[oui qui] doc

doc:apache2

Thu, 25 Feb 2010 22:15:23 +0200

apache2

Quelques infos sur la mise en place d'un serveur apache2 sur une DEBIAN « Lenny ».

installation

aptitude installera apache en quelques secondes et vous aurez ainsi un serveur web qui répondra en HTTP sur le port 80.

$ sudo aptitude install apache2
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
Lecture de l'information d'état étendu      
Initialisation de l'état des paquets... Fait
Lecture des descriptions de tâches... Fait  
Les NOUVEAUX paquets suivants vont être installés : 
  apache2 apache2-mpm-worker{a} apache2-utils{a} apache2.2-common{a} 
0 paquets mis à jour, 4 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de télécharger 241ko/1211ko d'archives. Après dépaquetage, 4452ko seront utilisés.
Voulez-vous continuer ? [Y/n/?]

Pour vérifier qu'apache2 fonctionne, lancer votre navigateur et dans la barre d'adresse, entrez votre adresse IP. Normalement, vous devriez voir une page web qui indique quelque chose comme « It works ! »

Par défaut, apache2 fournit par DEBIAN sert les pages du répertoire /var/www qui contient le fichier index.html.

$ cat /var/www/index.html 
<html><body><h1>It works!</h1></body></html>

Les fichiers de configuration sont stockés dans le répertoire /etc/apache2.

configuration sécurité

Depuis Lenny DEBIAN fournit un fichier de configuration pour améliorer la sécurité du serveur. Voilà le contenu de ce fichier expurgé de quelques commentaires et quelques lignes vides.

$ egrep -B 1 -v '^#|^$' /etc/apache2/conf.d/security 
#ServerTokens Minimal
ServerTokens Full
--
#ServerSignature Off
ServerSignature On
--
#TraceEnable Off
TraceEnable On

Par défaut, le fichier n'apporte rien. Il faudrait au minimum inverser les lignes commentées et celles décommentées. Plus de détails ci-après.

ServerTokens

La directive ServerTokens contrôle la chaîne de caractères retournée dans le champs Server de l'entête HTTP. En spécifiant Full, apache donne son nom, sa version et également le système d'exploitation sur lequel il est installé et les modules ajoutés.

Il est possible de voir ce que retourne un serveur avec wget.

$ wget -S http://localhost                   
--2009-05-31 22:54:04--  http://localhost/
Résolution de localhost... 127.0.0.1, ::1
Connexion vers localhost|127.0.0.1|:80...connecté.
requête HTTP transmise, en attente de la réponse...
  HTTP/1.1 200 OK
  Date: Sun, 31 May 2009 20:54:04 GMT
  Server: Apache/2.2.9 (Debian)
  Last-Modified: Sun, 31 May 2009 20:12:05 GMT
  ETag: "120e2e-2d-46b3aec646f28"
  Accept-Ranges: bytes
  Content-Length: 45
  Vary: Accept-Encoding
  Keep-Alive: timeout=15, max=100
  Connection: Keep-Alive
  Content-Type: text/html
Longueur: 45 [text/html]

Voilà ce qu'on obtient avec un serveur apache2 installé dans sa configuration par défaut sur DEBIAN « Lenny ». Si on installe des modules complémentaires, apache les indique. Exemple en activant plusieurs modules :

Server: Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny2 with Suhosin-Patch mod_python/3.3.1 Python/2.5.2 mod_ruby/1.2.6 Ruby/1.8.7(2008-08-11) mod_ssl/2.2.9 OpenSSL/0.9.8g mod_perl/2.0.4 Perl/v5.10.0

Si un jour le serveur est sujet à une faille de sécurité, le vilain pirate aura de nombreuses informations sur la version de chacun des modules. Pour rendre le serveur moins éloquant, on pourrait choisir la valeur Minimal mais ce n'est pas la moins verbeuse, apache indiquera encore sa version complète. Pour obtenir le minimum, il faudra choisir la valeur Prod.

Avec cette valeur, le champ Server contiendra maintenant :

Server: Apache

On serait tenter de donner de fausses informations en remplaçant Apache par tout autre chose mais ce n'est pas possible par configuration, il faudra recompiler le serveur ou installer mod_security.

Le but ici est de donner le moins d'information possible à un attaquant éventuel. Le jour où une faille dite « 0 day » touche apache, il est préférable de ne pas être identifié trop vite comme une cible de choix. Ça laisse un peu de temps pour appliquer les mises à jour de sécurité.

ServerSignature

La directive ServerSignature. Si la valeur est on les pages d'erreur affichées par apache contiendront la signature définie dans le paragraphe précédent. En positonnant ServerTokens Prod, seule la ligne suivante sera affichée en bas de chaque page d'erreur.

Apache Server at localhost Port 80

Pour supprimer complétement cette ligne : ServerSignature Off.

TRACE et TRACK

TRACE et TRACK sont deux types de requête HTTP comme POST ou GET. Le principe est d'envoyer au serveur des données et celui-ci les renvoie. Ces requêtes sont inutiles sur un serveur opérationnel.

La directive TraceEnable permet d'activer ou désactiver la fonctionnalité TRACE qui devrait être réservée au déverminage.

TraceEnable Off

Par contre, TRACK, qui est une implémentation de TRACE, reste utilisable. Pour désactiver ce type de requête, il faudra utiliser un « rewrite ».

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

Ces 3 lignes active le moteur de ré-écriture de apache. La deuxième ligne précise que la règle ne s'applique aux requêtes TRACE ou TRACK. Ce type de requête par à la poubelle.

bilan de la configuration apache

Le fichier /etc/apache2/conf.d/security final ressemble à

$ cat /etc/apache2/conf.d/security
ServerTokens Prod
ServerSignature Off
TraceEnable Off
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

php

Pour rendre PHP moins bavard, il faut positionner la directive expose_php = Off dans le fichier /etc/php5/apache2/php.ini. Par défaut sous DEBIAN, la valeur est à On.

Avant la modification, voici la réponse à un wget -S :

  HTTP/1.1 200 OK
  Date: Thu, 09 Jul 2009 20:45:54 GMT
  Server: Apache
  X-Powered-By: PHP/5.2.6-1+lenny3

Après la modification :

  HTTP/1.1 200 OK
  Date: Thu, 09 Jul 2009 20:51:26 GMT
  Server: Apache

Le champ X-Powered-By, l'entête HTTP ne donne donc plus d'information sur PHP ni même sur sa présence.

configuration SSL

Pour utiliser HTTPS, il faut d'abord charger le module ssl via la commande a2enmod.

$ sudo a2enmod ssl
$ sudo apache2ctl restart

Lors de l'installation, DEBIAN génère un certificat auto-signé. Il permettra d'authentifier le serveur et de chiffrer la connexion mais le navigateur alertera l'utilisateur car il ne connaît pas l'autorité qui a signé le certificat.

clé et certificat serveur

Pour utiliser la clé et le certificat générés, par exemple, avec la doc xca, il est nécessaire de modifier deux lignes de configuration dans le fichier /etc/apache2/site-available/default-ssl. Dans les lignes :

SSLCertificateFile /etc/ssl/certs/moncertificat.pem
SSLCertificateKeyFile /etc/ssl/private/macle.key

Ces deux lignes désigne l'emplacement du certificat et de la clef privée du serveur, tous deux au format PEM.

authentification client

La configuration ci-dessous a été extraite du SSL howto apache (en français et sous licence Apache License Version 2.0).

Le but est d'authentifier les clients qui disposent d'un certificat SSL par ce mécanisme. Les autres seront authentifiés via une authentification basique simple ( en HTTP (sans « s »), le mot de passe de l'authentification basique passe en clair sur le réseau).

autorité de certification

Pour que le serveur puisse vérifier les certificats présentés par les clients, il doit pouvoir accéder au certificat de l'autoritié de certification. Pour cela, ajouter la directive SSLCACertificateFile au fichier /etc/apache2/site-available/default-ssl. Apache ne reconnait que les certificats au format PEM.

SSLCACertificateFile  /etc/ssl/certs/MaCa.pem

La directive est présente mais commentée dans le fichier fournit par DEBIAN. Il est possible de charger plusieurs certificats de diverses autorités de certification en utilisant la directive SSLCACertificatePath qui pointera vers un répertoire qui contiendra les certificats (par défaut, /etc/ssl/certs/ contient plus de 200 fichiers, il est préférable de choisir un autre répertoire pour ne les charger tous).

définition de l'authentification

Dans cet exemple, l'accès au répertoire /usr/lib/cgi-bin est protégé par une authentification.

  $ cat /etc/apache2/conf.d/cgi 
  <Directory /usr/lib/cgi-bin/>

  # source http://httpd.apache.org/docs/2.3/fr/ssl/ssl_howto.html
  #   Si HTTPS est utilisé, on s'assure que le niveau de chiffrement est fort.
  #   Autorise en plus les certificats clients comme une alternative à
  #   l'authentification basique.

  SSLVerifyClient      optional
  SSLVerifyDepth       1
  SSLOptions           +FakeBasicAuth +StrictRequire

  AuthType Basic
  AuthName "Zone privée"
  AuthBasicProvider   file
  AuthUserFile 				/etc/apache2/htpasswd
  Require 					  valid-user
  </Directory>

SSLVerifyClient : optional pour permettre au client sans certificat de s'authentifier.
SSLVerifyDepth : 1 si vous utiliser votre propre et unique autorité de certification
SSLOptions : +FakeBasicAuth permet de simuler une authentification basique, le DN du certificat devra être déclaré dans le fichier htpasswd avec ou sans mot de passe chiffré (il ne sert à rien). +StrictRequire : si le module SSL échoue dans l'authentification, elle s'arrête sans passer à la suite.

Le reste correspond à une configuration d'authentification basique très classique.

Le fichier /etc/apache2/htpasswd contiendra les utilisateurs authentifier sans SSL et le DN des utilisateurs qui s'authentifie par certificat.

$ cat /etc/apache2/htpasswd
martin:n88yx.lhyNwK2
/C=FR/ST=Labas/L=Chezlui/O=Famille Martin/CN=David/emailAddress=David@famillemartin.net

La première ligne contient le compte de Martin et son mot de passe (vous pouvez essayer de le craquer, c'est bidon ).

La seconde ligne contient le DN (Distinguished Name) du certificat. Le mot de passe n'est pas utilisé par apache, il n'est pas obligatoire. Si vous ne connaissez pas le DN, charger une page authentifiée avec le navigateur et son certificat, le DN apparaît dans les logs apache ( tail -f /var/log/apache2/ssl_access.log, par exemple).

optimiser la bande passante

Il existe de nombreux mécanismes pour diminuer les besoins en bande passante d'un site. Au moins deux sont implémentables sur un serveur apache.

compression des données

La plupart des navigateurs modernes et des serveurs supportent la compression de données. Pour cela, on utilisera une compression dite gzip qui utilise l'algorithme de compression deflate. Certes la compression utilisera plus de ressources côté serveur et client mais ce sera relativement faible à côté des gains en temps de transfert, surtout avec les machines que nous (sous-)utilisons actuellement.

Il faut commencer par activer le module de compression :

# a2enmod deflate

Ensuite, il faut configurer le niveau de compression et surtout le type de fichier compressé. En efet, il est inutile de perdre du temps à compresser des fichiers qui le sont déjà (par exemple des images au format jpeg).

$ cat /etc/apache2/mods-enabled/deflate.conf 
<IfModule mod_deflate.c>
        AddOutputFilterByType DEFLATE text/html text/plain text/xml text/css image/svg+xml application/xhtml+xml application/xml application/rss+xml application/atom_xml application/x-javascript application/x-httpd-php application/x-httpd-fastphp
        SetEnvIfNoCase Request_URI \.(?:gif|jpe?g|png)$ no-gzip dont-vary
        SetEnvIfNoCase Request_URI \.(?:exe|t?gz|zip|bz2|sit|rar)$ no-gzip dont-vary
        SetEnvIfNoCase Request_URI \.pdf$ no-gzip dont-vary
        SetEnvIfNoCase Request_URI \.avi$ no-gzip dont-vary
        SetEnvIfNoCase Request_URI \.mov$ no-gzip dont-vary
        SetEnvIfNoCase Request_URI \.mp3$ no-gzip dont-vary
        SetEnvIfNoCase Request_URI \.mp4$ no-gzip dont-vary
        SetEnvIfNoCase Request_URI \.rm$ no-gzip dont-vary

</IfModule>

Pour résumer, apache compressera le contenu de type text mais pas les binaires.

google conseille de ne pas compresser les fichiers de moins de 150 octets car cela augmente leur taille mai je n'ai pas trouvé comment faire.

utilisation du cache du navigateur

Les navigateurs savent utiliser un cache qui leur permet de ne pas télécharger un contenu qui est déjà présente dans le cache. Pour que le cache fonctionne, encore faut-il que le serveur le demande gentillement.

Pour cela, il faut activer le module apache expires.

# a2enmod expires

Comme pour la compression, il est possible de préciser ce qui peut être mis dans le cache et surtout pendant combien de temps.

$ cat /etc/apache2/conf.d/expires.conf
ExpiresActive On
ExpiresByType image/gif "access plus 45 days"
ExpiresByType image/jpg "access plus 45 days"
ExpiresByType image/jpeg "access plus 45 days"
ExpiresByType image/png "access plus 45 days"
ExpiresByType image/x-icon "access plus 45 days"
ExpiresByType text/css "access plus 45 days"
ExpiresByType application/x-javascript "access plus 45 days"

Les images, les feuilles de style et le javascript seront gardés pendant 45 jours depuis le premier accè par le navigateur avant de télécharger de nouveau le contenu. C'est autant d'octets qui ne seront pas transférés et donc du temps de gagner au chargement des pages.

extension webdav

webdav est une extension de HTTP qui permet notamment de publier des fichiers sur un serveur web. Apache2 dispose de cette extension.

Commençons par activer les modules apache nécessaire :

$ sudo a2enmod dav dav_fs

Il est également nécessaire d'ajouter quelques directives dans la configuration apache. J'ai choisi de créer un fichier webdav dans le répertoire /etc/apache2/conf.d.

$ sudoedit /etc/apache2/conf.d/webdav 
alias /webdav /repertoire/webdav

<Location /webdav>
RewriteEngine On
RewriteCond %{HTTPS} off 
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

DAV On

AuthType Basic
AuthName "Zone privée"
AuthBasicProvider   file
AuthUserFile        /etc/apache2/fichierdemotdepasses

<Limit GET PUT DELETE PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
  Require valid-user
</Limit>
</Location>

L'alias indique à apache que l'url /webdav pointe vers le répertoire /repertoire/webdav. Ce répertoire contiendra les fichiers transférer en webdav. Ce répertoire n'est pas situé dans le répertoire racine du serveur web, les fichiers ne seront donc par accessible par la partie web « classique » (mon explication n'est pas bien claire …)

Les 3 premières lignes redirige les utilisateurs qui arrivent en HTTP vers HTTPS (pour ce qu'on fait, je préfère).

La directive DAV On active webdav dans ce répertoire (cette « location » pour être précis).

Les 4 directives suivantes permettent de mettre en place une authentification. La liste des utilisateurs est contenue dans le fichier /etc/apache2/fichierdemotdepasses.

Pour finir, on indique à apache qu'un utilisateur dûment authentifié (valid-user) est nécessaire pour utiliser les commandes HTTP : GET PUT DELETE PROPPATCH MKCOL COPY MOVE LOCK UNLOCK, ce sont les commandes utilisées par webdav.

plusieurs domaines sur un même serveur

bientôt sur vos écrans

— Le 25/11/2009 – Sylvain Collilieux – Ce texte est sous licence Art Libre

doc:apt-show-versions

Tue, 26 Jan 2010 23:24:43 +0200

apt-show-versions

Fonctionne avec DEBIAN GNU/Linux 5.0.3 « Lenny » et probablement d'autres versions.

généralités

Description extraite du paquet :

Apt-show-versions analyse le fichier « status » de dpkg et les listes d'APT
pour les versions et distribution des paquets installés et disponibles, afin
d'afficher les possibilités de mise à jour dans une distribution spécifique
pour le paquet indiqué.

En utilisant apt-show-versions, il est facile de savoir si certains paquets peuvent être mis à jour. C'est particulièrement pratique pour les mises à jour de sécurité. En lançant apt-show-versions régulièrement, c'est la machine qui vous averti qu'elle doit être mise à jour

Je ne détaillerai pas ici les autres options.

exemple d'utilisation

Pour qu'une machine vous avertisse qu'il faut la mettre à jour, il est possible de lancer les commandes suivantes via la crontab.

/usr/bin/aptitude update >/dev/null && /usr/bin/aptitude --assume-yes --download-only dist-upgrade >/dev/null && /usr/bin/apt-show-versions --upgradeable

Quelques explications :

aptitude update : mise à jour des listes des paquets.
aptitude –assume-yes –download-only dist-upgrade : téléchargement des paquets nécessaires à un dist-upgrade mais sans installation, assume-yes permet de répondre « oui » si certains paquets nécessitent l'ajout d'autres paquets.
apt-show-versions –upgradeable' : affichage des paquets qu'il est possible de mettre à jour. Par défaut, si la commande utilisée dans lacrontab génère une sortie, il est envoyé par courriel à l'utilisateur qui possède la crontab. Ici, ce sera root car les commandes nécessitent d'être administrateur. Les courriels à destination de rootdevront être dirigés vers une adresse valide. L'utilisation de la redirection>/dev/null permet de ne pas recevoir de message quand il n'y a pas de paquet à mettre à jour. La sortie standard de aptitudene générera pas de courriels. Si vous souhaitez, recevoir un courriel à chaque exécution, retirez cette redirection. Avec cette méthode, la machine télécharge toute seule les mises à jour dont elle a besoin mais sans les installer. L'administrateur reçoit un courriel, il lui suffit de lanceraptitude dist-upgrade'' et le tour est joué.

Ici, on délègue à la machine une partie du travail. Un bon administrateur connaîtra avec précision la liste des paquets installés sur ces machines et, à chaque avis de sécurité, exécutera une requête pour savoir quelle machine est impactée. Y a pas de mal à être un peu feignant

— Le 27/09/2009 – Sylvain Collilieux – Ce texte est sous licence Art Libre

doc:collectd

Sun, 28 Feb 2010 15:18:33 +0200

collectd

présentation

collectd est un merveilleux outil de collecte de données. Le démon utilise de nombreux plugiciels pour collecter les informations d'un processeur, un multimètre sur port série, d'un serveur apache, etc. Toutes ces données collectées sont écrites dans des fichiers csv, rrd, en HTTP, etc.

L'utilisation la plus courante consiste à collecter les données de la machine sur laquelle le démon est installé pour ensuite créer des graphes rrdtool.

Dans ces quelques lignes, je détaillerai l'utilisation de certains plugiciels, notamment ceux pour lesquels j'ai dû chercher un peu.

les plugiciels

collectd utilise des plugiciels pour collecter différents capteurs. J'en citerai uniquement quelques-un

plugiciel iptables

Ce plugiciel collecte les données du pare-feu intégré à Linux. Il aurait peut-être pu s'appeler netfilter.

collectd ne collectera par tout ce qui passe entre les mains de netfilter, il prend seulement en compte les paquets qui passent par une « correspondance » commentaire.

Par exemple, pour compter les paquets qui passent par la chaîne poubelle de la table filter, il faudra utiliser iptables avec ces arguments :

iptables --append poubelle --source 10.8.6.4 --match comment --comment "commentaire"

Dans ce cadre d'une utilisation du plugiciel rrd pour écrire les données, collectd va créer le répertoire type iptables-table-commentaire. Dans notre exemple :

ls /var/lib/collectd/rrd/hostname/iptables-filter-poubelle/
ipt_bytes-commentaire.rrd  ipt_packets-commentaire.rrd

Pour chaque commentaire, collectd crée un fichier pour les octets (bytes) et les paquets.

plugiciel users

Ce plugiciel enregistre le nombre de personnes connectées sur la machine. C'est surtout utile sur une machine partagée entre plusieurs utilisateurs mais il y a une autre possibilité.

utilisation des seuils d'alerte

C'est une solution pour être alerté dès qu'un utilisateur se connecte sur un serveur (c'est utile pour une machine sur laquelle il y a très peu de connexions).

Dans le plugiciels users, on définit le seuil « warning » à 0. Dès que le seuil est dépassé, une notification est envoyée par courriel. Il est également possible de définir un seuil « critical ».

Sous Debian les seuils sont définis dans le fichier /etc/collectd/thresholds.conf. Exemple :

<Threshold>
[...]
<Plugin "users">  
    <Type "users">
        WarningMax 0 
        FailureMax 2
        Persist false
    </Type>
    </Plugin>
[...]
</Threshold>

Explications : - le seuil concerne le plugin « users » et le type « users » - au-dessus de 0 utilisateur connecté, on envoie une alerte « warning » - au-dessus de 2 utilisateurs connectés simultanément, on envoie une alerte « critical »

plugiciel notify_email

Ce plugiciel permet d'envoyer des messages lors des dépassements de seuils.

Exemple de configuration :

<Plugin notify_email>
    SMTPServer "localhost"
    SMTPPort 25
    From "collectd@mondomaine.net"
    Subject "[collectd] %s on %s!"
    Recipient "admin@mondomaine.net"
</Plugin>

Ce texte est sous licence Art Libre $Id: collectd.mkd 4905695e3618 2010/02/28 15:16:34 Sylvain $

doc:dokuwiki

Mon, 16 Nov 2009 21:42:46 +0200

quelques trucs pour dokuwiki

les redirections

Contexte : dokuwiki est installé dans DocumentRoot/wiki par contre il faut que http://chezmoi.ici on souhaite arriver sur le wiki en demandant l'url http://chezmoi/. Pour cela, il faut mettre en place une série de redirections légèrement différente de celle proposé sur le site officiel de dokuwiki.

Voilà ce que cela donne : $ cat /etc/apache2/conf.d/dokuwiki.conf

<Directory /srv/d_moe/www>
	DirectoryIndex wiki/doku.php
	RewriteEngine on
	RewriteBase /
        RewriteRule ^(cid/.*)	  $1
	RewriteRule ^(lib/.*)	  wiki/$1
	RewriteRule ^_media/(.*)  wiki/lib/exe/fetch.php?media=$1  [QSA,L]
	RewriteRule ^_detail/(.*) wiki/lib/exe/detail.php?media=$1  [QSA,L]
	RewriteRule ^_export/([^/]+)/(.*) wiki/doku.php?do=export_$1&id=$2  [QSA,L]
	RewriteRule ^feed.php     wiki/feed.php
	RewriteCond %{REQUEST_FILENAME} !-f
	RewriteCond %{REQUEST_FILENAME} !-d
	RewriteRule (.*) wiki/doku.php?id=$1  [QSA,L]
</Directory>

<Directory /srv/d_moe/www/wiki>
  AllowOverride AuthConfig FileInfo Limit
  Options -Indexes -MultiViews +FollowSymLinks
</Directory>

## make sure nobody gets the htaccess files
<Files ~ "^[\._]ht">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

Il y a peut-être mieux, n'hésitez pas à commenter.

doc:ejabberd

Sun, 08 Nov 2009 15:20:28 +0200

installation de ejabberd

Cette page décrit l'installation du serveur ejabberd sur une DEBIAN lenny. Le serveur sera installé sur la machine machine.info et servira les domaines machine.info et machine.net

installation des paquets

Je choisis d'installer la version de debian backports. La version est plus à jour. Le choix dépend de ce que l'on attend du serveur. Cette installation n'est pas critique, je peux vivre sans jabber . Il faudra prélablement ajouter debian backports au sources.list.

$ sudo aptitude -t lenny-backports install ejabberd
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
Lecture de l'information d'état étendu       
Initialisation de l'état des paquets... Fait
Lecture des descriptions de tâches... Fait  
Les NOUVEAUX paquets suivants vont être installés : 
  ejabberd erlang-base{a} erlang-nox{a} libsctp1{a} lksctp-tools{a} 
0 paquets mis à jour, 5 nouvellement installés, 0 à enlever et 4 non mis à jour.
Il est nécessaire de télécharger 1189ko/28,4Mo d'archives. Après dépaquetage, 47,1Mo seront utilisés.
Voulez-vous continuer ? [Y/n/?] y

debconf pose ensuite quelques questions

Nom d'hôte du serveur ejabberd : machine.info

Ici le nom d'hôte du serveur, il n'est possible de donner qu'un seul nom d'hôte.

Identifiant du compte administrateur d'ejabberd : root

Ici je choisis le compte administrateur avec beaucoup d'originalité Ce compte servira à administrer le serveur via l'interface web ou un client jabber. Pour se connecter, il faudra utiliser root@machine.info comme l'indique debconf.

Mot de passe du compte administrateur :

Il faudra confirmer ce mot de passe. Il est normal que rien ne s'affiche quand on tape le mot de passe.

L'installeur va notamment générer un certificat SSL pour l'utilisation d'une communication chiffrée entre le client et le serveur. Ce certificat est stocké dans le fichier /etc/ejabberd/ejabberd.pem. C'est un certificat auto-signé, suffisant pour une utilisation personnelle.

La configuration du serveur est stockée dans le fichier /etc/ejabberd/ejabberd.cfg. Il faut être root ou membre du groupe ejabberd pour rentrer et lire le répertoire /etc/ejabberd.

$ stat /etc/ejabberd
  File: `/etc/ejabberd'
  Size: 4096      	Blocks: 8          IO Block: 4096   répertoire
Device: ca01h/51713d	Inode: 17814       Links: 2
Access: (0750/drwxr-x---)  Uid: (    0/    root)   Gid: (  113/ejabberd)

Si comme moi vous utilisez sudo, il faudra que l'utilisateur qui passe pour root appartienne au groupe ejabberd sinon sudoedit ne fonctionnera pas. Pour cela :

sudo adduser sylvain ejabberd

Il faudra se connecter de nouveau pour que l'appartenance au groupe soit effective.

configuration

interface admin HTTPS

L'interface d'administration est disponible par défaut en HTTP, il ne faut pas oublier que le mot de passe de l'administrateur passera par là donc il est préférable de chiffrer la connexion. Pour cela, commençons par générer un certificat avec make-ssl-cert :

sudo make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/ssl/certs/ejabberd.pem

Le certificat devra être lisible par ejabberd :

$ sudo chgrp ejabberd /etc/ssl/certs/ejabberd.pem
$ sudo chmod g+r /etc/ssl/certs/ejabberd.pem

Ensuite, modifions le fichier de configuration /etc/ejabberd/ejabberd.cfg

  %% {5280, ejabberd_http, [
  %%                     http_poll,
  %%                     web_admin
  %%                    ]}

  {5280, ejabberd_http, [
                        http_poll,
                        web_admin,
                        tls,
                        {certfile, "/etc/ssl/certs/ejabberd.pem"},
                        starttls_required
                        ]}

un administrateur pour tous les domaines

Le compte d'administration créer par debconf permet d'administrer le serveur déclaré lors de l'installation. Pour que l'administrateur puisse gérer tous les serveurs (domaines), il faut modifier la configuration. Remplacer {acl, admin, {user, “root”, “collilieux.net”}} par {acl, admin, {user, “root”}}.

à vérifier

langue

Par défaut, l'interface d'administration de ejabberd parle anglais. Pour modifier cela, il faut modifier la ligne contenant {language, “en”} par {language, “fr”}.

création d'un utilisateur

À ce stade, le serveur est déjà fonctionnel mais seul root@machine.info peut se connecter au serveur. Il faut donc créer un utilisateur.

Pour créer un compte robert@machine.info avec le mot de passe m0t2pace :

sudo ejabberdctl register robert machine.info m0t2pace

Le fichier de configuration fourni par DEBIAN ne permet pas que des utilisateurs s'enregistrent automatiquement avec leur client jabber. Pour un serveur personnel, c'est une bonne chose.

configuration du DNS

Pour chaque domaine hébergé sur le serveur, il faudra créer une entrée dans le dns qui gère la zone. Par exemple, pour bind :

_jabber._tcp.machine.net.       IN SRV   0 0 5269   machine.info.
_xmpp-server._tcp.machine.net.  IN SRV   0 0 5269   machine.info.
_xmpp-client._tcp.machine.net.  IN SRV   0 0 5222   machine.info.

machine.info. doit correspondre au nom d'hôte qui héberge le serveur. Les entrées sont de type SRV, 5269 est le port utilisé entre les serveurs et le 5222 celui utilisé par les clients vers le serveur. Les 0 0 sont respectivement la priorité et le poids de chaque entrée, c'est inutile avec un seul serveur.

Pour utiliser la voix et la vidéo avec du NAT sur la ligne, il est nécessaire d'ajouter une entrée pour un serveur STUN. Par exemple :

_stun._udp.machine.info has SRV record 0 0 3478 stun.machine.info.

Il est possible d'utiliser n'importe quel serveur STUN public.

plusieurs domaines

Le serveur peut gérer plusieurs domaines. Il suffit de déclarer les domaines sur la ligne {hosts, [“machine.org”, “machine.net”]}.

modules

Plusieurs modules sont disponibles et activés par défaut.

irc

Pour se connecter à un channel IRC depuis un client jabber, il est possible d'utiliser ejabberd comme passerelle. Pour cela, il faut que le host irc.machine.org pointe vers la même adresse IP que machine.org (enregistrement type A. Il est également possible de déclarer un CNAME.

Ce qui donne dans le DNS avec un CNAME :

irc.machine.info.	86400	IN	CNAME	machine.info.

conference

XMPP, le protocole derrière jabber permet d'établir des salons de discussion. ejabberd supporte cette fonctionnalité. La configuration par défaut fonctionne :

  {mod_muc,      [
                  %%{host, "conference.@HOST@"},
                  {access, muc},
                  {access_create, muc},
                  {access_persistent, muc},
                  {access_admin, muc_admin},
                  {max_users, 50}
                 ]},

Pour utiliser les conférences, il faudra utiliser le serveur conference.machine.info, il faut donc que cette entrée DNS existe et pointe vers le serveur. On peut remplacer conference par salon ou tout autre mot. Il est possible de configurer une entrée de type A ou un CNAME.

Ce qui donne dans le DNS :

conference.machine.info. 86400 IN	CNAME	machine.info.

Tous les utilisateurs pourront créer des conférences. J'ai limité le nombre de participant à 50, la valeur par défaut est 500.

liens utiles

— © Sylvain Collilieux le 30/05/2009 à 21:29 – ce texte est sous licence Art Libre

doc:firefox

Sat, 17 Jul 2010 00:57:53 +0200

firefox : quelques astuces

configuration : about:config

Les astuces décrites sur cette page nécessite de taper about:config dans la barre d'adresse de firefox. Par défaut, firefox affiche un message d'avertissement, lisez-le.

Maintenant que vous êtes prévenus, à vos risques et périls …

fréquence de sauvegarde de la session

Par défaut, Firefox sauvegarde les onglets ouverts toutes les 10 secondes pour pouvoir les restaurer en cas de plantage. Pour augmenter ou diminuer cette fréquence, il faut modifier le paramètre browser.sessionstore.interval dans le about:config. La valeur est exprimée en msec. Pour info, j'ai mis 60000 (une minute).

source.

délai avant l'installation d'une extension

Lors de l'installation d'une extension, Firefox affiche un message d'alerte concernant la sécurité pendant 2000 msec avant de pouvoir cliquer ur « installer ». Quand on a lu ce message une fois, on l'a lu 1000 fois J'ai mis cette valeur à 0 pour ne plus avoir à attendre. Dans about:config, il faut modifier la valeur security.dialog_enable_delay.

source.

certificat auto-signé : moins de clic SVP

Quand on surfe sur une site en HTTPS avec un certificat SSL auto-signé, non seulement Firefox non affiche une énorme page d'erreur à faire fuir mais en plus, l'ajout d'une exception pour accepter le certificat est particulièrement lourde. Pour alléger le processus, il faut modifier deux valeurs dans about:config.

browser.xul.error_pages.expert_bad_cert : True
browser.ssl_override_behavior : 2

Firefox téléchargera automatiquement le certificat et vous économiserez deux clics sans amoindrir le niveau de sécurité, il faut juste faire attention aux certificats acceptés.

source : linuxfr et slackware-fr.

27 septembre 2009 : visiblement, cette astuce ne fonctionne plus avec firefox 3.5.

sélectionner toute l'url de la barre d'adresse

Sous Linux, lors d'un clic sur la barre d'adresse, l'URL n'est pas sélectionnée. Pour modifier ce comportement :

browser.urlbar.clickSelectsAll = true

source.

barre de défilement à gauche

Lorsqu'un texte est trop long pour être affiché sur un seul écran, Firefox affiche une barre de défilement. Par défaut, pour les langues qui se lisent de gauche à droite, cette barre est à droite. En la positonnant à gauche, elle devient plus accessible.

Pour cela, il faut changer la valeur de layout.scrollbar.side et la paser à 3.

Source :

la liste de diffusion de Gulliver mais je ne retrouve plus le lien vers l'archive, il est peut-être passé sur une liste qui n'est pas archivée publiquement.
mozillazine est une mine d'informations.

géolocalisation

Depuis sa version 3.5, Firefox peut envoyer des données de géolocalisation aux sites qui le demande et si vous êtes d'accord.

Pour supprimer purement cette fonctionnalité changer la valeur de geo.enabled de true à false.

Source : site mozilla

safebrowsing

Lorsque vous entrez une URL, Firefox vérifie qu'elle n'est pas sur une liste noire d'URL. Par défaut Mozilla utilise les listes de google (encore eux ). Ces listes sont téléchargées toutes les 30 minutes par le navigateur.

Ce fonctionnement est désactivable en cliquant quelque part dans les options ou via 'about::config.

browser.safebrowsing.enabled: false
browser.safebrowsing.malware.enabled: false

extensions

Les extensions de Firefox sont un atout de taille. Cet grâce à cet atout que je n'arrive pas à changer de navigateur, pourtant j'ai essayé . Quelques extensions que je trouve bien utile sont listées ci-après

adblock plus

Comment surfer sans l'extension adbloc plus qui permet de ne pas afficher la plupart des publicités des pages web. De nombreux sites deviennent nettement plus lisibles grâce à cette extension.

tab mix plus

Firefox a été le premier navigateur à implémenter la navigation par onglet. Toutefois, la configuration du comportement et de la présentation de ces onglets sont assez limités. Tab Mix Plus permet de configurer la gestion des onglets. Mozilla gagnerait à intégrer certaines options dans Firefox.

hide menubar

Comme son nom l'indique, hide menubar permet de cacher la barre de menu du navigateur. Pour la faire apparaître momentanément , il faudra appuyer sur la touche « Alt ».

Utiliser cette extension et supprimer « barre personnelle » permettent d'avoir plus de place pour le contenu. C'est notamment pratique sur des écrans de petites tailles.

ghostery

ghostery permet de bloquer de nombreux sites qui suivent nos traces sur la toile. Par défaut, j'ai choisi de tout bloquer.

source le blog sécurité Orange Business Services

refcontrol

refcontrol permet de contrôler leHTTP referer. C'est toujours un peu de vie privée préservée.

syncplaces

syncplaces permet de synchroniser vos marques-pages et/ou vos mots de passe entre plusieurs sessions de Mozilla Firefox (y compris la version mobile). Cette extension dispose de quelques foncitonnalités de weave qui permet, en plus, de synchroniser vos onglets ouverts et votre historique.

Weave nécessite d'utiliser un serveur de Mozilla, il est possible d'installer son propre serveur mais pour le moment le tout ressemble à une usine à gaz, surtout pour un particulier (le serveur de Mozilla gérera des milliers ou millions d'utilisateurs).

La synchroniser avec syncplaces peut utiliser les protocoles HTTP, HTTPS, FTP ou un fichier sur une disque (ou clef USB). La synchronisation peut-être automatique à un fréquence définie, à chaque démarrage, chaque arrêt ou manuellement.

Pour utiliser syncplaces avec un serveur HTTP(S), il faut que le serveur supporte webdav, une extension du protocole HTTP. J'ai documenté la configuration de cette extension avec apache2. C'est très simple à mettre en place pour qui dispose d'un serveur apache.

syncplaces propose également de chiffrer les fichiers en AES ou TEA. C'est une option que je conseille, forcément .

Je ne rentrerai pas dans toutes les options de l'extension, je vous laisse découvrir .

Merci à Mikaël de m'avoir fait découvrir cet outil bien pratique !

httpfox

Pour suivre toutes les requêtes HTTP en direct, httpfox est bien pratique (plus pratique que sa cousine livehttpheaders.

Cette extension est une sorte d'analyseur. Ça peut être pratique pour vérifier la configuration d'un serveur web ou d'une application ou juste pas curiosité.

awesome bar

Je suis un grand fan de la awesome bar. Depuis, je ne classe plus mes marque-pages et je gagne un temp fou.

Par défaut, lorsque qu'on tape quelque chose dans la barre, la recherche est lancée dans l'historique et les marque-pages. C'est modifiable dans les préférences de la via privée (en bas).

En préfixant ou suffixant le texte par le caractère *, la recherche ne concernera que les marque-pages. Avec #, ce sera les tags. source

thèmes

Deux thèmes dont les icônes ne prennent pas trop de place :

chromixfox : il faut aimer le bleu :-S. Ce thème ressemble au navigateur google chrome (attention, ce navigateur n'est pas libre).
whitehart

— Le 25/02/2010 – Sylvain Collilieux – Ce texte est sous licence Art Libre

doc:gphoto

Sun, 06 Jun 2010 21:16:39 +0200

importation des photos depuis un APN

Ici, l'appareil est un Canon IXUS 40 qui fonctionne en PTP uniquement.

$ cd lerepertoiredemesphotos
$ gphoto2 --get-all-files --auto-detect

Sous Debian, cette commande nécessite de faire partie du groupe plugdev.

doc:gpsbabel

Wed, 24 Mar 2010 23:14:58 +0200

gpsbabel

exporter et effacer les données

Pour exporter les données dans un fichier et les effacer du GPS.

gpsbabel -t -w -i mtk,erase -f /dev/ttyACM0 -o gpx -F out.gpx

-t : exporter la trace
-w : exporter les points d'arrêts
-i mtk,erase : supprimer les données sur un GPS avec chipset MTK
-f /dev/ttyACM0 : fichier de périphérique correspondant au GPS
-o : format de sortie GPX
-F : nom du fichier, ici out.gpx

doc:incrond

Tue, 30 Mar 2010 00:22:15 +0200

incron

installation

$ sudo aptitude install incron
$ echo root | tee -a /etc/incron.allow

La première commande installe incron, la seconde autorise l'utilisateur root à utiliser incron (par défaut personne n'est autorisé).

configuration

Le moyen le plus simple consiste à ajouter un fichier dans le répertoire /etc/incron.d à la manière de /etc/cron.d. La syntaxe est simple, il faut 3 champs, le nom du fichier ou du répertoire à surveiller (mais pas dans les sous-répertoires), l'action à surveiller (man 5 incrontab section EVENT SYMBOLS) et la commande à exécuter.

Il est possible de passer des paramètres à la commande :

$$ : le caractère $
$@ : le chemin
$# : le nom du fichier sans le chemin complet
$% : le nom de l'événement
$& : le chiffre correspondant à l'événement

Chaque événement fera l'objet d'un message dans les journaux système.

Dès qu'un fichier est créé dans le répertoire /etc/incron.d, incrond le prend en compte (à croire qu'il s'utilise lui-même ;-) ).

exemple

$ cat > /etc/incron.d/demo
/home/sylvain/tmp/ IN_CREATE,IN_DELETE,IN_MODIFY /home/sylvain/bin/inotify.sh $@$# $%

Cette ligne permet de surveiller les créations, suppressions et modifications dans le répertoire /home/sylvain/tmp/.

Le script exécuté écrit dans un fichier temporaire le nom du fichier avec le chemin complet et le nom de l'action :

$ cat /home/sylvain/bin/inotify.sh
sylvain@moe ~/tmp/c $ cat /srv/d_moe/home/sylvain/bin/inotify.sh 
#!/bin/dash
echo $1 $2 >> /tmp/incron_demo

Essai :

$ cd ~/tmp
$ touch new
$ echo a > new
$ rm new

Dans les journaux système, on retrouve la trace de chaque événement :

$ tail -n 10 /var/log/syslog | grep incron
Mmm DD HH:MM:SS moe incrond[25578]: (system::etc) CMD (/home/sylvain/bin/inotify.sh /home/sylvain/tmp/new IN_CREATE )
Mmm DD HH:MM:SS moe incrond[25578]: (system::etc) CMD (/home/sylvain/bin/inotify.sh /home/sylvain/tmp/new IN_MODIFY )
Mmm DD HH:MM:SS moe incrond[25578]: (system::etc) CMD (/home/sylvain/bin/inotify.sh /home/sylvain/tmp/new IN_DELETE )

Le fichier /tmp/incron_demo:

$ cat /tmp/incron_demo 
/home/sylvain/tmp/new IN_CREATE
/home/sylvain/tmp/new IN_MODIFY
/home/sylvain/tmp/new IN_DELETE

limitations

Si l'on souhaite surveiller des fichiers de configuration, par exemple stockés dans /etc/, la configuration peut vite devenir difficile car incrond ne surveille pas les sous-répertoires. Il faudra donc créé autant de ligne de configuration que de répertoire à surveiller. Le risque de ne pas être exhaustif est donc important.

idées

incrond offre énormément de possibilités. Certaines seront probablement développées ici dans le futur.

surveillance de /etc

La première utilisation est simplement de tracer tous les changements dans les fichiers et répertoire de configuration simplement dans les journaux système (/var/log/...).

On pourrait également imaginer qu'à chaque modification d'un fichier de configuration, incrond envoie un message à l'administrateur via différents moyens.

Il serait aussi possible de créer un script qui commit automatiquement les changements dans les fichiers dans un système de gestion de version comme mercurial ou git. Ce serait très pratique pour suivre les modifications. Si le serveur de gestion de version n'est pas installé sur la même machine et en gérant les droits, on peut alors s'en servir comme d'une brique pour améliorer la sécurité des fichiers de configuration (il faut qu'un éventuel pirate s'introduise dans les deux serveurs pour cacher ces changements de configuration).

À suivre ...

Ce texte est sous licence Art Libre
$Id: incrond.mkd bcf81dfea251 2010/03/29 22:17:42 Sylvain $

doc:jhead

Tue, 30 Mar 2010 00:35:40 +0200

jhead

renommage

Renommer des photos :

jhead  -nf%Y-%m-%d--%H.%M.%S *.jpg

Cette commande permet de renommer (-nf)tous les fichiers JPEG.

%Y : l'année de la prise de vue sur 4 caractères (ex: 2010)
%m : le mois sur 2 caractères (ex: 03 pour mars)
%d : le jour dans le mois sur 2 caractères (02 pour le 2 mars)
%H : l'heure sur 2 caractères
%M : les minutes sur 2 caractères
%S : secondes sur 2 caractères

Pour une photographie prise le 2 mars 2010 à 14:06:12, le fichier sera nommé 2010-03-01–14.06.12.jpg.

Si plusieurs photos ont été prises dans la même seconde (mode rafale d'un appareil photo ou plusieurs appareils photo), jhead ajoutera un lettre à la fin du fichier en commençant par a.

— Le 30/03/2010 – Sylvain Collilieux – Ce texte est sous licence Art Libre

doc:pgp-agent

Fri, 29 May 2009 00:00:54 +0200

utilisation de pgp-agent

GnuPG peut-être utilisé par plusieurs logiciels. Dans mon j'essaie de la généraliser pour :

Le courrier éléectronique avec le couple Thunderbird/Enigmail
La messagerie instantanée Jabber avec Gajim

Je n'aime pas le principe des grandes oreilles qui peuvent entendre tout ce que je raconte. Des solutions des chiffrement existent, les grandes oreille peuvent probablement déchiffrer mais au moins, ça leur prendra plsu de temps

Le but de cette page est ne pas multiplier les demandes de passphrase de la clef GPG. Pour cela il existe un agent comme dand SSH. L'agent stocke la clef et peut la fournir à tous les logiciels compatibles sans besoind de rentrer la clef plusieurs fois.

Comment ça marche ?

D'abord, j'utilise DEBIAN sid mais cette explication est adaptable à toute distibution.

Installation

aptitude install gnugp-agent pinentry-gtk2

pgp-agent est l'agent qui charge la clef GPG et la fournit aux autres logiciels. pinentry est le programme qui demande la passphrase. Il existe une version QT

Configuration

Editer le fichier ~/.gnupg/gpg.conf et décommenter la ligne (supprimer le # en début de ligne)

# use-agent

Editer le fichier ~/.gnupg/gpg-agent.conf (le créé si besoin) Contenu de mon fichier :

pinentry-program /usr/bin/pinentry-gtk-2
no-grab
default-cache-ttl 3600

Le TTL correspond au temps en secode pendant lequel l'agent stocke la clef. Une fois cet TTL dépassé, l'agent rendemande la passphrase.

Utilisation

Il faut ensuite configurer les logiciels pour utiliser gpg-agent.

Pour engimail
Pour gajim, il faut aller dans les préférences avancées

doc:sources.list

Sun, 31 May 2009 01:07:10 +0200

sources.list pour DEBIAN

le fichier /etc/apt/sources.list]] indique à aptitude quelles listes de paquet il doit consulter.DEBIAN propose plusieurs dizaines de milliers de paquets répartis dans plusieurs dépôts. Ce fichier décrit comment accéder à chaque dépôt.

Explications.

un sources.list

Pour commencer par du concret, voici un /etc/apts/sources.list d'une DEBIAN Lenny

$ cat /etc/apt/sources.list
deb http://ftp.fr.debian.org/debian/ lenny main contrib non-free
deb http://security.debian.org/debian-security lenny/updates main contrib non-free
deb http://volatile.debian.org/debian-volatile lenny/volatile main contrib non-free 
deb http://ftp.de.debian.org/backports.org/ lenny-backports main

Chaque ligne commence par deb puis une URL qui peut commencer par autre chose que HTTP (man sources.list). Après l'URL, vient le nom de la distribution puis les sections.

pourquoi tant de lignes ?

Le fichier ci-dessus contient 4 lignes. La première est indispensable, elle permet d'accéder aux paquets DEBIAN officiels (ici de « Lenny ». Ces paquets seront mis à jour uniquement lors de la sortie de nouvelles version de DEBIAN. La deuxième ligne est vivement conseillée car elle permet d'accéder aux mises à jour de sécurité au fil de l'eau sans attendre un nouvelle version de DEBIAN.

La troisième ligne permet de mettre à jour des paquets qui bougent souvent comme, par exemple les signatures de l'antivirus clamav.

La dernière ligne donne accès aux paquets du projet backports. Ce projet tente de porter des logiciels récents dans DEBIAN stable qui vieillit vite. Lors d'une installation de paquet, il faudra spécifier à aptitude de prendre celui de backports avec l'option -t lenny-backports pour utiliser les backports de Lenny.

doc:thinkpad

Sun, 10 Jan 2010 21:27:48 +0200

DEBIAN unstable sur un thinkpad X40

Cette page décrit la vie trépidante d'une distribution DEBIAN GNU/Linux unstable sur un PC IBM Thinkpad X40.

le trackpoint

Le 10 janvier 2010.

Suite à une mise de xorg en version 1:7.5+1, la fonction défilement du « trackpoint » est hors service. Suite à quelques recherches, un article du thinkwiki propose une solution qui fonctionne (contrairement aux autres).

Le problème vient de xorg qui n'utilise plus hal mais udev, il faut donc créer une règle udev.

$ cat /etc/udev/rules.d/99_trackpoint.rules
ACTION!="add|change", GOTO="xorg_trackpoint_end"
KERNEL!="event*", GOTO="xorg_trackpoint_end"

ENV{ID_PATH}!="platform-i8042-serio-1", GOTO="xorg_trackpoint_end"

ENV{x11_options.EmulateWheel}="1"
ENV{x11_options.EmulateWheelButton}="2"
ENV{x11_options.XAxisMapping}="6 7"
ENV{x11_options.Emulate3Buttons}="0"

LABEL="xorg_trackpoint_end"

Suite à la création du fichier, un redémarrage de udev et xorg n'ont pas suffit, il y a fallu redémarrer complètement le système

doc:thunderbird

Fri, 13 Aug 2010 12:27:30 +0200

thunderbird au quotidien

personnalisation

prochain message

Lorsqu'on frappe sur la touche « n », thunderbird va au prochain message non lu. Pour éviter qu'il demande s'il a le droit d'aller dans un autre répertoire, il suffit de positionner :

mailnews.nav_crosses_folders = 0

consulter tous les répertoires

Par défaut, thunerbird ne relève les nouveaux messages via IMAP que dans le dossier « Courrier entrant ». Si les courriels sont filtrés sur le serveur, thunderbird ne voit pas les nouveaux messages triés. C'est embêtant. Avec

mail.check_all_imap_folders_for_new = true

thunderbird vérifie la présence de nouveaux messages dans tous les dossiers.

cacher la fenêtre d'envoi

Lors de l'envoi d'un message, le temps que thunderbird papote avec le serveur, il affiche une fenêtre en avant plan. Pour qu'il n'affiche plus cette fenêtre :

mailnews.show_send_progress = false

informations affichées

Dans la partie en-tête, thunderbird peut afficher d'autres informations en plus de l'expéditeur, du sujet, etc. En demandant gentillement, il peut afficher le champ « Lits-Id » :

mailnews.customHeaders = List-Id

Si on souhaite plusieurs valeurs, il faut les séparer par des espaces.

Certaines valeurs sont pré-définies comme les « User-Agent »

mailnews.headers.showUserAgent = true

extensions

MinimizeToTray Plus

doc:xca

Thu, 10 Dec 2009 23:17:01 +0200

une (petite) infrastructure à clés publiques avec xca

Cet article n'a pas pour but de décrire le principe d'une autorité de certification ou d'une infrastructure à clés publiques mais si vous ne savez pas ce que c'est, la suite risque de ne pas être très utile.

Les certificats créés seront ensuite utilisés pour une authentification forte mutuelle entre un serveur web et un navigateur.

Si vous avez des avis, remarques, etc. sur cet article, les commentaires sont ouverts (mais modérés).

xca permet de générer des certificats numériques. Ces certificats peuvent être utilisés dans plusieurs situations. Mon premier objectif est de réaliser une authentification SSL croisée entre un serveur apache et un navigateur. Ces certificats pourront également servir pour une authentification entre un serveur IMAP et un client, un serveur et un client openvpn, etc.

xca

xca est un logiciel de gestion de certificats au format X.509, de requêtes de certification et de clés privées au format Rivest Shamir Adleman et Digital Signature Algorithm. C'est un logiciel libre sous licence BSD (pour les explications de la tronche).

xca permet de mettre en place une autorité de certification facilement. Par rapport à d'autres logiciels comme gnomint, xca est plus complet, il permet de modifier plus d'options dans les certificats. Il existe également TinyCA, que vous pourrez utilisez grâce à ce tutoriel (en français).

xca est empaqueté par DEBIAN mais uniquement pour SID au moment de la rédaction de cet article. Il nécessite la bibliothèque Qt. Il est disponible en anglais, allemand et espagnol, le développeur accepte très probablement les coups de main pour la traduction .

Cet article ne détaillera pas toutes les options et utilisations possibles de ce logiciel, loin de là.

création de l'autorité de certification

Quelques captures d'écrans pour décrire ce processus seront bien plus efficaces que de trop longues explications.

Dans l'onglet « Certificates », cliquer sur « New Certificate ».

Ici, la seule modification concerne l'algorithme de signature qui passe de la valeur par défaut SHA-1 à SHA-256 pour plus de robustesse.

ne cliquez pas sur « OK » avant d'avoir remplit tous les onglets !

Il est maintenant nécessaire de renseigner les cases proposées suivant vos spécificités. N'ayant pas de clef privée, il est possible de demander à xca d'en générer une.

Pour la génération de la clef, il faut donner un nom (repris apr défaut du champ «internal name » ci-dessus), il est possible de choisir la taille : 1024, 2048 ou 4096, tout dépend de son niveau de paranoïa. Il faut également choisir entre RSA et DSA (des arguments en faveur de l'un ou de l'autre ?).

L'onglet « extensions » demande de choisir le but du certificat (« Certificate Authority » ou « End entity ») et sa durée de vie, par défaut un an. On cherche à créer une autorité de certification, il faut donc choisir « Certificate Authority » dans le champ « Type ». Les autres champs sont laissés vide dans cet exemple.

L'onglet « Key Usage » est important, suivant les usages, le certificat pourra être utilisé ou pas dans diverses situations.

L'extension Netscape est probablement optionnelle, à défaut, le choix « SSL CA » semble approprié.

L'onglet « Advanced » récapitule les données sur certificat X.509 qui sera généré. Il doit être également possible d'éditer « à la main » les données en cliquant sur « Edit » (non testé).

Le certificat peut-être exporter au format DER (Privacy Enhanced Mail pour être ensuite importer dans un navigateur web. De cette manière, les serveurs qui utiliseront un certificat signé par cette autorité seront reconnu par le navigateur sans alerte de sécurité.

création d'un certificat pour un serveur web

Il est possible de générer la clef et la demande de certificat sur le serveur web. Dans la suite, la clé sera générée par xca et transmise au serveur web via SSH.

Avant de pouvoir créer un certificat accepté par Firefox, j'ai créé deux fichiers pour xca afin d'ajouter des extensions conformément à la documentation.

$ cat /home/sylvain/.xca/oids.txt 
1.3.6.1.5.5.7.3.1:serverAuth:TLS Web Server Authentication
1.3.6.1.5.5.7.3.2:clientAuth:TLS Web Client Authentication
$ cat /home/sylvain/.xca/eku.txt 
serverAuth
clientAuth

Dans l'onglet « Certificates », cliquer avec le bouton droit sur le certificat de l'autorité de certification puis cliquer sur « New Certificate ».

Sur l'onglet « Source », il faut choisir l'autorité de certification qui signera le certificat, ici « CA ». Comme précédemment, j'ai préféré l'algorithme SHA-1. Il est également possible de choisir un modèle (« template ») pour pré-remplir certains éléments.

Dans l'onglet « Subject », on renseigne les attributs du serveur. La clé privée peut soit être choisie dans la liste soit générée (dans ce cas, la même boite de dialogue que précédemment devra être renseignée).

Cette fois il faudra choisir « End Entity » dans l'onglet « Extensions », ce n'est pas une autorité de certification. La date de validité sera renseignée suivant la convenance. Le champ « subject alternative name » permet de définir plusieurs noms de serveur (serveur1.fr, www.serveur1.fr, serveur1.com, etc.)

Les utilisations seront renseignées dans l'onglet « Key Usage ». Il est important de bien choisir les paramètres car sans cela certains navigateurs n'accepteront pas le certificat.

L'onglet « Netscape » est probablement optionnel mais autant choisir un paramètre cohérent.

Pour utiliser la clé et le certificat dans le serveur web, il faut les exporter. Dans l'onglet « Private Keys », cliquez avec le bouton droit sur la clé et choisir « Export ». Choisir le format « PEM » utilisable par apache, par exemple.

Pour exporter le certificat, dans l'onglet « Certificates », choisir « Export » puis « File » dans le menu qui apparaît en cliquant sur le bouton droit. Ici encore, il faut choisir un format reconnu par le serveur web.

création d'un certificat pour un navigateur

La création de ce certificat est identique au paragraphe précédent. Seules les extensions diffèrent.

Pour que la navigateur puisse prendre en compte le certificat, il est nécessaire de l'exporter. Le format PKCS#12 est reconnu par plusieurs navigateur.

— Le 24/11/2009 – Sylvain Collilieux – Ce texte est sous licence Art Libre