Archives de catégorie : Vie de FUNIX

Installation de Mageia 9

Suite à la sortie de Mageia 9 j’ai passé un peu de temps ce week end à migrer trois de mes postes Lenovo, 2 postes clients Thinkpad x220 et x240 et surtout mon petit serveur personnel Thinkcenter M92p dont j’avais vanté les mérites sur linuxfr.org.

Habituellement je fais des mises à jour, il y a bien longtemps que je ne repars pas à zéro et réinstallant tout. Les mises à jour sont maintenant parfaitement maîtrisées et on gagne un temps fou car elles reprennent les fichiers de configuration existant. Généralement les modifications de configuration sont de l’ordre du cosmétique. Mais quelle ne fut pas ma surprise sur mon serveur, il avait purement et simplement supprimé ma configuration NFS et sendmail qu’il a fallu que je redescende. J’ai été bien content d’avoir mis en place une sauvegarde borg. J’ai retrouvé assez vite mes petits en montant la sauvegarde système de la veille et en copiant les fichiers manquants.

A part ça je constate encore que le ménage des anciens paquets rpm de la mageia 8 laisse encore à désirer, ll en reste par dizaine et dizaine qui ne sont pas supprimés du système. Le script bash suivant permet de les supprimer d’un seul coup.

#!/bin/bash
rpmfiles=$(rpm -qa | grep mga8);
for f in $rpmfiles
do
 urpme --auto $f
done

Globalement cette Mageia 9 apporte peu de nouveautés à part des évolutions de version, elle utilise encore les vieux scripts de la Mandrake écrits en perl qu’il serait sans doute temps de changer. Il y a quand même une nouveauté, la commande remove-old-kernels qui comme son nom l’indique permet de supprimer les anciens noyaux qui s’accumulaient jusqu’à présent si on ne faisait pas manuellement le ménage de temps à autre.

 Bienvenue à 'remove-old-kernels' Interactive

 System: Mageia release 9 (Official) for x86_64 | Noyaux dans /boot/:4 | AUTO:1 | GARDER:3  
 ==> kernel-desktop
 1   : Garder : U   : kernel-desktop-6.4.9-4.mga9.x86_64            jeu. 31 août 2023 16:47:49 
 2   : Garder :     : kernel-desktop-6.4.9-2.mga9.x86_64            lun. 14 août 2023 20:03:37 
 3   : Garder :     : kernel-desktop-6.4.8-2.mga9.x86_64            ven. 04 août 2023 13:00:50 
 4   : Enlever:     : kernel-desktop-6.4.7-3.mga9.x86_64            mer. 02 août 2023 15:42:47 
                U = En usage maintenant
Enlever 1 noyau: ? y/N/i (y=oui N=non i=confirmer pour chaque) y 

désinstallation de kernel-desktop-6.4.7-3.mga9.x86_64

J’ai commencé également à upgrader les différents services de mon serveur, Pour mon serveur httpd, je suis ainsi passé à Apache 2.4.57, PHP 8.2.10 et MariaDB 11.1.2. Prochaine mise à jour de FUNIX à venir pour prendre en compte cette montée en version.

Amélioration du filtrage des spams avec SpamAssassin

J’ai conduit récemment quelques améliorations à ma configuration de SpamAssassin pour filtrer les spams. En effet je continuais à avoir des mails écrits en arabe ou chinois qui continuaient à passer au travers, j’ai donc mis en place un filtrage basé sur la langue. Sous /etc/mail/spamassassin, j’ai édité le fichier v343.pref et j’ai décommenté les lignes suivantes:

ok_languages en fr ca de es it pt
score UNWANTED_LANGUAGE_BODY 10
add_header all Languages _LANGUAGES_

La première ligne indique les langues que l’on accepte, les mails écrits dans une toute autre langue se verront attribuer une note de 10 et considérer comme du spam.

Et maintenant en cas de réception de mail en langue arabe ou chinoise, vous allez voir apparaître dans le rapport spamassassin en plus cette mention

 10 UNWANTED_LANGUAGE_BODY BODY: Message dans une langue non désirée
                             (config locale)

et dans le corps du mail on retrouve UNWANTED_LANGUAGE_BODY

X-Spam-Flag: YES
X-Spam-Status: Yes, score=11.7 required=5.0 tests=BAYES_40,DKIM_SIGNED,
        DKIM_VALID,DKIM_VALID_AU,DKIM_VALID_EF,FREEMAIL_ENVFROM_END_DIGIT,
        FREEMAIL_FROM,HTML_MESSAGE,NO_RDNS_DOTCOM_HELO,RCVD_IN_DNSWL_NONE,
        RDNS_NONE,SPF_HELO_NONE,UNWANTED_LANGUAGE_BODY shortcircuit=no
        autolearn=no autolearn_force=no version=3.4.6
X-Spam-Level: ***********

Maintenant autre problème, je constatais régulièrement que certains mails ne soit pas analysé par spamassassin alors que c’était des spams sans aucune ambiguïté. Dans les logs j’avais le message suivant

févr. 12 02:36:41 ultra.kervao.fr spamc[3659916]: skipped message, greater than max message size (512000 bytes)

En fait c’est une petite faille du système, par défaut spamc ne va pas analyser le mail dès lors que la taille du fichier dépasse 512ko, les spammeurs profitent de cela et attachent une image de quelques Mo pour passer au travers. Il suffit donc d’augmenter la taille en créant le fichier /etc/mail/spamassassin/spamc.conf qui contiendra

-s 5000000

On autorise donc le traitement pour des mails jusqu’à 5Mo, maintenant avec la puissance des machines, ce n’est plus vraiment un problème.

Pour plus d’information sur la configuration de SpamAssassin, voir la page sur mon site Funix.

Mise à jour kdenlive vers la version 22.08.2

J’ai mis à jour kdenlive en installant la version 22.08.2, ça ne s’est pas fait simplement. En effet KF5 sur ma mageia8 était trop ancien et il était trop compliqué de faire cohabiter une version plus récente, j’ai donc dû passer à la Mageia 9 Cauldron. Je n’aime pas trop travailler avec une version instable mais je n’avais guère le choix si je voulais bénéficier des dernières fonctionnalités de kdenlive.

Un mot d’abord sur la mise à jour vers la Mageia 9 que j’ai fait en ligne de commande comme indiqué ici. Je n’ai pas rencontré de grandes difficultés si ce n’est que je n’ai pas réussi à compiler le driver propriétaire de ma nvidia suite à une incompatibilité avec les noyaux 6.0. Je n’ai guère eu plus de succès en essayant de patcher le driver. J’ai donc tenté le paquet nvidia propriétaire de la Mageia9 qui marche très bien, mais après chaque démarrage il forçait l’installation de ce fichu driver nouveau malgré son blacklistage dans le fichier/etc/modprobe.d/nvidia-installer-disable-nouveau.conf. C’est ce fichu harddrake qui écrasait à chaque démarrage mon fichier /etc/X11/xorg.conf et j’ai dû le désactiver.

Mais revenons à kdenlive, sans plagier l’annonce de cette nouvelle version voilà ce que j’en retiens. kdenlive intègre maintenant l’outil d’animation 2D glaxnimate, j’aurais préféré que ça soit synfig studio, glaxnimate a l’air bien plus basique et sa documentation sur internet est très pauvre.

Animation glaxnimate dans kdenlive

A vrai dire j’ai un peu galéré pour l’installer car il faut que mlt soit compilé avec l’option qui va bien et il n’apparait pas directement dans le menu de kdenlive, il faut rajouter manuellement l’icône dans la barre d’outils principal.

En plus de cela, même si pour l’instant je ne m’en sers pas on peut également maintenant éditer les styles des sous titres (fenêtre à gauche).

Édition du style de sous titre dans kdenlive

kdenlive 22.08 arrive également avec un tas d’effets plus ou moins utiles et surtout plus ou moins mal documentés comme malheureusement beaucoup d’effets. J’en ai testé quelques uns et s’il faut en retenir un c’est celui sur l’exposition qui me parait très utile comme on peut le voir ci-dessous avec et sans l’effet.

Effet exposition dans kdenlive

J’ai donc mis à jour mon tutorial kdenlive en prenant en compte ces nouveautés ainsi que la page sur l’installation de kdenlive. Tant qu’à faire suite au passage à la Mageia 9 Cauldron j’ai mis à jour quelques pages de mon site Funix, à savoir:

pages divers
– page trucs et astuces, rajout d’un astuce (envoyer du son via SSH)
– page ma configuration, prise en compte  de ma nouvelle architecture avec l’abandon de mon serveur Dell Poweredge T310

pages réseau et système
– page outils de sauvegarde du système et des données, prise en compte de ma nouvelle architecture de sauvegarde

page multimédia
– page base vidéo, passage à flac 1.4.1, rubberband 3.1.1, gpac 2.0, OpenCV 4.6.0 et ffmpeg 5.1.2
– page lecteur vidéo, passage à libdvdread 6.1.3, vlc version développement et MPlayer 1.5, la modification de l’interface de vlc est assez spectaculaire et plutôt déroutante

Vlc version développement


– page mediacenter, passage à kodi Matrix 19.4
– page outils audio divers, passage à audacious 4.2, lollypop 1.4.35, OSD lyrics 0.5.12, Clementine rc1-864-g0fab61278 et MusicBrainz Picard 2.8.3
– page transcodage, passage à avidemux 2.8.1 et HandBrake 1.5.1

pages montage vidéo,
– page montage vidéo, passage  à mlt 7.8., kdenlive 22.08.2 et cinelerra 8, cinelerra GG 5.1.20220928, synfig studio 1.4.3 et blender 3.3.1
– page tutorial montage vidéo avec kdenlive, rajout de fonctionnalités avec le passage à la version 22.08

bascule du serveur Poweredge T310 vers le thinkcenter M92P

Ça y est c’est fait, comme annoncé dans mon précédent post, j’ai basculé de mon gros serveur Dell PowerEdge T310 vers un mini PC Lenovo ThinkCenter M92p, cela m’a pris quand même quelques heures de travail étalées sur trois jours. J’ai installé Mageia 8 sans grande difficulté et il m’a fallu également installer et paramétrer les services de:

  • Authentification utilisateur basée sur OpenLDAP
  • Serveur de fichiers basé sur NFS avec la copie des données hors multimédia qui restent sur le serveur Dell
  • Serveur de mail basé sur fetchmail, dovecot, sendmail, spamassassin, ClamAV anti virus et roundcube webmail
  • Serveur LAMP (Apache+PHP+MySQL/MariaDB) pour travailler en local sur mes sites, pour l’interface à roundcube webmail et divers outils accessibles via le web

Sans compter les opérations nécessaires pour configurer le firewall shorewall et remettre les routes en place sur mon routeur et la box pour que roundcube webmail soit accessible d’un mobile ou d’un ordinateur portable non connecté au réseau local.

Maintenant le nouveau serveur se trouve dans la cuisine entre l’onduleur et la box en face du routeur TP-Link qui vient compléter les misérables fonctionnalités de la box.

Serveur Lenovo ThinkCenter M92p

A vrai dire ce qui m’a pris le plus le temps dans cette histoire a été de remettre en place les connexions chiffrées au niveau des échanges de mail entre le serveur et les postes clients. J’ai eu beaucoup de mal avec Thunderbird qui refusait de reconnaitre le nouveau certificat et je n’ai pas trouvé le moyen d’effacer l’ancien certificat correspondant à l’ancien serveur pour qu’il prenne en compte le nouveau. J’ai dû recréer un nouveau compte de mail pour pouvoir le faire, finalement cette création n’a pas posé de problème particulier pour retrouver mes mails vu que j’utilise que mon serveur de mail utilise IMAP.

Mon Dell PowerEdge ne part pas pour autant au rebut, je le garde comme serveur de fichiers pour les données multimédia qui nécessitent beaucoup de stockage disque et auxquelles j’accède de temps à autre. Mais dans l’histoire je devrais faire une belle économie de consommation électrique.

Suite à toutes ces manipulations, j’ai mis à jour mon site Funix avec la modification des pages suivantes :

pages divers
– page trucs et astuces, rajout d’un astuce (rajout d’une police personnalisée)
– page ma configuration, présentation du nouveau serveur Thinkpad M92p qui va remplacer le PowerEdge T310 gros consommateur en énergie

pages réseau et système
– page installation de l’annuaire OpenLDAP, grosse mise à jour la dernière datant de 5 ans
– page authentification des utilisateurs avec OpenLDAP, grosse mise à jour, la dernière datant de 5ans
– page outils de sauvegarde du système et des données, modification de l’installation de borg

pages LAMP
– page installation d’un serveur LAMP avec les sources, passage à MariaDB 10.8.3, Apache 2.4.54, PHP 8.1.18 et phpMyAdmin 5.2

pages gestion des mails
– page réception des courriers et mise à disposition, passage à roundcubemail 1.6.0
– page filtrer les mails, passage à ClamAV 0.105.1

page de téléchargement, mise à jour des documents
– Installation d’un serveur LAMP
– Envoyer et recevoir du courrier pour un réseau multi utilisateurs

– Mise en place d’OpenLDAP et d’une authentification utilisateu

Nouveau serveur basse consommation

Alors que la sobriété énergétique devient une nécessité, j’ai des scrupules à laisser mon serveur Dell PowerEdge T310 tourné en permanence 24h/24 et 7j/7. Si je devais estimer sa consommation, sachant que l’alimentation fait 375W, au doigt mouillé on va dire qu’il consomme 150W par heure, soit 0,15kwh. Sachant que le coût du kwh est de 0,1740 € (tarif réglementé). Sur une journée, le coût est de 0,15x24x0,1740=0,62€. Sur un mois le coût est de 0,62€x30=18,8€ et sur un an 225€ tout de même, c’est assez conséquent. Alors bien sûr ce chiffre pourrait être affiné avec les heures creuses, heures pleines et mieux encore avec un contrôleur de consommation, mais ça donne un ordre de grandeur qui ne parait pas trop délirant.

Mon serveur Dell dans le garage

Or en y regardant de plus près, je fais tourner plusieurs services dessus, dont certains sont permanents, c’est à dire que je m’en sers régulièrement à plusieurs moments de la journée et d’autres beaucoup plus intermittents, il s’agit notamment de :

En résumé, mon serveur est taillé avec ses disques durs en RAID hard (2 disques SAS en RAID 1 et 4 disques SATA en RAID) pour des services intermittents notamment pour l’accès mes fichiers multimédia, vidéos et photos essentiellement. Il m’est donc venu l’idée de m’équiper d’un petit serveur basse consommation pour les services permanents et garder mon serveur Dell que j’allumerai uniquement quand j’aurai besoin d’accéder à mes fichiers multimedia.

J’ai tout de suite penser à bricoler un serveur sur la base d’un Raspberry PI 4, mais il s’avère que le coût et la puissance de l’engin n’est pas forcément très compétitif par rapport à un mini PC. Mon choix s’est donc porté sur un Lenovo M92p d’occasion à 119€ frais de port compris sur ebay.

Le Lenovo M92p au dessus de mon bloc TerraMaster D5-300C et de mon ACER Predator

Les caractéristiques sont les suivantes:

  • processeur Intel G2030T de 2,6GHz, 2 cœurs
  • 8 Go de RAM
  • disque dur SATA de 300Go

Bien qu’il ne soit pas de première jeunesse (il date de 2013, presque dix ans !), si je me fie à ce test qui compare un Raspberry PI 4b et un processeur Intel G2030, il n’y a pas photo, le G2030 reste très largement supérieur en performance. Le G2030T est un poil moins puissant (voir ici), mais il consomme légèrement moins (consommation d’énergie de 55W pour le G2030 et de 35W pour le G2030T) . Au final le M92p est donné pour une consommation d’énergie qui tourne entre 15W et 35W (voir par et ici), je divise donc ma consommation quasiment par 10 ! Je pourrai encore optimiser ma consommation en coupant automatiquement le serveur la nuit à des heures où je ne l’utilise pas. Alors certes le Raspberry est plus proche de 5W mais les performances me paraissent clairement insuffisantes pour mes services de serveur et le prix peu compétitif.

La configuration de ce nouveau serveur me prendra certainement pas mal de temps, j’ai commencé d’abord par virer windows et d’installer la distribution Linux Mageia 8. Pour l’instant j’ai mis en place l’authentification des utilisateurs en se basant sur LDAP et j’ai mis à jour les pages sur OpenLDAP et l’authentification en elle même sur mon site FUNIX. Je ne manquerai pas de donner des détails sur l’avancement de la configuration sur ce blog.

Mise en place d’une solution d’archivage avec rclone

Jusqu’à présent je me suis beaucoup focalisé sur les solutions de sauvegarde de mes données sans m’attarder sur leur archivage. Ce post résume un peu toutes mes cogitations sur la sauvegarde. Mais au fait quelle est la différence entre sauvegarde et archivage ? En deux mots la sauvegarde est une copie identique des données à un moment donné qui permet une restitution en cas de pertes des données d’origine. Alors que l’archivage est une copie des données avec une notion de gestion de version, c’est à dire qu’on dispose de plusieurs enregistrements effectués à des dates différentes. Cet article explique assez bien la nuance entre les deux.

J’ai donc mis assez simplement un archivage chiffré basé sur rclone sur Google Drive en mode synchronisation. Le script est assez simple et ressemble à ça

#!/bin/bash

LOG_FILE="/home/olivier/tmp/sync-rclone.log"
REP_FILTRE="/home/olivier/Documents/rep-filtre.txt"
DESTINATION="google-secret:Sauvegarde"
DESTINATION_ARCHIVE="google-secret:Sauvegarde-archive"
ladate=`date +"%Y-%m-%d--%T"`
SUFFIX_DATE=.$ladate

/usr/local/bin/rclone -v --skip-links \
    --backup-dir $DESTINATION_ARCHIVE --suffix $SUFFIX_DATE\
        sync / $DESTINATION --filter-from $REP_FILTRE --log-file $LOG_FILE

Les anciennes versions des fichiers seront sauvegardées avec le suffixe date et heure sous cette forme .2021-12-04–07:55:25. En cas de synchronisation et d’archivage on a ce message.

2021/12/04 16:35:09 INFO  : mana/data/bureautique/Finance/les comptes.ods: Moved (server-side) to: mana/data/bureautique/Finance/les comptes.ods.2021-12-04--16:34:59
2021/12/04 16:35:35 INFO  : mana/data/bureautique/Finance/les comptes.ods: Copied (new)
2021/12/04 16:35:35 INFO  :
Transferred:           2.608 MiB / 2.608 MiB, 100%, 87.635 KiB/s, ETA 0s
Checks:              1817 / 1817, 100%
Renamed:                1
Transferred:            1 / 1, 100%
Elapsed time:        36.5s

Il ne reste plus qu’à lancer le script de manière régulière avec cron pour mettre en place un archivage régulier. Vous trouverez plus de détails sur la configuration de rclone pour une synchronisation sur le cloud avec en exemple Google Drive avec chiffrement des données sur cette page de funix.org.

Sauvegarde chiffrée dans le cloud

J’ai considérablement étoffé mon dispositif de sauvegarde de mes données. J’évoquais dans ce post un premier dispositif basé sur un script bash lui même basé sur rsync qui permettait une sauvegarde incrémentale. Malheureusement j’ai rencontré un crash disque « bas bruit » qui a entraîne une corruption des données et de la sauvegarde sans que je m’en rende compte immédiatement. Suite à cet incident j’avais amélioré mon dispositif de sauvegarde et des tests d’intégrité des disques qui est décrit dans cet autre post. J’avais fait part de mes déboires sur le site linuxfr dans ce journal. Les commentaires m’ont conduit à revoir complètement mon dispositif qui repose maintenant sur les outils borg, btrfs et unison.

Tout cela est présenté et détaillé sur cette page de funix.org. et à fait l’objet de cet autre journal sur linuxfr. Les commentaires m’ont poussé à aller encore plus loin en rendant mon dispositif de sauvegarde encore plus robuste. Je l’ai donc complété par :

– une solution de sauvegarde et de partage des données base sur un cloud payant kdrive d’infomaniak avec un dispositif de synchronisation automatique et des sauvegardes manuelles. Cette sauvegarde à distance vient compléter le dispositif local et permet de le rendre encore plus robuste à un sinistre qui détruirait à la fois le serveur et les sauvegardes locales. Un troisième journal sur linuxfr détaille ce point précis, je vous invite à découvrir les commentaires qui ont été faits sur ces trois journaux qui sont assez instructifs sur les éventuelles autres solutions de sauvegarde.

– une pure solution de sauvegarde avec des données stockées chiffrées en utilisant rclone et Google Drive. Ce dernier offre une solution gratuite jusqu’à 15Go, ce qui est généralement largement suffisant pour stocker des données sensibles (hors fichiers multimédia). Si on peut s’inquiéter de la protection des données et de l’utilisation que Google peut en faire, le problème ne se pose pas car elles sont envoyées chiffrées et stockées en l’état sur le drive. C’est donc bien de la pure sauvegarde plutôt que du partage de données. A noter que ce ne sera possible avec infomaniak qu’après souscription à l’offre supplémentaire Swiss Backup.

Ces solutions basées sur le cloud sont développées dans cette autre page de funix.org.

Mise à jour de FUNIX.org

J’ai mis à jour mon site funix.org consacré à Linux, les évolutions sont les suivantes :

pages divers
– page trucs et astuces, j’ai rajouté les liens vers les posts de ce blog sur la présentation de digikam (gestion photo) et de viking (trace GPS)

pages installation d’un serveur LAMP (Linux+Apache+MySQL+PHP)
– page Apache+PHP+MariaDB (avec les sources), passage à apache 2.4.51 et  PHP 7.4.25

pages gestion des mails
– page réception des courriers et mise à disposition, passage à la version 1.5.0 du webmail roundcubemail
– page filtrer les mails, passage à l’antivirus ClamAV 0.104.1
– page analyser les logs d’apache, le projet webalizer a l’air mort, j’ai rajouté des liens pour récupérer la dernière version connue, je le supprimerai à terme.

pages multimédia
– page outils de base pour la vidéo, passage aux bibliothèques vidéo libogg 1.3.5, rubberband 2.0.0, OpenCV 4.5.4, version du 30/10/21 de x264 et ffmpeg 4.4.1
– page lecteurs vidéo, passage à VLC 3.0.16
– page mediacenter, passage à kodi 19.3 Matrix
– page transcodage, passage à avidemux 2.7.8 et HandBrake 1.4.2
– page outils multimédia divers, passage à lollypop 1.4.23, OSD lyrics 0.5.10 et Music Brainz Picard 2.6.4. OSD lyrics permet de faire du karaoké, le projet est longtemps resté inactif et est à nouveau maintenu pour le plus grand bonheur des amateurs de karaoké

OSD Lyrics


– page conteneur vidéo, passage à vorbis tools 1.4.2, libmatroska 1.6.3 et mkvtoolnix 62.0.0
– page piloter un caméscope mini DV, là aussi dvgrab semble un projet mort, j’ai rajouté une URL pour télécharger les sources de la dernière version connue

pages montage vidéo
– page montage vidéo, passage à mlt 7.0.1, kdenlive 21.08.2, cinelerra 7.4, OpenShot 2.6.1, Synfig Studio 1.5.1 et blender 2.93.5. J’ai galéré pour installer blender car il requière maintenant python 3.9 or la Mageia 8 fournit la 3.8, il faut donc faire cohabiter les deux versions, j’ai également eu des soucis avec l’installation de OpenImageIO, blender n’a pas voulu reconnaître la version que j’avais compilée et j’ai dû installer le package sans les dépendances pour ne pas écraser les différentes bibliothèques que j’ai installées manuellement en les compilant.

Blender 2.93.5

J’ai toujours un soucis avec cinelerra 7.4, qui compile plus facilement maintenant, mais qui plante au lancement.
– page tutoriel montage vidéo kdenlive, rajout de deux fonctionnalités suite au passage à la version 21.08.2, il s’agit de la fonction time remap qui permet une gestion plus fine du réglage de la vitesse d’un clip, je n’ai toujours pas bien compris comment ça fonctionnait. J’évoque également la fonction qui permet de déplacer le projet entier sur la timeline tout en gardant les guides.

La fonction time remap de kdenlive

Page téléchargement mise à jour des documents

– Installation d’un serveur LAMP
– Envoyer et recevoir du courrier pour un réseau multi utilisateurs
– Tutorial sur le montage vidéo avec kdenlive

Passage à MAGEIA 8 terminé

Je viens de terminer avec mon serveur Dell Poweredge T310 le passage à Mageia 8 de tous les postes de mon réseau local. Contrairement à ce que l’image ci-dessous peut indiquer, j’ai procédé une mise à jour en partant de la 7.1 sans passer par une réinstallation complète.

Dell PowerEdge T310

Ça m’aura pris un peu plus de six mois, ayant commencé en février dernier peu après la sortie de la Mageia 8 en échelonnant petit à petit dans le temps.

Continuer la lecture de Passage à MAGEIA 8 terminé

Filtrer les adresses IP menaçantes

Dans le but de sécuriser encore plus mon serveur j’ai mis en place un filtrage d’adresses IP potentiellement menaçantes. En fait certains sites comme abuseipbd ou spamhaus collectent et maintiennent de telles listes, il suffit de les récupérer et de les faire prendre en compte par son firewall favori. Pour ma part j’utilise shorewall comme firewall et je me suis basé sur cette page du wiki de Mageia (en anglais).

Il faudra utiliser l’outil IPset qui permet de gérer des listes d’adresse IP (entre autres). Tout le reste et le détail de cette installation se retrouve sur cette page de funix.org.

Dans le même genre il existe également fail2ban qui marche de manière un peu différente. Il va analyser les logs des services lancés sur votre serveur comme SSH, Apache ou bien encore OpenVPN, identifier les tentatives de connexion infructueuse et procéder au bannissement de l’adresse IP de l’indélicat via le firewall. En revanche je rencontre quelques soucis de configuration et ça n’a pas l’air de fonctionner pleinement, je continue à chercher.