Depuis le temps je m’étais fait une raison, je trouvais presque normal d’avoir ce genre de ligne dans mon interface web Nagios :

SMTP OK - 0,012 sec. de temps de réponse

Je suis tombé au hasard du web sur LA solution simple et efficace pour résoudre le problème, un grand merci à Silverlake:

1. S’assurer que dans le fichier /etc/apache2/conf.d/charset la ligne « AddDefaultCharset UTF-8 » soit bien décommentée.
2. Dans le fichier /etc/nagios3/cgi.cfg rechercher la ligne « escape_html_tags » et passer la valeur de 1 à 0.

Redémarrer apache et nagios

SMTP OK - 0,012 sec. de temps de réponse

C’est plus joli comme ça, non?

J’ai eu cette erreur dernièrement sur plusieurs machines en voulant accéder à la configuration de la VM, cela quelque soit l’OS de la VM. L’USB ne fonctionne alors pas sur la VM.

Le code d’erreur est :

NS_ERROR_FAILURE (0x00004005)

Le remède :

L’utilisateur actif doit faire partie du groupe vboxusers, et d’un groupe du même nom que l’utilisateur. Editer /etc/group et redémarrer la machine.

Lien

NS_ERROR_FAILURE (0×00004005) on natty ubuntu

control keymgr.dll

Ça ouvre une interface graphique qui permet d’ajouter, modifier ou supprimer les identifiants d’accès aux ressources réseau. Bien pratique lorsque la case « Mémoriser les informations » a été cochée par erreur.

La commande fonctionne sous Windows XP, Vista et Windows 7, avec des interfaces légèrement différentes :

sous Windows XP

sous Windows 7

Dès qu’on a plus d’un serveur à gérer il est intéressant de pouvoir centraliser les logs des différentes machines pour en simplifier l’administration. C’est relativement facile avec rsyslog. Ce mini tuto va nous permettre de monter un serveur de logs sous Debian, les logs étant stockées dans une base MySQL.

Configuration du serveur de logs

Si ce n’est pas encore fait, installer et configurer les paquets mysql-client et mysql-server. On installe ensuite les pagets requis par rsyslog :

aptitude install rsyslog rsyslog-doc rsyslog-mysql

La configuration de rsyslog-mysql se fait automatiquement à la fin de l’installation par dbconfig. Avec les options par défaut on aboutit à la création d’une base MySQL nommée Syslog, contenant 2 tables SystemEvents et SystemEventsProperties. L’utilisateur rsyslog@localhost aura le contrôle total sur cette base. Ces informations de connexion sont stockées dans /etc/rsyslog.d/mysql.conf :

### Configuration file for rsyslog-mysql
### Changes are preserved
 
$ModLoad ommysql
*.* :ommysql:localhost,Syslog,rsyslog,motdepasse

On active ensuite la réception des logs distantes en éditant /etc/rsyslog.conf et en décommentant les lignes correspondantes :

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
 
# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

On redémarre le démon rsyslog :

/etc/init.d/rsyslog restart

Le serveur est maintenant configuré pour enregistrer les logs dans la base, et il écoute sur le port 514 les messages entrant. On peut vérifier que la table MySQL est bien alimentée avec les logs locales :

mysql -u rsyslog -p -Bsr -e "SELECT Message FROM SystemEvents LIMIT 0,20" Syslog

Attention, si le serveur de logs se trouve derrière un routeur, il faudra penser a activer les règles NAT qui vont bien (redirection du traffic UDP et TCP 514->514 vers le serveur de logs).

Configuration des serveurs distants

Il faut maintenant configurer les autres serveurs pour qu’ils envoient leurs logs au serveur de log. Dans l’exemple j’utilise ici aussi rsyslog mais ça fonctionne aussi avec syslog ou syslog-ng (avec un paramétrage différent).

Installation du paquet :

aptitude install rsyslog

Création d’un répertoire de travail

mkdir /var/spool/rsyslog

On ajoute les lignes suivantes à la fin du fichier /etc/rsyslog.conf (adapter l’adresse du serveur ):

# Envoi des logs au serveur de logs
$WorkDirectory /var/spool/rsyslog  # default location for work (spool) files
$ActionQueueType LinkedList   # use asynchronous processing
$ActionQueueFileName srvrfwd  # set file name, also enables disk mode
$ActionResumeRetryCount -1    # infinite retries on insert failure
$ActionQueueSaveOnShutdown on # save in-memory data if rsyslog shuts down
*.*       @@adresse.du.serveur.de.logs:514

On redémarre le démon, et c’est tout :

/etc/init.d/rsyslog restart

Installation de LogAnalyser

Retour au serveur de logs pour installer l’interface web Adiscon LogAnalyser qui va nous permettre de visualiser et d’analyser nos messages syslog. On suppose qu’un serveur Apache et PHP 5 sont déjà installés sur le serveur. A l’heure où j’écris la dernière version stable de LogAnalyser est la 3.2.1.

Téléchargement et décompression de l’archive:

wget http://download.adiscon.com/loganalyzer/loganalyzer-3.2.1.tar.gz
tar -xvzf loganalyzer-3.2.1.tar.gz

On crée un répertoire loganalyser à la racine du serveur web:

mkdir /var/www/loganalyser

On copie les fichiers LogAnalyser requis dans ce répertoire:

cp -a loganalyzer-3.2.1/src/* /var/www/loganalyser

On rend le user Apache propriétaire du dossier:

chown -R www-data:www-data /var/www/loganalyser

Avec un navigateur on se rend ensuite à l’adresse http://adresse.du.serveur.de.logs/loganalyser et on configure LogAnalyser en suivant les instructions de l’assistant.
Consulter le fichier /var/www/loganalyser/INSTALL pour des instructions détaillées si besoin.

Une remarque pour conclure, la table MySQL SystemEvents peut se remplir rapidement et devenir très volumineuse. Un petit script de purge placé en cron permettra d’éviter les mauvaises surprises:

#!/bin/bash
# Purge mensuelle des logs de la base MySQL Syslog
RETENTION=180 # Durée de rétention des logs (en jours)
# Paramètres MySQL
MYSQL_HOST="localhost"
MYSQL_DB="Syslog"
MYSQL_USER="rsyslog"
MYSQL_PASSWD="motdepasse"
# Suppression des enregistrements MySQL
sql="DELETE FROM SystemEvents WHERE DATEDIFF(NOW(), DeviceReportedTime) > $RETENTION"
mysql -h $MYSQL_HOST -u $MYSQL_USER -p$MYSQL_PASSWD -e "$sql" -B -s $MYSQL_DB

Liens

Using the syslog receiver module
Reliable Forwarding of syslog Messages with Rsyslog
Writing syslog messages to MySQL

Depuis le passage à Debian Squeeze mes monitorings Cacti basés sur lm-sensors (température, ventilateurs, voltage) ne fonctionnaient plus. Il y a eu des modifications dans le paquet snmpd et les MIBS qui permettent de convertir les OID en langage clair doivent être téléchargées séparément. Il y a aussi quelques petites modifs de configuration à faire :

aptitude install snmp-mibs-downloader

Ce paquet est dans les dépôts non-free. A la fin de l’installation du paquet les MIBS sont téléchargées dans le répertoire /usr/share/mibs

Il reste à faire 2 modifs dans les fichiers de config :

Dans /etc/default/snmpd

Commenter la ligne export MIBDIRS, ajouter l’export de toutes les MIBS. On peut être plus sélectif, dans ce cas à la place de ALL lister les MIBS requises séparées par deux points ‘:’

# export MIBDIRS=/usr/share/snmp/mibs
export MIBS=ALL

Dans /etc/snmp/snmp.conf

commenter la ligne mibs:

# mibs

On redémarre smtpd :

/etc/init.d/snmpd restart

On vérifie que tout ça fonctionne :

snmpwalk -v 2c -c public localhost system

Et les jolis graphes Cacti sont de retour!

Il y a un bug du programme gdmsetup sous Debian Wheezy qui empêche de déverrouiller l’accès aux options de connexion automatique.

On peut contourner le problème en éditant en tant que root le fichier /etc/gdm3/daemon.conf et en modifiant la section daemon.

Pour ouvrir automatiquement la session de l’utilisateur toto on mettra :

[daemon]
AutomaticLoginEnable=true
AutomaticLogin=toto

lien

gdmsetup can’t unlock problem: any workaround?

Objectif : Réaliser l’authentification basique Apache pour un Webdav avec une base d’utilisateurs en MySQL, et le mot de passe stocké avec un cryptage non réversible dans la base. J’ai un peu galéré dans cette affaire, les infos qu’on trouve ne sont pas forcément d’actualité, voici donc un petit topo.

On commence par installer le paquet qui va bien pour qu’Apache puisse causer gentiment à MySQL via dbd :

aptitude install libaprutil1-dbd-mysql

Ensuite on active le module d’authentification dbd :

a2enmod authn_dbd
apache2ctl restart

Création de la base sous MySQL. Pour faire simple la table utilisateurs ne comprend que 2 champs, login et pass:

CREATE DATABASE mabase CHARACTER SET UTF8;
CREATE TABLE IF NOT EXISTS `utilisateurs` ( 
      `login` varchar(255) NOT NULL,  
      `pass` varchar(255) NOT NULL,  
      UNIQUE KEY `login` (`login`)) 
      ENGINE=MyISAM DEFAULT CHARSET=utf8;

Toujours sous MySQL on crée un utilisateur « apache » avec des droits limités à la table :

CREATE USER 'apache'@'localhost' IDENTIFIED BY  'secret';
GRANT SELECT ON  `mabase`.`utilisateurs` TO  'apache'@'localhost';

Ensuite on remplit la table MySQL et c’est là qu’il faut faire les bons choix pour le cryptage du mot de passe et ne pas se gourer. Apache reconnait 4 formats de mots de passe : PLAIN TEXT, CRYPT, SHA1 et MD5.
PLAIN TEXT est clairement à éviter, SHA1 et MD5 sont les plus robustes. Entre les deux SHA1 serait potentiellement le meilleur sauf que l’implémentation Apache est à priori faiblarde (pas de « grain de sel ») donc j’ai retenu MD5, mais ça reste un choix qu’on peut discuter le soir au coin du feu.

En tout cas, et quel que soit le cryptage choisi, la première chose à ne pas faire c’est d’utiliser les fonctions de cryptage de MySQL (password, MD5, SHA1), c’est complètement incompatible avec l’authentification Apache. Une fois qu’on a compris ça on a fait un grand pas!

On va donc générer en bash le hash MD5 du mot de passe avec l’utilitaire htpasswd fourni par Apache et l’enregistrer dans la base (la fonction htpasswd a surement été portée dans votre langage préféré).

Le cryptage est en MD5 par défaut, les options -n et -b permettent respectivement de rediriger le résultat vers la sortie standard et d’utiliser le mode batch :

mysql -u admin -p -e "INSERT INTO utilisateurs (login, pass) VALUES ( \
     "\""robert"\"", \
     "\""$(htpasswd -nb robert secret |cut -d ':' -f 2)"\"")" mabase

On met ensuite à jour le Virtual Host pour qu’Apache puisse aller chercher les infos d’identification dans la base :

<VirtualHost *:80>
	ServerName webdav.mondomaine.org
	DocumentRoot /var/www/webdav
	...
	DBDriver mysql
	DBDParams "socket=/var/run/mysqld/mysqld.sock dbname=mabase user=apache pass=secret"
	DBDMin  4
	DBDKeep 8
	DBDMax  20
	DBDExptime 300
	...
	<Directory /var/www/webdav>
		...
		AuthName "Webdav"
		AuthType Basic
		AuthBasicProvider dbd
		# Requete SQL pour l'authentification
		AuthDBDUserPWQuery "SELECT pass FROM utilisateurs WHERE login = %s" 
		Require valid-user
	</Directory>
	...
</VirtualHost>

et on redémarre Apache :

apache2ctl restart

Liens

PHP : Comparaison MD5 / SHA-1

Le problème est lié au type d’authentification utilisé par Apache, l’authentification basique (AuthType Basic) n’est pas supportée par Windows 7. En http on pourrait comprendre pour des raisons de sécurité, le mot de passe est transmis en clair, mais en https c’est pareil alors que la connexion est cryptée dans un tunnel SSL. Il y avait déjà eu le même problème avec Vista, réglé par un patch, mais pour l’instant rien ne s’annonce pour Windows 7.

Que peut-on faire?

Côté poste client

Si on n’a pas accès à la configuration du serveur, il y a des clients Webdav qui permettent de contourner le problème, Bitkinex semble avoir la cote actuellement mais je ne l’ai pas testé.

Sur le poste client Windows 7 on peut aussi autoriser l’authentification basique en donnant la valeur 2 à la clé de registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters\BasicAuthLevel

Coté serveur

Apache propose un autre mode d’authentification, digest, basé sur les condensés MD5, à priori plus sécurisé et accepté par les clients intégrés à Windows 7, Vista et XP. Par contre cette méthode d’authentification n’est pas forcément implémentée dans les anciens navigateurs.

Activation du module auth_digest :

a2enmod auth_digest
apache2ctl restart

Un exemple de config Apache :

Dav on
<Location /webdav/>
AuthType digest
AuthName "monwebdav"
AuthDigestDomain /webdav/ http://mondomaine/webdav/
AuthDigestProvider file
AuthUserFile /www/auth/webdav
Require valid-user
</Location>

Pour créer le fichier des utilisateurs, ici /www/auth/webdav avec le premier utilisateur toto, on utilise htdigest :

htdigest -c /www/auth/webdav monwebdav toto

Le « realm » de htdigest doit correspondre à la directive AuthName, ici c’est « monwebdav ».

Pour les utilisateurs suivants on enlèvera le -c :

htdigest /www/auth/webdav monwebdav turlututu

Liens

How to fix Windows 7 64 bits Webdav
Using Basic Authentication with Windows 7 and Windows Vista WebDAV Client

Etape 1 : La demande de certificat

La demande de certificat doit être faite avec Internet Explorer, c’est bien plus simple. Aller sur la page Free Secure Email Certificate et cliquer sur le bouton Free Download. Si la barre d’information d’IE affiche Ce site Web souhaite exécuter le module complémentaire « Microsoft Certificate Enrollment Control »…, cliquer sur la barre, choisir Exécuter le module complémentaire, puis Exécuter. Valider de la même façon les éventuels messages de demande d’autorisation. Entrer le prénom, le nom, l’adresse email pour laquelle on veut le certificat, le pays, laisser les options par défaut. Saisir un mot de passe pour pouvoir éventuellement révoquer le certificat, décocher (ou pas) la case « Opt-in » pour la newsletter de Comodo, accepter les conditions, valider, et accepter les demandes d’autorisation.

Etape 2 : Installer le certificat

Lorsque le message Your certificate is ready for collection est arrivé dans la boite à lettres, cliquer sur le lien Click & Install Comodo Email Certificate si Internet Explorer est le navigateur par défaut, sinon copier l’adresse du lien et la coller dans la barre d’adresse de IE. Accepter les demandes d’autorisation. Si Successful s’affiche sur la page le certificat est installé dans le magasin Windows.

Etape 3 : Sauvegarder le certificat

Cette étape n’est pas nécessaire pour l’utilisation du certificat mais elle est vivement recommandée pour pouvoir réinstaller le certificat en cas de problème.

Sous Internet Explorer aller dans Outils puis Options Internet et onglet Contenu. Cliquer sur le bouton Certificats, le certificat demandé doit apparaître dans l’onglet Personnel. Le selectionner et cliquer sur Exporter. Choisir d’exporter la clé privée, laisser les options par défaut, saisir un mot de passe robuste, choisir un nom de fichier et un emplacement et valider. Il est recommandé de stocker ce certificat en lieu sur.

Etape 4 : Associer le certificat au compte de messagerie

L’emplacement des options peut varier selon les versions d’Outlook. Pour Outlook 2007 aller dans Outils, puis Centre de gestion de la confidentialité, rubrique Sécurité de messagerie électronique.

Dans Courrier électronique chiffré cocher uniquement les cases Ajouter une signature numérique au message sortant et Envoyer le message signé en texte clair…. Cliquer sur le bouton Paramètres.

Dans Nom des paramètres de sécurité saisir l’adresse email. Cocher les 2 cases Paramètre de sécurité par défaut…. Cliquer sur le bouton Choisir à coté de Certificat de signature, et sélectionner le certificat, valider. Cocher la case Envoyer ces certificats avec le message signé, valider toutes les boites de dialogue.

C’est terminé, les messages envoyés seront tous signés avec le nouveau certificat numérique. Lors de la rédaction d’un message, 2 boutons permettent de gérer la signature et le chiffrement dans le groupe Options de l’onglet Message

Comodo [en]
TBS [fr]
Startcom [en]
Secorio [en]
TC TrustCenter [en]
CaCert [en]

Pour l’exemple de ce billet j’ai retenu Comodo car ce sont eux qui ont la procédure la plus simple: pas d’inscription préalable, demande minimale de renseignements, ça ne devrait décourager que les plus allergiques à l’anglais. Pour ceux là il y a TBS, qui d’ailleurs délivre des certificats Comodo mais ils sont plus inquisiteurs sur les renseignements personnels.

Etape 1 : La demande de certificat

Avec Firefox de préférence aller sur la page Free Secure Email Certificate et cliquer sur le bouton Free Download. Entrer le prénom, le nom, l’adresse email pour laquelle on veut le certificat, le pays, laisser « Haut Grade » pour l’option « Key size ». Saisir un mot de passe pour pouvoir éventuellement révoquer le certificat, décocher (ou pas) la case « Opt-in » pour la newsletter de Comodo, accepter les conditions et valider, c’est parti.

Etape 2 : Installer le certificat dans Firefox

Lorsque le message Your certificate is ready for collection est arrivé dans la boite à lettres, cliquer sur le lien Click & Install Comodo Email Certificate si Firefox est le navigateur par défaut, sinon copier l’adresse du lien et la coller dans la barre d’adresse de Firefox.

Valider la boite de dialogue Votre certificat personnel a été installé en haussant les épaules, car c’est en grande partie faux. Certes le certificat a bien été installé dans Firefox, mais à quoi ça sert pour le mail? A rien. On continue.

Etape 3 : Sauvegarder le certificat

Toujours sous Firefox, aller dans Outils, puis Options, menu Avancé, onglet Chiffrement, cliquer sur le bouton Afficher les certificats, aller sur l’onglet Vos certificats. Cliquer sur le certificat nommé ID COMODO CA Limited puis sur le bouton Sauvegarder. Choisir un emplacement sur le disque et un nom de fichier, l’adresse email est un bon choix. Entrer ensuite un mot de passe de protection suffisamment robuste, personne n’aimerait qu’on utilise sa clé privée pour signer des messages…

Etape 4 : Importer le certificat dans Thunderbird

On commence à voir le bout du tunnel. Sous Thunderbird, aller dans Outils, puis Options, menu Avancé, onglet Certificats, cliquer sur le bouton Voir les certificats, puis sur le bouton Importer. Choisir le certificat sauvegardé, entrer le mot de passe, valider. Le certificat ID COMODO CA Limited doit apparaître dans l’onglet Vos certificats. Valider pour sortir du menu Options.

Etape 5 : Associer le certificat au compte de messagerie

Toujours sous Thunderbird, aller dans Outils, puis Paramètre des comptes. Pour l’adresse de messagerie concernée, sélectionner la rubrique Sécurité . Dans la zone Signature cliquer sur Sélectionner un certificat, choisir ID COMODO CA Limited, valider et accepter d’utiliser le même certificat pour le chiffrement.

On peut choisir de cocher la case Signer les messages numériquement, tous les messages seront signés par défaut et il y a peu d’effets indésirables.

Etape 6 : Mon premier message signé et chiffré!

Pour tester on s’envoie un message à soi-même en signant et chiffrant le message, menu Options ou bouton Sécurité. Le message reçu aura 2 jolies petites icônes dans la zone d’en-tête, une enveloppe cachetée pour la signature et un cadenas pour le chiffrement.

Les messages signés peuvent être envoyés à tout le monde, les messages chiffrés ne peuvent être envoyés qu’aux destinataires dont on a la clé publique, qu’on obtient en recevant un message signé ou chiffré.