BL🅾G News


« juin 2018
123
45678910
11121314151617
18192021222324
252627282930

Actu G33k & Admin stuff. Powered by 🅴🆁🆁🅴🆄🆁32

Aucun commentaire

Mise à jour des paquets de sécurité Debian 9 stretch automatiquement en installant : unattended-upgrades

$ apt install unattended-upgrades

Il suffit de le paramétrer avec cette commande:

$ dpkg-reconfigure unattended-upgrades

Exemple

  Il est important de mettre régulièrement son système à jour pour maintenir un haut niveau de sécurité. 
 Par défaut, les mises à jour doivent être appliquées manuellement à l'aide d'un outil de gestion de paquets.
 Autrement, vous pouvez choisir d'automatiser ce processus de téléchargement et d'installation des mises à jour de sécurité.                                                                                                                                    

 Faut-il automatiquement télécharger et installer les mises à jour de la version stable ? 
      Oui  

Répondre . OUI


    Veuillez indiquer une valeur pour le motif de correspondance « Origin-Pattern » pour unattended-upgrades. 
   Un paquet sera mis à jour uniquement si ses métadonnées correspondent à tous les mots clés indiqués ici.
   Motif « Origin-Pattern » auquel les paquets doivent correspondre pour être mis à jour :                   
  
  │ "origin=Debian,codename=${distro_codename},label=Debian-Security";________________________________________ │

      Ok                            

Par défaut on sélection : OK

Finish.

Enjoy !

by 🅴🆁🆁🅴🆄🆁32

Hosted on

🅴🅲🅷🔵🆂🆈🆂🆃🅴🅼



Aucun commentaire

The new MODstat for BASH 2017: https://git.echosystem.fr/Erreur32/MOTDs32

Ce projet MOTDs32 est un fork de l'excelent MODstat ,

J'avais mis en place un système complémentaire à MODstat, mais cela fesait doublon lors de la connexion SSH.

Le dernier push (2015) de MODstat ne me plait pas non plus, avec une banner trop rigolote (laissant apparaitre un âne...) avec Fortune ( proverbe ), inutile pour moi ^^.

j'ai donc opté pour une fusion des deux scripts: MODstat + Stats32 = MOTDs32

(2017) New project MOTDs32 by  🅴🆁🆁🅴🆄🆁32

 
https://git.echosystem.fr/Erreur32/MOTDs32

,--.   ,--. ,-----. ,--------.,------.         ,----.  ,---.
|   `.'   |'  .-.  ''--.  .--'|  .-.  \  ,---. '.-.  |'.-.  \
|  |'.'|  ||  | |  |   |  |   |  |  \  :(  .-'   .' <  .-' .'
|  |   |  |'  '-'  '   |  |   |  '--'  /.-'  `)/'-'  |/   '-.
`--'   `--' `-----'    `--'   `-------' `----' `----' '-----'

	   |  +	Stats32   |
	   
	   
System requirements
===================
     o Unix/Linux operating system with bash




Pour avoir des jolies stats (à jours) à chaque connexion dans votre terminal.


– Installation:



~$ git clone https://git.echosystem.fr/Erreur32/MOTDs32.git
~$ cd MOTDs32
~$ /install.sh




https://asciinema.org/a/155050

Voilà , Terminé !!

vous pouvez customiser des options dans le fichier de config :

 ~$ nano  /etc/motdstat/motdstat.conf




Exemple:

https://git.echosystem.fr/Erreur32/MOTDs32#sample-motd32-report
        echosystem.fr  > status at 13:40 > 5min load is 0.52 on 8 cpu(s)

      Disk status        |      Memory status       |     Service status
partition      free  usg | Memory      used kB  [%] | service(s)        (count)
/              4.8G  74% | Memory:    61306164  92% | tcp/0.0.0.0:2222
/home          1.5T  12% | Swap:          3560   0% | tcp6/:::2222
                         | Buffers:    1271468      | tcp/0.0.0.0:25
                         | Cached:    51665940      | tcp6/:::25
                         |                          | tcp/127.0.0.1:8080
                         |                          | tcp6/:::80
                         |                          | tcp6/:::443
                         |                          | udp/37.187.162.229:123
                         |                          | udp/127.0.0.1:123
                         |                          | udp/0.0.0.0:123
                         |                          | udp6/fe80::ec4:7aff:fe0f
                         |                          | udp6/2001:41d0:d:2e5:::1
                         |                          | udp6/::1:123
             __                             __                      ___
.-----.----.|  |--.-----.-----.--.--.-----.|  |_.-----.--------.  .'  _|.----.
|  -__|  __||     |  _  |__ --|  |  |__ --||   _|  -__|        |__|   _||   _|
|_____|____||__|__|_____|_____|___  |_____||____|_____|__|__|__|__|__|  |__|
                              |_____|
/bin/sh :

 13:40:01 up 66 days, 19:10,  2 users,  load average: 0.26, 0.52, 0.60
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
erreur32 pts/0    213.173.170.22   Tue15    2days  1.62s  0.27s sshd: erreur32 [priv]
erreur32 pts/2    2a01:e35:8aa3:87 11:05   19:02   1.83s  0.00s sshd: erreur32 [priv]

Debian GNU/Linux 8.8 (jessie) (3.16.0-4-amd64).
Kernel Info:    Linux 3.16.0-4-amd64 x86_64

-----------     ---     ------------    ----------
System load :   0.26    IP Address:
Memory usage:   12.7%   System uptime:  66 days
Usage on /  :   74%     Swap usage:     0.0%
Local Users :   2       Processes:      285
-----------     ---     ------------    ----------

  Fri Jul 21 13:40:01 CEST 2017



It's a MODstat fork
A lot of customisation has been done with ./install



Enjoy !


by 🅴🆁🆁🅴🆄🆁32

Hosted on

🅴🅲🅷🔵🆂🆈🆂🆃🅴🅼



Aucun commentaire

Fix error rsyslog " rsyslogd-2007: action 'action 17' suspended, next retry is ..."

cat /var/log/syslog | egrep rsyslog

Jun 18 06:25:14 myoueb rsyslogd: [origin software="rsyslogd" swVersion="8.4.2" x-pid="19466" x-info="http://www.rsyslog.com"] rsyslogd was HUPed
Jun 18 06:25:41 myoueb rsyslogd0: action 'action 17' resumed (module 'builtin:ompipe') [try http://www.rsyslog.com/e/0 ]
Jun 18 06:25:41 myoueb rsyslogd-2359: action 'action 17' resumed (module 'builtin:ompipe') [try http://www.rsyslog.com/e/2359 ]
Jun 18 07:39:01 myoueb rsyslogd-2007: action 'action 17' suspended, next retry is Sun Jun 18 07:39:31 2017 [try http://www.rsyslog.com/e/2007 ]
 
# The named pipe /dev/xconsole is for the `xconsole' utility.  To use it,
# you must invoke `xconsole' with the `-file' option:
# 
#    $ xconsole -file /dev/xconsole [...]
#
# NOTE: adjust the list below, or you'll go crazy if you have a reasonably
#      busy site..
#
daemon.*;mail.*;\
    news.err;\
    *.=debug;*.=info;\
    *.=notice;*.=warn   |/dev/xconsole 
 $ sed -i '/# The named pipe \/dev\/xconsole/,$d' /etc/rsyslog.conf


Aucun commentaire

When you want to check your LSB in /usr/bin/lsb_release
and you see : No LSB modules are available.

Like this :

/usr/bin/lsb_release --all
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 8.6 (jessie)
Release:        8
Codename:       jessie

Fix :


$ apt-get install lsb-core

after install lsb-core:

/usr/bin/lsb_release --all
LSB Version:    core-2.0-amd64:core-2.0-noarch:core-3.0-amd64:core-3.0-noarch:core-3.1-amd64:core-3.1-noarch:core-3.2-amd64:core-3.2-noarch:core-4.0-amd64:core-4.0-noarch:core-4.1-amd64:core-4.1-noarch:security-4.0-amd64:security-4.0-noarch:security-4.1-amd64:security-4.1-noarch
Distributor ID: Debian
Description:    Debian GNU/Linux 8.6 (jessie)
Release:        8
Codename:       jessie

Enjoy :)

by 🅴🆁🆁🅴🆄🆁32
Hosted on
🅴🅲🅷🅾🆂🆈🆂🆃🅴🅼



Aucun commentaire

Les forte augmentations de scan à la recherche de serveurs mails mal configurés ("open relays") sont devenu un classique.
Ces serveurs acceptent de transférer des courriels en provenance de n'importe qui (et non uniquement des utilisateurs enregistrés) : une aubaine pour les spammeurs qui peuvent les utiliser pour relayer leurs cochonneries.

Comme vous le savez peut-être, il existe pour chaque bloc d'aresses IP (ou presque) une adresse de contact à qui l'on peut écrire pour se plaindre des manquements à la nétiquette. J'avais commencé par envoyer des mails dits "d'abuse" manuels, mais j'ai vite réalisé que ça me prendrait un temps fou à chaque fois.

Automatisation afin que les fournisseurs d'accès puissent prendre des mesures contre leurs clients belliqueux (s'ils le désirent).
Le script suivant traverse les logs postfix, identifie les lignes suspectes et envoie un joli rapport au contact "abuse" de l'IP identifiée.

postfix.openrelay.sh


#!/bin/bash
# postfix.openrelay.sh ( à placer ou vous voulez, chmod +x )

# This program is free software: you can redistribute it and/or modify
# it under the terms of the GNU General Public License as published by
# the Free Software Foundation, either version 3 of the License, or
# (at your option) any later version.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program. If not, see <http://www.gnu.org/licenses/>.
 
MAIL_HEAD="Hello,\n
\n\
I have received suspicious connections on port 25 from a machine located in your network.\n\
Here are the relevant postfix logs (all timestamps are relative to the `date +"%Z"` timezone):\n"

MAIL_FOOT="\nOne of your computers may have been infected, or it is possible that one of your clients is up to no good.\n\
Could you please look into it?\n\
\n\
Regards,\n\
[Echosystem.fr]"

function check_exit_node {
        dnsel_answer=`host \`echo $1 | perl -ne '/([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3})/ && print $4 . "." . $3 . "." . $2 . "." . $1 . ".25.13.200.179.88.ip-port.exitlist.torproject.org"'\` | pe
rl -ne '/has address ([0-9\.]+)/ && print $1'`
        if [[ -z "$dnsel_answer" || "$dnsel_answer" == "127.0.0.1" ]]; then
                return 0
        else
                return 1
        fi
}

for IP in `grep -i "relay access" /var/log/mail.log.1 |perl -ne '/from [A-Za-z0-9.-]+\[([0-9.]+)\]/ && print $1 . "\n"' |sort -u`
do
        if check_exit_node $IP
        then
                ABUSE_MAIL=`whois $IP |egrep -o "[A-Za-z0-9-]*abuse[A-Za-z0-9-]*@[A-Za-z0-9.-]+" |grep -iv "abuse@ripe.net"|sort -u`
                if [[ -n "$ABUSE_MAIL" ]]
                then
                        echo -e $MAIL_HEAD > mail.tmp
                        grep $IP /var/log/mail.log.1 >> mail.tmp
                        echo -e $MAIL_FOOT >> mail.tmp
                        # Add "-b abuse@echosystem.fr" to mutt's arguments if you want to recieve a blind carbon copy of the sent e-mails.
                        mutt -e 'set from=abuse@echosystem.fr realname="[echosystem.fr]" envelope_from="yes" user_agent="no"' -s "SMTP abuse from $IP" $ABUSE_MAIL < mail.tmp
                fi
        fi
done
rm -f mail.tmp



Pour que le script soit appelé tous les jours, il suffit d'éditer le script de rotation des logs de postfix.
Créé un fichier dans /etc/logrotate.d/postfix.


/var/log/mail.log
/var/log/mail.err
/var/log/mail.info
/var/log/mail.warn
{
daily
missingok
rotate 21
compress
delaycompress
notifempty
create 640 root
sharedscripts
postrotate
if [ -f /var/run/postfix.pid ]; then
/etc/init.d/postfix reload > /dev/null
####  appel du script ici 
/home/tools/SH/postfix.openrelay.sh || true
fi
endscript
}



Si vous utilisez un autre front-end, le script à modifier sera différent mais l'esprit reste le même.


Exemple de mail généré :



Hello,

I have received suspicious connections on port 25 from a machine located in your network.
Here are the relevant postfix logs (all timestamps are relative to the CEST timezone):

Jan 31 19:27:02 atria postfix/smtpd[21972]: warning: hostname 88.247.78.4.static.ttnet.com.tr does not resolve to address 88.247.78.4: No address associated with hostname
Jan 31 19:27:02 atria postfix/smtpd[21972]: connect from unknown[88.247.78.4]
Jan 31 19:27:03 atria postfix/smtpd[21972]: NOQUEUE: filter: RCPT from unknown[88.247.78.4]: : Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10026; from= to= proto=ESMTP helo=<[192.168.2.33]>Jan 31 19:27:03 atria postfix/smtpd[21972]: NOQUEUE: filter: RCPT from unknown[88.247.78.4]: : Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10024; from= to= proto=ESMTP helo=<[192.168.2.33]>Jan 31 19:27:03 atria postfix/smtpd[21972]: NOQUEUE: reject: RCPT from unknown[88.247.78.4]: 554 5.7.1 : Relay access denied; from= to= proto=ESMTP helo=<[192.168.2.33]>Jan 31 19:27:03 atria postfix/smtpd[21972]: disconnect from unknown[88.247.78.4]
Jan 31 19:30:23 atria postfix/anvil[21974]: statistics: max connection rate 1/60s for (smtp:88.247.78.4) at Jan 31 19:27:02
Jan 31 19:30:23 atria postfix/anvil[21974]: statistics: max connection count 1 for (smtp:88.247.78.4) at Jan 31 19:27:02
Jan 31 22:15:21 atria postfix/smtpd[3430]: warning: hostname 88.247.78.4.static.ttnet.com.tr does not resolve to address 88.247.78.4: No address associated with hostname
Jan 31 22:15:21 atria postfix/smtpd[3430]: connect from unknown[88.247.78.4]
Jan 31 22:15:21 atria postfix/smtpd[3430]: NOQUEUE: filter: RCPT from unknown[88.247.78.4]: : Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10026; from= to= proto=ESMTP helo=<[192.168.2.33]>Jan 31 22:15:21 atria postfix/smtpd[3430]: NOQUEUE: filter: RCPT from unknown[88.247.78.4]: : Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10024; from= to= proto=ESMTP helo=<[192.168.2.33]>Jan 31 22:15:21 atria postfix/smtpd[3430]: NOQUEUE: reject: RCPT from unknown[88.247.78.4]: 554 5.7.1 : Relay access denied; from= to= proto=ESMTP helo=<[192.168.2.33]>Jan 31 22:15:22 atria postfix/smtpd[3430]: disconnect from unknown[88.247.78.4]
Jan 31 22:18:42 atria postfix/anvil[3432]: statistics: max connection rate 1/60s for (smtp:88.247.78.4) at Jan 31 22:15:21
Jan 31 22:18:42 atria postfix/anvil[3432]: statistics: max connection count 1 for (smtp:88.247.78.4) at Jan 31 22:15:21
Jan 31 22:43:40 atria postfix/smtpd[16701]: warning: hostname 88.247.78.4.static.ttnet.com.tr does not resolve to address 88.247.78.4: No address associated with hostname
Jan 31 22:43:40 atria postfix/smtpd[16701]: connect from unknown[88.247.78.4]
Jan 31 22:43:41 atria postfix/smtpd[16701]: NOQUEUE: filter: RCPT from unknown[88.247.78.4]: : Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10026; from= to= proto=ESMTP helo=<[192.168.2.33]>Jan 31 22:43:41 atria postfix/smtpd[16701]: NOQUEUE: filter: RCPT from unknown[88.247.78.4]: : Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10024; from= to= proto=ESMTP helo=<[192.168.2.33]>Jan 31 22:43:41 atria postfix/smtpd[16701]: NOQUEUE: reject: RCPT from unknown[88.247.78.4]: 554 5.7.1 : Relay access denied; from= to= proto=ESMTP helo=<[192.168.2.33]>Jan 31 22:43:41 atria postfix/smtpd[16701]: disconnect from unknown[88.247.78.4]
Jan 31 22:47:01 atria postfix/anvil[16703]: statistics: max connection rate 1/60s for (smtp:88.247.78.4) at Jan 31 22:43:40
Jan 31 22:47:01 atria postfix/anvil[16703]: statistics: max connection count 1 for (smtp:88.247.78.4) at Jan 31 22:43:40

One of your computers may have been infected, or it is possible that one of your clients is up to no good.
Could you please look into it?

Regards,
YOU




Un petit truc qui ne coûte pas grand chose et qui, avec un volume suffisant de plaintes, pourrait bien faire perdre de précieuses machines aux spammeurs.
N'hésitez pas à modifier le script pour qu'il réagisse à d'autre types de comportements indésirables !

EDIT du 16/05/2014 : Modification du corps du mail pour inclure le fuseau horaire de l'horodatage.
EDIT du 08/08/2015 : Les courriels d'abuse ne sont plus envoyés aux exit nodes Tor, car ils ne peuvent rien faire pour retrouver les expéditeurs des courriels et les plaintes ne font qu'irriter leurs hébergeurs.
site de reference du script  : https://blog.kwiatkowski.fr/?q=fr/node/19#comment-118
EDIT du 01/10/2016 : Modification pour postfix by 🅴🆁🆁🅴🆄🆁32.



by 🅴🆁🆁🅴🆄🆁32
Hosted on
🅴🅲🅷🅾🆂🆈🆂🆃🅴🅼




Rendered in 0.013145 seconds