Sécuriser le DNS avec DNSSEC

DNSSEC (Domaine Name Server Security Extensions) est un protocole qui permet de sécuriser les données envoyées par le DNS afin de se prémunir d’attaque de type « Cache Poisoning ». Il s’agit donc d’un ensemble d’extensions de sécurité pour le service de nom de domaine. DNSSEC ne permet pas de protéger intégralement le DNS mais seulement au niveau:

  • origine de l’authentification des données DNS
  • déni d’existence authentifié (évite l’énumération des zones)
  • intégrité des données transmises

Attention donc, DNSSEC n’informe pas de la confidentialité ou la disponibilité.

DNSSEC repose sur la cryptographie et emploie un système de signature pour les enregistrement DNS. Le navigateur peut alors s’assurer que le nom de domaine correspond à l’adresse IP originale et n’a donc pas été usurpée.

Source: http://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

Sauvegarde et archivage

Terminologie

Archivage:

Sauvegarde:

Incrémental

Stratégie

Plan de restauration

Objet

  • bases de données
  • fichier de configuration
  • médias
  • messagerie
  • journaux du système et des serveurs

Cible

Support externes: CDROM, DVD, clé USB, lecteur de bande, disque dur externe

Sur serveur distant: transfert des données avec SSH

Sur le serveur même:

Durée

Combien de temps garder les sauvegardes

Archivage

Fréquence

Déterminer la fréquence des sauvegardes

  • journalière, hebdomadaire, mensuelle
  • tous les x heures, jours
  • quand il y a un événement (publication de contenu, mise à jour du système)

Sécurité

Encryptage des données

avec GPG

Encryptage des transferts

préférez SSH2 à SSH1

Pour les transfert FTP utiliser le protocole SFPT

Outils employés

De nombreux outils sont disponibles, j’utilise ici Duplicity avec SFPT, SSH et GPG.

Duplicity, l’outil de sauvegarde

Il existe aussi une interface graphique à Duplicity nommée Déjà-Dup qui permet de s’affranchir de la configuration technique.

SSH pour les transferts sécurisés

Création des clefs SSH

ssh-keygen -t rsa

Copier la clef vers le serveur distant

ssh-copy-id utilisateur@serveur_distant

Tester la connexion

ssh utilisateur@serveur_distant

Créer le répertoire de sauvegarde sur le serveur distant

mkdir -p /serveur_distant/sauvegardes

GPG pour l’encryptage des données

Création des clefs GPG

gpg --gen-key

Liste de l’ID de la clef publique

gpg --list-keys

SFPT pour les transfert sécurisés

 

Utilisation de Duplicity

Sauvegarde

Copie des fichiers de sauvegarde vers un serveur distant avec SFTP — sans GPG

duplicity /nom/du/répertoire sftp://utilisateur@serveur_distant//serveur_distant/sauvegardes

Copie des fichiers de sauvegarde vers un serveur distant avec SFTP — avec GPG

PASSPHRASE="passphrase_pour_GPG" duplicity --encrypt-key LA-CLE-ENCRYPTEE --exclude /proc --exclude /sys --exclude /tmp / sftp://utilisateur@serveur_distant//serveur_distant/sauve/duplicityDroplet

Les options:

PASSPHRASE: le contenu de la paraphrase

–encrypt-key: la clé de cryptage

–exclude: les fichiers ou dossier à exclure

Restauration

Restaurer l’intégralité de la sauvegarde

PASSPHRASE="passphrase_for_GPG" duplicity sftp://root@backupHost//remotebackup/duplicityDroplet /

Restaurer certains fichiers ou dossiers seulement:

PASSPHRASE="passphrase_for_GPG" duplicity --file-to-restore /chemin/du/fichier sftp://utilisateur@serveur_distant//serveur_distant/sauvegarde /chemin/vers/fichier/restauré

Automatiser les sauvegardes

Créer un fichier passphrase et indiquer y votre clef:

PASSPHRASE="passphrase_for_GPG"

Avec Cron

Mise à jour WordPress 3.9

Une mise à jour majeur du CMS est prévue dans les jours à venir.
Cette version apporte un grand nombre d’améliorations, et nous pensons que vous allez les adorer.

Un processus de modification des médias plus fluide


Édition visuelle améliorée

editor1-300x233
L’éditeur visuel a été mis à jour pour gagner en vitesse, en accessibilité et en utilisation mobile. Vous pouvez coller vos écrits depuis votre éditeur de texte sans perdre de temps à nettoyer sa mise en page désordonnée (oui, c’est de toi que l’on parle, Microsoft Word).


Modifiez les images facilement

image1-300x233
Avec un accès plus rapide aux outils de recadrage et de rotation, il est désormais plus facile de modifier vos images tandis que vous corrigez vos articles. Vous pouvez également changer l’échelle des images directement dans l’éditeur afin de trouver la taille qui convient.


Glissez/déposez vos images

dragdrop1-300x233
La mise en ligne des images n’a jamais été aussi simple. Glissez simplement vos fichiers depuis votre ordinateur vers l’éditeur visuel.


Prévisualisation de galerie

gallery1
Les galeries s’affichent en de belles grilles directement dans l’éditeur, de la même manière qu’elles s’afficheront une fois l’article publié.


Faites-en plus avec l’audio et la vidéo

playliste
Les images ont leurs galeries, et désormais les fichiers audio et vidéo disposent de listes de lectures très simples, avec lesquelles vous pouvez présenter votre musique ou vos extraits vidéo.

Prévisualisation en direct des widgets et de l’en-tête

Ajoutez, modifiez et réarrangez vos widgets directement pendant la personnalisation du thème. Plus besoin d’enregistrer pour voir constater les problèmes : découvrez vos modifications en direct, et enregistrez-les une fois qu’elles sont validées.
L’outil de gestion des images de l’en-tête a également été amélioré : vous pouvez mettre vos images en ligne, les recadre et gérer les en-têtes tout en personnalisant votre thème.


Un nouveau et superbe navigateur de thèmes

theme1

La recherche d’un nouveau thème devrait être facile et ludique. Perdez-vous dans l’offre sans fin de thèmes gratuits proposés par WordPress.org grâce au nouveau et magnifique navigateur de thèmes.

Analyse des fichiers des logs des emails

Cette page explique l’analyse des fichiers de logs du serveur mail. Les programmes suivant sont utilisés:

  • Postix: serveur SMTP
  • Cyrus-Imapd: serveur POP/IMAP
  • SASL: authentification
  • Amavis
  • Clamd: antivirus
  • Spamassassin: antispam

Fichier des logs

/var/log/maillog

Synopsis

Date (Jour + Heure), IP, Programme (+PID), message

Erreurs

No such file or directory

Jan 22 12:28:44 ip-188-121-62-120 lmtpunix[3412]: IOERROR: fstating sieve script /var/lib/imap/sieve/domain/o/one-web.be/a/admin/defaultbc: No such file or directory

Operation not permitted

setrlimit: Unable to set file descriptors limit to -1: Operation not permitted

Operation not supported

Jan 22 11:13:04 ip-188-121-62-120 master[26297]: unable to setsocketopt(IP_TOS): Operation not supported

 

Reject

Relay Access Denied

Mar 26 08:39:28 ip-188-121-62-120 postfix/smtpd[15509]: NOQUEUE: reject: RCPT from 114-43-8-239.dynamic.hinet.net[114.43.8.239]: 554 5.7.1 <sanjinn232@yahoo.com.tw>: Relay access denied; from=<123@yahoo.com> to=<sanjinn232@yahoo.com.tw> proto=SMTP helo=<188.121.62.120>

Sender address rejected

User unknown in virtual mailbox table

Apr  8 14:14:51 ip-188-121-62-120 postfix/smtpd[32612]: NOQUEUE: reject: RCPT from host51-80.brs.com.br[177.11.51.80]: 550 5.1.0 <mapufg@spicerack.be>: Sender address rejected: User unknown in virtual mailbox table; from=<mapufg@spicerack.be> to=<teste3.pop3@hotmail.com> proto=ESMTP helo=

Domain not found

Mar 26 10:37:21 ip-188-121-62-120 postfix/smtpd[18288]: NOQUEUE: reject: RCPT from boo2.boosthoster.com[198.57.168.145]: 450 4.1.8 <shoppi12@shoppingmadeez.net>: Sender address rejected: Domain not found; from=<shoppi12@shoppingmadeez.net> to=<info@one-web.be> proto=ESMTP helo=

Recipient address rejected

User unknown in virtual mailbox table

Apr  9 09:39:38 ip-188-121-62-120 postfix/smtpd[5252]: NOQUEUE: reject: RCPT from 3.mo58.mail-out.ovh.net[178.33.41.144]: 550 5.1.1 <nfo@prowindows.be>: Recipient address rejected: User unknown in virtual mailbox table; from=<c4-return-1-nfo=prowindows.be@up2secure.eu> to=<nfo@prowindows.be> proto=ESMTP helo=

Server configuration error

Unknown smtpd restriction

Apr  8 02:18:13 ip-188-121-62-120 postfix/smtpd[13377]: warning: unknown smtpd restriction: "reject_unauth_pipeling"
Apr  8 02:18:13 ip-188-121-62-120 postfix/smtpd[13377]: NOQUEUE: reject: RCPT from mail-pb0-f51.google.com[209.85.160.51]: 451 4.3.5 Server configuration error; from=<rips.df@gmail.com> to=<info@one-web.be> proto=ESMTP helo=

Ceci arrive quand une ligne du fichier de configuration comprend une erreur, par exemple une règle inexistante.

Warnings

Les warnings indiquent qu’il faut faire attention

Illegal address syntax

Apr  9 14:59:49 ip-188-121-62-120 postfix/smtpd[14306]: warning: Illegal address syntax from unknown[115.86.35.15] in MAIL command: <drugstore_canadian3@??????-pc.kornet>

Unknonw smtpd restriction

Apr  8 02:18:13 ip-188-121-62-120 postfix/smtpd[13377]: warning: unknown smtpd restriction: "reject_unauth_pipeling"

Cyrus

> service cyrus-imapd stop
> rm /var/lib/imap/tls_sessions.db*
> rm /var/lib/imap/deliver.db*
> rm /var/lib/imap/db/*
> service cyrus-imapd start