Un blog open source

Je ne pense pas qu’il existe une commande permettant la recherche récursive d’une expression dans les fichiers d’un dossier et ses sous dossiers. Il existe cependant plusieurs façon de simuler cette commande.

(Edit : allez voir dans le commentaires, c’est tout à fait faisable directement avec grep)

Exemple

Trouver l’expression « eth0  » dans les fichiers du dossier courant.

Solution 1

find . -print | xargs egrep --color "eth0"

Solution 2

find . -exec egrep "eth0" {} \; -print;

Redmine est une application web Open Source de gestion complète de projet en mode web, développé en Ruby sur la base du framework Ruby on Rails (cf Wikipédia).

C’est un vrai petit bijoux pour la gestion de projet, amis développeurs, n’hésitez pas à l’installer en interne dans votre entreprise.

N’ayant pas trouvé de howto suffisamment simple à mon goût, je vous propose le mien pour installer Redmine  avec apache sous Debian Lenny.

Installation depuis un depot

Il y a depuis peu un paquet redmine dans les backports de lenny.

On modifie le fichier de source :

nano /etc/apt/sources.list

On ajoute la ligne suivante :

deb http://www.backports.org/debian lenny-backports main contrib non-free

Recharger la base de données d’apt-get

apt-get update

Installer la signature du depot backport

apt-get install debian-backports-keyring

Recharger la base des paquets deb

apt-get update

Installer mysql

apt-get install mysql-server

Installer redmine-mysql

apt-get -y -t lenny-backports install redmine-mysql redmine

Test en local

On va lancer Redmine avec le serveur web de test de rail

ruby /usr/share/redmine/script/server -e production

On peut le tester en local avec lynx

lynx http://127.0.0.1:3000

Configuration d’apache

On installe apache2 :

apt-get install apache2

Correction bug actuel :

chown www-data /usr/share/redmine/config/environment.rb

On va créer un Virtualhost dédié qui va écouter sur le port 8080 :

nano /etc/apache2/sites-available/redmine

Listen 8080
<VirtualHost *:8080>
  RailsEnv production
  RailsBaseURI /
  SetEnv X_DEBIAN_SITEID default

  DocumentRoot /usr/share/redmine/public
  ServerSignature off

  <Directory "/usr/share/redmine/public">
    AllowOverride None
    Order allow,deny
    Allow from all
  </Directory>

  ErrorLog /var/log/apache2/redmine-error.log
  CustomLog /var/log/apache2/redmine-access.log combined
</VirtualHost>

On ajoute le site :

a2ensite redmine

On relance la configuration d’apache2 :

/etc/init.d/apache2 reload

On peut joindre redmine à l’adresse suivante : http://127.0.0.1:8080/

Références

• Doc Ubuntu

• Guide officiel en français

Description

Cet article concerne la mise en place d’un Proxy avec authentification Ldap et une gestion de règles selon l’OU de l’utilisateur.

Un tel système permet la journalisation des requêtes par utilisateur et le filtrage des sites internet. Je ne reviendrai pas sur la façon dont certaines entreprises abusent de ces systèmes. Cependant sans vouloir faire l’avocat du diable, gardons à l’esprit qu’un responsable informatique est légalement responsable du système dont il a la charge et qu’il doit couvrir ses obligations.

Nous allons donc monter un serveur Proxy Squid relié à un serveur d’annuaire Ldap, pour l’analyse des log nous utiliserons sarg.

Matériel

Les ingrédients pour réussir la recette sont donnés à titre d’exemple.

• 1 machine
• 1 système d’exploitation Linux (ex: Debian Lenny)
• 2 cartes Ethernet
• 1 serveur Ldap (ex: Novel)

Dans notre exemple l’interface eth0 est reliée à un réseau qui à accès à internet. L’interface eth1 est branché au réseau local dont l’accès à internet a été restreint.

Installation sous Debian

apt-get install squid ldap-utils apache2 sarg

Configuration interfaces réseaux

Il est nécessaire de configurer des adresses réseaux fixes et non attribuées par le serveur DHCP.

nano /etc/network/interfaces

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
allow-hotplug eth0
iface eth0 inet static
 address 10.20.1.2
 netmask 255.255.255.0
 gateway 10.20.1.1
 broadcast 255.255.255.255

# The secoundary network interface
auto eth1
allow-hotplug eth1
iface eth1 inet static
 address 192.168.1.1
 netmask 255.255.255.0
 broadcast 255.255.255.255

Pour prendre en compte les changements réseaux on redémarre le service networking

/etc/init.d/networking restart

Configuration Squid

Nous allons forcer l’authentification des utilisateurs via un annuaire LDAP, et gérer des règles en fonction des OU des utilisateurs.

nano /etc/squid/squid.conf

Les explications sont dans les commentaires

# --------------------------------------
#    Fichier de configuration du proxy SQUID
#
#    * Authentification via LDAP
#    * Regles en fonction des OU
#
#    @file : /etc/squid/squid.conf
#     @author : Liberez le tux
#    @version : 3
#    @email : xxxxxxxx
# --------------------------------------

# --------------------------------------
# Prerequis :
# --------------------------------------
#    * debian lenny
#    * etre root
#    * apt-get install squid ldap-utils apache2 sarg
# --------------------------------------

# --------------------------------------
# TODO
# --------------------------------------
#    * Definir toutes les OU
#    * Definir toutes les regles
# --------------------------------------

# OPTIONS FOR AUTHENTICATION
# --------------------------------------

#####  TAG: auth_param

# Parametrage de l'authentification LDAP avec un compte existant
# -b "o=ROOT" : la racine de l'annuaire
# -D cn=LDAP,ou=ROBOTS,ou=USERS,o=ROOT -w monmotdepasse : utilisateur utilise pour se connecter a l'annuaire
# -h 10.20.1.1 : l'adresse du serveur LDAP
# -f "uid=%s" : le filtre pour l'authentification
#
auth_param basic program /usr/lib/squid/ldap_auth -v 3 -b "o=ROOT" -D cn=LDAP,ou=ROBOTS,ou=USERS,o=ROOT -w monmotdepasse -f "uid=%s" -h 10.20.1.1

# Nombre d'instances de SQUID pour l'authentification
auth_param basic children 5

# Nom du serveur (affiche le message dans la boite de dialogue du navigateur)
auth_param basic realm  Mon beau proxy

# Session desactivee apres 2 heures d'inactivite
auth_param basic credentialsttl 2 hours

# ACCESS CONTROLS
# --------------------------------------

#####  TAG: external_acl_type
# Permet de vérifier l'appartenance d'un utilisateur a une OU.
# Le filtre "(&(objectclass=person)(cn=%u)(ou:dn:=%a))"
# verifie que l'utilisateur courant %u est dans l'OU donnée via %a.
# L'expression %a est un paramètre qui sera renseigné dans une ACL.
external_acl_type ldapou %LOGIN /usr/lib/squid/squid_ldap_group -b "o=ROOT" -f "(&(objectclass=person)(cn=%u)(ou:dn:=%a))" -D cn=LDAP,ou=ROBOTS,ou=USERS,o=ROOT -w monmotdepasse -h 10.20.1.1

#####  TAG: acl

# Obligation de s'authentifier
acl auth proxy_auth REQUIRED

# Definition de "all" (tout le monde)
acl all src all

# Definition des groupes par OU
# ici le groupe "gr_restrict" correspond a l'OU "RESTRICTS"
# ici le groupe "gr_admin" correspond a l'OU "ADMINS"
acl gr_restrict external ldapou RESTRICTS
acl gr_admin external ldapou ADMINS

# Restrictions
# les url autorises sont dans le fichier "url_allow"
# chaque url doit commencer par un "." :
#     .liberez-le-tux.servhome.org
#     .planet-libre.org
acl url_allow dstdomain "/etc/squid/domains/url_allow.txt"

# Restrictions : une autre ecriture
# acl url_allow dstdomain .liberez-le-tux.servhome.org .planet-libre.org

#####  TAG: http_access

# groupe "gr_restrict" restreint a une liste d'url
http_access allow gr_restrict url_allow

# groupe "gr_admin" autorise a tout voir
http_access allow gr_admin

# groupe les autres
http_access deny all

# NETWORK OPTIONS
# --------------------------------------

# Port d'ecoute de SQUID
http_port 10.20.1.1:8080

# DISK CACHE OPTIONS
# -------------------------------------- 

# cache de 500 Mo
cache_dir ufs /var/spool/squid 500 16 256 

# ERROR PAGE OPTIONS
# --------------------------------------
# Gestion des erreurs (francais)
error_directory /usr/share/squid/errors/French

# LOGFILE OPTIONS
# --------------------------------------

# Emplacement fichier de log
access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

Maintenant Squid est configuré, pour prendre en compte les modifications du fichier de configuration il est nécessaire de recharger la configuration.

/etc/init.d/squid reload

Configuration Logrotate

Par défauts les logs de squid sont supprimés tous les 2 jours, pour des besoins en entreprise il est souvent  nécessaire de conserver ces données plus longtemps. Attention car les logs générés peuvent prendre beaucoup de place sur les serveurs.

nano /etc/logrotate.d/squid

Configuration pour une rotation des logs tous les 6 mois.

#
#       Logrotate fragment for squid.
#
/var/log/squid/*.log {
 monthly
 compress
 delaycompress
 rotate 6
 missingok
 nocreate
 sharedscripts
 postrotate
 test ! -e /var/run/squid.pid || /usr/sbin/squid -k rotate
 endscript
}

Configuration Sarg

Sarg permet de créer simplement des rapport lisibles

nano /etc/squid/sarg.conf

Nous pouvons configurer la langue des rapports ainsi que le format de date.

...
language French
...
access_log /var/log/squid/access.log
...
graphs yes
...
date_format e

L’accès aux rapports se fait via http://monserveur/squid-reports

Cron

Il est nécessaire de planifier la création des rapports de sarg, par jour, par semaine, par mois.

Lancer la commande suivante dans un terminal :

crontab -e

Entrer les lignes suivantes et quitter

00 08-18/1 * * * sarg-reports today
00 00      * * * sarg-reports daily
00 01      * * 1 sarg-reports weekly
30 02      1 * * sarg-reports monthly

Apache

Par défaut tout le monde peut venir voir les rapports générés par Sarg à l’adresse http://monserveur/squid-reports. Nous allons donc mettre en place une authentification obligatoire pour l’accès aux rapports via un fichier .htaccess.

N.D.A : Je vous invite fortement par la suite à créer un virtualhost dédié aux rapports de Squid et à le configurer directement pour limiter l’accès aux rapports.

Nous prenons comme hypothèse que le serveur Apache n’a pas été modifiée et que sa configuration est celle par défaut.

nano /etc/apache2/sites-available/default

Il faut modifier la ligne AllowOverride none en AllowOverride All dans la balise <Directory /var/www/> pour pouvoir utiliser un fichier .htaccess.

<VirtualHost *:80>
 ServerAdmin webmaster@localhost

 DocumentRoot /var/www/
 <Directory />
 Options FollowSymLinks
 AllowOverride None
 </Directory>
 <Directory /var/www/>
 Options Indexes FollowSymLinks MultiViews
 AllowOverride All
 Order allow,deny
 allow from all
 </Directory>

 ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
 <Directory "/usr/lib/cgi-bin">
 AllowOverride None
 Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
 Order allow,deny
 Allow from all
 </Directory>

 ErrorLog /var/log/apache2/error.log

 # Possible values include: debug, info, notice, warn, error, crit,
 # alert, emerg.
 LogLevel warn

 CustomLog /var/log/apache2/access.log combined

 Alias /doc/ "/usr/share/doc/"
 <Directory "/usr/share/doc/">
 Options Indexes MultiViews FollowSymLinks
 AllowOverride None
 Order deny,allow
 Deny from all
 Allow from 127.0.0.0/255.0.0.0 ::1/128
 </Directory>

</VirtualHost>

Création du htaccess

nano /var/www/squid-reports/.htaccess

AuthName "Authentification requise pour la consultation des rapports Squid"
AuthUserFile /var/www/squid-reports/password/.htpasswd
AuthGroupFile /dev/null
AuthType Basic

require valid-user

Création du dossier contenant le fichier des mots de passe

mkdir /var/www/squid-reports/password

Ajout de l’utilisateur admin, le mot de passe est demandé à la suite de cette commande. L’option -c permet de créer le fichier associé.

htpasswd -c /var/www/squid-reports/password/.htpasswd admin

Protection du fichier de mot de passe

nano /var/www/squid-reports/password/.htaccess

AuthGroupFile /dev/null
AuthName "Acces restreint"
AuthType Basic

deny from all

On relance Apache :

/etc/init.d/apache2 reload

Conclusion

Nous avons maintenant un proxy fonctionnel, dont les règles de gestion dépendent de l’OU d’appartenance des utilisateurs. Nous avons un  outil qui génère des rapports compréhensibles par tous, mais dont l’accès est limité. Il ne reste qu’à configurer les navigateurs des utilisateurs pour utiliser notre proxy. Pour la configuration des navigateurs, le plus simple reste l’utilisation d’un script de configuration automatique hébergé sur un serveur différent du proxy.

Sudo est une commande qui permet d’accorder à certains utilisateurs (ou groupes d’utilisateurs) la possibilité de lancer une commande en tant qu’administrateur, ou comme autre utilisateur, tout en conservant une trace des commandes saisies et des arguments.

Debian à l’inverse d’Ubuntu n’est pas nativement configuré pour utiliser Sudo, le compte root est préféré pour les taches d’administration. Je trouve personnellement qu’il est préférable que chacun dispose de son propre compte lorsque plusieurs personnes sont amenées à administrer un même serveur. La manipulation est très simple comme souvent sous Linux.

Installation

apt-get install sudo

Configuration sudoers

On ouvre le fichier /etc/sudoers via la commande suivante :

visudo

On rajoute la ligne « %sudo ALL=(root) ALL »

# /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
#

Defaults        env_reset

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL) ALL
%sudo ALL=(root) ALL

# Uncomment to allow members of group sudo to not need a password
# (Note that later entries override this, so you might need to move
# it further down)
# %sudo ALL=NOPASSWD: ALL

Configuration des utilisateurs

On ajoute le groupe sudo au utilisateurs administrateurs de la machine.

adduser mon_utilisateur1 sudo
adduser mon_utilisateur2 sudo

On va maintenant désactiver le compte root car nous n’en avons plus besoin.

passwd -l root

Si besoin on peut réactiver le compte root

passwd -u root

Conclusion

Il est maintenant impossible de se connecter avec le compte root, mais les administrateurs peuvent lancer les commandes nécessitant les droits root en respectant la syntaxe : sudo ma_commande_root

Un des grands défauts des terminaux, que j’ai pu constater après une utilisation intensive de ceux-ci, est  leurs taille réduite par défaut.

Le terminal de gnome ainsi que tous les autres terminaux ne proposent pas de fixer une taille par défaut de ceux-ci.

Il est judicieux de figer une taille par défaut des terminaux par exemple en fonction de la résolution de l’écran. Cela l’est encore plus pour celui qui travaille avec beaucoup de terminaux ouverts.

Le fichier à modifier est :

/usr/share/vte/termcap/xterm

La ligne à modifier est la suivante :

:co#80:it#8:li#24:\

Exemple pour un affichage de 100 colonne pour 40 lignes :

:co#100:it#8:li#40:\

PS : il est à noter que tous les utilisateurs seront impactés.