dimanche 17 janvier 2016

Secure personnal backup in the Cloud(s) using Linux

Like everyone, I have important data on my computer. Like everyone, I have a backup (several, actually) of this important data —you do too, don’t you?— But while this backup is good enough in case I have a hardware failure, it won’t help me if my apartment gets flooded or catches fire. That’s because the data and its backup are stored in the same place. Several solutions exist.

Lire la suite...

dimanche 7 juin 2015

Both virtual and real users in the same domain with Exim and Courier

My personal server only served a few real users to this day, which means that each of us had an account on the server, that owned files and could run commands, schedule tasks, and so on.

I just extended my hosting perimeter, but I only allow email usage for my new guests so far. With this in mind, I did not want to create new Linux accounts, which would have needlessly weakened my server by exposing it to attacks towards these new accounts. Thus I created my first virtual users, for electronic mail.

I found several configuration examples on the Internet, but those mostly addressed situations where all users were virtual, often in several domains, or where a given domain was targeted at real users while others domains were targeted at virtual users. My wish was rather to allow new, virtual, users into my existing domains, the users of which were so far of the real kind only. Still, by taking from all those readings, it was not that hard to get there.

Cet article existe aussi en français.

Lire la suite...

samedi 6 juin 2015

Utilisateurs virtuels et réels dans le même domaine avec Exim et Courier

Mon serveur familial ne servait jusqu’à présent que des utilisateurs réels, c’est à dire que chacun y avait un compte, propriétaire de fichiers et autorisé à exécuter des commandes, planifier des tâches, etc.

Je viens d’étendre le cercle des utilisateurs sur mon serveur, pour la messagerie uniquement pour l’instant. Dans ce contexte, je ne voulais pas créer des comptes Linux, ce qui aurait augmenté la surface d’attaque du serveur sans nécessité. J’ai donc introduit des utilisateurs virtuels pour la messagerie.

Les exemples que j’ai trouvés sur Internet visaient principalement à gérer de multiples domaines virtuels, avec exclusivement des utilisateurs virtuels, ou bien à gérer un domaine avec des utilisateurs réels et des domaines avec des utilisateurs virtuels. Mon souhait était plutôt d’ajouter des utilisateurs virtuels aux domaines que je gère déjà et qui contennaient déjà des utilisateurs réels. En m’inspirant de ce que j’ai lu, ça n’a pas été très compliqué.

This article has been translated to English.

Lire la suite...

dimanche 3 mai 2015

Nginx and php-fpm with Debian Jessie

With the new Debian Jessie, I found that my PHP pages would all be displayed as blank pages, even though all regular HTML pages would display correctly.

This comes from the fact that the SCRIPT_FILENAME parameter has been removed from the /etc/nginx/fastcgi_params file. A new file, named /etc/nginx/fastcgi.conf, does reintroduce this parameter, but with the official value “$document_root$fastcgi_script_name”, instead of the former value “$request_filename”.

I really do not understand why the new value is the official one upstream, since it does not play well with aliases. So, first, I referenced fastcgi.conf instead of fastcgi_params, since the former seems to be the preferred file now ; and second, I changed my Nginx configuration to define SCRIPT_FILENAME this way:

fastcgi_param SCRIPT_FILENAME $request_filename;

lundi 6 avril 2015

File synchronization with ownCloud using Nginx on Debian

ownCloud is great! I chose it with the aim of sharing contacts and calendars with my server more reliably, and it is working perfectly.

After having used ownCloud for some time, I got interested in its file synchronization feature. Unfortunately, even though I heeded all the advice given in the documentation, I could not get any file bigger than 1MB to synchronize. Since I had no real use for this feature (I use NFS and SSHFS), I just moved on… until today.

Cet article existe aussi en français.

Lire la suite...

Synchronisation de fichiers par ownCloud avec Nginx sur Debian

ownCloud est super ! Je l’ai choisi pour fiabiliser la gestion des contacts et des calendriers sur mon serveur, et ça fonctionne parfaitement.

Après avoir utilisé ownCloud un moment, je me suis intéressé à sa fonctionnalité de partage de fichiers. Cependant, bien que j’aie suivi toutes les recommandations de la documentation, il restait impossible de synchroniser des fichiers de taille supérieure à 1 Mo. N’ayant pas vraiment l’utilité de cette fonctionnalité (j’utilise NFS et SSHFS), j’ai simplement laissé tomber… jusqu’à aujourd’hui.

This article has been translated to English.

Lire la suite...

jeudi 5 février 2015

Moving Transmission-daemon’s files

I first heard of BitTorrent when Mandriva began encouraging its users to download the Linux distribution’s ISO files using BitTorrent, in order to lessen the load on Mandriva’s servers. Yet it is somewhat recently that I began to actually use it. To this end, I installed the transmission-daemon package from Debian.

Lacking experience and expectations regarding the BitTorrent protocol and Transmission, I simply set the latter up with /data/partial as the directory for the temporary files, and /data/share as the final destination for completed downloads; the latter is the place where I put all my shared files (LAN-wide). I thought that I would move the completed downloads to the right subdirectories as they appear…

There is a problem with this configuration: the BitTorrent protocol expects you to share (“seed”) what you have downloaded from other users, thus preventing you from removing the files once you have them. Of course, I wish to keep these files, but elsewhere!

Lire la suite...

mardi 13 janvier 2015

Hardened SSH server

I strongly suggest that you heed the advice from stribika’s page on securing the Secure Shell (SSH), the aim of which is to make your SSH server safe from the NSA; or so they say…

Cet article est aussi disponible en français.

Lire la suite...

lundi 12 janvier 2015

Un serveur SSH endurci

Je vous conseille vivement de suivre les recommandations de la page de stribika sur le « Secure Secure Shell », ou « Secure SSH », qui visent à rendre le serveur SSH suffisamment sécurisé pour résister à la NSA, disent-ils…

This article has been translated to English.

Lire la suite...

dimanche 2 novembre 2014

Migrate from DenyHosts to Fail2ban

A new version of OpenSSH has been released and is bound to be quickly integrated into our preferred Linux distributions; good news! But…

sshd(8): Support for tcpwrappers/libwrap has been removed.

This may look rather inoffensive. But this means, that the SSH server will not use the /etc/hosts.allow and /etc/hosts.deny files to decide wether the IP address of a machine that is attempting to connect should be allowed to, or not.

My problem is that DenyHosts is relying on these files to protect the SSH port on my server. I fear this will be the death of the DenyHosts project. For instance, the Debian Linux distribution removed it from its software repositories. Thus I have to find an alternative software.

The two most common suggestions for replacing DenyHosts are Fail2ban and Sshguard. I choose Fail2ban because the latest version of Sshguard is a few years old (2011), and because Fail2ban allows for more personalization.

Cet article existe aussi en français.

Lire la suite...

jeudi 30 octobre 2014

Migration de DenyHosts à Fail2ban

La nouvelle version d’OpenSSH vient de sortir et sera rapidement intégrée à nos distributions Linux préférées ; excellente nouvelle ! Mais…

sshd(8): Support for tcpwrappers/libwrap has been removed.

Cela peut, à première vue, sembler inoffensif. Mais concrètement, cela signifie que le serveur SSH ne va plus consulter les fichiers /etc/hosts.allow et /etc/hosts.deny pour autoriser ou interdire l’accès au serveur en fonction de l’adresse IP de la machine qui se connecte.

Or DenyHosts utilise ce mécanisme pour protéger le port SSH du serveur. Cela marque, je le crains, la mort du projet DenyHosts. La distribution Debian l’a d’ailleurs retiré de sa logithèque. Il faut donc trouver une alternative.

Deux propositions reviennent régulièrement lorsqu’il s’agit de remplacer DenyHosts : Fail2ban et Sshguard. J’ai choisi Fail2ban car la dernière version de Sshguard date de quelques années (2011) et que Fail2ban est plus souple dans ses options de configuration.

This article has been translated to English.

Lire la suite...

samedi 22 février 2014

Multiplex SSH and HTTPS on a single port

I want to allow both SSH and HTTPS on port 443 of my server, because port 22 is often blocked by firewalls. The usual tool for this task is the excellent sslh tool, which can recognize SSH and HTTPS connections, but also HTTP, OpenVPN, tinc, and XMPP! Besides, sslh does not rely only on the “who speaks first, server or client?” technique, which makes it compatible with more SSH clients; an excellent port multiplexer indeed!

There is one drawback, though: sslh listens to a port on the server, receives an incoming connection from a remote client, detects the protocol, and then forwards packets for this connection to the adequate service; the problem is that the latter is seeing packets coming from the server itself (usually localhost), not from the IP address of the remote client.

Lire la suite...

jeudi 20 février 2014

Why buy a domain name? Better XMPP.

Up to now, I have been using a free domain name from Dyn. All was well, so why would I change anything?

After a first answer in the form of a post about emails, then another about the web, I will now talk about Jabber, which is about more than just chat, all the more when you own a “real” domain name.

Cet article est aussi disponible en français.

Lire la suite...

mardi 18 février 2014

Pourquoi un nom de domaine ? Pour mieux profiter de XMPP…

J’utilisais auparavant un nom de domaine gratuit enregistré chez Dyn. Tout fonctionnait bien. Pourquoi changer ?

Après un premier billet sur la messagerie, puis un autre sur le web, je vais maintenant me pencher sur Jabber, qui permet davantage que la simple messagerie instantanée, en particulier lorsqu’on dispose d’un « vrai » nom de domaine.

This article has been translated to English.

Lire la suite...

mercredi 12 février 2014

Upgrade Prosody from version 0.8.x to version 0.9.x

When I tried to upgrade Prosody on my Debian server, I had errors, that one would not necessarily expect from just reading the release notes. Thankfully, the problem was easily solved.

Cet article est aussi disponible en français.

Lire la suite...

Mise à jour de Prosody de la version 0.8.x à la version 0.9.x

Quand j’ai voulu mettre à jour Prosody sur mon serveur sous Debian, j’ai eu des erreurs, pas forcément prévisibles en lisant les notes de versions. La correction a heureusement été très simple.

This article has been translated to English.

Lire la suite...

vendredi 7 février 2014

Why buy a domain name? Secure web.

Up to now, I have been using a free domain name from Dyn. All was well, so why would I change anything?

After a first answer in the form of a post about emails, I will now talk about the web, the secure version of which (HTTPS), can really only work well in web browsers if a “real” domain name is being used. While I am at it, I will add some further tips concerning email.

Cet article est aussi disponible en français.

Lire la suite...

jeudi 6 février 2014

Pourquoi un nom de domaine ? Par exemple pour sécuriser le web…

J’utilisais auparavant un nom de domaine gratuit enregistré chez Dyn. Tout fonctionnait bien. Pourquoi changer ?

Après un premier billet sur la messagerie, je vais donner cette fois-ci l’exemple du web sécurisé (HTTPS), qui ne fonctionne vraiment bien dans les navigateurs qu’avec un « vrai » nom de domaine. J'en profiterai aussi pour aborder un aspect complémentaire lié à la messagerie.

This article has been translated to English.

Lire la suite...

lundi 3 février 2014

Why buy a domain name? Secure mail.

Up to now, I have been using a free domain name from Dyn. All was well, so why would I change anything?

In this post, I will explain how a “real” domain name can greatly enhance electronic mail handling.

Cet article est aussi disponible en français.

Lire la suite...

vendredi 31 janvier 2014

Pourquoi un nom de domaine ? Par exemple pour sécuriser la messagerie…

J’utilisais auparavant un nom de domaine gratuit enregistré chez Dyn. Tout fonctionnait bien. Pourquoi changer ?

Dans ce billet, je vais donner l’exemple de la messagerie électronique, qui bénéficie grandement de l’usage d’un « vrai » nom de domaine.

This article has been translated to English.

Lire la suite...

- page 1 de 2