Notes rapides sur l’utilisation du package ca-certificates

Ici, je parle du package ca-certificates. Mais sans en détailler l’utilisation.

Du coup, il peut manquer quelques infos utiles sur l’utilisation de ce package:

  • Comment rajouter ses propres certificats dans /etc/ssl/certs/ca-certificates.crt sans les perdre à chaque mise à jour du package ;
  • Comment ne pas casser la configuration des services qui tournent dans un chroot et qui ont besoin de cette base de certificats.

Continue reading

postfix, spf, dkim, dmarc avec plusieurs domaines

Après m’être un peu battu, voilà mes notes 🙂

Cas d’utilisation:

{ Internet }----[ relai smtp dmz ]----[ serveur de mail réel bien à l'abri ]

Du coup, sur le relai en DMZ, niveau SMTP, je gère toute la partie:

  • vérification spf/dkim/dmarc des mails qui arrivent ;
  • signature (dkim) des messages qui partent ;
  • authentification pour ceux qui envoient les mails.

Tout ce qui est anti-spam/anti-virus se fait sur la machine réelle.

Bien entendu, je gère aussi les mails pour plusieurs domaines.

Continue reading

OpenVPN: log et fail2ban

Récemment, j’ai eu à monter un serveur OpenVPN.

Personnellement, quand je monte ce type de services, j’aime bien avoir trois choses:

  • un moyen de bloquer les bourrins qui tentent de brute-forcer le service (en général, fail2ban fait bien le boulot);
  • un moyen d’avoir des logs lisibles rapidement/facilement (logwatch) ;
  • un moyen de ne pas avoir des fichiers de logs de 12km de longs (logrotate).

Le problème, c’est que par défaut, ces outils ne gèrent pas ou mal OpenVPN. Cet article n’explique pas comment installer et configurer un serveur VPN, juste comment configurer logrotate, fail2ban et logwatch.

Continue reading