Pluxml

La charte Domosys.org

2009-02-13T14:29:00+00:00

Les bases en vrac

Au risque de me répéter (c'est fréquent et sensiblement nécessaire !)
Quelques restrictions de base, avant la rédaction de la charte Domosys.org :

Il n'est question que du Libre !!!
-inutile de poser des questions sous Windaube, 
si ce n'est pour installer du Linux en dual-boot, par exemple
Pas question de partager des fichiers soumis à copyright
Pas question de proposer des cracks de softs proprio
au pire des hacks de téléphones mobiles pour les "Libérer" ! ;1)
Éviter les contenus volumineux 
Il n'y a pas réellement de quotas en place,
mais l'espace disque disponible est assez limité
et me coûte annuellement une certaine somme
Je me réserve le droit de supprimer le compte
de toute personne contrevenante

Ce qui est plus que bienvenu :

Les Standards !
Les nouveaux concepts
Les questions sur le Libre
Toute alternative au monde propriétaire !
Toute activité répondant à la charte

eGroupware

2009-02-13T13:54:00+00:00

Déjà vu déjà fait Tout à revoir

Après avoir testé kolab-cyrus, phpgroupware, ET egroupware
Observé quelques CMS, comme zope-plone, Jaws (récemment)
... et j'en passe !...

Finalement, mon choix s'arrête (enfin) sur eGroupware.
Les bases sont en place, le tout est à peu près fonctionnel
il reste quelques réglages qui trouveront leur solutions/corrections
au fil de son utilisation.

Vous pouvez d'ores-et-déjà postuler pour avoir un compte !
-il suffit de m'en faire part-

La charte Domosys.org sera ébauchée prochainement
et complétée au fur et à mesure des dérapages
qui seront nombreux, j'en suis sûr !
-y'a qu'à voir le nombre de gens qui ignorent la GPL,
pour en être persuadé !-

Les assurances que je donne :

Je me refuse de posséder vos identifiant
-je ne suis pas la nounou du coin :)-
Je me refuse à surveiller vos activités
-je ne suis pas big brother XD-
Voilà pourquoi il est besoin d'une certaine confiance
et de l'assurance que la charte est bien comprise

Il y a une raison d'être au site Domosys.org
Elle est d'ordre philosophique, évolutive, alternative !
Assurez vous d'avoir bien compris la charte d'utilisation du site !

Re: Attaques Web

2009-02-08T10:42:00+00:00

Trop viteuf : y'a mieux et plus simple !

La solution d'hier était une solution de fortune !...
Qui d'une part alourdit Apache, d'autre part, c'est pas son rôle de filtrer...
Il m'a simplement suffit de configurer un peu mieux mon fail2ban
avec quelques indications trouvées ici.
Pour le cas présent, j'avais simplement le 'apache-noscript' d'inactif... :P

Attaques Web

2009-02-07T15:22:00+00:00

Blacklist sous Apache

Grâce à logcheck, j'ai pu voir dans les logs d'apache, 
une attaque d'un ordi cherchant une connection à ma base MySQL
à travers phpmyadmin, entre autres...
J'ai scanné ses ports, (du serveur -pas envie non plus d'être repéré de mon client ;) ):

# nmap 85.88.18.29

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-02-07 15:26 CET
Interesting ports on 85.88.18.29:
Not shown: 1665 closed ports
PORT     STATE    SERVICE
21/tcp   open     ftp
25/tcp   open     smtp
80/tcp   open     http
110/tcp  open     pop3
135/tcp  open     msrpc
139/tcp  open     netbios-ssn
443/tcp  open     https
1025/tcp open     NFS-or-IIS
1026/tcp open     LSA-or-nterm
1027/tcp open     IIS
1443/tcp open     ies-lm
1900/tcp open     UPnP
3306/tcp open     mysql
3389/tcp open     ms-term-serv
8443/tcp filtered https-alt

Nmap finished: 1 IP address (1 host up) scanned in 2.144 seconds

Un nom de domaine ?

# host 85.88.18.29
Host 29.18.88.85.in-addr.arpa not found: 3(NXDOMAIN)

Apparemment non

Chuis allé visiter le site : http://85.88.18.29
>Une page de navigation des dossiers par défaut sous IIS (CACA !)
C'est un allemand !...

Ok : C'est un gars sous M$ qui n'a aucune sécurité et qui s'amuse avec des serveurs...
Probablement piraté à travers ses ports de partage SMB (135/139)
Edit: attend pire : J'ai accédé à la page de connection de son Windaube
avec rdesktop sur son ms-term-serv !! 00
Il est fou ce type !

...Y'a du SMTP ...

M'en vais l'avertir en telnet :

# telnet 85.88.18.29 smtp
Trying 85.88.18.29...
Connected to 85.88.18.29.
Escape character is '^]'.
220 UHWEB18029 Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at  Sat, 7 Feb 2009 14:52:34 +0100
helo foreign
250 UHWEB18029 Hello [92.243.1.107]
MAIL FROM: hostmaster@domosys.org
250 2.1.0 hostmaster@domosys.org....Sender OK
RCPT TO: postmaster
250 2.1.5 postmaster@UHWEB18029
DATA
354 Start mail input; end with .
Subject: security
Please add a firewall on your computer
all your ports are open
and your IP is attacking my webserver
so add quickly security on your host !!!
hostmaster@domosys.org
.
250 2.6.0  Queued mail for delivery
QUIT
221 2.0.0 UHWEB18029 Service closing transmission channel
Connection closed by foreign host.

... Ouala
Du coup , j'ai renforcé la sécurité à ce niveau pour Apache:

RewriteEngine On
RewriteMap hosts-deny txt:/etc/apache2/hosts.deny
RewriteCond ${hosts-deny:%{REMOTE_HOST}|NOT-FOUND} !=NOT-FOUND [OR]
RewriteCond ${hosts-deny:%{REMOTE_ADDR}|NOT-FOUND} !=NOT-FOUND
RewriteRule ^/.* /blacklisted.html [L]

Puis je l'ai blacklisté !
Hmmm... J'ai envie de rajouter un script auto avec swatch (par exemple) pour automatiser tout ça !...

Jaws

2009-02-07T13:09:00+00:00

En cours d'évaluation

Je suis en train de tester/configurer un CMS nommé Jaws
C'est un projet très prometteur, apparemment très apprécié sur OpenCMS.org
J'en ferai peut-être le site d'accueil pour Domosys.org,
mais j'en suis encore à l'étude !... :P
Patience ...

Projets

2009-02-05T21:43:00+00:00

Ce qui me trotte dans la tête

Au niveau service Web :
Comme webmail, j'hésite encore entre Pine et Squirrelmail
J'ai déjà testé ce dernier, et l'aspect visuel est pour le moins... hideux !

Comme CMS, j'ai envie de tester Jaws
Zope étant carrément trop gourmand en mémoire et en temps d'étude !

Comme Groupware, je vais revenir sur eGroupware
Qui avait été particulièrement fonctionnel, pratique et accessible !
... Et pas vilain ^^'
Ce qui -au passage- risque de réclamer un serveur WebDAV ou CalDAV...

Mais entre-temps, j'ai quelques besoins de connectivité avec le serveur...
J'ai donc envie de mettre en place un serveur XML-RPC
Mais c'est pas très mûr dans ma p'tit têt' :$
J'ai aussi pensé à un OpenVPN, mais je suis pas certain de son utilité
Si ce n'est d'ouvrir mon réseau local aux failles du serveur...
-Même s'il est pas censé en avoir-

Et bien sûr le principal :
un debarchiver sur du subversion, avec WebSVN et repository custom debian

Quoi c'est du charabias ?
Meuh non : wikipédia est votre ami !
Les acteurs du Libre, aussi !
Et soit-dit en passant bien plus potentiellement que toute autre personne
dépendant de votre porte-monnaie !!!!!!!!!!!!!!!!!!!!!!!!!

Surveillance

2009-02-05T21:27:00+00:00

Un peu de réactivité sur la sécurité

Le paquet logcheck sous debian est très utile, pour surveiller les logs...
Il vous envoie par mail, de manière triée, filtrée (uniq) et autres, 
le contenu des fichiers de log qu'on lui donne...
Il est trop bruyant ?
... Y'a encore du boulot de config !

Service de Mails en place

2009-02-04T14:39:00+00:00

Les bases sont là, fonctionnelles et sécurisées !

C'est bon tout tourne : 

Postfix
Dovecot
Postfixadmin
Clamav
Spamassassin
Amavis

Le tout testé pour l'anti-virus, les blocages RBL et les entêtes de notes de Spam.
Avec tout ça c'est bien clean !!
Pour la création de comptes, faut dans l'immédiat me faire un coucou...

... Je passe aux interfaces Web
See ya later ;)