I finally decided to write a little shell script to read the mail log file and extract the last minute of log to count the number of rejected attempts to send mail to my server by the same host and ban this host using iptables if a defined limit is reached.

Here is a version of my script:
#!/bin/bash
IPT=/sbin/iptables
LIMIT=10
cd /root/Filters
# first get one minute of log
grep "`date +"%b %d %H:%M:" --date="1 minutes ago"`" /var/log/mail.info > minutelog
# now extract the rejected attempts, sort and count uniq ip
cat minutelog | grep "reject:" | cut -d" " -f10 | cut -d"[" -f2 | cut -d"]" -f 1 | sort | uniq -c | sort -n | sed 's/^[ \t]*//' > tmp1
# for each line in result
while read line
do
MYCOUNT=`echo $line | cut -d" " -f1`
MYIP=`echo $line | cut -d" " -f2`
if [ $MYCOUNT -lt $LIMIT ] ;
then
echo $MYIP is ok: $MYCOUNT attempts
else
echo blocking the spammer at $MYIP with $MYCOUNT attempts
$IPT -I INPUT -i eth0 --proto tcp -s $MYIP --destination-port 25 -j DROP
echo $MYIP >> blocked.smtp
fi
done < tmp1
rm -f minutelog
rm -f tmp1
You can also download this script here: filter_smtp.zip

This shell script is running for about 12 hours on my mail server and it already stopped 701 spamming machines. Any feedback on the script is welcome !

That’s all ! Your antivirus is now updated and ready to scan mails

First we install the required packages:
apt-get install autoconf automake binutils cpp gcc linux-headers-$(uname -r) make psmisc
Now we need to connect to our vmware server using the vmware server console. We need to start the debian virtual machine in order to install the vmware tools. As soon as your virtual machine is started you can right click on it’s name in the inventory and click on “Install vmware tools”. Log into your virtual machine and do the following to mount the virtual cdrom
mount /dev/cdrom
You should be able to see your cdrom using the command mount. Mine is mounted at /media/cdrom0
You just have to copy the vmware tools to another location and install it.
cd /media/cdrom0
cp VMwareTools-1.0.4-56528.tar.gz /tmp
cd /tmp
tar -zxvf VMwareTools-1.0.4-56528.tar.gz
cd vmware-tools-distrib
./vmware-install.pl
Just follow the installation script and press enter to accept the default for every question.

Et voila !

You may notice that your virtual machine clock is running to fast or to slow. In this case you need to edit the configuration file for your virtual machine (the .vmx file) and change the value of tools.syncTime to “TRUE”.
You also need to edit the file /boot/grub/menu.lst and add the following kernel options: clocksource=pit nosmp noapic nolapic nohz=off
Your file should then look something like this:
[...]
title Debian GNU/Linux, kernel 2.6.18-5-686
root (hd0,0)
kernel /boot/vmlinuz-2.6.18-5-686 root=/dev/sda1 ro clocksource=pit nosmp noapic nolapic nohz=off
initrd /boot/initrd.img-2.6.18-5-686
savedefault
[...]

Another cool tip to finish ? ok let’s go !
You may need to copy a virtual machine and run another copy of it at the same time. In this case you will notice that if you change the identifier of the virtual machine (you have to if you want to run them at the same time) the network interface is changing from eth0 to eth1 and incrementing each time you duplicate the machine. To correct this you simply need to delete one file in your virtual machine and reboot it:
rm -f /etc/udev/rules.d/z25_persistent-net.rules

Any questions ?

We start by installing the necessary packages:
apt-get update
apt-get upgrade
apt-get install libx11-6 libx11-dev libxtst6 libxext6 libxt6 libice6 libsm6 libxrender1 xinetd
apt-get install linux-headers-`uname -r` build-essential sysvinit-utils psmisc gcc binutils-doc make manpages-dev autoconf automake1.9 libtool flex bison gdb libc6-dev-amd64 lib64gcc1 gcc-2.95-doc

Now we download and install VMware Server:
cd /usr/src
wget http://download3.vmware.com/software/vmserver/VMware-server-1.0.4-56528.tar.gz
tar -zxvf VMware-server-1.0.4-56528.tar.gz
cd vmware-server-distrib/
./vmware-install.pl
Simply press enter for all the questions and maybe change the path where you will store your virtual machines to something easy to find ( I put all my virtual machines in /var/VMachines)
You will need to register for your free serial number at the following url: http://register.vmware.com/content/registration.html

That’s all ! VMware server is installed.
If you intend to connect to this machine remotely using the vmware server console then you need to edit the file /etc/vmware/pam.d/vmware-authd. Simply replace the content of your file by this:
#%PAM-1.0
auth sufficient pam_unix.so shadow nullok
auth required pam_unix_auth.so shadow nullok
account sufficient pam_unix2.so
account required pam_unix_acct.so

Now restart vmware and install it at boot time:
update-rc.d vmware defaults 20
/etc/init.d/vmware restart

You can download a debian etch minimal install ready to be used:
cd /var/VMachines
wget http://mirror.o-line.net/vmware/debian-4.0r1-netinst.7z
apt-get install p7zip
p7zip -d debian-4.0r1-netinst.7z

Easy isn’t it ?

Hoo and by the way, from now on, i will start posting only in english

On install d’abord munin:
apt-get install munin munin-node
Puis on edite le fichier de configuration pour rajouter le nom de notre machine:
vi /etc/munin/munin.conf
Ca doit ressembler à ca:
# a simple host tree
[nsxxxxx.ovh.net]
address 127.0.0.1
use_node_name yes
Il ne nous reste plus qu’à proteger l’accès a munin avec un htaccess:
vi /var/www/munin/.htaccess
en voici le contenu
AuthType Basic
AuthName "Admin Only"
AuthUserFile /var/www/.htpasswd
<limit GET PUT POST>
require valid-user
</limit>
puis on crée le password:
htpasswd -c /var/www/.htpasswd admin
Voila, si tout va bien on peut maintenant se connecter à http://nsxxxxx.ovh.net/munin à l’aide du user admin et du pass qu’on viens de choisir ! Par contre il faut attendre au moins 5 a 10 minutes pour voir quelque chose sur les graphs.

Passsons maintenant a Monit
Comme toujours, installation super simple:
apt-get install monit
Puis on edite le fichier de configuration
vi /etc/monit/monitrc
Voici le fichier de configuration dont on a besoin pour surveiller notre machine debian et tous les services que nous avons installés dans mon premier tutorial sur debian ovh.
set daemon 60
set logfile syslog facility log_daemon
set mailserver localhost
set mail-format { from: monit@yourdomain.com }
set alert yourmail@yourdomain.com
set httpd port 2812 and
allow admin:yourmonitpass
# check FTP server
check process proftpd with pidfile /var/run/proftpd.pid
start program = "/etc/init.d/proftpd start"
stop program = "/etc/init.d/proftpd stop"
if failed port 21 protocol ftp then restart
if 5 restarts within 5 cycles then timeout
# check SSH server
check process sshd with pidfile /var/run/sshd.pid
start program "/etc/init.d/ssh start"
stop program "/etc/init.d/ssh stop"
if failed port 22 protocol ssh then restart
if 5 restarts within 5 cycles then timeout
# check MySQL
check process mysql with pidfile /var/run/mysqld/mysqld.pid
group database
start program = "/etc/init.d/mysql start"
stop program = "/etc/init.d/mysql stop"
if failed host 127.0.0.1 port 3306 then restart
if 5 restarts within 5 cycles then timeout
# check WEB server
check process apache with pidfile /var/run/apache2.pid
group www
start program = "/etc/init.d/apache2 start"
stop program = "/etc/init.d/apache2 stop"
if failed host ns28885.ovh.net port 80 protocol http
and request "/monit/token" then restart
if cpu is greater than 60% for 2 cycles then alert
if cpu > 80% for 5 cycles then restart
if totalmem > 500 MB for 5 cycles then restart
if children > 250 then restart
if loadavg(5min) greater than 10 for 8 cycles then stop
if 3 restarts within 5 cycles then timeout
# check MAIL server
check process postfix with pidfile /var/spool/postfix/pid/master.pid
group mail
start program = "/etc/init.d/postfix start"
stop program = "/etc/init.d/postfix stop"
if failed port 25 protocol smtp then restart
if 5 restarts within 5 cycles then timeout


il faut encore éditer le fichier /etc/default/monit pour que monit puisse démarrer:
vi /etc/default/monit
On change startup à 1
startup=1

pour pouvoir monitor apache et vérifier que les sites web répondent on cree un fichier que monit viendra check:
mkdir /var/www/monit
echo "Hello" > /var/www/monit/token

Et finalement on lance monit:
/etc/init.d/monit start
Et voila ! On peut maintenant se connecter a l’interface web de monit a l’url suivante: http://nsxxxxx.ovh.net:2812

Nous avons maintenant une machine debian prète à héberger nos sites et emails. N’hésitez pas à me poser des questions si quelque chose n’est pas clair.

On verifie si iptables est installé sur la machine (normalement oui)
iptables -v
iptables v1.3.6: no command specified
Try `iptables -h' or 'iptables --help' for more information.

si on obtiens un resultat comme celui la c’est ok et on verifie si il existe déjà des règles:
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

aucun règle actuellement: notre firewall accepte donc tout le traffic.
créons nos regles dans le fichier /etc/init.d/firewall
vi /etc/init.d/firewall
#!/bin/sh
# les regles de mon firewall
IPT=/sbin/iptables
case "$1" in
start)
$IPT -F INPUT
$IPT -I INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port ftp -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port ssh -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port smtp -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port pop3 -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port domain -j ACCEPT
$IPT -A INPUT -i eth0 --proto udp --destination-port domain -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port http -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port https -j ACCEPT
$IPT -A INPUT -i eth0 --proto icmp -j ACCEPT
$IPT -A INPUT -i eth0 -j DROP
exit 0
;;
stop)
$IPT -F INPUT
exit 0
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop}"
exit 1
;;
esac
Pour faire simple on accepte toutes les connection déjà établies et on authorise les connections à nos services: FTP, SSH, SMTP, POP3, DNS et HTTP.
On rajoute les droits d’éxecution au fichier et on démarre notre firewall
chmod +x /etc/init.d/firewall
/etc/init.d/firewall start

Il ne nous reste plus qu’à installer ce script au boot pour que notre firewall se relance automatiquement. Attention ne faire cette manipulation que si vous êtes sur d’avoir access à votre machine par ssh !
update-rc.d firewall defaults

Et voila ! Simple non ? prochain post: monitoring de notre machine avec munin et monit

serveur DNS: bind9
Serveur Web: Apache2+php5+mysql+phpmyadmin
Serveur mail: postfix+courrier avec antivirus et antispam
Serveur FTP: ProFTPD

Avant tout il serait bon de jeter un coup d’oeil a mon post précédant sur Putty afin de pouvoir se connecter a notre machine a l’aide de clef SSH.

Maintenant on se connecte a notre machine avec le pass recu par email pour le compte root juste apres la réinstallation de la machine et on copie notre clef publique (voir tutorial putty).
vi ~/.ssh/authorized_keys2
Normalement on doit deja trouver la clef de ovh donc on copie la notre a la fin du fichier juste apres celle de ovh.
On test maintenant de se connecter avec notre clef et si tout se passe bien on peut maintenant désactiver l’authentification par mot de passe.
vi /etc/ssh/sshd_config
on modifie les 2 lignes suivantes
PasswordAuthentication no
UsePAM no
attention il faudra absolument avoir votre clef sur vous pour vous connecter à votre machine !

On met à jour notre system avec les 2 lignes suivantes:
apt-get update
apt-get upgrade

Puis on installe quelques outils necessaires pour la suite:
apt-get install build-essential bison flex dpkg-dev

On install Quota et on modifie le fichier /etc/fstab pour activer le quota sur notre partition /
apt-get install quota
vi /etc/fstab
on rajoute simplement ,errors=remount-ro,usrquota,grpquota juste après defaults pour la partition /
puis
touch /quota.user /quota.group
chmod 600 /quota.*
mount -o remount /
quotacheck -avugm
quotaon -avug

Depuis notre station windows il nous faut les logiciels Putty, Puttygen et pageant disponible sur la page de téléchargement de Putty.

On lance putty et on crée un nouveau profil pour notre serveur et on sauve la session avant de s’y connecter.

On lance puttygen pour générer notre paire de clefs, on choisi SSH-2 RSA de 1024 bits et on clic sur generate. Une fois nos clef générées on tape notre email dans le champs key comment, on choisi une passphrase que l’on confirme une 2ème fois et on clic sur save public key et save private key. On prends bien soins de ranger les clefs dans un endroit sûr !

On copie la clef dans la fenêtre de puttygen juste en dessous de la phrase “Public key pasting into OpenSSH authorized_keys file:”

Normalement vous devez avoir un shell ouvert avec putty sur votre serveur: on doit y coller notre clef publique:
mkdir ~/.ssh
chmod 700 ~/.ssh
vi ~/.ssh/authorized_keys2

On colle notre clef précédement copiée de puttygen, on sauvegarde et on quitte puis
chmod 600 ~/.ssh/authorized_keys2

Testons maintenant ! On ouvre un autre putty et on load le profile pour notre serveur.
On va dans connection et on tape notre username dans le champ Auto-login username.
on va ensuite sur SSH et on choisi 2 dans preferred SSH protocol version.
puis dans SSH -> Auth on clic sur Browse et on indique le fichier de notre clef privée.
On reviens sur session et on sauvegarde nos changements.

On peut maintenant tester notre première connection SSH à l’aide de clefs !
On clic sur Open donc, et normalement le serveur nous demande notre passphrase puis nous identifie .

Si c’est le cas on peut alors désactiver l’authentification par mot de passe :
vi /etc/ssh/sshd_config
On change PasswordAuthentication no et UsePAM no puis on reload notre serveur ssh
/etc/init.d/sshd reload

Si vous obtenez un mesage du style
Trying public key authentication.
Key is of wrong type (PuTTY SSH2 private key)
C’est que vous essayez de vous connecter à un serveur ssh en utilisant le protocole SSH1. Vérifiez bien dans les options de votre profile putty pour ce serveur que vous avez coché “2″ ou “only 2″ dans preferred protocol version et ajoutez dans votre /etc/ssh/sshd_config
Protocol 2

Tout fonctionne ? ok mais il faut quand même taper la passphrase à chaque connection et si vous vous connectez plusieurs fois par jours ( voir par heure) cela peut devenir pénible. Heureusement Pageant est la pour nous identifier à chaque fois que c’est nécessaire ! On essaie ?

On double click sur Pageant, on click sur Add Key et on indique notre clef privée. On donne à Pageant notre passphrase et on click sur Close. Tant que Pageant tourne nous pouvons nous connecter à notre serveur sans avoir besoin de saisir la passphrase.

Simple et pratique non ?

wget http://monkey.org/~provos/libevent-1.3e.tar.gz
tar -zxvf libevent-1.3e.tar.gz
cd libevent-1.3e
./configure
make && make install

on cree un fichier /etc/ld.so.conf.d/libevent-i386.conf avec pour contenu
/usr/local/lib/

puis on execute:
ldconfig

On passe a l’installation de memcached maintenant:

cd /usr/local/src
wget http://danga.com/memcached/dist/memcached-1.2.2.tar.gz
tar -zxvf memcached-1.2.2.tar.gz
cd memcached-1.2.2
./configure --prefix=/virtual/memcached-1.2.2
make && make install

Biensur on change –prefix= avec le path vers l’endroit ou on veut install memcached

il ne nous reste plus qu’a creer le script de demarrage

vi /etc/init.d/memcached

Vous trouverez ici le script en question. Il faut modifier les 2 variables pour y indiquer le path vers l’install

chmod +x /etc/init.d/memcached

ensuite il faut creer le fichier start-memcached dans le repertoire d’installation de memcached

vi /virtual/memcached-1.2.2/bin/start-memcached

On edite aussi ce fichier pour changer le path vers l’installation et on rajoute les droits d’execution

chmod +x /virtual/memcached-1.2.2/bin/start-memcached

et pour finir on cree le fichier /etc/memcached.conf
vi /etc/memcached.conf
Voici son contenu
#Memory
-m 256
# default port
-p 11211
# user to run daemon
-u user
# (ip de la machine sur laquelle on install)
-l 10.47.0.29


il reste plus qua rajouter memcached au demarrage
update-rc.d memcached defaults
et on lance memcached
/etc/init.d/memcached start pour lancer