L'appartement - Le pingouin

Installer la signature DKIM sur Postfix avec DKIMproxy

Yves Tannier — Wed, 12 Mar 2008 10:00:00 +0100

Je vous propose dans ce billet l'installation de la signature DKIM sur vos mails sortants. Ceci fait suite à mon billet concernant l'implémentation de DomainKeys avec Postfix et Amavis via Dkfilter.

Dkfilter ne gère en effet que le protocole DomainKeys de Yahoo! maintenant remplacé par DKIM (DomainKeys Identified Mail) , un protocole plus avancé et standardisé par la RFC 4871. Très très brièvement, DKIM permet de « renforcer » l'identité des expéditeurs.

En remplacement de dkfilter, l'auteur de ce programme nous propose DKIMproxy pour gérer la signature DKIM et/ou DomainKeys.

Si vous utilisez Amavis, comme c'est mon cas, sachez quelques petites choses :

Il semble que Amavisd-new gère la signature DKIM des mails sortants à partir de la version 2.6.0. Mais sur Debian Etch, nous en sommes à la version 2.4. C'est donc l'intérêt de ce billet. Je n'ai pas testé la version 2.6.0. je ne peux donc pas vous en dire plus.

DKIMproxy permet également une vérification des mails entrants. Cette vérification ne nous intéresse pas forcément puisque Amavis propose déjà cette fonctionnalité via Spamassassin qui utilise la librairie perl Mail::DKIM.

Comme pour mon précédent billet, c'est un howto « copié/collé » pour les informaticiens ~~fainéants~~ pressés. J'ai également fais pas mal de copié/collé de l'ancien billet puisque la configuration est sensiblement la même sur de nombreux points.

Installer DKIMproxy

Placez-vous dans /usr/src et téléchargez DKIMproxy

cd /usr/src
wget http://kent.dl.sourceforge.net/sourceforge/dkimproxy/dkimproxy-1.0.1.tar.gz

Décompressez l'archive et placez-vous dans le nouveau répertoire

tar zxvf dkimproxy-1.0.1.tar.gz
cd dkimproxy-1.0.1

Si vous n'avez pas encore le module perl Mail::Dkim, il faut l'installer via CPAN pour disposer d'une version suffisamment récente la version Debian Etch est trop ancienne).

perl -MCPAN -e shell
install Mail::DKIM
exit

Préparez l'installation de dkimproxy dans /usr/local/dkimproxy

mkdir /usr/local/dkimproxy
./configure --prefix=/usr/local/dkimproxy

Compilez et installez

make install

Déplacez-vous dans le répertoire dkimproxy et renommez les fichiers de configuration des daemons

cd /usr/local/dkimproxy
mv etc/dkimproxy_in.conf.example etc/dkimproxy_in.conf
mv etc/dkimproxy_out.conf.example etc/dkimproxy_out.conf

Créer l'utilisateur et le groupe dkim

adduser dkim --no-create-home --disabled-password --disabled-login

Installer le script de démarrage de dkimproxy

Copiez le script de démarrage proposé dans les sources de dkimproxy dans /etc/init.d/

cp /usr/src/dkimproxy-1.0.1/sample-dkim-init-script.sh /etc/init.d/dkimproxy

Editez-le. Normalement, il n'y a rien a changer dans ce fichier si on utilise les paramètres « standards »

vi /etc/init.d/dkimproxy

Créer une clé publique/privée

Chaque domaine possèdera sa propre clé. On crée un dossier dans lequel on stockera les clés.

mkdir /usr/local/dkimproxy/keys
cd /usr/local/dkimproxy/keys

On suppose que vous avez le paquet OpenSSL installé et que votre domaine est exemple.tld

La clé privée

openssl genrsa -out exempletld.key 1024

La clé publique

openssl rsa -in exempletld.key -pubout -out exempletld_pub.key

Changer les droits sur la clé privée pour la rendre uniquement accessible à l'utilisateur dkim

chown dkim:dkim exempletld.key
chmod 640 exempletld.key

Ajouter l'enregistrement TXT à la zone DNS

Une fois la clé générée, il va falloir ajouter un enregistrement TXT à la zone de chaque domaine. Prenons encore l'exemple du domaine exemple.tld

On édite le fichier de zone /var/cache/bind/exemple.tld.hosts et on ajoute l'enregistrement TXT suivant. La valeur de "p=" correspond à la clé publique sur une seule ligne. Notez également le nom exempletld qui sera utile pour la suite (nous l'appellerons "sélecteur"). Le t=y; signifie que votre installation est en test. Vous pourrez retirer cette information quand tout sera opérationnel

; DKIM
_domainkey.exemple.tld.                  IN TXT  "t=y; o=-;"
exempletld._domainkey.exemple.tld.    IN TXT "k=rsa; t=s; p=ici_la_cle_publique_hyper_longue"

N'oubliez pas d'incrémenter le numéro de série de votre zone pour que les changements soient pris en compte et relancer bind :

/etc/init.d/bind9 restart

Créer le fichier de configuration de DKIM

Il faut maintenant créer le fichier de configuration qu'utilisera DKIMproxy au lancement du service. Celui ci contient les différentes informations pour chacun des domaines signés.

vi /usr/local/dkimproxy/sender_map

Toujours l'exemple avec exemple.tld. Ici, on demande la signature DKIM et la signature DomainKeys. Il est possible de choisir l'un ou l'autre uniquement. Je vous renvois sur les spécifications de DKIM pour les autres paramètres ! Sachez simplement que le paramètre « s » correspond au nom du sélecteur utilisé dans votre fichier de zone.

exemple.tld dkim(c=simple,s=exempletld,a=rsa-sha1,key=/usr/local/dkimproxy/keys/exemple.tld.key), domainkeys(c=nofws,s=exempletld,key=/usr/local/dkimproxy/keys/exempletld.key)

A lire avant de continuer : un « problème » subsiste dans mon howto. En effet, je lance toujours dkimproxy.in qui s'occupe de l'analyse de messages entrants alors que ce travail est déjà effectué par SpamAssasin via Amavis comme je le précise au début de ce billet. Je n'ai simplement pas pris le temps de modifier le script de démarrage et mon implémentation dans Postfix. Je modifierais ce billet dés que j'aurais nettoyé tout ça ! Ami lecteur, si tu l'as fais pour ta configuration, n'hésites pas à me le signaler

Ceci étant, la signature fonctionne tout de même... alors on continue !

Lancer DKIMproxy

Avant d'envisager la configuration de Postfix, il faut vérifier que DKIMproxy se lance correctement :

/etc/init.d/dkimproxy start

Si il n'y a pas d'erreur on vérifie que le service est fonctionnel :

ps aux | grep dkim

Il doit y avoir des lignes avec dkimproxy.in et des lignes avec dkimproxy.out.

Maintenant que la zone est modifié, DKIMproxy installé et fonctionnel, passons enfin à la configuration de Postfix.

Configurer de Postfix

La configuration n'est pas différente de celle pour dkfilter. Je colle ici le contenu de mon précédent billet.

Dans ma configuration, avant l'installation de DKIM et DomainKeys, j'utilise déjà Amavisd-new pour le filtrage antivirus (clamav) et antispam (spamassassin et dspam). J'ajoute donc DKIMproxy dans le process avant l'analyse par Amavis.

Dans le main.cf, je remplace :

content_filter = amavis:[127.0.0.1]:10024

par :

content_filter = dksign:[127.0.0.1]:12027

[Je ne sais pas pourquoi mais si je ne précise pas le content_filter dans le main.cf, les mails envoyés par des processus locaux (par exemple, la fonction mail de PHP) ne passe pas par amavis et dksign]

Dans le master.cf, voici la configuration :

Au début du fichier

# relayer sur dksign sur le port 10028
smtp      inet  n       -       -       -       200     smtpd
        -o receive_override_options=no_address_mappings
        -o content_filter=dksign:[127.0.0.1]:12027

# Le smtp securise SSL
smtps     inet  n       -       -       -       -       smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o content_filter=dksign:[127.0.0.1]:12027
  -o receive_override_options=no_address_mappings
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

# envoyer directement a dksign
submission  inet  n     -       n       -       -       smtpd
    -o smtpd_etrn_restrictions=reject
    -o smtpd_sasl_auth_enable=yes
    -o content_filter=dksign:[127.0.0.1]:12027
    -o receive_override_options=no_address_mappings
    -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
    #-o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject

A la fin

# Pour amavis
amavis  unix    -   -   -   -   20  smtp
        -o smtp_helo_timeout=300 
        -o smtp_data_done_timeout=1200
        -o smtp_send_xforward_command=yes
    -o disable_dns_lookups=yes
127.0.0.1:10025 inet n - - - - smtpd
        -o content_filter=
        -o local_recipient_maps=
        -o relay_recipient_maps=
        -o smtpd_restriction_classes=
        -o smtpd_client_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_sender_restrictions=
        -o smtpd_recipient_restrictions=permit_mynetworks,reject
        -o mynetworks=127.0.0.0/8
        -o strict_rfc821_envelopes=yes
        -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
        -o smtpd_bind_address=127.0.0.1
    -o disable_dns_lookups=yes

#
# signature dkim/domainkeys
#
dksign    unix  -       -       n       -       10      smtp
    -o smtp_send_xforward_command=yes
    -o smtp_discard_ehlo_keywords=8bitmime

#
# signature dkim/domainkeys
#
127.0.0.1:12028 inet  n  -      n       -       10      smtpd
    -o content_filter=amavis:[127.0.0.1]:10024
    -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
    -o smtpd_helo_restrictions=
    -o smtpd_client_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o mynetworks=127.0.0.0/8
    -o smtpd_authorized_xforward_hosts=127.0.0.0/8

Vous pouvez ensuite relancer postfix

/etc/init.d/postfix restart

Vérifier la signature

Envoyez un mail et regardez dans les logs :

tail -f /var/log/mail.info

Vous devez avoir pour un message envoyé par une adresse de exemple.tld :

... DKIM signing - signed; message-id=<47D7961B.6060505@exemple.tld>, signer=<yves@exemple.tld>, from=<yves@exemple.tld>

Pour les autres :

... DKIM signing - skipped; from=<test@autredomain.tld

Vous pouvez également vérifier votre configuration en envoyant un mail à l'adresse : check-auth ici_le_chez verifier.port25.com. Cette adresse vous renvoi les informations sur l'installation des différents protocoles d'authentification des mails sur votre domaine. Ainsi, si vous avez également configuré correctement SPF vous devez avoir tout bon :

==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   pass
DKIM check:         pass
Sender-ID check:    pass
SpamAssassin check: ham

Vous devez aussi avoir les informations sur DKIM et DomainKeys dans l'entête du message signé :

DKIM-Signature: v=1; a=rsa-sha1; c=simple; d=exemple.tld; h=
	message-id:date:from:mime-version:to:subject:content-type:
	content-transfer-encoding; q=dns/txt; s=exempletld; bh=clepublique=
DomainKey-Signature: a=rsa-sha1; c=nofws; d=exemple.tld; h=message-id:
	date:from:mime-version:to:subject:content-type:
	content-transfer-encoding; q=dns; s=exemple.tld; b=clepublique=

Il me reste encore à comprendre complètement les différentes options de la spécification DKIM mais c'est un bon début

Installer DomainKeys sur Postfix (Debian Etch, Amavisd-new...)

Yves Tannier — Sun, 04 Nov 2007 13:58:00 +0100

Mise à jour le 12 mars 2008 : le même billet adapté pour DKIM est disponible : Installer la signature DKIM sur Postfix avec DKIMproxy.

Dans ma lutte incessante pour que mes messages n'aient pas comme destination finale les dossiers "courrier indésirable" des "grands" fournisseurs tels que Yahoo!, Hotmail/MSN, Gmail ect... Je vous propose aujourd'hui l'installation de la signature Domainkeys sur vos mails.

DomainKeys est un protocole de communication créé par Yahoo! (et défini par une RFC 4870). Wikipedia vous donnera un plus d'informations sur le sujet : DomainKeys sur Wikipedia

Même s'il fonctionne totalement et est déployé sur de nombreux serveurs, sachez qu'il est maintenant remplacé par une RFC plus "globale" : DKIM (Domain Keys Identified Mail). J'aborderais les différences et l'implémentation de DKIM dans un autre post.

D'autres liens :

DomainKeys bien reconnu chez Yahoo! (forcément ;))

Voici la configuration du serveur de messagerie sur lequel se base ce tutoriel :

Distribution Linux Debian Etch
Postfix
Amavis (antivirus+antispam)

Nous allons mettre en place la configuration suivante :

postfix -> dkfilter -> postfix -> amavis -> postfix

Dkfilter est un proxy de signature et de vérification des signatures pour DomainKeys.

Ceci peut paraitre un peu lourd en regardant le schéma, mais postfix gère ce type de configuration très bien via les content filter

Comme je suis gentil et que l'informaticien est souvent fainéant, j'ai écris ce howto avec plein de copier/coller

Installer dkfilter

Il n'existe, à l'heure où j'écris ces lignes, pas de paquet Debian Etch pour dkfilter mais l'installation est relativement simple.

Installez les modules perl suivant (ici, via cpan) :

perl -MCPAN -e shell

install Crypt::OpenSSL::RSA
install Mail::Address
install MIME::Base64
install Net::DNS
install Net::Server
install Test::More
install AppConfig::File

Placez vous dans /usr/src/

cd /usr/src/

Téléchargez dkfilter

wget http://jason.long.name/dkfilter/dkfilter-0.11.tar.gz

Décompressez l'archive

tar zxvf dkfilter-0.11.tar.gz

Patcher pour l'utilisation de dkfilter sur plusieurs domaines

Pour mon installation, j'ai besoin que Domain Keys soit utilisable pour plusieurs domaines sur le même serveur.

Ca tombe bien, un gentil contributeur nous propose un patch de dkfilter pour gérer les différentes clés et paramètres par domaine depuis un simple fichier de configuration.

Téléchargez donc le patch en question :

wget -P /usr/src/dkfilter-0.11/scripts/ http://jason.long.name/dkfilter/config_file.patch

Patchez le programme :

cd /usr/src/dkfilter-0.11/scripts/
patch < config_file.patch

Ensuite, créez le répertoire d'installation de dkfilter dans /usr/local par exemple :

mkdir /usr/local/dkfilter

Lancez le "configure" en précisant dans l'option votre répertoire d'installation :

./configure --prefix=/usr/local/dkfilter

Installez

make install

Si il n'y a pas d'erreur, vous pouvez continuer. Vous devez voir dans /usr/local/dkfilter, un dossier lib/ et un dossier bin/

ls -l /usr/local/dkfilter

Créer l'utilisateur et le groupe dkfilter

adduser dkfilter --no-create-home --disabled-password --disabled-login

Installer le script de démarrage de dkfilter

Un script d'exemple est fourni dans l'archive de dkfilter. On le copie dans /etc/init.d/.

cp /usr/scr/dkfilter-0.11/sample-dkfilter-init-script.sh /etc/init.d/dkfilter

Il faut ensuite modifier le script pour l'adapter à votre configuration et au patch de gestion multi-domaines. On édite donc le script.

vi /etc/init.d/dkfilter

Voici la partie modifiée du fichier :

...
DKFILTERUSER=dkfilter
DKFILTERGROUP=dkfilter
DKFILTERDIR=/usr/local/dkfilter

HOSTNAME=`hostname -f`
DOMAIN=`hostname -d`
DKFILTER_IN_ARGS="
    --hostname=$HOSTNAME
    127.0.0.1:12025 127.0.0.1:12026"
DKFILTER_OUT_ARGS="
        --configfile=/etc/dkfilter.conf
    --headers
    127.0.0.1:12027 127.0.0.1:12028"
...

Soyez vigilant sur :

les ports de dkfilter.ini (vérification des signatures des mails entrants)
les ports de dkfilter.out (signature des mails sortants)
le chemin vers le fichier de configuration.
le groupe et l'utilisateur dkfilter créés précédemment
la modification de l'argument --configfile pour prendre en compte votre fichier de configuration qui sera créé plus bas.

Créer une clé publique/privée

Chaque domaine possèdera sa propre clé. On crée un dossier dans lequel on stockera les clés.

mkdir /urs/local/dkfilter/keys
cd /urs/local/dkfilter/keys

On suppose que vous avez le paquet openssl installé et que votre domaine est exemple.tld

La clé privée

openssl genrsa -out exempletld.key 1024

La clé publique

openssl rsa -in exempletld.key -pubout -out exempletld_pub.key

Changer les droits sur la clé privée pour la rendre uniquement accessible à l'utilisateur dkfilter

chown dkfilter; exempletld.key
chmod 640 exempletld.key

Ajouter l'enregistrement TXT à la zone DNS

Une fois la clé générée, il va falloir ajouter un enregistrement TXT à la zone de chaque domaine. Prenons l'exemple du domaine exemple.tld

On édite le fichier de zone /var/cache/bind/exemple.tld.hosts et on ajoute l'enregistrement TXT suivant. La valeur de "p=" correspond à la clé publique sur une seule ligne. Notez également le nom exempletld qui sera utile pour la suite (nous l'appellerons "selecteur").

; DomainKeys
_domainkey.exemple.tld.            IN TXT  "t=y; o=-;"
exempletld._domainkey.exemple.tld.    IN TXT  "g=; k=rsa; p=ici_la_cle_publique_hyper_longue;"

N'oubliez pas d'incrémenter le numéro de série de votre zone pour que les changements soient pris en compte et relancer bind :

/etc/init.d/bind9 restart

Vous pouvez vérifier la bonne configuration de votre zone sur le site officiel de DomainKeys :

Créer le fichier de configuration de dkfilter

Il faut maintenant créer le fichier de configuration qu'utilisera dkfilter au démarrage du service dans /ect/dkfilter.conf :

# ------------------------------------------
# exemple.tdl
[domain]
name        = exemple.tdl
method      = simple
selector    = exempletld
private_key = /usr/local/dkfilter/keys/exempletld.key

La ligne selector correspond au sélecteur indiqué dans la zone.

Lancer dkfilter

Avant d'envisager la configuration de Postfix, il faut vérifier que dkfilter se lance correctement :

/etc/init.d/dkfilter start

Si il n'y a pas d'erreur on vérifie que le service est fonctionnel :

ps aux | grep dkfilter

Il doit y avoir des lignes avec dkfilter.in et des lignes avec dkfilter.out. Vérifier également que les options sont correctes. Notamment l'appel au fichier de configuration.

Maintenant que la zone est modifié, dkfilter installé et fonctionnel, nous pouvons enfin passer à la configuration de postfix.

Configurer de Postfix

Dans ma configuration, avant l'installation de DomainKeys, j'utilise déjà Amavisd-new pour le filtrage antivirus (clamav) et antispam (spamassassin et dspam).

Edit le 25 février : on me demande comment s'effectue la vérification de la signature des mails entrants dans ma configuration. C'est en fait Amavis via SpamAssassin et l'intégration du module CPAN Mail::Dkim qui effectue cette vérification. Si vous utilisez déjà SpamAssassin via Amavis, Il suffit d'activer et de configurer le module DKIM dans le fichier /etc/spamassassin/v312.pre. On peux donc, dans ce cas, se poser la question de l"utilité de lancer également le process dkfilter.in dans cette configuration...

J'ajoute donc dkfilter dans le process avant l'analyse par Amavis.

Dans le main.cf, je remplace :

content_filter = amavis:[127.0.0.1]:10024

par :

 content_filter = dksign:[127.0.0.1]:12027

[Je ne sais pas pourquoi mais si je ne précise pas le content_filter dans le main.cf, les mails envoyés par des process locaux (par exemple, la fonction mail de PHP) ne passe pas par amavis et dkfilter]

Dans le master.cf, voici la configuration :

Au début du fichier

# relayer sur dksign sur le port 10028
smtp      inet  n       -       -       -       200     smtpd
        -o receive_override_options=no_address_mappings
        -o content_filter=dksign:[127.0.0.1]:12027

# Le smtp securise SSL
smtps     inet  n       -       -       -       -       smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o content_filter=dksign:[127.0.0.1]:12027
  -o receive_override_options=no_address_mappings
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

# envoyer directement a dksign
submission  inet  n     -       n       -       -       smtpd
    -o smtpd_etrn_restrictions=reject
    -o smtpd_sasl_auth_enable=yes
    -o content_filter=dksign:[127.0.0.1]:12027
    -o receive_override_options=no_address_mappings
    -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
    #-o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject

A la fin

# Pour amavis
amavis  unix    -   -   -   -   20  smtp
        -o smtp_helo_timeout=300 
        -o smtp_data_done_timeout=1200
        -o smtp_send_xforward_command=yes
    -o disable_dns_lookups=yes
127.0.0.1:10025 inet n - - - - smtpd
        -o content_filter=
        -o local_recipient_maps=
        -o relay_recipient_maps=
        -o smtpd_restriction_classes=
        -o smtpd_client_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_sender_restrictions=
        -o smtpd_recipient_restrictions=permit_mynetworks,reject
        -o mynetworks=127.0.0.0/8
        -o strict_rfc821_envelopes=yes
        -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
        -o smtpd_bind_address=127.0.0.1
    -o disable_dns_lookups=yes

#
# signature domainkeys
#
dksign    unix  -       -       n       -       10      smtp
    -o smtp_send_xforward_command=yes
    -o smtp_discard_ehlo_keywords=8bitmime

#
# signature domainkeys
#
127.0.0.1:12028 inet  n  -      n       -       10      smtpd
    -o content_filter=amavis:[127.0.0.1]:10024
    -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
    -o smtpd_helo_restrictions=
    -o smtpd_client_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o mynetworks=127.0.0.0/8
    -o smtpd_authorized_xforward_hosts=127.0.0.0/8

Vous pouvez ensuite relancer postfix

/etc/init.d/postfix restart

Vérifier la signature

Envoyez un mail et regardez dans les logs :

tail -f /var/log/mail.info

Vous devez avoir pour un message envoyé par une adresse de exemple.tld :

DomainKeys signing - signed; from=<yves@exemple.tld>, message-id=...

Pour les autres :

DomainKeys signing - skipped (wrong sender domain); from=<test@autredomain.tld

Vous pouvez également vérifier votre configuration en envoyant un mail à l'adresse : check-auth ici_le_chez verifier.port25.com. Cette sympathique adresse vous renvoi les informations sur l'installation des différents protocoles d'authentification des mails sur votre domaine.

Vous devez également avoir les informations sur DomainKeys dans l'entête du message signé :

DomainKey-Signature : a=rsa-sha1; h=Received:Message-ID:Date:From:Organization:User-Agent:MIME-Version:To:Subject:Content-Type:Content-Transfer-Encoding; b=LhoN2HSlL...6mkkDXfIw=; c=simple; d=exemple.tld; q=dns; s=exempletld

Voilà, peut-être que vos messages ne finiront plus dans les spambox ;). n'hésitez pas à me signaler les erreurs présentent dans ce howto.

Liens symboliques avec Pure-ftpd sur Debian Etch

Yves Tannier — Mon, 03 Sep 2007 11:46:00 +0200

Une chose manquait cruellement dans le binaire de pure-ftpd sur Debian Sarge : la gestion des liens symboliques. Il fallait passer par des "mount --bind ..." pour arriver à ses fins (cf. la documentation sur le sujet).

Fort heureusement, sur Debian Etch c'est résolu... Encore faut-il le trouver ! Il y a deux binaires pure-ftpd-mysql et pureftp-mysql-virtualchroot (dans mon cas, vous l'aurez deviné, j'utilise le support Mysql).

Pour activer le "virtualchroot", éditez le fichier /ect/default/pure-ftpd-common et ajoutez la ligne

VIRTUALCHROOT=true

Relancez le tout avec /etc/init.d/pure-ftpd-mysql restart

Supprimez vos mount --bind

Les mots de passe des utilisateurs de Mysql 4 dans Mysql 5

Yves Tannier — Thu, 30 Nov 2006 10:27:37 +0000

Le système de hashage des mots de passe utilisateurs de Mysql a changé depuis Mysql 4.1. Il est plus sécurisé, dixit le manuel. Le souci, c'est que certains clients Mysql ne semble pas encore gérer correctement la communication avec ce nouveau type de mot de passe.

La solution - certes au détriment de la nouvelle sécurité proposée - est d'utiliser la commande OLD_PASSWORD pour attribuer un mot de passe compatible "ancien hashage" à un utilisateur.

Plus d'informations dans la documentation officielle de Mysql : Hashage de mots de passe en MySQL 4.1

Ce post après un temps de prise de tête à cause de ce changement

Ubuntu Edgy Eft, Beryl Xgl et tout le reste

Yves Tannier — Fri, 03 Nov 2006 09:06:42 +0000

Celà fait maintenant plus de 2 ans que ma station de travail principale fonctionne sous Linux. Hier, je suis passé à la dernière version de la distribution que j'affectionne pour le moment, j'ai nommé Ubuntu Edgy Eft.

Une fois n'est pas coutume, j'ai lancé dist-upgrade via le gestionnaire graphique de mises à jour fourni par Ubuntu. J'ai été bluffé par les améliorations apportées et l'efficacité générale de l'outil (sans langue de bois : ça a fonctionné pile-poil).

Cette nouvelle mouture va toujours dans le sens d'une évolution positive tant au niveau de l'ergonomie que des fonctionnalités, qui font de Ubuntu Linux un système pratique à utiliser au quotidien.

En vrai geek, j'ai bien entendu essayé Beryl (alias XGL) dans la foulée. Enfin ! La véritable transparence des fenêtres et la fluidité des effets est géniale. Le bureau Mac OSX n'a qu'a bien se tenir !

Petit reproche au projet beryl cependant : les réglages par défaut transforme la machine en montagnes russes et j'ai passé quelques temps à trouver quelques choses de moins "folklorique". On a un peu l'impression que c'est uniquement pour démontrer (à juste titre, certes) la puissance des effets disponibles.

Une gestion simplifiée des réseaux wifi sous Linux

Yves Tannier — Fri, 20 Oct 2006 09:34:59 +0000

Laissez tomber les Wifi-Radar et autres wpa_gui. Ne lisez plus non plus mes "howto" expliquant le wpa sous linux en 5 minutes (encore que ça peux servir pour des stations non graphique).

Voici NetworkManager, un projet gnome qui vise à obtenir une gestion graphique simple de vos multiples réseaux sans fil (ou filaire DHCP) et d'assurer corectement le roaming... Je dirais, de manière un peu provoquante, comme sous ~~Windows~~ Mac OSX.

Il est vrai que la gestion des réseaux en mode graphique est le truc qui, à mon avis, doit encore évoluer sous Linux.

Ce petit logiciel, qui apparaît sous la forme d'un "gnome applet", permet d'enregistrer ses réseaux préférés, les clés WPA qui y sont associées (communication directe avec wpa_supplicant), de donner des priorités de connexion et même de gérer les connexions VPN (je n'ai encore pas testé)

Si vous êtes un heureux utilisateur de Ubuntu Dapper Drake, il vous suffira d'installer le paquet suivant (ici pour gnome) :

apt-get install network-manager-gnome

Ensuite, dans votre fichier /etc/network/interfaces, ne laissez que l'interface locale (avant ça, une copie du fichier interfaces est toujours une bonne chose)

auto lo
iface lo inet loopback

Relancez gnome et le réseau, ça devrait rouler.

Le gros gros défaut de ce système (oui, ce n'est pas le logiciel miracle), est qu'il semble impossible de stocker des configurations statiques. C'est donc vraiment le côté mobilité qui est ici privilégié. Ceci étant, il me semble que cett gestion est aussi prévue à l'avenir...

Un projet à suivre avec attention et qui vous permettra encore de convaincre d'éventuels switchers que "Linux c'est bien"

Le WPA en 5 minutes sous Ubuntu Dapper

Yves Tannier — Mon, 07 Aug 2006 14:14:06 +0000

Suite à mes billets sur le WPA sur Ubuntu Breezy ou Debian, voici comment j'ai configurer l'accès Wifi avec le cryptage WPA sur Ubuntu Dapper. C'est une configuration simple avec, en théorie car je n'ai pas encore testé, le roaming !

Pré-requis :

Une carte WiFi chipset de type Intel IPW2100
Une installation toute fraîche de Ubuntu Dapper

Pour informations, ceci est testé avec l'équipement suivant :

Routeur WRT54G Linksys
Notebook Acer TM800
L'interface WiFi se nomme eth1 chez moi

Tout d'abord, une bonne nouvelle, la configuration des réseaux sans-fil sécurisés est beaucoup plus simple maintenant puisque la gestion du WPA est tout simplement intégrée dans la version Dapper de Ubuntu. Il n'est donc plus la peine d'installer WPA Supplicant.

Il y a même plusieurs façon de configurer les réseaux WiFi cryptés en WPA en WEP ou pas du tout, je vous en proposerais deux :

Une très simple mais qui nécessite la modification du fichier /etc/network/interfaces pour chaque réseaux WiFi et qui a donc peu d'intérêt (mais peut-être utile à certains). Une à peine plus complexe qui permet de vous connecter automatiquement à vos réseaux préférés au boot de la machine ou avec les habituelles commandes ifup/ifdown

Comme je l'ai précisé, le roaming semble être effectif puisque le daemon wpa_supplicant est lancé (la commande ps aux vous le confirmera). Mais je n'ai pas encore eu le temps de le tester. Je n'en dirais donc pas plus plour l'instant

Pour les deux méthodes, vous trouverez toutes les options de configuration correspondant aux spécificités de votre réseau sans-fil dans le fichier commenté comme il se doit : /usr/share/doc/wpasupplicant/examples/wpa_supplicant.conf.gz

Attention : il est important d'utiliser le driver wext et non pas le ipw pour les chipset IPW2100 !

La méthode basique

La méthode simple, consiste à ne pas utiliser de fichier /etc/wpa_supplicant.conf et à simplement éditer le fichier /etc/network/interfaces de la façon suivante :

auto eth1
iface eth1 inet dhcp
    wpa-driver wext
    wpa-ssid nom_du_rezo
    wpa-key-mgmt WPA-PSK
    wpa-psk "ici_passphrase_en_clair"

La méthode avancée

La deuxième méthode, bien plus pratique, consiste à saisir tous les paramètres des différents réseaux Wifi que vous utilisez dans le fichier /etc/wpa_supplicant.conf

En plus ce ça, il vous faudra la configuration suivante dans /etc/network/interfaces :

auto eth1
iface eth1 inet dhcp
    wpa-conf /etc/wpa_supplicant.conf
    wpa-driver wext

Le fichier /etc/wpa_supplicant.conf quand à lui ressemble donc à ça :

# Configuration des réseaux WiFi

# Chemin du pid
ctrl_interface=/var/run/wpa_supplicant

# Groupe pouvant activer la connection
ctrl_interface_group=0

# Configuration commune
eapol_version=1
ap_scan=1
fast_reauth=1

# A la maison
network={
    ssid="nom_mon_essid"
    scan_ssid=1
    proto=WPA
    key_mgmt=WPA-PSK
    psk="ma_passphrase_en_clair"
}

# Au travail
network={
    ssid="nom_essid_travail"
    scan_ssid=1
    proto=WPA
    key_mgmt=WPA-PSK
    psk="passphrase_en_clair"
}

# Acces point ouvert (pas encore testé !)
network={
    ssid=""
    key_mgmt=NONE
}

# Avec cryptage WEP (pas encore testé !)
network={
        ssid="essid_crypte_avec_wep"
        key_mgmt=NONE
        wep_key0="abcde"
        wep_key1=0102030405
        wep_tx_keyidx=0
}

Notez que j'ai eu quelques soucis de compatibilité lorsque j'ai effectué la mise à jour de Hoary vers Dapper. C'était peut-être du à mes nombreuses bidouilles dans les fichiers de configuration du réseau

En complément, je prépare dès que possible un billet sur la configuration des réseaux sans fil en mode graphique avec Wifi-radar ou wpa_gui.

Changement de shell : de bash à zsh

Yves Tannier — Fri, 23 Jun 2006 15:07:08 +0000

Je trouve zsh tellement sympa que je l'ai collé partout

Pour le mode d'emploi vers zsh c'est encore Alexis Delattre qui s'y colle. Tout cela vous produira une complétion intelligente sur la plupart des choses : liste des paquets Debian, scp, ssh (si les hôtes sont dans votre fichier hosts), paramètres de commande ect... La complétion est également intelligente puisqu'elle effectue le distingo entre un fichier et un répertoire. Exemple : la commande cd suivi de tab/tab ne vous proposera que les répertoires. En prime, des zolies couleurs !

Merci Qwix

Des tips dans le placard

Yves Tannier — Tue, 23 May 2006 09:39:25 +0000

Etre prévénu des mises à jour à faire sous Debian!!

Sur un serveur en stable, apticron vous envoi un mail quand des mises à jour sont à faire.

apt-get install apticron

Un chkrootkit sympa!!

Normalement votre machine est un vrai bunker mais voici quand même une autre petite sécurité. rkhunter, s'installe facilement, se mets à jour tout seul. A mettre dans un cron pour recevoir le rapport tout les matins.

Le site officiel de rkhunter

Se connecter sur une machine qui utilise un autre charset!!

Cas de figure classique : ma machine de bureau est en UTF-8 et mon serveur en iso-8859-1. On s'amuse bien avec les accents !?

apt-get install luit

et ensuite

lui ssh monserver

A la connexion vous aurez le message suivant : Warning: couldn't find charset data for locale fr_FR.UTF-8; using ISO 8859-1.

C'est bon vous êtes connecté en iso-8859-1 (TODO : passer tous serveur en utf-8 pour rendre ce tips inutile).

Commande exposé sur gnome!!

Pour faire "à la Mac OSX", il y a déjà ça dans Firefox avec Foxpose et bien ça existe aussi pour les fenêtres du bureau Gnome !

apt-get install skippy

Merci Bruno

De la couleur partout dans les fichiers et les commandes (gadgets inside)

Yves Tannier — Fri, 03 Mar 2006 09:35:26 +0000

Certains préfèrent le noir et blanc, mon petit cerveau préfère la couleur pour visualiser plus rapidement les choses. Voici donc quelques petits trucs (qui a dit gadgets ?).

Coloration syntaxique des fichiers de configuration

Pour bénéficier de la coloration syntaxique dans les fichiers de configuration de Apache 2 ou de toutes autres applications dans vim, il suffit de rajouter la liste des fichiers concernés dans /mon/home/.vim/filetype.vim (dans l'exemple il y a aussi le support de l'extension php5) :

   " Types de fichiers
   if exists("did_load_filetypes")
     finish
   endif
   augroup filetypedetect
     	au! BufRead,BufNewFile *.php5     setfiletype php
       au! BufNewFile,BufRead apache2.conf*,default,theatre     setf apache
   augroup END

Coloration syntaxique des fichiers de log

Pour bénéficier de zolis fichiers de logs colorés :

apt-get install ccze

Ensuite, par exemple :

tail -f /var/log/mail/mail.log | ccze

Vous pouvez donc envisager de créer des alias de commandes dans .bash_aliases ou .bashrc genre :

alias mlog=tail -f /var/log/mail/mail.log | ccze

Ca marche sur beaucoup de chose par défaut (syslog, messages, php, apache ect...)

Coloration des commandes more et less

Il y a plusieurs techniques. Personnellement, j'utilise vim (et donc les configurations de recherche contenues dans mon fichier .vimrc) comme alias de la commande more. Il y a en fait plein de plugin tout fait dans /usr/share/vim/vim63/plugins/. Donc dans le .bashrc ou .bash_aliases on peut mettre :

# more avec vim
alias more='/usr/share/vim/vim63/macros/less.sh'

(Sans doute plus propre de copier le script dans /mon/home/.vim/macros/monless.sh)

Avec toutes ces couleurs, vous transformez votre machine en véritable boîte de nuit

Suite du WPA sur Debian/Ubuntu en 5 minutes

Yves Tannier — Mon, 06 Feb 2006 07:56:00 +0000

Suite à mon mini howto concernant l'installation du WPA sur Ubuntu/Debian, j'apporte une petite précision : à l'installation via apt, wpasupplicant est ajouté dans les rc.d et se lance donc au démarrage de la machine. Du coup, pour les connections non cryptée ou en WEP, ça ne fonctionnera plus à moins de stoper wpasupplicant via :

/etc/init.d/wpasupplicant stop

La solution est donc de virer le lancement au boot de wpasupplicant qui se lancera de toutes façon grâce à la commande suivante déjà contenue dans le fichier /etc/network/interfaces :

pre-up /etc/init.d/wpasupplicant start

Pour supprimer le lancement c'est tout simple :

update-rc.d -f wpasupliccant remove

J'en profite pour signaler une petite application qui fonctionne sous Gnome pour configurer en GTK vos réseaux : WiFi Radar (le site n'est plus en ligne pour l'instant mais vous le trouverez en paquets Debian)

Internet Explorer sous Wine simplement

Yves Tannier — Wed, 28 Dec 2005 14:56:35 +0000

Il faut bien reconnaître que Internet Explorer, ce vieux navigateur loin de la modernité de ses concurrents, est encore utilisé par une majorité de gens. Il convient, pour tout Webmaster qui se respecte, de développer ses sites sous un navigateur moderne comme Firefox mais également de tester quand même la compatibilité avec IE. Normalement, si le site respecte bien les standards et une certaine mise en forme, il ne devrait y avoir que quelques adaptations.

Le problème étant de tester sur IE quand on utilise que Linux ou Mac OSX, ce qui est mon cas. C'est là que Wine entre en jeu. Après avoir testé avec un succès mitigé IE6 via Wine il y a quelques mois, je suis revenu à la charge en essayant IEs4Linux. C'est magique : en une ligne de commande (j'avoue je suis fainéant quand il s'agit d'installer IE) voici un ~~fabuleux~~ navigateur obsoléte sous Linux ! Note pour les étourdis, n'essayez pas de mettre à jour Ubuntu via Windows Update.

Voici quand même une petite preuve par l'image

Le WPA en 5 minutes sur Ubuntu ou Debian

Yves Tannier — Mon, 26 Dec 2005 09:44:41 +0000

Edit du 07/08/2006 : Voici la nouvelle méthode que j'ai utilisé pour le WPA sur Ubuntu Dapper

J'ai décidé de mettre un cryptage WPA sur mon réseau Wifi personnel (routeur WRT54G). Il fallait donc installer le support sur mon portable (sous Ubuntu Breezy). Voici la manipulation effectuée :

1/ Installer wpasupplicant

apt-get install wpasupplicant

2/ configurer wpasupplicant

dans /etc/default/wpasupplicant (pour une carte Wifi ipw2xxx)

ENABLED=1
OPTIONS="-B -i eth1 -c /etc/wpa_supplicant.conf -D ipw -dd"

dans /etc/wpa_supplicant.conf (laisser les autres trucs par défaut)

network={
    ssid="monrezo"
    scan_ssid=1
    proto=WPA
    key_mgmt=WPA-PSK
    psk="masupercledelemortquitue"
}

3/ configurer le réseau

dans /etc/network/interfaces

iface eth1 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid monrezo
wireless-key masupercledelemortquitue
pre-down /etc/init.d/wpasupplicant stop

4/ lancer la connection

ifup eth1

Ouf ça a été dur

Edit du 12/05/2006 : Il faut parfois supprimer le démarrage automatique de wpasupplicant

Edit du 23/05/2006 : On me signale qu'il faut modifier un peu la configuration pour une carte chipset ipw2200. Je n'ai pas de carte de ce type. Je n'ai donc pas essayé. Merci à l'auteur du commentaire.

Export display sur Mac OS X

Yves Tannier — Sat, 03 Dec 2005 17:39:02 +0000

J'ai récemment parlé de mon souci avec mon portable et de mon utilisation de l'export display pour palier temporairement au manque d'écran

J'ai donc aussi fait l'essai sur mon macmini sous OS X Tigre. Bon, vous me direz, il n'y avait pas de raison que ça ne fonctionne pas puisque Mac OS X intègre un serveur X. Mais voici tout ceci confirmé comme vous pouvez le constater sur la capture d'écran suivante

Reste à finignoler mon installation de Gnome sur le macminus et je pourrais encore me poser la question de l'utilité réelle de Mac OSX

Proftp trop lent à se connecter ?!

Yves Tannier — Fri, 18 Nov 2005 11:48:54 +0000

Note : un message déjà posté sur la FAQ de Sivit et un grand merci à Gilles qui m'a donné le truc

Proftpd est souvent très très lent à répondre aux demandes de connection. Pour améliorer ça, il suffit de rajouter les 2 options suivantes dans le fichier de configuration /etc/proftpd.conf :

IdentLookups off
UseReverseDNS off

N'oubliez pas de relancer le service après la modification avec /etc/init.d/proftpd restart

Vous verrez nettement la diffèrence !

Plus d'infos sur ces directives :

L'export display est ton ami

Yves Tannier — Thu, 27 Oct 2005 15:20:57 +0000

Alors qu'on parle souvent de VNC, RDP ou FreeNX (Que je n'ai pas encore essayé mais qui semble très intéressant), j'ai récemment (ré)utilisé l'export display en toute simplicité. Mon portable n'ayant plus de carte graphique (snif), il me fallait cependant rapidement une solution pour garder toute ma productivité en accédant à mon bureau habituel

J'avais, fort heureusement, sous la main une bonne machine de bureau fonctionnelle sous Ubuntu et un réseau digne de ce nom (pas trop dur à notre époque). Sur le portable j'ai donc édité le fichier /etc/gdm/gmd.conf (note : il faut donc un serveur SSH sur le portable pour s'y connecter) :

Enable=true

On n'oublie pas de relancer GDM sur le notebook (/etc/init.d/gdm restart) et il n'y a plus qu'à lancer depuis l'ordinateur de bureau (en utilisateur "normal") sudo X :1 -query adresse_ip_du_portable

Et là, miracle de la technologie, on arrive sur l'écran de connection GDM (yes). L'utilisation en locale est fluide et fonctionnelle à 100%. Cerise sur le gâteau, la résolution de l'écran s'adapte automatiquement à la configuration matérielle locale (cf. l'ordinateur de bureau).

Notez bien entendu qu'il est possible de lancer une seule application via SSH. Il est nécessaire d'avoir l'option suivante dans /etc/ssh/sshd_config :

X11Forwarding yes

On se logue ensuite sur la machine avec : ssh -X yves@adresse_ip_du_portable et on lance l'application souhaitée !

Il ne reste plus qu'à trouver un nouvel ordinateur portable. Ca sera quand même plus pratique

Le clic droit enfin dompté sous Gnome Nautilus

Yves Tannier — Wed, 26 Oct 2005 15:05:18 +0000

Un truc qui m'énervais un peu sur Gnome Nautilus, c'était l'impossibilité de configurer le menu contextuel et d'y ajouter des items simplement. En fait, c'est hyper simple : il suffit de rajouter un fichier exécutable avec le script qu'on souhaite exécuter dans le répertoire /home/vous/.gnome2/nautilus-scripts/ .

L'item du menu portera alors le nom du fichier. Il est aussi possible par ce biais de récupèrer toutes sortes de variables d'environnement bien pratique (par exemple : "envoyer ce fichier par mail" ou "action machin sur le répertoire courant") pour les scripts définis dans nautilus-scripts. Dernière informations : il existe un site avec déjà quelques "scripts pour le clic droit" disponibles.

On trouve une bonne explication sur le Wiki de ubuntu-fr.org

Ubuntu continue à me plaire

Yves Tannier — Tue, 25 Oct 2005 14:57:37 +0000

Depuis quelques jours, je suis devenu un "Blaireau Frais" (j'ai lu ça sur un autre blog et j'ai trouvé l'autodérision sympatique). Pour être plus clair, j'ai lancé un petit dist-upgrade qui c'est déroulé dans les meilleurs conditions pour bénéficier de la toute nouvelle mouture de Ubuntu : Ubuntu 5.10 "The Breezy Badger"

Je passe sur toutes les nouveautès décrites dans le "changelog" que vous trouverez sur le site de la communauté francophone Ubuntu pour vous donnez mon impression générale : une bonne cohérence du tout, un noyau 2.6.12, un synaptic un peu amélioré, un update-notifier bien pratique, un boot graphique.

Pour ceux qui sont en encore sur l'ancienne version, suivez le guide

Ubuntu 5.04 "The Hoary Hedgehog"

Yves Tannier — Sun, 01 May 2005 17:47:49 +0000

J'ai installé sur mon notebook la nouvelle version stable d'Ubuntu. Une excellente détection du matériel, une installation nickel, un beau bureau. Ubuntu nouvelle version c'est donc que du bien !

J'ai placé mes quelques fichiers de configuration de l'ancienne version Warty et "zou". Je n'ai en effet pas fais d'upgrade car ça commencais à être un beau bordel sur mon système (des noyaux partout, des partitions de 5 Mo, des trucs qui trainent dans tous les coins, des répertoires en 777 ...).

Dire qu'il y a quelques temps je ne bossais que sur Microsoft Windows... Au programme de la nouvelle mouture, on trouve notament :

Un système de notification des mises à jour
Bureau Gnome 2.10
Xorg

A essayer d'urgence et téléchargeable ici.

Note : Pour les fans de KDE, il y a maintenant Kubuntu.

Pour ne pas oublier

Yves Tannier — Wed, 16 Mar 2005 17:07:38 +0000

Aujourd'hui j'ai décider de créer un post de trucs et astuces qui dorment parfois dans mon QuickNote

Monter un partage windows avec des droits (j'oublie tout le temps)

smbmount //windows/partage /mnt/partage/ -o uid=501,gid=500,guest--

Rechercher un fichier et le supprimer

find . -name '*toto' | xargs -p rm (il y a plein d'autres possibilités bien entendu).

Rechercher toutes les erreurs 404 (liens brisés) d'un site avec un super outils : LinkChecker

installation sous Debian ou Ubuntu :

apt-get install linkchecker

exemple : on parcours le site en analysant uniquement les erreurs des liens internes de toto.com et en mettant le résultat dans un belle page en HTML :

linkchecker -ohtml -r2 -s -itoto.com http://www.toto.com > /home/web/temp/sample.html

A essayer d'urgence pour "beautifier" son code HTML et le rendre W3C compliant : TiDy

Pour trouver un chaine de caractère dans des fichiers et mettre dans un fichier texte les noms et chemins des fichiers qui contiennent cette chaine :

find /home/web/toto.com/www/ -type f | xargs egrep -i -l "chaine à rechercher" >> /home/yves/change.txt