Wiki - Nouvelles pages [fr]

Tmux

2013-03-18T16:13:38Z

SLiX : A protégé « Tmux » ([edit=sysop] (infini) [move=sysop] (infini)) [protection en cascade]

{| align="right"
| __TOC__
|}
[http://tmux.sourceforge.net/ Tmux] est un multiplexeur de terminal. Il permet de découper un terminal en plusieurs sessions de travail avec des fenêtres et panneaux, tout en permettant de les détacher. C'est une sorte de super [http://www.gnu.org/software/screen/ Screen]

== Configuration ==
Quelques éléments de configuration, à mettre dans ~/.tmux.conf

=== Couleurs des bordures ===
Pour que toutes les bordures soient vertes, et que celle du panneau actif soit épaisse:

<syntaxhighlight lang="bash">
# Set pane divider
#set -g pane-border-bg black
set -g pane-border-fg green
set -g pane-active-border-bg green
set -g pane-active-border-fg green
</syntaxhighlight>

[[Catégorie:Applications]]

Varnish

2013-03-01T15:10:30Z

SLiX : A protégé « Varnish » ([edit=sysop] (infini) [move=sysop] (infini)) [protection en cascade]

{| align="right"
| __TOC__
|}
[https://www.varnish-cache.org/ Varnish] est un cache HTTP. Il permet d'améliorer les performances de sites Web dynamiques en gardant en mémoire (ou sur un stockage persistent) des versions statiques d'objets générés (PHP, HTML, CSS, JS, images, ...).

== Varnishd ==

La configuration des règles de Varnish se fait grâce à un langage appelé VCL, dont voici quelques exemples d'utilisations.

=== Nettoyage de l'en-tête Host ===
<pre>
sub vcl_recv {
# Suppression des points finaux (.) et ports superflus (ex: kerlinux.org.:80 -> kerlinux.org)
set req.http.host = regsub(req.http.host, "\.*(:\d+)*$", "");
}
</pre>

=== Gérer l'en-tête X-Forwarded-For ===
<pre>
sub vcl_recv {
if (req.restarts == 0) {
if (req.http.x-forwarded-for) {
set req.http.X-Forwarded-For = req.http.X-Forwarded-For + ", " + client.ip;
} else {
set req.http.X-Forwarded-For = client.ip;
}
}
}
</pre>

=== Normaliser l'en-tête Accept-Encoding ===
<pre>
sub vcl_rec {
if (req.http.Accept-Encoding) {
if (req.url ~ "\.(pdf|jpeg|jpg|png|gif|gz|tgz|bz2|tbz|mp3|ogg)$") {
remove req.http.Accept-Encoding;
} elsif (req.http.User-Agent ~ "MSIE 6") {
unset req.http.Accept-Encoding;
} elsif (req.http.Accept-Encoding ~ "gzip") {
set req.http.Accept-Encoding = "gzip";
} elsif (req.http.Accept-Encoding ~ "deflate") {
set req.http.Accept-Encoding = "deflate";
} elsif (req.http.Accept-Encoding ~ "sdch") {
set req.http.Accept-Encoding = "sdch";
} else {
remove req.http.Accept-Encoding;
}
}
}
</pre>

=== Supprimer certains cookies entrants ===
<pre>
sub vcl_recv {
if (req.http.Cookie) {
# Suppression des cookies "__utm?" de suivi des utilisateurs (Google Analytics)
set req.http.Cookie = regsuball(req.http.Cookie, "(^|; ) *__utm.=[^;]*;? *", "\1");

# Suppression du cookie nommé exactement "MYCOOKIE"
set req.http.Cookie = regsuball(req.http.Cookie, "(^|; ) *MYCOOKIE=[^;]*;? *", "\1");

# Nettoyage de début et fin de valeur de Cookie
set req.http.Cookie = regsuball(req.http.Cookie, "^[; ]+|[; ]+$", "");

# Si finalement, il n'y a plus de cookie, suppression de l'en-tête
if (req.http.Cookie ~ "^\s*$") {
remove req.http.Cookie;
}
}
}
</pre>

=== Activer la gestion des ESI ===
<pre>
sub vcl_recv {
set req.http.Surrogate-Capability = "abc=ESI/1.0";
}

sub sub_fetch {
if (beresp.http.Surrogate-Control ~ "ESI/1.0") {
unset beresp.http.Surrogate-Control;
set beresp.do_esi = true;
}
}
</pre>

=== Gérer la méthode PURGE ===
<pre>
acl purge {
"127.0.0.1";
"192.168.0.0"/24;
}

sub vcl_recv {
if (req.request == "PURGE") {
if (!client.ip ~ purge) {
error 405 "Not allowed.";
}
return(lookup);
}
}

sub vcl_hit {
if (req.request == "PURGE") {
purge;
error 200 "Purged";
}
}

sub vcl_miss {
if (req.request == "PURGE") {
error 200 "Not in cache";
}
}
</pre>

Utilisation:
<pre>
$ curl -X PURGE -H "Host: site-ou-purger" http://varnish-server/url_a_purger.html
</pre>

=== Gérer les méthodes PURGE et BAN ===
<pre>
acl purge {
"127.0.0.1";
"192.168.0.0"/24;
}

sub vcl_recv {
if (req.request == "PURGE" || req.request == "BAN") {
if (!client.ip ~ purge) {
error 405 "Not allowed.";
}
if (req.request == "PURGE") {
return (lookup);

} elsif (req.request == "BAN") {
ban ("req.http.host == " + req.http.host + " && req.url == " + req.url);
error 200 "Ban added";
}
}
}

sub vcl_hit {
if (req.request == "PURGE") {
purge;
error 200 "Purged";
}
}

sub vcl_miss {
if (req.request == "PURGE") {
error 200 "Not in cache";
}
}
</pre>

Utilisation:
<pre>
$ curl -X PURGE -H "Host: site-ou-purger" http://varnish-server/url_a_purger.html
$ curl -X BAN -H "Host: site-ou-bannir" http://varnish-server/url_a_bannir.html
</pre>

=== Gérer la méthode BAN avec en-tête pour Regexp ===
<pre>
acl purge {
"127.0.0.1";
"192.168.0.0"/24;
}

sub vcl_recv {
if (req.request == "BAN") {
if (!client.ip ~ purge) {
error 405 "Not allowed.";
}

if (req.http.x-ban-regexp) {
ban ("req.http.host == " + req.http.host + " && req.url ~ " + req.http.x-ban-regexp);
unset req.http.x-ban-regexp;

} else {
ban ("req.http.host == " + req.http.host + " && req.url == " + req.url);
}

error 200 "Ban added";
}
}
</pre>

Utilisation:
<pre>
$ curl -X BAN -H "Host: site-ou-bannir" http://varnish-server/url_a_bannir.html
$ curl -X BAN -H "Host: site-ou-bannir" -H "X-Ban-Regexp: ^/regexp_a_bannir.*" http://varnish-server
</pre>

=== Créer une URL de test ===
Pour pouvoir tester facilement que Varnish est disponible, il est possible de créer une page d'erreur spéciale:
<pre>
sub vcl_recv {
if (req.url == "/varnish-status") {
error 200 "Varnish UP";
}
}
</pre>

== Varnishncsa ==

=== Séparer les logs par site avec vlogger ===

Voici une méthode permettant de générer un fichier de logs par site à partir d'un seul démon ''varnishncsa'' grâce à ''vlogger'':

* Installer vlogger (exemple Debian et compagnie):
# apt-get install vlogger

* Modifier le format de log afin d'avoir le contenu de l'en-tête ''Host'' en début de ligne:

Dans '''/etc/init.d/varnishncsa''':
if start-stop-daemon --start --quiet --pidfile ${PIDFILE} \
--chuid $USER --exec ${DAEMON} -- ${DAEMON_OPTS} \
devient
if start-stop-daemon --start --quiet --pidfile ${PIDFILE} \
--chuid $USER --exec ${DAEMON} -- ${DAEMON_OPTS} -F "${LOG_FORMAT}" \

Dans '''/etc/default/varnishncsa''', ajouter:
LOG_FORMAT="%{Host}i %h %l %u %t \"%m %U%q %H\" %s %b \"%{Referer}i\" \"%{User-agent}i\""

Puis redémarrer le service ''varnishncsa'':
# service varnishncsa restart

* Créer un script '''/usr/local/sbin/varnishncsa_vlogger.sh''':

# vi /usr/local/sbin/varnishncsa_vlogger.sh

<syntaxhighlight lang='bash'>
#!/bin/sh

TAIL="tail -F -n0 /var/log/varnish/varnishncsa.log"
VLOGGER="vlogger -u varnishlog -g varnishlog -a -t access-%Y-%m-%d.log -s access.log /var/log/varnish"

exec $TAIL | ( $VLOGGER; pkill -P $$ )
</syntaxhighlight>

# chmod 755 /usr/local/sbin/varnishncsa_vlogger.sh

* Activer ce script via ''init'':
Dans '''/etc/inittab''', ajouter à la fin:
vl:23:respawn:/usr/local/sbin/varnishncsa_vlogger.sh

Recharger ''init'':
# init q

* Il ne reste plus qu'à consulter les logs dans les sous-répertoires de /var/log/varnish !

== Commandes utiles ==

=== varnishlog ===

* Afficher les URLs "backend" et "client" en temps réél:
$ varnishlog | awk '/xURL/ { url=$4 } /Host: / { printf("%s http://%s%s\n", $3, $5, url); }'

[[Catégorie:Applications]]

Fail2ban

2013-02-03T13:02:45Z

SLiX :

{| align="right"
| __TOC__
|}
[http://www.fail2ban.org/ Fail2ban] est un outil permettant de surveiller des fichiers journaux et de déclencher des actions sur la récurrence de certains événements. L'utilisation classique consiste à surveiller les échecs d'authentification (ex: SSH, HTTP, ...) et de bannir (via IPtables) l'adresse IP pendant une période définie.

== Configurations ==

Voici quelques exemples de configuration (testés sous Debian GNU/Linux 6.0 "squeeze"):

=== Apache HTTPd ===
==== Wordpress login ====

Dans /etc/fail2ban/filter.d/apache-wp-login.conf

<syntaxhighlight lang=ini>
[Definition]
failregex = <HOST>.*] "POST\s+/wp-login.php\s+HTTP/1\.."\s+200\s+
ignoreregex =
</syntaxhighlight>

Et dans /etc/fail2ban/jail.local

<syntaxhighlight lang=ini>
[apache-wp-login]
enabled = true
port = http,https
filter = apache-wp-login
logpath = /var/log/apache*/access*.log
maxretry = 5
</syntaxhighlight>

==== Wordpress login avec authentification HTTP ====

Si vous protégez /wp-admin et /wp-login.php avec en plus de l'authentification HTTP, il est possible d'identifier au premier essai les tentatives automatisées car celles-ci vont produirent un code 401 avecméthode POST:

Dans /etc/fail2ban/filter.d/apache-wp-login.conf

<syntaxhighlight lang=ini>
[Definition]
failregex = <HOST>.*] "POST\s+/wp-login.php\s+HTTP/1\.."\s+401\s+
ignoreregex =
</syntaxhighlight>

Et dans /etc/fail2ban/jail.local

<syntaxhighlight lang=ini>
[apache-wp-login]
enabled = true
port = http,https
filter = apache-wp-login
logpath = /var/log/apache*/access*.log
maxretry = 1
</syntaxhighlight>

==== Wordpress commentaires ====

Dans /etc/fail2ban/filter.d/apache-wp-comments.conf

<syntaxhighlight lang=ini>
[Definition]
failregex = <HOST>.*] "POST\s+/wp-comments-post.php\s+HTTP/1\.."\s+
ignoreregex =
</syntaxhighlight>

Et dans /etc/fail2ban/jail.local

<syntaxhighlight lang=ini>
[apache-wp-comments]
enabled = true
port = http,https
filter = apache-wp-comments
logpath = /var/log/apache*/access*.log
maxretry = 5
</syntaxhighlight>

==== Ampache login ====

Dans /etc/fail2ban/filter.d/apache-ampache-www.conf

<syntaxhighlight lang=ini>
[Definition]
failregex = <HOST>.*] "POST\s+/ampache/login.php\s+HTTP/1\.."\s+200\s+
ignoreregex =
</syntaxhighlight>

Et dans /etc/fail2ban/jail.local

<syntaxhighlight lang=ini>
[apache-ampache-www]
enabled = true
port = http,https
filter = apache-ampache-www
logpath = /var/log/apache*/access*.log
maxretry = 10
</syntaxhighlight>

=== Fail2ban ===

==== Fail2ban week ====

Fail2ban peut bien sûr surveiller ses journaux, ce qui permet de faire ce genre de règles: bannir sur tous les ports et pendant une semaine les adresses IP bannies plusieurs fois par jour.

Dans /etc/fail2ban/filter.d/fail2ban.conf

<syntaxhighlight lang=ini>
[Definition]
failregex = fail2ban.actions:\s+WARNING\s+\[(?:.*)\]\s+Ban\s+<HOST>
ignoreregex = fail2ban.actions:\s+WARNING\s+\[fail2ban\]\s+Ban\s+<HOST>
</syntaxhighlight>

Et dans /etc/fail2ban/jail.local

<syntaxhighlight lang=ini>
[fail2ban]
enabled = true
filter = fail2ban
action = iptables-allports[name=fail2ban,protocol=all]
logpath = /var/log/fail2ban.log
maxretry = 3
# Find-time: 1 day
findtime = 86400
# Ban-time: 1 week
bantime = 604800
</syntaxhighlight>

== Références ==

* http://www.fail2ban.org/wiki/index.php/MANUAL_0_8

[[Catégorie:Applications]]