Ellendhel a écrit 943 commentaires

Les fichiers journaux se trouvent dans /var/log

Pour trouver quel fichiers sont utilisés par Postfix ou OpenDKIM, tu peux utiliser la commande suivante :

grep -i --color postfix /var/log/*

Et selon les résultats tu peux consulter les fichiers indiqués avec la commande view (qui lance l'éditeur vi en mode lecture seule, ce qui évite de modifier les fichiers par accident) ou tout autre commande utilisable pour afficher le contenu d'un fichier texte (cat, more, …) :

view /var/log/mail

Une commande utile pour effectuer des tests est d'utiliser la commande tail en mode "flux" :

tail -f /var/log/mail

De cette manière l'affichage du fichier se fait en continu (les nouveaux messages apparaissent au fur et à mesure). Utiliser la combinaison Ctrl + C pour l'arrêter.

Je pars du principe que les enregistrements DNS pour la vérification de signature sont en place (dans tous les cas, ce n'est pas cela qui influe sur le mécanisme de signature proprement dit).

Quelle configuration est en place pour Postfix ? Voici quelques conseils basés sur mon propre serveur (Slackware 14.0).

Les choses fonctionnent en ayant ajouté les lignes suivantes dans le fichier main.cf :

smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = $smtpd_milters
milter_default_action = accept
milter_protocol = 2

Le daemon OpenDKIM fonctionne en local, et les paramètres suivants ont été définis dans le fichier opendkim.conf (en gardant les paramètres par défaut par ailleurs) :

Selector                smtps
KeyFile                 /usr/local/etc/smtps.private
Mode                    s
Socket                  inet:8891@localhost
PidFile                 /var/run/opendkim.pid
Domain                  example.net

L'un des points important ici est d'avoir le Mode s qui définit la signature des messages (l'autre mode, v, peut être utilisé indépendamment ou en combinaison pour vérifier les messages entrants).

Au final, y a t-il des messages d'erreurs dans les fichiers journaux ? OpenDKIM envoie probablement ses messages dans le même fichier que Postfix.

Sur la page de la Wikipédia anglophone à propos de Pretty Good Privacy.

Zimmermann (qui n'est pas impliqué dans l'histoire du télégramme) s'est basé un moyen "courant" aux États-Unis : la liberté d'expression, telle que protégée par un amendement de la constitution américaine.

En cherchant un peu je suis tombé sur Mailvelope qui pourrait être une solution.

Cet outil repose sur la bibliothèque Javascript OpenPGP.js, tu peux regarder de ce côté pour voir si d'autres solutions te conviendrait mieux.

Avertissement : je n'ai ni utilisé, ni testé les outils en question, je me base uniquement sur ce qui est décrit sur les sites web.

Ou Slackware. Très bien ça, Slackware.

Et ça devrait permettre de rester à l'abri de systemd pendant encore un petit moment je pense.

Sur un PC linux slackware 14.1 (la dernière version) 64 bits (…) impossible d'imprimer la page de test
(…)
Sur un autre PC avec slackware 12.2 32 bits (…) cela fonctionne

Pour rappel : Slackware propose un système 64 bits "pur", sans couche de compatibilité 32 bits par défaut.

Il n'est pas impossible que les fichiers .deb/.rpm que tu as installé contiennent des fichiers nécessitant un support 32 bits.

Je te conseille d'installer la couche de compatibilité 32 bits ("multilib"), cela pourrait régler ton problème.

J'avais pensé à ClamAV mais l'absence de console est un vrai problème, et pour revenir à ClamAV supporte il la comparaison avec disons un Nod32?
Le prix n'est pas forcément un critère rédhibitoire (dans la limite du raisonnable), c'est vrai qu'on aimerait bien que la console soit sur Linux mais j'ai pas l'impression qu'il y'en ait beaucoup qui propose ça …

Ce n'est effectivement pas dans les fonctionnalités de ClamAV que de proposer une console d'administration, si on a besoin de gérer plusieurs serveurs sous Linux utilisant ClamAV, la gestion consistera à garder les paquets à jour et à mettre à jour les signatures, rien de très complexe.

Je ne connais pas le client sous MS Windows, mais en terme d'efficacité il est toujours possible de trouver un autre antivirus "qui fait mieux" sur un point particulier. Concernant les plug-ins de navigateurs et autres parasites d'autres antivirus commerciaux ne font pas toujours efficaces (hello Symantec) et il faut recourir à des logiciels tiers pour éliminer tout ça.

Il faudra te renseigner sur le prix, mais il semble qu'il y ait au moins F-Secure qui propose une solution antivirus avec une console d'administration sous Linux : https://www.f-secure.com/en/web/business_global/products/policy-manager (voir le lien "Less manual work - Technical data sheet" dans la section documentation). Je n'ai jamais essayé et je n'ai pas d'actions chez F-Secure, je sais seulement qu'ils proposent des produits pour Linux depuis quelques années. Je crois me souvenir qu'un autre éditeur propose aussi quelque chose…

Une autre solution possible : utiliser le "Client Customization Kit" (CCK) pour Mozilla Firefox, qui permet, il me semble, de verrouiller certaines options, comme l'installation de plug-ins. Évidemment cela ne règle pas le problème pour d'autres navigateurs.

• https://wiki.mozilla.org/CCK
• http://mike.kaply.com/cck2/

D'ailleurs il y a un biopic aussi sur Stephen Hawking qui va sortir

"The Theory of Everything", que j'ai également eu l'occasion de voir. C'est un bon film, qui s'intéresse plus à l'homme et à sa vie personnelle qu'à l'aspect "scientifique/recherche" (le film est basé sur une biographie écrite par sa première femme, d'où l'importance de l'aspect familial). Évidemment il y a un peu de vulgarisation scientifique.

(et tant qu'on est dans les critiques cinémas je peux aussi donner un avis sur "Penguins of Madagascar" si besoin est).

Je ne me rappelle pas d'avoir eu de mauvaise surprise. Le "bachotage" peut suffire (ce qui est une critique fondée pour ce genre de test/certification), et est surtout utile pour les choses "idiotes" du genre "l'option x de la commande foo".

Comme pour tout examen à base de QCM, le temps est un facteur important : je conseille de lire l'intégralité du questionnaire en premier, noter mentalement les questions faciles et les difficiles puis répondre à chacune et enfin relire (et revérifier une seconde fois si possible).

Pour ce faire une petite idée de ce que cela donne il existe le LPI Practice Exams sur Penguin Tutor ; ce n'est pas exactement le LPI évidemment, mais ça peut servir comme base d'entraînement.

Je t'invites à consulter mon commentaire précédent sur le même sujet (voir même l'ensemble de la discussion).

Pour répondre aux autres questions : la durée de préparation est différente pour chacun. Selon ton expérience et tes facilités d'apprentissage tu peux avoir besoin de quelques mois ou quelques semaines. J'aurais tendance à prévoir deux mois pour être à l'aise (et laisser un peu de marge de manœuvre si tu ne peux pas y passer autant de temps que prévu).

La certification se passe "In Real Life", je ne crois pas qu'il y ait de version en ligne.

Idem : avec des noms de fichiers et répertoires nommés "correctement" et une once de mémoire c'est très efficace. Et rapide.

J'ai passé la certification LPI de niveau 1 il y a quelques années et voici mon appréciation :

• C'est un QCM, il faut bachoter, et même en ayant un niveau solide, ça permet de revoir, voir de découvrir, des choses. C'est un des gros avantages que j'ai ressenti. Quelques copains ont aussi passé du temps à réviser avec moi dans le même objectif, et cela permet d'enchaîner sur des discussions techniques sur tel ou tel outil ou méthode.
• J'ai profité des réductions pour passer les examens au FOSDEM (50%), c'est toujours ça de gagné.
• Au niveau professionnel : aucun gain. Après c'était une démarche purement personnelle (je n'en ai pas discuté avec mon employeur à l'avance) et étant dans la fonction publique, ce genre de chose ne rentre pas en ligne de compte (et j'en étais conscient). J'ai juste eu un mail de félicitations.

LPI me paraît préférable à une certification "de vendeur" car elle couvre n'importe quelle distribution Linux ou presque. Si tu es certain de devoir travailler au quotidien avec Red Hat (ou CentOS) cela peut avoir plus d'intérêt.

Autre retour : quelques années plus tard j'ai entrepris une démarche de validation des acquis de l'expérience. L'investissement personnel est beaucoup plus important (rédaction de mémoire sur un an) mais cela m'a donné une license professionelle à la clé, ce qui est sans comparaison aucune avec une "simple certification".

Certes, mais quelles infos sortent de la boucle de confiance toi + FAI?

Tout ce qui peut se balader en clair lorsqu'on utilise un hotspot dans un lieu public, un café,… ou même les postes en libre-accès dans une bibliothèque. Même si un opérateur de réseau local peut récupérer d'autres informations, il n'y a pas forcément de raison de "donner" le trafic DNS si on peut l'éviter.

L'intérêt d'avoir une discussion à ce sujet au niveau de l'IETF c'est que si les choses font leur chemin, cela améliorerait sensiblement les choses pour les utilisateurs non avertis. Le lecteur moyen de LinuxFr peut en effet connaître Tor, VPN, … et utiliser ces techniques, mais pas forcément "M. Toutlemonde".

Ce genre de chose doit être possible en utilisant les fonctions internes de Postfix ("built-in content inspection" comme par exemple header_checks à base d'expressions rationnelles) ou de développer son propre programme d'inspection ("Milter") qui viendra se greffer dans la file de traitement des messages, comme le ferait un programme antispam ou antivirus.

Dans tous les cas je recommande chaudement une batterie intensive de tests pour vérifier l'application des règles telles que souhaitées.

Je n'ai pas le même genre de problème (même si mon fournisseur d'accès est loin d'être un bon élève en ce qui concerne le service DNS) mais il me semble beaucoup plus intéressant à plusieurs points de vue d'avoir son propre résolveur DNS chez soi.

Dans le cas que tu cites, Unbound pourrait être une bonne solution : cela "répare l'accès à Internet" sans passer par les services de Google (ou autre prestataire de DNS public, qui se fait sûrement une joie de regarder tout ce qui passe) et il est possible de déclarer une liste d'adresses propre à ton réseau local (ce qui est gérable pour une liste assez courte, de manière basique). Cerise sur le gâteau, cela permet aussi de bénéficier de DNSSEC.

BIND permet aussi la même chose, mais est un peu plus complexe à mettre en œuvre. D'autres logiciels existent dans la même catégorie (dnsmasq par exemple, que je ne connais pas).

• Unbound DNS Tutorial
• Documentation ArchWiki
• Post de blog (plus tout à fait à jour)

Un résolveur DNS local pourra être utilisé par tout autre machine sur le réseau local (avec les bonnes directives de configuration pour en autoriser l'accès). L'idéal étant d'avoir le service installé sur une machine disponible en permanence afin de pouvoir disposer d'un meilleur cache.

Je l'utilise plutôt pour des projets un peu longs, pas vraiment pour les demandes rapides et au final c'est assez efficace. Léger, propre et efficace.

L'option est disponible dans l'outil de gestion chez OVH (que je n'ai pas encore testé…).

http://guides.ovh.net/dnssec

C'est un peu plus complexe qu'un simple bouton "j'active DNSSEC" mais ça à le mérite d'exister.

et pour les emails, c'etait de l'IMAP

Si on se cantonne à utiliser le service de courrier (sans les fonctions de calendrier et autre) et que le service IMAP est activé n'importe quel bon client de courrier électronique peut être utilisé. Le piège est éventuellement la façon dont est gérée l'authentification (MS Exchange n'annonce même pas toutes les méthodes supportées).

Et de fait on reçoit tout de même les "invitation de réunion" depuis le calendrier d'un collègue, sauf que le format est un peu barbare.

Reste les à-côtés rigolos comme le fait que MS Outlook permette "d'effacer" un message envoyé à un autre utilisateur du même serveur, mais comme cela ne marche qu'avec MS Outlook on voit tout de même que la personne a tenté d'annuler quelque chose… (fonction "Recall this message" en anglais).

Tout dépend comment c'est utilisé : si par miracle les utilisateurs ne se servent de MS Exchange que pour le courrier électronique alors n'importe quel serveur libre pourra faire le remplacement (Postfix, Exim, …).

Mais bien souvent c'est l'ensemble des fonctionnalités qui sont utilisées : courrier, calendrier (partagé avec les collègues), gestion de tâches, … Et pour ça un serveur de courrier n'est pas suffisant, il faut ajouter d'autres briques. Et c'est là que le bât blesse, les utilisateurs ne veulent généralement pas perdre leur habitudes et les fonctions auxquels ils sont habitués.

Remplacer MS Exchange : techniquement oui ; humainement, bon courage.

Il n'y a pas d'agent. Tu installes Monit sur ton serveur de supervision, et de là tu définis les tests dont tu as besoin (connectivité avec ICMP/ping, accès à une page web sur un serveur distant, …). Et quand les choses ne marchent pas comme prévu tu peux choisir de recevoir une alerte ou d'exécuter un script pour relancer un service, …

Exemple pour vérifier qu'un commutateur répond bien au ping :

check host mon-commutateur with address 192.168.1.1
if failed icmp type echo
then exec "/usr/local/bin/mon-script-d-alerte"
if failed icmp type echo within 2 cycles then unmonitor

Si le ping échoue je reçois un mail, si le ping échoue lors du cycle suivant (cinq minutes plus tard) je reçois un autre mail et le système arrête de surveiller le commutateur (parce que recevoir une alerte toutes les cinq minutes, au bout d'un moment c'est pénible ; je sais qu'il faut que je le redémarre ce commutateur). Évidemment comme toute solution de supervision, le gag est de ne pas perdre accès au système d'envoi des alertes…

Une autre chose que j'aime bien avec Monit : il y a une interface web (HTTPS au besoin) pour avoir une vue d'ensemble mais les mêmes opérations sont possible en ligne de commande.

M/Monit permet de superviser plusieurs Monit mais ce logiciel là n'est pas libre ni gratuit (il est possible d'essayer gratuitement apparemment).

en fait je veux faire en priorité de la supervision : savoir si mes services sont up, détecter les instabilités.

Je te recommande Monit. Simple à mettre en oeuvre, efficace et permet de surveiller une foule de choses.

Est-ce que tu as vue un avantage quelconque à cette migration ?

De manière très pragmatique : moins de dépendances Perl pour mettre à jour Amavis, et avoir un programme dédié simple à comprendre et à expliquer aux collègues.

Il y a peut-être du avoir des bénéfices en terme de performances aussi, mais ce n'est pas le genre de chose que je mesure de près.

Pour la maintenance / activité du projet, effectivement ClamSMTP ne bouge pas beaucoup. Ça marche, il ne manque rien de particulier, c'est stable.

Il y a quelques années en vue de mettre à jour les serveurs SMTP j'ai regardé quelles étaient les alternatives à Amavis (par curiosité, et histoire d'améliorer un peu la gestion des modules Perl nécessaires). Au final, Amavis a été remplacé par ClamSMTP ; la mise en œuvre est assez similaire et je n'ai pas noté de problème particulier (je n'ai pas plus de retour depuis, ne travaillant plus au même endroit).

"You are NOT running Windows XP"

Réponse obtenue depuis Mozilla Firefox sous Slackware.

Évidemment, il y a un incontournable script "[if IE 6]" dans la page, ce qui est sûrement un bon moyen de détecter MS Windows XP.

Bon, ça me propose tout de même un lien pour acheter MS Windows 8.1.