J’ai passé du temps ces derniers jours à mettre à jour mes pages sur la sécurité informatique autour de linux sur mon site Funix, il était temps, certaines n’avaient pas évolué depuis 8 ans !

La sécurité sous linux et plus généralement sur un réseau peut être vue sous différents angles:

• tout d’abord la protection du poste en lui même en laissant tourner que le strict nécessaire, en privilégiant les services sécurisés et en installant un firewall, Tout cela est décrit dans cette page.
• ensuite on peut installer un gestionnaire d’évènements de sécurité comme Prelude, qui va agréger tous les signaux et évènements du système et déclencher des alertes de sécurité, libre ensuite à l’administrateur de déclencher les actions qui vont bien. Ce système connu sous le terme de SIEM (Security Event Information Management) repose sur plusieurs sondes qui peuvent être implantées sur l’ensemble des postes du réseau et éléments actifs compatibles. A découvrir sur cette page. Concernant les sondes, certaines vont analyser les fichiers de logs, d’autres vont « écouter » le réseau en temps réel et détecter les tentatives intrusions, on parle également de NIDS (network Intrusion Detection System) comme snort ou suricata qu’on peut découvrir sur cette autre page.
• pour sécuriser son réseau/poste encore faudrait-il connaître ses vulnérabilités, rien de plus simple ! Il existe des scanners de vulnérabilités, ils se basent sur des bases de données de vulnérabilités régulièrement mises à jour pour scruter les postes et faire leur reporting. A voir par là avec des outils comme OpenVAS et nmap. Ces outils ont un but défensif et il est malheureux qu’ils puissent être également utilisés à des fins malveillantes et offensives.
• la protection des données est un pan important de la sécurité, notamment lors des échanges sur internet. On peut donc chiffrer ses données et mail avec GnuPG et faire des connexions sécurisées via OpenSSH qui offre également un service de transfert de fichier sécurisé sFTP qui remplace avantageusement FTP.
• même si sous linux on est beaucoup moins vigilant pour les virus qui envahissent le monde windows, il en reste pas moins qu’il en existe ! La séparation des privilèges de base sur un système linux avec les précautions évoquées ici pourront contenir le risque, néanmoins il n’est pas inutile d’installer un antivirus comme ClamAV.

Et pour terminer une copie d’écran du scanner de vulnérabilités OpenVAS qui est un fork libre de nessus.

Depuis quelque temps j’avais perdu le son sous Skype bien que disposant de la dernière version pour linux, la 4.0.37 qu’on peut récupérer par ici. En fait curieusement le binaire est toujours en version 32 bits, comme le confirme la commande file skype qui donne:

/usr/local/linux/systeme/skype-4.3.0.37/skype: ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.18, BuildID[sha1]=6eef9a3f7c9719980b6e317a00ea971d3717ac89, stripped

pour que le son revienne sur une configuration 64 bits il faudra simplement installer la version 32 bits du serveur de son pulseaudio (libpulseaudio0 pour une distribution Mageia). Et là magique Skype est pleinement fonctionnel (au problème de réseau près indépendant de linux).

Tant qu’à faire, je profite d’un peu de temps pour régler des problèmes qui perduraient depuis des mois sur mon serveur perso Dell PowerEdge T310. Premier problème, le serveur d’authentification de mon réseau perso basé sur un annuaire LDAP tournant avec OpenLDAP était extrêmement bavard et me générait continuellement dans les logs ce type d’erreur :

déc. 23 19:25:06 mana.kervao.fr slapd[12893]: <= bdb_equality_candidates: (uidNumber) not indexed
déc. 23 19:25:07 mana.kervao.fr slapd[12893]: <= bdb_equality_candidates: (uidNumber) not indexed
déc. 23 19:25:07 mana.kervao.fr slapd[12893]: <= bdb_equality_candidates: (uidNumber) not indexed

j’ai vu que c’était un problème connu et largement commenté sur le net, pourtant la solution proposée ne collait pas à ma configuration.  Pour le problème de mode verbeux, il faut reprendre le fichier de configuration du daemon slapd slapd.conf et rajouter simplement

loglevel none

pour l’autre problème, toujours dans le même fichier à la suite de

# Indices to maintain
index   objectClass     eq

on va déclarer d’autres index pour la base de données LDAP

index  uid              pres,sub,eq
index member            eq
index  uidNumber        eq
index  gidNumber        eq
index  memberUid        eqhttp://www.funix.org/fr/linux/index.php?ref=ldap2

on relance le serveur et le tour est joué !

Autre problème, cette fois-ci avec le serveur de mail sendmail ou plutôt avec le plugin qui gère l’interface avec SpamAssassin qui filtre les spams comme son nom l’indique. Toujours dans les logs, SpamAssassin Milter (mail filter) plugin me génère cette erreur :

spamass-milter[2246]: Could not retrieve sendmail macro « i »!.  Please add it to confMILTER_MACROS_ENVFROM for better spamassassin results

Dans le fichier config.mc de sendmail j’ai rajouté un petit i sur cette ligne

define(`confMILTER_MACROS_ENVFROM’,`i, {auth_authen}, {auth_type}’)dnl

on génère un nouveau fichier de configuration de sendmail et dans ce fichier on rajoute

O Milter.macros.envfrom=i
O Milter.macros.envfrom=i, {auth_authen}, {auth_type}

on relance sendmail et c’est terminé ! Ouf, je vais pouvoir dormir plus sereinement…

Pour plus d’infos, voir ma page sur l’authentification utilisateur basé sur un serveur LDAP et celle sur le filtrage de mail.

J’ai procédé à une mise à jour de ma mageia Cauldron qui préfigure la future mageia 6, un peu moins de 1200 packages d’un coup ! Et finalement pas beaucoup de soucis mais des améliorations, j’ai retrouvé mes avatars au login et la session est correctement sauvegardée et restaurée. Il subsiste encore du franglais à droite et à gauche et plus gênant on ne peut toujours pas faire du copier/coller avec la souris avec vi dans un terminal de type konsole.

Du coup j’ai réinstallé par compilation toute ma batterie de logiciels multimedia. Je déplore encore des lenteurs avec kdenlive 16.12 qui n’existaient pas du tout dans la version Qt4. Pour tenter d’y remédier j’ai installé manuellement la dernière version du driver de ma carte vidéo Nvidia GeForce 760, mais ce n’est pas mieux, kdenlive utilise par défaut la CPU et non le GPU (processeur de la carte vidéo).

Tant qu’à faire j’ai mis à jour mon site funix avec les modifications suivantes:

– page outils de base pour la vidéo, présentation du codec audio FDK AAC, passage à x264-snapshot-20161219-2245, movit 1.4.0 et ffmpeg 3.2.2
– page transcodage vidéo, passage à avidemux 2.6.14
– page conteneur vidéo, passage à mkvtoolnix 9.6.0
– page lecteur vidéo, quelques précisions pour l’installation de la version en développement 3.0.0 de vlc
– page montage vidéo, passage à mlt 6.4.1, kdenlive 16.12, LiVES 2.8.2, cinelerra 6 et blender 2.78a
– page outils multimedia pour mediacenter, passage à audacious 3.8.1

L’évolution de movit pour utiliser la puissance du GPU avec kdenlive ne donne rien, ça continue à planter avec ma nvidia. cinelerra a évolué, mais à part l’intégration du codec H264, je ne vois pas beaucoup d’autres évolutions, en tout cas la compilation est toujours aussi délicate.