:25 2010 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Jun 7 14:38:25 2010 ROUTE default_gateway=192.168.253.126
Mon Jun 7 14:38:25 2010 TUN/TAP device tun0 opened
Mon Jun 7 14:38:25 2010 TUN/TAP TX queue length set to 100
Mon Jun 7 14:38:25 2010 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Mon Jun 7 14:38:25 2010 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Mon Jun 7 14:38:25 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Jun 7 14:38:25 2010 Socket Buffers: R=[112640->131072] S=[112640->131072]
Mon Jun 7 14:38:25 2010 UDPv4 link local (bound): [undef]
Mon Jun 7 14:38:25 2010 UDPv4 link remote: [undef]
Mon Jun 7 14:38:25 2010 MULTI: multi_init called, r=256 v=256
Mon Jun 7 14:38:25 2010 IFCONFIG POOL: base=10.8.0.4 size=62
Mon Jun 7 14:38:25 2010 IFCONFIG POOL LIST
Mon Jun 7 14:38:25 2010 Initialization Sequence Completed

Configuration du routage sur le serveur

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Configuration du client

cat /etc/NetworkManager/dispatcher.d/01ifupdown
#!/bin/sh -e
# Script to dispatch NetworkManager events
#
# Runs ifupdown scripts when NetworkManager fiddles with interfaces.

if [ -z "$1" ]; then
echo "$0: called with no interface" 1>&2
exit 1;
fi

# Fake ifupdown environment
export IFACE="$1"
export LOGICAL="$1"
export ADDRFAM="NetworkManager"
export METHOD="NetworkManager"
export VERBOSITY="0"

# Run the right scripts
case "$2" in
up|vpn-up)
export MODE="start"
export PHASE="up"

if [ -d /var/run/network/ ] ; then
tmpfile=`mktemp -t`
if [ -e /var/run/network/ifstate ] ; then
cat /var/run/network/ifstate | grep -v ^$IFACE= > $tmpfile || true
fi
echo $IFACE=$IFACE >> $tmpfile
mv $tmpfile /var/run/network/ifstate
fi

exec run-parts /etc/network/if-up.d
;;
down|vpn-down)
export MODE="stop"
export PHASE="down"

if [ -e /var/run/network/ifstate ] ; then
tmpfile=`mktemp -t`
cat /var/run/network/ifstate | grep -v ^$IFACE= > $tmpfile || true
mv $tmpfile /var/run/network/ifstate
fi

exec run-parts /etc/network/if-down.d
;;
pre-up)
export MODE="start"
export PHASE="pre-up"
exec run-parts /etc/network/if-pre-up.d
;;
post-down)
export MODE="stop"
export PHASE="post-down"
exec run-parts /etc/network/if-post-down.d
;;
*)
echo "$0: called with unknown action \`$2'" 1>&2
exit 1
;;
esac

On telecharge donc tout ça dans ~/vpn/:

$ cd ~
$ mkdir vpn
$ cd vpn
$ scp root@IP_DU_SERVEUR:/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys/ca.crt vpn/
$ scp root@IP_DU_SERVEUR:/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys/mini.crt vpn/
$ scp root@IP_DU_SERVEUR:/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys/mini.key vpn/

On lance le networkmanager: connection VPN nouvelle connexion.

Vous devez renseigner :

Passerelle: Nom d’hote du VPN, attention pensez a la configurer sinon utilisez l’IP

Certificat de l’utilisateur: dans mon cas christophe.crt
Certificat du CA: ca.crt
Clé privée: christophe.key

Dans l’onglet « avancé »:

Changez le port pour y mettre 443
Activez la compression LZO
Sélectionnez « Utilisez un peripherique TAP »

Enjoy!

Tags:
No Comments »

Alfresco – l’alternative open source pour la gestion de contenu

Administration | Posted by Christophe
juin 24 2011

En ce moment je test pour les besoins de l’entreprise où je travaille la solution Alfresco en version Community 3.4.

l’installation se fait en suivant l’aide d’Alfresco : http://www.alfresco.com/help/34/community/all/

Résolution de problèmes

Démarrage de Tomcat impossible

Lorsque Tomcat n’est pas arrêter correctement (ça m’est arriver après un reboot), il se peux qu’il refuse de démarrer. Lors du lancement du script dans /etc/init.d/alfresco on peu voir ces lignes :

PID file (/home/alfresco/tomcat/temp/catalina.pid) found. Is Tomcat still running? Start aborted.
/home/alfresco/tomcat/scripts/ctl.sh : tomcat could not be started

pour résoudre le problème (attention changez le chemin en fonction de votre installation d’Alfresco) :

rm /home/alfresco/tomcat/temp/catalina.pid

No Comments »

Vérification du système de fichiers sous Debian (GNU/Linux)

Administration, Debian, GNU/Linux, Linux, Système, Système de fichier | Posted by Christophe
juin 15 2011

Sous Debian (et à priori sous Ubuntu), le système de fichiers est vérifié au bout de 30 montages. Il peut être interessant d’augmenter ou de diminuer la fréquence de cette vérification

Connaître son système de fichiers, ses points de montages

pour connaitre les points de montage de votre système il faut exécuter la commande :

df -T

par exemple sur ma machine :

root@odin:/home/christophe$ df -T
Sys. fich.    Type    1K-blocs   Utilisé    Dispo. Uti% Monté sur
/dev/sda1     ext4      482922    195778    262210  43% /
tmpfs        tmpfs     1927100         0   1927100   0% /lib/init/rw
udev         tmpfs     1922344       244   1922100   1% /dev
tmpfs        tmpfs     1927100       688   1926412   1% /dev/shm
/dev/sda9     ext3   273529216 198744384  60890280  77% /home
/dev/sda6     ext4     2882592     69880   2666280   3% /tmp
/dev/sda5     ext4    19223252   3572324  14674444  20% /usr
/dev/sda8     ext4     4804736   1760884   2799784  39% /var

Affichage des informations de montage avec dumpe2fs

pour afficher les informations d’un système de fichier utilisez en root :

dumpe2fs -h /dev/sda1 | grep -i 'mount count'

retourne chez moi :

root@odin:/home/christophe# dumpe2fs -h /dev/sda1 | grep -i 'mount count'
dumpe2fs 1.41.12 (17-May-2010)
Mount count:              5
Maximum mount count:      30

Changement de périodicité avec tune2fs

et pour augmenter (ou diminuer) le nombre de montage avant une vérification du système de fichier à par exemple, 50 montages on utilise (toujours en root):

tune2fs -c 50 /dev/sda1

Vérification

on vérifie avec la commande dumpe2fs précédente :

root@odin:/home/christophe# dumpe2fs -h /dev/sda1 | grep -i 'mount count'
dumpe2fs 1.41.12 (17-May-2010)
Mount count:              5
Maximum mount count:      50

A vous de définir votre périodicité de vérification à faire pour chaque système de fichier (sda1,sda2,sda3…) suivant votre système.

No Comments »

Supprimer un service du démarrage sous Debian

Administration, demon, GNU/Linux, service, Système | Posted by Christophe
mai 24 2011
update-rc.d apache remove

pour enlever les liens symboliques dans les répertoires /etc/rcX.d/

No Comments »

ssh copier sa clé publique sur serveur distant

Administration, Debian, GNU/Linux, ssh, Système | Posted by Christophe
mai 24 2011

Authentification par clé publique/privée

ssh-keygen -t dsa -b 1024
-t utilise DSA
-b 1024 bits de cryptage

ssh-copy-id est un script qui utilise ssh pour se connecter à une machine à distance en utilisant le mot de passe de l’utilisateur. L’authentification par mot de passe « PasswordAuthentication yes » doit donc être autorisée dans le fichier de configuration du serveur ssh

ssh-copy-id -i ~/.ssh/id_dsa.pub <username>@<ipaddress>

ou pour spécifier un port (22) different :

ssh-copy-id -i ~/.ssh/id_dsa.pub "<username>@<ipaddress> -p <num_port>"

Transfert de fichier

Envoi : scp [nom fichier lu] [nom utilisateur]@[nom hote]:/[chemin]/[nom fichier sorti]
Réception : scp [nom utilisateur]@[nom hote]:/[chemin]/[nom fichier distant] [chemin local]/[nom fichier sorti]

No Comments »

Changer le répertoire personnel d’un utilisateur

Administration, GNU/Linux, utilisateurs | Posted by Christophe
avr 26 2011

Le fichier /etc/passwd indique entre autres le répertoire « home » des utilisateurs

christophe:x:1000:1000:Christophe CUCCIARDI,,,:/home/christophe:/bin/bash

Ici pour mon utilisateur christophe on peux voir :
/home/christophe qui est mon répertoire personnel (home)

Modification du répertoire de home

Création du nouveau répertoire :

mkdir /home/toto

Changement du propriétaire du nouveau répertoire :

chown christophe:christophe /home/toto

Modification du compte utilisateur avec usermod :

usermod -d /home/toto christophe

Visualisation des modifications

vi /etc/passwd
christophe:x:1000:1000:Christophe CUCCIARDI,,,:/home/toto:/bin/bash

No Comments »

Reconnaissance faciale sous Ubuntu

Administration, GNU/Linux, password, Système, Ubuntu, utilisateurs | Posted by Christophe
déc 07 2010

Pour vous éviter de taper un mot de passe : Quoi de mieux que de faire comme dans les films, avec une reconnaissance faciale ?
Pour cela il existe PAM Face Authentification. Une authentification via une webcam. C’est fun et c’est facile à mettre en place.

Une petite démo sous Kubuntu avec Youtube :



Nous allons le mettre en place pour GDM et sudo

Installation

PAM Face Authentification n’est pas présent dans les dépôts, il est présent dans un dépôt tiers « ppa:antonio.chiurazzi/ppa »

sudo add-apt-repository ppa:antonio.chiurazzi/ppa
sudo apt-get update && sudo apt-get install pam-face-authentication

L’application se trouve dans: Application → Autre → Qt Face Trainer.

Configuration

L’installation faite nous pouvons passer à la configuration, notamment la prise des photos de référence. Nous lançons l’application, soit par le menu, soit en console par

qt-facetrainer

Prise de la photo de référence :

Reconnaissance faciale - prise de photos de référence

Vous pouvez prendre plusieurs photos afin d’améliorer la reconnaissance, même utiliser plusieurs photos de référence de personnes pour les autoriser à utiliser votre session.

En appuyant sur le bouton Advanced Settings, on peut régler quelques paramètres en plus et tester la reconnaissance faciale.

Pour GDM

sudo gedit /etc/pam.d/gdm

Après ajouter l’une des deux lignes suivante selon votre choix d’affichage

Si vous voulez voir la fenêtre de détection de la reconnaissance faciale :

auth sufficient pam_face_authentication.so enableX

ou pour qu’elle ne s’affiche pas :

auth sufficient pam_face_authentication.so

Pour sudo

C’est le même principe que pour GDM, on ajoute l’une des deux lignes au choix avec :

sudo gedit /etc/pam.d/sudo
auth sufficient pam_face_authentication.so enableX 
auth sufficient pam_face_authentication.so

Test du résultat

Pour tester le résultat, vous n’avez qu’à ouvrir une session et pour vérifier le sudo taper dans une console :

sudo apt-get update

À savoir

  • Si le logiciel n’a pas réussi à identifier votre visage, au bout d’une quinzaine de secondes, il vous demandera votre mot de passe.
  • Si aucune webcam n’est branchée, le mot de passe sera demandé sans délai.
  • Si plusieurs utilisateurs doivent avoir accès à une même session, il faut prendre une photo témoin de ces personnes.
  • S’il n’y a aucune photo témoin pour une session, le mot de passe sera demandé sans délai.

    • No Comments »

    Installation d’un cache DNS sous Debian

    Administration, Debian, DNS, GNU/Linux, Système | Posted by Christophe
    déc 01 2010

    Installation du cache dbndns

    aptitude install dbndns

    Configuration

    Création des utilisateurs du service de cache

    groupadd dnscache;
useradd -g dnscache dnscache;
useradd -g dnscache dnscachelog;

    On va ensuite utiliser dnscache-conf pour configurer dnscache. On va faire en sorte que dnscache « écoute » sur l’adresse 127.0.0.1 :

    dnscache-conf dnscache dnscachelog /etc/dnscache 127.0.0.1

    On active la résolution via resolv.conf sur l’interface 127.0.0.1

    echo « 127.0.0.1″ > /etc/resolv.conf

    Activation de dnscache

    Le service dnscache est gérer par les daemontools, ils faut créer un lien

    ln -s /etc/dnscache /etc/service/;

    et le lancer

    exec /usr/bin/svscanboot &

    Le cache est opérationnel, nous allons le tester

    Test

    On vérifie que le service tourne par :

    svstat /etc/service/dnscache
    dig www.google.com
;; Query time: 49 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Dec  1 16:44:39 2010
;; MSG SIZE  rcvd: 204

    A ce moment là la requête n’est pas en cache et met 49 msec.

    dig www.google.com
;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Dec  1 16:45:11 2010
;; MSG SIZE  rcvd: 204

    Voila qui est mieux… plus que 1 msec

    No Comments »