J’exploite les logs de mes domaines hoarau.org et funix.org hébergés avec online (hébergement mutualisé) avec awstats. Toutes les nuits, cron récupère les fichiers log d’Apache sur un serveur ftp et je lance l’analyse avec webalizer et awstats comme expliqué par là.

La page des referrers est polluée par des SPAM qui la rend inexploitable et c’est assez pénible. En fait c’est une technique des spammeurs qui font des requêtes pour que le site à promouvoir apparaisse dans la liste et ainsi cela améliore son positionnement sur les moteurs de recherche en multipliant les liens. Encore faudrait-il que cette page soit visible sur internet, ils peuvent également espérer qu’un administrateur clique sur un lien.

Il y a plusieurs techniques pour lutter contre ça, l’une d’entre elles est de leur bloquer l’accès au site avec un bon vieux .htaccess à la racine. Ce n’est pas forcément l’idéal car ça engendre un temps de traitement et ça peut ralentir l’accès au site. J’opte plutôt pour la technique en temps différé pour faire le ménage avec awstats. Pour cela il faut activer la variable suivante

SkipReferrersBlackList= »/etc/awstats/blacklist.txt »

avec un fichier blacklist.txt qu’on trouvera dans l’arborescence d’awstats mais qui date un peu. Alors  par ici on trouvera une blacklist nettement plus récente. Dans ce fichier, d’après mes tests il semblerait que la première partie qui commence par des RewriteCond ne serve à rien pour awstats, elle n’est utile que si vous filtrez le SPAM referrer avec un .htaccess. Ce n’est que la seconde partie qui est réellement utile et qui fonctionne avec awstats,

Continuer la lecture de Lutter contre le spam referrer avec awstats →

J’ai passé du temps ces derniers jours à mettre à jour mes pages sur la sécurité informatique autour de linux sur mon site Funix, il était temps, certaines n’avaient pas évolué depuis 8 ans !

La sécurité sous linux et plus généralement sur un réseau peut être vue sous différents angles:

• tout d’abord la protection du poste en lui même en laissant tourner que le strict nécessaire, en privilégiant les services sécurisés et en installant un firewall, Tout cela est décrit dans cette page.
• ensuite on peut installer un gestionnaire d’évènements de sécurité comme Prelude, qui va agréger tous les signaux et évènements du système et déclencher des alertes de sécurité, libre ensuite à l’administrateur de déclencher les actions qui vont bien. Ce système connu sous le terme de SIEM (Security Event Information Management) repose sur plusieurs sondes qui peuvent être implantées sur l’ensemble des postes du réseau et éléments actifs compatibles. A découvrir sur cette page. Concernant les sondes, certaines vont analyser les fichiers de logs, d’autres vont « écouter » le réseau en temps réel et détecter les tentatives intrusions, on parle également de NIDS (network Intrusion Detection System) comme snort ou suricata qu’on peut découvrir sur cette autre page.
• pour sécuriser son réseau/poste encore faudrait-il connaître ses vulnérabilités, rien de plus simple ! Il existe des scanners de vulnérabilités, ils se basent sur des bases de données de vulnérabilités régulièrement mises à jour pour scruter les postes et faire leur reporting. A voir par là avec des outils comme OpenVAS et nmap. Ces outils ont un but défensif et il est malheureux qu’ils puissent être également utilisés à des fins malveillantes et offensives.
• la protection des données est un pan important de la sécurité, notamment lors des échanges sur internet. On peut donc chiffrer ses données et mail avec GnuPG et faire des connexions sécurisées via OpenSSH qui offre également un service de transfert de fichier sécurisé sFTP qui remplace avantageusement FTP.
• même si sous linux on est beaucoup moins vigilant pour les virus qui envahissent le monde windows, il en reste pas moins qu’il en existe ! La séparation des privilèges de base sur un système linux avec les précautions évoquées ici pourront contenir le risque, néanmoins il n’est pas inutile d’installer un antivirus comme ClamAV.

Et pour terminer une copie d’écran du scanner de vulnérabilités OpenVAS qui est un fork libre de nessus.

Depuis quelque temps j’avais perdu le son sous Skype bien que disposant de la dernière version pour linux, la 4.0.37 qu’on peut récupérer par ici. En fait curieusement le binaire est toujours en version 32 bits, comme le confirme la commande file skype qui donne:

/usr/local/linux/systeme/skype-4.3.0.37/skype: ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.18, BuildID[sha1]=6eef9a3f7c9719980b6e317a00ea971d3717ac89, stripped

pour que le son revienne sur une configuration 64 bits il faudra simplement installer la version 32 bits du serveur de son pulseaudio (libpulseaudio0 pour une distribution Mageia). Et là magique Skype est pleinement fonctionnel (au problème de réseau près indépendant de linux).

Tant qu’à faire, je profite d’un peu de temps pour régler des problèmes qui perduraient depuis des mois sur mon serveur perso Dell PowerEdge T310. Premier problème, le serveur d’authentification de mon réseau perso basé sur un annuaire LDAP tournant avec OpenLDAP était extrêmement bavard et me générait continuellement dans les logs ce type d’erreur :

déc. 23 19:25:06 mana.kervao.fr slapd[12893]: <= bdb_equality_candidates: (uidNumber) not indexed
déc. 23 19:25:07 mana.kervao.fr slapd[12893]: <= bdb_equality_candidates: (uidNumber) not indexed
déc. 23 19:25:07 mana.kervao.fr slapd[12893]: <= bdb_equality_candidates: (uidNumber) not indexed

j’ai vu que c’était un problème connu et largement commenté sur le net, pourtant la solution proposée ne collait pas à ma configuration.  Pour le problème de mode verbeux, il faut reprendre le fichier de configuration du daemon slapd slapd.conf et rajouter simplement

loglevel none

pour l’autre problème, toujours dans le même fichier à la suite de

# Indices to maintain
index   objectClass     eq

on va déclarer d’autres index pour la base de données LDAP

index  uid              pres,sub,eq
index member            eq
index  uidNumber        eq
index  gidNumber        eq
index  memberUid        eqhttp://www.funix.org/fr/linux/index.php?ref=ldap2

on relance le serveur et le tour est joué !

Autre problème, cette fois-ci avec le serveur de mail sendmail ou plutôt avec le plugin qui gère l’interface avec SpamAssassin qui filtre les spams comme son nom l’indique. Toujours dans les logs, SpamAssassin Milter (mail filter) plugin me génère cette erreur :

spamass-milter[2246]: Could not retrieve sendmail macro « i »!.  Please add it to confMILTER_MACROS_ENVFROM for better spamassassin results

Dans le fichier config.mc de sendmail j’ai rajouté un petit i sur cette ligne

define(`confMILTER_MACROS_ENVFROM’,`i, {auth_authen}, {auth_type}’)dnl

on génère un nouveau fichier de configuration de sendmail et dans ce fichier on rajoute

O Milter.macros.envfrom=i
O Milter.macros.envfrom=i, {auth_authen}, {auth_type}

on relance sendmail et c’est terminé ! Ouf, je vais pouvoir dormir plus sereinement…

Pour plus d’infos, voir ma page sur l’authentification utilisateur basé sur un serveur LDAP et celle sur le filtrage de mail.

J’ai procédé à une mise à jour de ma mageia Cauldron qui préfigure la future mageia 6, un peu moins de 1200 packages d’un coup ! Et finalement pas beaucoup de soucis mais des améliorations, j’ai retrouvé mes avatars au login et la session est correctement sauvegardée et restaurée. Il subsiste encore du franglais à droite et à gauche et plus gênant on ne peut toujours pas faire du copier/coller avec la souris avec vi dans un terminal de type konsole.

Du coup j’ai réinstallé par compilation toute ma batterie de logiciels multimedia. Je déplore encore des lenteurs avec kdenlive 16.12 qui n’existaient pas du tout dans la version Qt4. Pour tenter d’y remédier j’ai installé manuellement la dernière version du driver de ma carte vidéo Nvidia GeForce 760, mais ce n’est pas mieux, kdenlive utilise par défaut la CPU et non le GPU (processeur de la carte vidéo).

Tant qu’à faire j’ai mis à jour mon site funix avec les modifications suivantes:

– page outils de base pour la vidéo, présentation du codec audio FDK AAC, passage à x264-snapshot-20161219-2245, movit 1.4.0 et ffmpeg 3.2.2
– page transcodage vidéo, passage à avidemux 2.6.14
– page conteneur vidéo, passage à mkvtoolnix 9.6.0
– page lecteur vidéo, quelques précisions pour l’installation de la version en développement 3.0.0 de vlc
– page montage vidéo, passage à mlt 6.4.1, kdenlive 16.12, LiVES 2.8.2, cinelerra 6 et blender 2.78a
– page outils multimedia pour mediacenter, passage à audacious 3.8.1

L’évolution de movit pour utiliser la puissance du GPU avec kdenlive ne donne rien, ça continue à planter avec ma nvidia. cinelerra a évolué, mais à part l’intégration du codec H264, je ne vois pas beaucoup d’autres évolutions, en tout cas la compilation est toujours aussi délicate.

Je croule sous les PC à la maison, 8 au total (voir mes différentes config par là) ! Je me suis décidé à en réduire le nombre. Certains ont une double partition avec windows mais ce n’est quand même pas très pratique de basculer de windows à linux ou vice-versa. Je me suis remis à la page en virtualisant windows sous linux, ça me permet ainsi de pouvoir regrouper les applications qu’elles tournent sous windows ou linux sur les mêmes postes. La virtualisation consiste à pouvoir lancer un système d’exploitation encapsulé dans un autre système d’exploitation support.

j’ai installé la dernière version de VirtualBox sur ma mageia 6 cauldron à partir des sources, ça s’installe relativement facilement et ça se configure tout aussi facilement. Il faut bien sûr disposer d’un DVD d’installation de windows avec sa licence, étant allergique aux dernières versions à brique, je suis resté à windows 7. Aussi incroyable que ça puisse paraître on arrive donc à installer windows dans une fenêtre. Puis à le lancer de manière tout à fait naturel dans une session linux.

Ça nécessite bien sûr un peu de puissance, mais quand on n’est pas un joueur, ça le fait sans soucis.

J’ai installé la dernière version du logiciel de montage vidéo sous linux OpenShot Video 2.1.0. Honnêtement je n’ai pas trop vu la révolution par rapport à la dernière version 1.4.3, ça reste assez basique et avec beaucoup moins de fonctionnalités que la référence sous linux kdenlive. L’installation sur ma mageia 5 à partir des sources et assez ardu, d’autant qu’il faut installer également la dernière version du logiciel de manipulation 3D blender.

Il faut que j’aille plus loin dans son utilisation, mais je rencontre des problèmes de lenteur qui m’étonne sur mon i7. Tant qu’à faire j’ai installé la dernière version des bibliothèques vidéo standards sous linux, OpenCV 3.1.0, ffmpeg 3.1.4, ainsi que kdenlive 16.08.1. Malheureusement je n’ai aucune sortie vidéo ! J’ai beau installé les dernières versions en développement de mlt et frei0r, c’est pareil. Finalement j’ai du downgrader avec la version 16.04.0.

Du coup j’ai mis à jour mon site funix avec les modifications suivantes:

– page outils de base pour la vidéo, passage à x264-snapshot-20161007-2245, x265 2.1, et OpenCV 3.1.0 et ffmpeg 3.1.4
– page transcodage vidéo, passage à avidemux 2.6.14 et HandBrake 0.10.5
– page conteneur vidéo, passage à libmatroska 1.4.5 et mkvtoolnix 9.4.2
– page lecteur vidéo, passage à libdvdread 5.0.3, vlc 2.2.4 et MPlayer 1.3.0
– page montage vidéo, passage à kdenlive 16.08.1, LiVES 2.8.0, OpenShot Video 2.1 et blender 2.78
– page outils multimedia pour mediacenter, passage à audacious 3.8 et kodi 16.1