Atkati

LA SOLUTION A ETE TESTEE.
VOUS POUVEZ MAINTENANT L'APPLIQUER SANS PROBLEME.

Salut à tous,
pour ceux qui ne sont pas adhérents AFNIC, le registre .FR, un mail à été envoyé ce matin pour avertir d'un gros problème avec les DNS.
Voici ce message et la solution que j'ai trouvé pour Bind sur RedHat OVH:


----- Original Message -----
From: "AFNIC"
To:
Sent: Wednesday, March 29, 2006 11:06 AM
Subject: Avertissement concernant les serveurs DNS récursifs ouverts


[Attached is an english version, if necessary.]

Vous l'avez peut-être vu dans la presse, les attaques par déni de service utilisant des serveurs DNS pour l'amplification sont en brusque augmentation.

Ces attaques ont en commun d'utiliser des serveurs DNS récursifs ouverts. Un serveur DNS récursif est dit ouvert lorsqu'il répond à des requêtes du monde entier (et pas seulement de son réseau local, comme il devrait le faire). Il peut alors servir de relais pour l'attaque par déni de service, engageant ainsi potentiellement la responsabilité
de son administrateur. La réponse DNS étant typiquement plus grosse que la requête, il y a amplification de l'attaque, permettant à l'attaquant d'économiser sa bande passante.

L'AFNIC tient à attirer l'attention de tous ses membres sur le danger que représentent les serveurs DNS récursifs ouverts. Ils ont peu d'usages légitimes alors que leur rôle dans les attaques actuelles en fait une menace pour tout l'Internet. L'AFNIC recommande fortement la fermeture de ces serveurs ouverts, selon les méthodes exposées dans les références. Par exemple, pour le serveur DNS BIND, l'usage de "recursion no" est demandé. Pour le service récursif à destination du réseau local (et des clients, pour un FAI), il faut utiliser une deuxième machine ou bien un deuxième démon sur la même machine ou encore les vues de BIND 9.

Vous pouvez naturellement demander détails ou aide à l'AFNIC.

L'AFNIC, ainsi que les autres registres de TLD, poursuit la réflexion quant aux autres mesures à adopter contre ce risque. Une des possibilités discutées est le refus de servir les requêtes des serveurs DNS récursifs ouverts. Pour l'instant, les études montrent qu'une part importante de serveurs de noms sur le réseau sont des récursifs ouverts, ce qui mérite notre attention collective et devrait faire l'objet de mesures correctives de la part des gestionnaires de serveurs de noms.


Références :

Securing an Internet Name Server
http://www.cert.org/archive/pdf/dns.pdf. Une très bonne synthèse pratique pour l'administrateur système.

DNS Amplification attacks
http://www.isotf.org/news/DNS-Amplification-Attacks.pdf. Une bonne description des attaques actuelles.

The Continuing Denial of Service Threat Posed by DNS Recursion
http://www.us-cert.gov/reading_room/DNS-recursion121605.pdf. L'avis du CERT états-unien.

Stop abusing my computer in DDOSes, thanks
http://weblog.barnet.com.au/edwin/cat_networking.html. Une description du premier cas connu de cette attaque, connu sous le nom de "x.p.ctrc.cc".

[En français] Il est recommandé de fermer les serveurs DNS récursifs ouverts
http://www.bortzmeyer.org/fermer-les-recursifs-ouverts.html. Inclus une description détaillée de l'attaque.

---------------

-- LA SOLUTION --
Il suffit donc d'éditer le fichier "/etc/named.conf" pour mettre en debut de fichier :
acl recurseallow { 212.27.32.132;ADRESSE.IP.PUBLIQUE.DE.VOTRE.SERVEUR;127.0.0.1;};
212.27.32.132 => ns.ovh.net au cas où, on ne sait jamais...
puis de rajouter dans la section options :
allow-recursion { recurseallow; };

N'essayez pas de rajouter simplement "recursion no;" dans options, vous risquez de casser les envois de mail avec qmail.

Merci à Xavier de la ML OVH pour son aide.

Après un peu d'hésitation, j'ai sauté le pas.

Ubuntu est installé sur mon PC. J'ai mis les dépots Dapper Drake.

Un fois quelques embûches passées (Amarok sans son réglé avec des paquets aRts par exemple) je me retrouve avec un système convivial qui fait tout ce que je lui demande.

L'installation est facile grâce à un gestionnaire d'applications très pratique. Reste à voir s'il existe des dépots plus complets ailleurs ou des logiciels hyper pratiques ou plus aboutis sur une face cachée du net.

J'ai essayé de changer le bureau pour XFCE, mais rien ne vaut Gnome, bien plus simple d'accès.

Bref, tout va bien dans le meilleur des mondes, et j'en connais un qui va être content (Dudulle) qui m'a presque insulté de ne pas encore être sur Linux alors que j'avais toujours dénoncé les procédés monopolistiques de Microsoft. (Oui, il m'a engueulé car j'ai acheté la XBox 1... mais bon, c'était pour jouer à un seul jeu et pouvoir la modifier pour passer mes backups DVD et VHS en XVid sur ma TV.) 

Donc, ne vous étonnez pas si vous trouvez quelques notes sur des logiciels Linux... je suis enfin équipé !

Linux inside ! 

Raz le bol de Windows. Bugs, virus... Je passe à linux.

Je viens d'installer Ubuntu 5.10. Malgrès que le système soit un peu lent sur mon PC, c'est une joie d'utiliser un système libre, gratuit avec tout ce dont on a besoin pour l'informatique personnelle quotidienne.

Je posterai sur mon blog quelques notes sur les logiciels que j'utiliserai régulièrement, mes impressions, mes retours d'expérience. 

Créée il y a 70 ans pour exploiter industriellement le procédé offset, l'Imprimerie de la Manutention est aujourd'hui une Société Anonyme Simplifiée au capital de 250 000 €, forte d'une solide expérience technique et d'un savoir faire fondé sur un personnel qualifié et le matériel grand format le mieux adapté.

J'ai recherché partout sur la toile un manager gratuit, hyper accessible et très basique, me permettant de créer des VirtualHost Apache, ajouter des domaines à vPopMail, déclarer une zone dans Bind.

Je n'ai rien trouvé de tel.

Il existe des solutions payantes, extrèmement complexes et/ou complètes qui ne me conviennent pas.

J'ai donc décidé de me lancer dans un manager de serveur dédié (sous Debian) qui fonctionnerait en PHP, quoi de plus simple !

Mon premier module permet de déclarer/supprimer un domaine pour vPopMail.
J'utilise la fonction shell_exec avec sudo. Il m'a fallu modifier le fichier "/etc/sudoers" de telle façon que je puisse agir sur les scripts d'ajout et de suppression de domaine à vPopMail :

APACHE ALL = (root) NOPASSWD: /var/lib/vpopmail/bin/vadddomain
APACHE ALL = (root) NOPASSWD: /var/lib/vpopmail/bin/vdeldomain

Je vais rajouter à ce module la liste des domaines déjà déclarés.

Mon deuxième module sera pour la gestion des VirtualHost Apache 1.3, puis 2.x.

Les paquets Dotdeb sont une solution pour tout administateur de serveur d'hébergement pour fournir les derniers software pour le développement web et pour sécuriser sont serveur mail grace à Clamav (antivirus) et lutte antispam.

Nous allons utiliser le fabuleux apt-get pour installer tous nos paquets.

En premier lieu, il faut ajouter les sources Dotdeb dans la liste des sources dans le fichier "/etc/apt/sources.list" . Pour la part, j'utilise les miroirs français, il faut bien faire travailler nos compatriotes.

deb http://packages.dotdeb.org stable all
deb-src http://packages.dotdeb.org stable all

deb http://dotdeb.thefox.com.fr stable all
deb-src http://dotdeb.thefox.com.fr stable all

Lançons-nous dans l'installation du trio AMP (Apache, Mysql 5, PHP 5).

apt-get install php5 php5-mysql mysql-server-5.0 apache libapache-mod-php5

Pas d'inquiétude à avoir, les paquets dont dépendent ceux-ci seront installés en même temps, laissons travailler apt.

Vous pouvez bien entendu installer tous les paquets php5 dont vous avez besoin.
Pour connaitre la liste des paquets disponibles :

apt-cache search php5-*

Si vous n'avez pas apt-cache, procédez d'abord à son installation :

apt-get install apt-cache

Installons maintenant la plateforme mail (qmail, vpopmail, clamav, qmailadmin) :

apt-get install qmail, vpopmail-bin, qmailadmin

Les paquets Dotdeb vous installent automatiquement tout ce qu'il faut avec Clamav, pas besoin de le demander.
Si à ce stade vous obtenez une erreur du type : "cannot reallocate 256 bytes (0 bytes allocated)" :

1. Désinstallez vpopmail-bin : "apt-get remove vpopmail-bin"
2. Editez le fichier "/etc/init.d/vpopmail"
3. Modifiez la valeur du "ulimit" pour une valeur plus grande (Pour ma part, j'ai opté pour 4096, et ça marche assez bien)

Vous pouvez maintenant utiliser vos mails.
Pour ajouter un domaine, comme nous n'utilisons pas de manager type AlternC ou OVHM (Manager OVH pour les Redhat OVH), il va falloir le déclarer en console avant d'utiliser qmaildadmin.

Pour déclarer un domaine pour vpopmail/qmail :

vadddomain votredomaine.tld passworddupostmaster

votredomaine.tld : le nom de domaine à installer
pasworddupostmaster : le mot de passe pour la boite "postmaster@votredomaine.tld" qui vous servira à administrer le domaine dans qmailadmin.

Voilà ! Tout est prêt.
Si vous avez un soucis, commentez !

Un livre magnifique sur Ruby on Rails adapté du premier livre original en anglais des concepteurs de Rails.

Vous le trouverez le moins cher par ici. 

Si vous utilisez les paquets DotDeb qui sont très très utiles pour mettre PHP5, Apache 2, MySQL 5 et production, vous pouvez tomber sur un problème du genre :

 Paramétrage de vpopmail-bin (5.4.4-1) ...
  /etc/init.d/vpopmail: xrealloc: /Users/chet/src/bash/src/parse.y:2768: cannot reallocate 256 bytes (0 bytes allocated)
  invoke-rc.d: initscript vpopmail, action "start" failed.
  dpkg : erreur de traitement de vpopmail-bin (--configure) :
  le sous-processus post-installation script a retourné une erreur de sortie d'état 2  

Si tel est le cas, rendez-vous dans le fichier "/etc/init.d/vpopmail" et remplacez la valeur du ulimit.

Pour ma part, j'ai mis 4096 et ça marche plutôt bien pour l'instant.

Exemple du problème rencontré sur le blog de Keishi.

Voici un petit code posté par Thibaut Barrère sur la ML railsfrance...
Il permet d'utiliser un page de traduction via le plugin Watir et d'obtenir le résultat de la traduction.

require 'watir'
include Watir

AVAILABLE_TRANSLATORS = { :fr_to_en => "65544", :en_to_fr => "524289" }

def translate(word,translation)
  ie = IE.start('http://elmundo.reverso.net/textonly/default.asp')
  ie.text_field(:name,'source').set(word)
  ie.radio (:value,AVAILABLE_TRANSLATORS[translation]).set
  ie.wait
  result = ie.text_field(:name,'target').value
  ie.close
  result
end

puts translate('élève',:fr_to_en)

Des professionnels de l'audit, de la formation, du conseil et de l'assistance à votre écoute.

De la détection à la résolution, ils vous accompagnent tout au long de votre projet. Avec une réelle compréhension des problématiques d'entreprise, associée à une demande de qualité et de proximité en conseil et formation. Leur expérience de 10 ans nous permet d'intervenir dans tous les secteurs d'activités.

Audit - Formation - Conseil - Assistance technique

ANTEMYS Organisation
12d rue des Landelles
immeuble Hercule
35510 CESSON SÉVIGNÉ
Tél. 02 23 45 65 65 - Fax 02 23 45 65 66