Fail2Ban: protéger Postfix contre les attaques DoS de types AUTH, UNKNOWN et EHLO

Fail2Ban: protéger Postfix contre les attaques AUTH DoS photo

Aujourd'hui, Jac m'envoie un message pour m'informer que sa redirection email ne fonctionne plus. Je lance donc un terminal et vérifie les logs de Postfix, qui chargent des dizaines de lignes d'erreurs de ce type: Dec 15 16:30:33 mail postfix/smtpd[5912]: connect from static-68-236-203-102.nwrk.east.verizon.net[68.236.203.102] Dec 15 16:30:34 mail postfix/smtpd[5912]: lost connection after AUTH from static-68-236-203-102.nwrk.east.verizon.net[68.236.203.102] Dec 15 16:30:34 mail postfix/smtpd[5912]: disconnect from static-68-236-203-102.nwrk.east.verizon.net[68.236.203.102] Dec 15 16:30:34 mail postfix/smtpd[5908]: connect from static-68-236-203-102.nwrk.east.verizon.net[68.236.203.102] Dec 15 16:30:34 mail postfix/smtpd[5908]: lost connection after AUTH from […]

Lire la suite »

Serveur dédié : réduire les connexions TIME_WAIT des sockets et optimiser TCP

Serveur dédié : optimiser les connexions TIME_WAIT des sockets TCP photo

Aujourd'hui, nous allons mettre quelques petites astuces qui permettent d'optimiser un peu le temps de réaction du serveur Apache. Nous allons commencer par réduire le nombre de connexions TIME_WAIT des sockets TCP et nous verrons ensuite comment optimiser un peu la couche TCP. Réduire le TIME_WAIT des sockets TCP De temps à autre, on tombe sur un serveur Apache qui possède des tonnes de connexions TIME_WAIT qui semblent errer dans les limbes. Même si ces connexions ne prennent pas autant […]

Lire la suite »

Serveur dédié : installer PHP7 FPM avec FastCGI sous Debian

Serveur dédié : installer PHP7 FPM avec FastCGI photo

Aujourd'hui, on passe de PHP5 à PHP7 en moins de 20 minutes montre en main sur notre serveur dédié qui tourne sous la version stable de Debian. Pré-requis : les dépôts Dotdeb Avant toute chose, vous devez avoir les dépôts Dotdeb installés dans votre apt. On édite donc la liste des dépôts: nano /etc/apt/sources.list puis on y ajoute : # Dotdeb stable deb http://packages.dotdeb.org stable all deb-src http://packages.dotdeb.org stable all On installe la clé GPG de Dotdeb: wget https://www.dotdeb.org/dotdeb.gpg sudo […]

Lire la suite »

8 règles d'or pour bien déployer DNSSEC et DANE

8 règles d'or pour un bon déploiement de DNSSEC et DANE photo

Vous avez sécurisé votre domaine avec DNSSEC et DANE ? Très bien ! Il a cependant quelques petites choses à garder à l'esprit pour anticiper les difficultés et bien gérer la maintenance. De la rigueur dans la gestion des enregistrements DS (DNSSEC) et TLSA (DANE) Les enregistrements au niveau du DNS sont à manipuler avec précaution, ce ne sont pas le genre de choses que l'on peut configurer une bonne fois pour toute. On ne publie pas des enregistrements DS […]

Lire la suite »

Ubuntu: installer le bureau Gnome Classic à la place d'Unity

Ubuntu: installer un autre bureau qu'Unity et retrouver Gnome Classic photo

J'ai récemment hérité d'un MacBook Pro, sur lequel j'ai installé Ubuntu. Depuis quelques années maintenant, la société Canonical qui publie Ubuntu a fait le choix d'imposer un nouveau bureau, appelé Unity, qui s'adresse aux petits écrans des laptops et autres netbooks. Personnellement, je ne suis pas fan du bureau Unity et préfère retrouver un bureau Gnome (à prononcer Génome) plus classique, avec des menus qui me permettent d'accéder aux applications. Plusieurs solutions s'offrent à nous : on peut retrouver Gnome […]

Lire la suite »

Postfix : résoudre l'erreur SASL "_sasl_plugin_load failed on sasl_auxprop_plug_init for plugin: sql"

Postfix : résoudre l'erreur SASL "_sasl_plugin_load failed on sasl_auxprop_plug_init for plugin: sql" photo

Il y a quelques mois, j'ai aperçu quelques messages d'erreurs récurrents dans les fichiers logs du serveur de mail Postfix, concernant SASL. Voici un extrait de ces messages: <code class="language-none">Oct 10 11:35:05 mail postfix/smtpd[18553]: sql_select option missing Oct 10 11:35:05 mail postfix/smtpd[18553]: auxpropfunc error no mechanism available Oct 10 11:35:05 mail postfix/smtpd[18553]: _sasl_plugin_load failed on sasl_auxprop_plug_init for plugin: sql La solution est toute simple - commencez par éditer le fichier de configuration de Postfix: nano /etc/postfix/main.cf Puis commentez la ligne […]

Lire la suite »

Serveur dédié : mettre en place DNSSEC pour sécuriser les DNS du domaine

Serveur dédié : mise en place de DNSSEC pour sécuriser les DNS d'un nom de domaine photo

Aujourd'hui, nous allons mettre en place DNSSEC afin d'ajouter une couche de sécurité supplémentaire dans la gestion des DNS de notre domaine. Principe de fonctionnement du DNS Le DNS (Domain Name System) est un maillon clé du fonctionnement d’Internet car la quasi-totalité des services en ligne utilisent des noms de domaine à un moment ou à un autre. Le DNS est organisé sous la forme d’une arborescence inversée, avec une « racine » dont dépendent les différentes « branches ». […]

Lire la suite »

Serveur dédié : produire une meilleure réserve d'entropie avec haveged

Serveur dédié : générer de l'entropie additionnelle avec Haveged photo

Sur notre serveur dédié, nous avons parfois besoin de générer des nombres aléatoires avec une forte entropie, par exemple lorsque l'on génère une clé SSH, un certificat SSL/TLS ou une clé pour DNSSEC. Aujourd'hui, je vous propose donc un article un petit peu plus théorique, qui nous permettra d'améliorer la qualité des données aléatoires et l'entropie générale de notre serveur. On commence donc par la théorie et on enchaîne sur la partie technique. L'entropie ou le caractère aléatoire sous Linux […]

Lire la suite »

BASH : lister, bloquer et débloquer des adresses IP avec iptables

BASH : lister, bloquer et débloquer des adresses IP avec iptables photo

Sur un serveur dédié, il n'est pas rare d'avoir des adresses IP à bannir pour se débarrasser de visiteurs malveillants, de spammeurs ou de bots qui effectuent des requêtes farfelues visant à perturber le bon fonctionnement des services du serveur. Heureusement, toutes ces petites contrariétés peuvent être résolues en quelques secondes grâce à un firewall comme iptables. Ce petit tutoriel vous montre les quelques commandes à retenir pour lister, bannir ou débloquer des adresses IP avec iptables ainsi qu'un petit […]

Lire la suite »

VLC : résoudre le problème de lecture de dossiers avec le clic-droit

VLC : résoudre le problème de la lecture d'un dossier photo

Lors de mon précédent article à propos du téléchargement automatique des sous-titres avec VLC, j'ai essayé de mettre à jour - en vain - le paquet vlc sur mon installation Ubuntu et j'ai fini par prendre les captures d'écran avec une version portable. Or, depuis, il m'est impossible de lire un dossier avec VLC ! Le problème : lecture impossible d'un dossier avec VLC Les symptômes sont les suivants : un clic droit sur le dossier offre bien l'option Ouvrir […]

Lire la suite »

Serveur dédié : optimiser toutes les images GIF avec GIFsicle

hourglass

Après avoir vu comment optimiser les fichiers JPG et PNG sur le serveur, voici comment optimiser les fichiers GIF. Comme dans le tutoriel précédent, nous allons optimiser toutes nos images d'un seul coup, de manière à charger nos pages plus rapidement et à consommer moins de bande passante. Pour optimiser les fichiers GIF, j'ai choisi GIFsicle. L'installation et la compression de vos répertoires d'images prend à peine quelques minutes. Installation de GIFsicle On installe le paquet : apt-get install gifsicle […]

Lire la suite »

Bash : lister et redémarrer tous les services qui utilisent libssl après une mise à jour d'OpenSSL

openssl-grey

Lorsque l'on met à jour OpenSSL, tous les services qui utilisent les librairies SSL et qui sont chargés en mémoire ne rechargent pas les librairies (dont libssl) qui viennent d'être mises à jour. Idéalement, il faudrait rebooter le système mais lorsqu'il s'agit d'un serveur, ce n'est pas toujours possible. Si les services ne sont pas redémarrés (restart) ou rechargés (reload) après une mise à jour, ils seront toujours vulnérables aux problèmes de sécurité que corrige la nouvelle version. Voici donc […]

Lire la suite »

Pin It on Pinterest

Spelling error report

The following text will be sent to our editors: