Tous les articles par Florian Cristina

Utilisateur et liste de distribution

Il arrive bien souvent qu’un utilisateur ne rentre pas correctement son email dans la newsletter.La liste des FQDN pourris et une commande SQL et le tour est joué :

SQL :

UPDATE table_name SET column_name = REPLACE(column_name, »%original_string% », »%replace_string% »)

Voici une petite liste de FQDN :

Pour hotmail.fr ou .com

otmail.fr
htomail.fr
hotmzil.fr
hotmai.com
hotmaol.com
hotmal.com

Pour yahoo.fr

yhoo.fr

Pour videotron.ca

videotro.ca

Pour gmail.com

gmaill.com
gmail.fr

Pour cegetel.net

cegtel.net

MEHARI ou EBIOS ? Les 2 mon général !

Suite à la conférence de RéSIST et après une intense réflexion je me lance sur l’étude de MEHARI et EBIOS pour ma dernière année d’étude.

Alors pour EBIOS rien ne vaut le site de la DCSSI : http://www.ssi.gouv.fr/fr/confiance/ebiospresentation.html

Et pour MEHARI les demi-dieux du CLUSIF : http://www.clusif.asso.fr/fr/production/mehari/

MAJ : Le projet a été abandonné au profit d’une étude sur le chiffrement de disque.

Comparatif et test de firewall

Voici quelques site qui donne tout un tas d’information sur les firewall sous Windows.

Celui ci permet de tester le firewall de votre machine avec plusieurs test avec des degrés de sécurité différent : http://www.pcflank.com

Celui ci applique une batterie de test sur les différent firewall pour Windows du marché et dresse une liste en les notants tous : http://www.matousec.com/projects/firewall-challenge/results.php

SSII/SSLL et intégrateur sur toulouse

Voici une liste de SSII et SSLL présente sur Toulouse.

SUPINFO est reconnus dans ces entreprises comme école d’ingénieur mais parfois le nom est ESI ou ESI Montreuil et non SUPINFO.
Le chiffre en xk est le nombre de collaborateur.

———————————————-
Agence pour l’emploi :

APEC : ANPE pour les cadres
www.apec.fr

ANPE
www.anpe.fr

—————————————-
Grosse SSII Internationale :

Athos Origin
http://www.atosoriginrecrute.fr
50k

Sogeti (appartiens à Capgemini)
http://www.fr.sogeti.com
19k

Capgemini
http://recrutement.fr.capgemini.com/Web/RechDoss.aspx
65k

Sopra Group
http://www.recrut.sopragroup.com/
12k

Steria (ne connait pas SUPINFO, choisissez BAC+5 autre école)
http://www.steria.fr
20k

Logica (ancienement UNILOG)
http://www.logica.com
40k

CSC
http://fr.country.csc.com/fr/index.shtml
70k (3ieme plus grosse SSII mondiale)

ALTEN
http://www.alten.fr
10k

GFI Informatique
http://www.gfi.fr/recrutement/
10k

———————————————–
SSII de taille moyenne :

Dimension Data
www.dimensiondata.com
8.6k

Segula
http://www.segula.fr
6k

Ares
http://www.ares.fr
1.4k

Groupe Astek
http://www.astek.fr
3k

Viveo ToolObject
http://www.viveo-toolobject.fr

SII
http://www.sii.fr/

CS
http://www.c-s.fr

Alyotech
http://www.alyotech.fr

Infotel
http://www.infotel.com/fr/recrutement.html

ESR
http://www.esr.fr

COFRAMI
http://www.coframi.fr/

Alyotech
http://www.alyotech.fr/

CetSI
http://www.cetsi.fr

Cisia
http://www.cisia.fr

CELAD
http://www.celad.com/offres/toulouse.php

Consortnt
http://www.consortnt.fr/Home/Default.aspx

INFOLEC
http://www.infolec.fr

APSIDE
http://www.apside.fr

AR Systèmes
http://www.arsystemes.fr/ar/

FORMI-SA
http://www.formi.fr

MISMO
http://www.mismo.fr/fr-Groupe-Emploi.html

ODIMA
http://www.odima.fr

Sodifrance
http://www.sodifrance.fr

Groupe ON-X
http://www.on-x.com

SQLI
http://www.sqli.com

REN Informatique
http://www.rem-informatique.com

Viveris
http://www.viveris.fr

Osiatis
http://www.osiatis.fr/

————————————————————–
Intégrateur

Axians
http://www.axians.com/accueil/index.shtml

ActenGo
http://www.actengo.com/

Nextiraone
http://www.nextiraone.fr/

Cegelec
http://www.cegelec-recrute.fr/index.htm

Neo-Soft
http://www.neo-soft.fr

————————————————————–
SSII de petite taille orienté internet

DeciLogic
www.decilogic.fr/

Systonic
http://www.systonic.fr/ et http://stages.systonic.fr/

ACTENGO
http://www.actengo.com/

————————————————-
SSLL

Aliasource (linagora toulouse)
http://www.aliasource.fr/

C’est à compléter.

Sogeti, Capgemini, Atos et Logica utilisent, sur leur site respectif, le même logiciel de RH pour déposé son CV. Ce qui facilite l’ajout de la candidature pour les stages et cdd/cdi.

Firewall pour serveur dédié avec iptables

Firewall pour serveur dédié avec iptables

Ce script ce base sur iptables, il a pour but de bloquer tout le trafic entrant sur le serveur à part les service qui seront listé. Le trafic sortant n’est quand a lui n’est pas impacté.

Je créer un fichier firewall :

# nano /etc/init.d/firewall

#!/bin/bash
echo Setting firewall rules...
#
# config de base dedibox
# Florian Cristina
#v1.1

###### Debut Initialisation ######

# Vider les tables actuelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions établies : [OK]

###### Fin Inialisation ######

##### Debut Regles ######

# Autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
echo - Autoriser SSH : [OK]

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
echo - Autoriser loopback : [OK]

# Autoriser ping
iptables -t filter -A INPUT -p icmp -j ACCEPT
echo - Autoriser ping : [OK]

# HTTP et HTTPS
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
echo - Autoriser HTTP et HTTPS : [OK]

# DNS
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
echo - Autoriser DNS : [OK]

# FTP
modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
echo - Autoriser FTP : [OK]

# Mail : POP, SMTP, IMAP
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
echo - Autoriser Mail : [OK]

###### Fin Regles ######

###### Interdiction de tout entrant ######
# Interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion entrante : [OK]

echo Firewall mis a jour avec succes !

Je donne les droits d’exécution :

# chmod +x /etc/init.d/firewall

Une fois que vous l’avez tester et que cela fonctionne vous pouvez le mettre à chaque démarrage du serveur.

# update-rc.d firewall defaults 99

Merci à Rusty Russell et son How-To, il est la base de cette page. Et merci surtout pour son travail au sein de l’équipe de développement de Netfilter 🙂

Tester votre Firewall avec nmap

Tester votre Firewall avec nmap

Attention un scan de port sur un serveur qui ne vous appartient pas est considéré comme une attaque.

Afin de savoir si votre firewall fonctionne, vous pouvez utiliser l’utilitaire nmap (http://insecure.org/nmap/). Avec nmap vous allez chercher à savoir quel est l’état de vos ports.

Il y a 3 états possibles :

* open : Le port est ouvert et un service écoute le port.
* closed : Le port est ouvert mais il n’y a aucun service qui écoute le port.
* filtered : Le port est fermé.

Pour utiliser nmap, vous devez vous situer sur un autre serveur (ou de chez vous) et procéder ainsi :

#nmap IPduserveurcible -p leport

Gestion avec BIND et nssec.dedibox.fr de nom de domaine en .fr

Déclaration du nom de domaine sur nssec.dedibox.fr

Pour commencer, comme cela prend 24h pour que nssec.dedibox.fr se mette à jour, vous devez ajouter votre domaine en .fr dans l’interface dedibox le plus tôt possible.

Note du relecteur : L’installation initiale du domaine secondaire prends 24 heures environs (toutes les nuits à 2h45 du matin), ensuite les mises à jour sont effectuées dans le délais “refresh” indiqué dans la SOA du DNS primaire de votre nom de domaine.

Aprés avoir sélectionne votre serveur, dans l’onglet “Dns secondaire”.

A présent, cliquez sur Gestion DNS secondaire. Vérifiez que le serveur DNS primaire est bien celui qui doit gérer les DNS. Rajouter votre nom de domaine (sans http ni www).

Configuration de BIND

Le fichier de configuration général

Si vous utilisez un panel de gestion, commencez par installer le domaine avec le panel de gestion. Pour configurer BIND vous devez vous logger en root en ssh sur votre dedibox et éditer 2 fichiers.

Editez le fichier de configuration général de bind /etc/bind/named.conf. Placez-vous à la suite (ou sur la configuration faite par le panel) pour que la configuration de votre domaine ressemble à ceci (remplacer domaine.fr par votre domaine) :

zone "domaine.fr" {
       type master;
       notify yes;
       allow-transfer { 88.191.254.7; };
       file "/var/cache/bind/domaine.fr.db";
};

Comme vous l’avez surement remarqué le allow-transfer n’est pas configuré sur 88.191.254.71, l’ip de nssec.dedibox.fr, mais sur 88.191.254.7 car c’est ce serveur qui s’occupe de gerer les AXFR. Dans cet exemple le fichier de zone sera contenu dans /var/cache/bind/domaine.fr.db

Le fichier de zone

A présent il faut éditer le fichier pointé par le file. Dans cet exemple ce sera donc /var/cache/bind/domaine.fr.db Editer votre fichier pour qu’il ressemble à ceci :

$TTL 86400
@       IN      SOA     sd-xxxx.dedibox.fr. root.domaine.fr. (
                        2006081720
                        8H
                        2H
                        4W
                        1D )
        IN      NS      sd-xxxx.dedibox.fr.
        IN      NS      nssec.dedibox.fr.
        IN      MX      10 mail.domaine.fr.

domaine.fr.    A       88.191.xx.xx
ns             IN      A       88.191.xx.xx
mail           IN      A       88.191.xx.xx
www            CNAME   domaine.fr.
ftp            CNAME   domaine.fr.

Remplacer domaine.fr par votre propre nom de domaine. Remplacer sd-xxxx.dedibox.fr par le nom de votre dedibox. Remplacer 88.191.xx.xx par l’ip de votre dedibox. Faite bien attention de laisser les ”.” comme ils sont indiqués. Metter à jour le numero de serie.

A présent il vous reste à relancer BIND pour prendre en compte les modifications.

# /etc/init.d/bind9 reload

L’Afnic arg…

Avant de vous rendre sur le site de l’afnic pour tester votre domaine, pensez à créer un mail en postmaster (faite un catch-all) sur le domaine en .fr.

Après avoir attendu les 24h réglementaires, il vous reste l’étape si redoutée du passage du test zonecheck de l’afnic ici http://www.afnic.fr/outils/zonecheck/form

* Dans « zone » rentrer votre domaine sans www, ni http.
* Dans « primaire » rentrer le reverse (sd-xxxx.dedibox.fr) de votre dedibox et son IP.
* Dans « secondaire » rentrer nssec.dedibox.fr et 88.191.254.71 pour IP.

Si le test provoque des erreurs lisez les messages d’erreur générés par le zonecheck et corrigez les problèmes.

Sinon, si le test affiche SUCCES c’est que tout est bon, vous pouvez vous rendre chez votre registrar pour modifier vos serveurs de nom. Votre registrar enverra la demande à l’afnic qui procédera à la mise à jour du lundi au vendredi 9h-12h et 14h-17h…

Bref pour ce qui concerne la migration des DNS d’un nom de domaine en .fr, la meilleure des qualités c’est d’être patient. 😀

Merci à Mickael Moreira, Raphael Clerc, et achtungbaby pour leurs conseils.

Celui que j’avais écris pour le support ce trouve ici : http://documentation.dedibox.fr/doku.php?id=admin:dns

Des vieux articles sur documentation.dedibox.fr

Je viens de retrouver des vieux tuto que j’avais écris pour le support de dedibox.fr http://documentation.dedibox.fr/doku.php

Le premier traite de l’utilisation d’un firewall (iptables) pour un serveur dédié de façon très basique. Et le second sur la configuration de bind pour validé les ndd en .fr qui est plus rigoureuse que celles des .com/.net/.org.

Je vais un peu les rafraichir et les mettres sur le blog 😀