Fail2ban pour Owncloud 7 sur Debian Jessie

Petit guide pour couper court au crackage de vos passwords par le formulaire de login d’Owncloud.

Ajouter dans le fichier /etc/fail2ban/jail.conf :

[owncloud]
enabled = true
port = http,https
filter = owncloud
logpath = /var/log/owncloud.log
maxretry = 3

Modifier le fichier /etc/owncloud/config.php

'loglevel' => '2',
'logtimezone' => 'Europe/Brussels',

Le loglevel ne doit pas être supérieur à 2 pour que les tentatives de login soient enregistrées dans le log !
le logtimezone doit être accordé avec l’heure de votre serveur. Sinon fail2ban pensera toujours que la connexion est ancienne et ne bannira rien.

Créer un fichier /etc/fail2ban/filter.d/owncloud.conf:

[Definition]
failregex = .*"message":"Login failed:.*IP: '<HOST>'.*
ignoreregex =

Relancer le service fail2ban:
# systemctl fail2ban restart

Faites trois mauvaises tentatives de login sur Owncloud pour vérifier !
Pour vérifier le status de fail2ban:

# fail2ban-client status owncloud

Pour débloquer une IP:

# fail2ban-client set owncloud unbanip 192.168.0.13

Cette configuration de Owncloud et Fail2ban devraient être par défaut dans Debian à mon sens.

On peut également se connecter à Owncloud par l’API REST. Je n’ai pas testé si les erreurs de connexion par cette API étaient aussi enregistrées dans le fichier de log, et donc prises en compte par Fail2ban.

J'aime(5)Ferme-la !(1)

Installer un serveur Mumble sur Debian

Ils commencent à m’emmerder ces ploutocrates à vouloir m’espionner sans juges ! Voici comment avoir des discussions audio en toute intimité avec le logiciel libre Mumble.

Et ce sera la preuve que leurs systèmes d’écoute automatisée sur les réseau téléphone, Skype, etc… ne va renifler que les honnêtes gens, ou les terroristes de pacotille.

mumbleDonc pour discuter en toute discrétion, il vous faut:

  • un PC
  • dont vous connaissez l’IP sur Internet
    (astuce pour la connaître en ligne de commande : $ curl ifconfig.me)
  • et qui accessible depuis Internet sur les ports UDP and TCP 64738. Ca se configure dans la box/routeur de votre FAI si vous avez ça.

Une fois que vous avez ça. Il suffit d’installer le serveur libre Murmur.

Je donne l’exemple d’installation pour Linux pour la suite, mais Murmur marche aussi sous Windows et Mac OS. Donc voila la commande d’installation et configuration pour Debian :

# apt-get install mumble-server

Et voila, c’est tout! Dur hein?

Le serveur tourne, est accessible à tous les clients Mumble et les communications sont chiffrées entre le serveur et chaque client (chacun a un certificat). La classe.

Vous pouvez y accéder depuis votre Linux,Windows,Mac avec Mumble et de votre smartphone android avec Plumble, un logiciel libre disponible sur Fdroid ou Mumblefy sur iPhone.

Pour rendre le serveur privé, vous avez juste à renseigner un mot de passe derrière le paramètre serverpassword= dans le fichier /etc/mumble-server.ini.

Et cerise sur le gateau, le codec audio Opus est supporté par défaut :

J'aime(9)Ferme-la !(0)

Ne demandez plus d’email pour poster un commentaire

Il y a déjà 2 ans, je me posais déja la question, toujours sans réponse, Pourquoi faut-il renseigner son e-mail pour poster un commentaire?

En effet, sans email :

  • Askimet est toujours aussi performant pour supprimer les spams.
  • On peut suivre les commentaires d’un billet particulier par RSS.
  • C’est plus facile pour tout le monde d’écrire un commentaire sous pseudonyme.
  • C’est mieux pour la vie privée pour ceux qui ont une IP dynamique (les autres je vous ai à l’oeil :p)
  • Ca évite de se casser la tête à donner un email bidon ou de se faire spammer si votre email est utilisée à mauvais escient.

Si vous aussi, vous trouvez que ça n’a pas de sens, installez le plugin WordPress :  Remove Email from Comments

J'aime(13)Ferme-la !(2)

Google en intraveineuse

google-spyLes journaux en ligne dénoncent souvent le profilage constant des internautes par les Google, Facebook, NSA & co et sont toujours prompt à défendre Snowden. Pourtant, à l’encontre de leur discours, ce sont eux qui participent le plus au flicage des internautes.

Les journaux en ligne gratuits, vivant essentiellement de la publicité, y sont contraint par leur modèle économique. Ils cherchent à maximiser leur audimat par tous les moyens (Facebook, etc…) et leurs revenus publicitaires et cela passe par donner vos infos de connexions à la régie publicitaire (Google). Il n’y a donc rien à attendre d’eux sinon qu’ils ferment leur gueule et se remettent en question en lisant leurs propres articles (cela leur permettrait de corriger leur fautes d’orthographe également).

Plus inquiétant, les journaux payants tels que Mediapart, incluent le traqueur Google Analytics sur toutes leurs pages. Piwik s’installe pourtant en quelques clics. Il y a donc un manque de volonté de mettre une action derrière les mots.

Encore plus inquiétant, des journaux payants spécialisés sur le sujet et en informatique tels que NextInpact (nouveau nom de PCInpact), qui pourtant désactivent Google Analytics pour les abonnés sur leur pages , viennent de m’envoyer (je suis abonné) un questionnaire à remplir sur Google Forms ! Ben oui, c’est simple, c’est gratuit et c’est moi le produit ! Pourtant il existe Limesurvey qui s’installe aussi en quelques clics.

Bref, Google semble présent en intraveineuse même chez les plus éduqués des grands journaux en ligne, pour des fonctionnalités aisément remplaçables avec un peu de volonté.

J'aime(16)Ferme-la !(0)

Cacher ses adresses mail, numéros de téléphone, etc… des spammeurs sur WordPress

Si vous laissez votre adresse email sur un site web, nul doute qu’un robot va venir la lire et l’ajouter à son fichier de SPAM. Pour éviter cela, on peut encoder l’email en Javascript.

Les humains regardant la page web verront l’email proprement car leur navigateur va décoder le javascript. (Aucun problème de copier coller contrairement aux images)

Les robots ne vont pas exécuter le javascript car c’est trop long et trop complexe pour eux.

Cette technique s’applique aux emails mais aussi à tout contenu que vous voudriez protéger des bots comme votre numéro de téléphone etc…

Il existe un plugin pour WordPress pour mettre en place cette technique facilement : Email encoder bundle

Pour cacher un email ou tout autre contenu des robots, écrivez celui-ci entre balises dans votre article :

[eeb_content]toto@gmail.com[/eeb_content]

J'aime(7)Ferme-la !(1)

Forcer l’utilisation de SSL pour se connecter à WordPress

Un des moyens de ne pas se faire voler son mot de passe et login WordPress est de se connecter uniquement en chiffrant la connexion par SSL (HTTPS). WordPress a une fonctionnalité, un peu cachée, pour forcer l’utilisateur à utiliser SSL lors de sa connexion.

Pour activer cette fonctionnalité, vous devez rajouter dans le fichier wp-config.php la ligne suivante :

define('FORCE_SSL_ADMIN', true);

Source : Codex WordPress

J'aime(1)Ferme-la !(0)

MySearch and GooglePlayDownloader passent en version 1.6

Voila c’est Noël avant l’heure, je sors une nouvelle version de mes 2 logiciels libres :

  • Mysearch : un métamoteur de recherche anonymisateur, sans pub, et avec la pertinence des résultats Google.
  • GooglePlayDownloader : il vous permet de télécharger les applications gratuites du PlayStore sans nécessiter d’utiliser un compte Google personnel ni d’installer les applis Google avec les droits root sur votre smartphone Android

Par un hasard incroyable ils atteignent le même numéro de version (1.6) en même temps :-)

Si vous voulez me faire plaisir, faite connaître ce blog plus largement sur la toile, ça me suffit.

Amusez-vous bien !

J'aime(8)Ferme-la !(0)

Mini guide MySQL

Je mets ici mon anti-sèche pour mes besoins basiques de MySQL, à savoir gérer des sites  WordPress, Owncloud, Piwik, etc…

Prise en main

Un super utilisateur nommé « debian-sys-maint » est créé par Debian pour administrer MySQL. Son mot de passe se trouve dans le fichier /etc/mysql/debian.cnf
# cat /etc/mysql/debian.cnf

On peut se connecter à MySQL avec l’une des solutions suivantes :

  • Mot de passe interactif :
    $ mysql -u debian-sys-maint -p
  • Mot de passe en chargeant le mot de passe directement depuis le fichier:
    # mysql --defaults-file=/etc/mysql/debian.cnf
  • Mot de passe avec le mot de passe dans la ligne de commande (déconseillé, le mot de passe se trouvant alors dans l’historique):
    $ mysqldump --user=debian-sys-maint --password=MOTDEPASSE

Vous devriez avoir l’invite de commande MySQL:
mysql>

Pour quitter MySQL à tout moment:
mysql> exit

On va maintenant pouvoir lancer des commandes, chaque commande se termine par le caractère ‘;‘, ne l’oubliez pas.

Pour lister toutes les bases de données présentes:
mysql> SHOW databases;

Pour lister tous les utilisateurs:
mysql> SELECT User,Host FROM mysql.user;

Procédure pour installer un nouveau site web facilement

Souvent, il vous arrivera pour installer un nouveau service (WordPress, Owncloud, Piwik, etc…) de devoir créer une nouvelle base de données et un nouvel utilisateur ayant tous les droits sur celle ci. Voyons comment faire ca.

Comme nous allons créer un nouvel utilisateur et son mot de passe, je vous invite générer un bon de mot de passe en suivant ce guide avant de commencer.

Ensuite, un fois connecté à MySQL :

Créez un nouvel utilisateur en utilisant le mot de passe généré:
mysql> CREATE USER 'piwik_user'@'localhost' IDENTIFIED BY 'mot_de_passe_complique';

Créez une nouvelle base de donnée:
mysql> CREATE DATABASE piwik_database;

Donnez les permissions à l’utilsateur sur la base de données:
mysql> GRANT ALL ON piwik_database.* TO 'piwik_user'@'localhost';

Appliquez les privilèges:
mysql> FLUSH PRIVILEGES;

Fini !
mysql> exit;

Et voila, vous êtes bon. C’était pas si dur :-)

Sauvegarde et restauration

Une chose super indispensable à savoir aussi, sauvegarder sa base de donnée. Car on ne peut pas récupérer les données sans que MySQL tourne. Donc il faut penser à bien faire ses sauvegardes tant que MySQL fonctionne.

$ mysqldump --user=debian-sys-maint --password=MOTDEPASSE piwik_database > ~/mysql-piwik_database-backup.sql

Pour restaurer:

$ mysqldump --user=debian-sys-maint --password=MOTDEPASSE piwik_database < ~/mysql-piwik_database-backup.sql

Si vous réimportez la base de données dans un MySQL vierge (ex: résintallation de PC), il faut aussi penser à re-créer les utilisateurs (cf guide ci-dessus) :
$ mysql --user=debian-sys-maint --password=MOTDEPASSE
mysql> CREATE USER 'piwik_user'@'localhost' IDENTIFIED BY 'mot_de_passe_complique';
mysql> GRANT ALL ON piwik_database.* TO 'piwik_user'@'localhost';
mysql> FLUSH PRIVILEGES;
mysql> exit;

J'aime(4)Ferme-la !(1)

Mettre à jour le plugin Flash sous Debian

J’ai récemment eu un petit problème avec Flash, Youtube m’avertissant que le plugin Flash n’était pas à jour !

Vous pouvez vérifier que vous avez la dernière version :
# update-flashplugin-nonfree --status
Flash Player version installed on this system : 11.2.202.406
Flash Player version available on upstream site: 11.2.202.425

En effet, une nouvelle version de Flash est disponible et fixe des problèmes de sécurité dont notamment le CVE-2014-9163 déjà en cours d’exploitation en décembre.

Vous pouvez mettre à jour par cette commande en root:
# update-flashplugin-nonfree --install

Il faudrait vraiment que le plugin Flash se mette à jour tout seul sous Debian à chaque nouvelle version d’Adobe !

J'aime(2)Ferme-la !(2)

Générer un mot de passe aléatoire avec OpenSSL

Parfois, on a besoin de générer un mot de passe aléatoire complexe.

Se pose alors la question comment en trouver un?
Oubliez la méthode de la frappe au hasard sur le clavier. C’est chiant et vous y verrez des motifs récurrents (genre « sdfsdf » :D).

Rien de plus simple avec OpenSSL. Par exemple, pour générer un mot de passe de 8 caractères :

$ openssl rand -base64 8 | cut -c 1-8
Q+0F+Hwb

Notez que ca doit marcher sous MacOS aussi.

Autre solution encore plus pratique, en utilisant la commande mkpasswd contenu dans le paquet whois. (appuyez juste sur entrée quand vous demande le Password :

$ mkpasswd
Password:
KELshv5A8StGo

Par défaut le mot de passe fait 13 caractères ce qui me semble robuste.

J'aime(2)Ferme-la !(0)