Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.
nombre réponses : 25

#0 Re : -1 »  Iptable bien configuré ? [Résolu] » Le 11/07/2014, à 11:11

bruno
Réponses : 40

Au passage lancer la commande nmap sur l'adresse de bouclage (127.0.0.1) cela ne sert strictement à rien…

#1 Re : -1 »  Iptable bien configuré ? [Résolu] » Le 11/07/2014, à 11:35

bruno
Réponses : 40

Lire la page de man de nmap ? Et comprendre à quoi sert cet outil wink
Si tu veux absolument utiliser nmap il fut le faire depuis une autre machine avec une adresse IP publique.

#2 Re : -1 »  Iptable bien configuré ? [Résolu] » Le 12/07/2014, à 07:32

bruno
Réponses : 40

Pas tout à fait. /etc/rc.local est exécuté après tous les autres scripts d’initialisation en mode multiutilisateur. Ce n'est donc pas une bonne solution pour établir les règles du pare-feu. Idéalement le pare-feu doit être activé par un script d'init (comme suggéré par pires57, à ceci près que je l'activerai aussi au niveau 1) ou comme je l'ai déjà vu dans un script d’initialisation du réseau.

Sinon je crois aussi que c'est inutile sur une machine isolée (à moins de vouloir restreindre certains services à certaines IP). Tu parles de « service locaux », comme CUPS. Ces services n'étant en écoute que sur l'interface de bouclage (127.0.0.1) il ne sont pas accessibles de l'extérieur par définition. Cela ne justifie donc absolument pas l'utilisation de règles de filtrage…

#3 Re : -1 »  Securisation serveur » Le 02/07/2014, à 17:40

bruno
Réponses : 33

Bonjopur,

Autogire2 a écrit :

- iptables, tous les ports sont masqués sauf le 80
- fail2ban

Quel intérêt si tu n'as pas d'autre services actifs que le serveur web ?


Autogire2 a écrit :

- droits restrictifs sur le wordpress (755)
- mot de passe admin compliqué

Ça ne veut pas dire grand chose en terme de sécurité…



Autogire2 a écrit :

Est-ce que c'est sufisant pour protéger ?

Non. Il faut surveiller le serveur et le maintenir à jour.

Autogire2 a écrit :

Si on se fait hacker et que notre serveur envoit du spam, on risque quoi ?

Ça dépend…

#4 Re : -1 »  Securisation serveur » Le 02/07/2014, à 18:15

bruno
Réponses : 33
Autogire2 a écrit :

Les ports cachés  : Ca permet que mon serveur soit inexistant aux yeux des hackers (sauf le port 80 bien sur )

Cela ne change strictement rien. Si aucun service n'est en écoute sur le port xxx, il est inaccessible…
Le pare-feu est inutile sur une machine isolée bien administrée.

Autogire2 a écrit :

Fail2ban : Pour empêcher les attaques brutes forces ( je me connecte en ssh)

D'ailleurs j'ai changé le port ssh qui etait en 22 en un autre port

Modifier le port d'écoute de ssh n'apporte aucune sécurité, cela empêche juste les logs de se remplir avec les tentatives de connexions venant de l'extérieur. Tentatives qui échoueront forcément si ton serveur est bien configuré : comptes autorisés à se connecter en ssh avec mots de passe forts et/ou par clé.
Quoiqu'il en soit si tu changes le port fail2ban ne servira plus à rien (ou presque) pour les tentatives de connexion ssh.

EDIT : zut, grillé par tiramiseb lol

#5 Re : -1 »  3 incorrect password attempts » Le 11/07/2014, à 11:08

bruno
Réponses : 2
Pascal83 a écrit :

Dès la première erreur de mdp je reçois un message me disant "3 incorrect password attempts" alors que ce n'est pas vrai, il n'y a qu'une seule erreur.

Bonjour,

Ce n'est pas normal. As-tu touché aux fichier de configuration de PAM (/etc/pam.d) ou installé une application qui modifie le comportement du système d'authentification ?

#6 Re : -1 »  probleme avec FileZ » Le 27/06/2014, à 07:23

bruno
Réponses : 13

Bonjour,

Généralement cette limite à 2Go est fixée par le serveur web. Par exemple pour Apache voir la directive LimitRequestBody

#7 Re : -1 »  probleme avec FileZ » Le 27/06/2014, à 08:05

bruno
Réponses : 13

Tu l'as mis où ? Dans http { … } ?
Si cela ne marche pas il faut examiner les logs pour savoir où cela coince.

#8 Re : -1 »  probleme avec FileZ » Le 29/06/2014, à 08:30

bruno
Réponses : 13

La directive client_max_body_size pour moi n'a rien à faire au milieu des directives de configuration du proxy… Donc à déplacer dans la section http{…} de nginx.conf

Tu ne pourras pas résoudre ton problème si tu n'examine pas les logs au moment où tu tentes d'envoyer un gros fichier.

#9 Re : -1 »  [RESOLU]Serveur mail rejet » Le 10/07/2014, à 11:13

bruno
Réponses : 6

Bonjour,

Visiblement c'est ta configuration de postgrey qui pose problème…

#10 Re : -1 »  [RESOLU]Serveur mail rejet » Le 10/07/2014, à 11:21

bruno
Réponses : 6

Et ça :

check_policy_service inet:127.0.0.1:10023

cela sert à quoi alors ?

#11 Re : -1 »  SSL sur postfix avec domaines virtuels et SASL Dovecot » Le 08/07/2014, à 15:55

bruno
Réponses : 8

Bonjour,

Oublie cette histoire d'Apache, cela n'a rien à voir avec ton problème wink

Tu ne dois utiliser qu'un seul nom de serveur smtp : toto.net qui correspond au nom de domaine que tu as renseigné au moment de la création du certificat.

#12 Re : -1 »  SSL sur postfix avec domaines virtuels et SASL Dovecot » Le 08/07/2014, à 16:47

bruno
Réponses : 8

Pour le premier point je ne pense pas que cela pose de problèmes. Par exemple de nombreuses personnes utilisent le SMTP de leur FAI (smtp.free.fr, smtp.orange.fr, etc.) avec des adresses de courriel qui ne sont pas sur le domaine du FAI (gmail.com, laposte.net, etc.) sans que cela ne pose aucun problème. Personnellement j'utilise mon propre serveur smtp avec un nom de domaine qui m'appartient (bidule.fr) et j'envoie sans souci des courriels avec mon adresse gmail ou autre…

Pour le second point, en smtp authentifié sur le port 465 tu auras toujours un problème de certificat car à ma connaissance postfix ne peut gérer qu’un seul certificat. Ou alors il faudrait avoir un certificat pour plusieurs domaines. C'est possible mais je ne sais pas faire et je ne vois pas l’intérêt…

#13 Re : -1 »  [Résolu] pb openssl ca cacert » Le 26/06/2014, à 15:46

bruno
Réponses : 15

Désolé je ne sais pas comment faire accepter un certificat auto-signé (ou ajouter une autorité de certification) sur un terminal Androïd, mais je suppose que le web regorge de réponses à ce sujet.

#14 Re : -1 »  URL rewriting » Le 03/07/2014, à 18:24

bruno
Réponses : 4

Bonjour,

As-tu regardé dans la doc d'Apache à quoi correspond la directive AllowOverride et compris à quoi elle servait ?
Parce qu'à priori cette directive n'a rein à voir avec la réécriture d'URl

Enfin il ne faut pas modifier le fichier /etc/apache2.conf (enfin il vaut mieux éviter). Ta directive RewriteRule devrait se trouver dans le contexte d'un répertoire (<directory ... > de ton fichier de configuration de l'hôte virtuel).

#15 Re : -1 »  URL rewriting » Le 03/07/2014, à 18:48

bruno
Réponses : 4

Il ne faut pas prendre la doc ubuntu-fr.org au pied de la lettre. La seule documentation à prendre en compte est celle d'Apache (voir mes liens précédents).

J'espère que tu as bien pensé à relancer Apache après tes modifications. Sinon explique-nous exactement ce qui ne marche pas parce que là je ne comprends pas tout…
Tu as copié la ligne d'exemple de la doc dans ta configuration ?!!
Quel est le contenu du .htaccess créé par cakePHP ? Le fichier est-il dans le répertoire racine servi par Apache ? Vois-tu des erreurs dans les logs d'Apache ?

#16 Re : -1 »  [Résolu] Serveur mail & SenderID » Le 02/07/2014, à 10:30

bruno
Réponses : 10

Bonjour,

Je ne suis pas sur qu'avoir un Sender ID change quoi que ce soit…

D'autant que d'après :

Unfortunately, messages from 62.210.209.23 weren't sent.
    Please contact your Internet service provider since part of their network
    is on our block list

ils utilisent une « liste noire » qui contient tout le bloc d'adresses IP.

#17 Re : -1 »  [Résolu] Serveur mail & SenderID » Le 02/07/2014, à 10:52

bruno
Réponses : 10

Il n'y a pas plus de détails sur le motif de blocage ?

Il faut peut-être attendre 24h après avoir rempli le formulaire pour faire de nouveau des tests.

C'est curieux parce que ton IP n'apparaît pas sur les liste noire les pus courantes (voir http://mxtoolbox.com) ni chez Symantec (http://www.symantec.com/security_response/landing/spam/ et http://ipremoval.sms.symantec.com/lookup/). Donc encore un fois, laisser un délai de 24/48h avant de faire de nouveaux essais.

Par contre une recherche sur « mail server blocked by hotmail Symantec Brightmail » donne beaucoup de résultats, à fouiller donc…

#18 Re : -1 »  [Samba] Droits différents entre Windows 7 et 8 » Le 02/07/2014, à 14:32

bruno
Réponses : 6

Bonjour,

À priori inutile de toucher au droits et

create mask = 0666
directory mask = 0777

sont suffisants pour donner les droits en lecture/écriture à tout le monde pour les fichiers, en accès/lecture/écriture à tout le monde pour les dossiers.

Après il faudrait voir la configuration de samba, des groupes et utilisateurs…

#19 Re : -1 »  [Samba] Droits différents entre Windows 7 et 8 » Le 02/07/2014, à 15:15

bruno
Réponses : 6

Il ne faut pas mettre ces directives dans la section [global] mais dans la/les section(s) des partages adéquats. Exemple :


[Commun]
   path = /partage/commun
   comment = Espace commun.
   writeable = yes
  create mask = 0666
  directory mask = 0777
  guest ok = yes

Et ne pas oublier de relancer samba après modification de la configuration.
Si cela ne suffit pas tu peux essayer avec :

force create mode = 0666
force directory mode = 0777 

Au niveau des droits UNIX, il faut aussi bien sûr que /partage/commun soit accessible en écriture à tout le monde (puisque tu autorises aussi les invités). Au cas où :

chmod a+rwx /partage/commun

#20 Re : -1 »  [Samba] Droits différents entre Windows 7 et 8 » Le 02/07/2014, à 17:13

bruno
Réponses : 6

Même avec force create directory ? Sinon tu peux jouer avec les directives force user et force group pour que les fichiers/dossiers nouvellement créés aient un propriétaire et un groupe défini.

#21 Re : -1 »  [Résolu] DomainKey dans le DNS » Le 02/07/2014, à 13:45

bruno
Réponses : 5

Comme l'a indiqué Titouan domainkey (développé à l'origine par Yahoo!) est obsolète et a été remplacé par DKIM (DomainKeys Identified Mail). Il n'y a aucune raison de continuer à l'utiliser aujourd'hui.

#22 Re : -1 »  erreur 0x80070035 sur client windows 7 partage kubuntu 14.04 [resolu] » Le 30/06/2014, à 11:39

bruno
Réponses : 2

Bonjour,

cela ressemble à un problèmes de droits sur les dossiers partagés. Il faut vérifier que l'utilisateur qui se connecte (ou le groupe sambausers auquel il appartient) a bien les droits d'accès sur l'ensemble du chemin du dossier /media/seagate500GO/patrick/…

#23 Re : -1 »  Création automatique des homeDirectory LDAP » Le 27/06/2014, à 08:53

bruno
Réponses : 22

L'alternative c'est autodir (paquet du même nom) mais je sais pas comment cela se gère avec LDAP+NFS…

#24 Re : -1 »  Winbind NTLM monter un disque dur » Le 27/06/2014, à 08:58

bruno
Réponses : 3

Bonjour,

D'après mes souvenirs cela ce fait avec logon script et un fichier bat pour windows dans la configuration de samba.