ReLoad

Thierry Jaouen WikiBlog
"Rien à foutre d'être lu,
tant que je peux me relire."

User Tools

Site Tools


start


C to Perl Module (simple)

Pour mémoire: transformer un petit projet C en un module Perl…

Openssl: Renouveler le CA

Expiration

Dans les logs d'un client OpenVPN:

... TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Sur le serveur:

# openssl verify -CAfile ca.crt server.crt
error 10 at 1 depth lookup:certificate has expired
OK
# openssl x509 -startdate -enddate -noout -in ca.crt
notBefore=Dec 10 23:23:50 2004 GMT
notAfter=Jan  9 23:23:50 2015 GMT

Ok: j'ai le CA (Certificate Authority) qui a expiré… la loose.

Nouveau certificat

On va créer un nouveau certificat, mais sans changer la clé privé/public.

# openssl req -new -key ca.key -out ca-new.csr
# openssl x509 -req -days 3650 -in ca-new.csr -signkey ca.key -out ca-new.crt

Et c'est bon ?

# openssl verify -CAfile ca-new.crt server.crt
server.crt: OK

Il me reste plus qu'a diffuser le nouveau fichier “ca-new.crt” au serveur et aux clients.

Source: http://serverfault.com/questions/306345/certification-authority-root-certificate-expiry-and-renewal

Agrandir une partition chiffrée

La couche LVM:

# lvresize -L +50G /dev/vg0/partition

La couche chiffrée:

# cryptsetup luksOpen /dev/vg0/partition mondisk
# cryptsetup resize mondisk

La couche “File System”:

# resize2fs -p /dev/mapper/mondisk

Voila ;-)

Serveur PPTP: vite

Le réseau local est “192.168.1.0/24” , et les clients seront dans ce même réseau…
Contrairement a ce qu'il se passe avec les clients VPN sur Freebox qui attribuent des IP en “192.168.27.0/24”… :-(

Bref:

# aptitude install pptpd

Dans “/etc/pptpd.conf” :

# --- par defaut ---
option /etc/ppp/pptpd-options
logwtmp
# --- ajouts ----
listen 192.168.1.2
localip 192.168.1.2
remoteip 192.168.1.224-239

Où “192.168.1.2” est l'adresse actuelle du serveur. (je sais, c'est étrange avec l'option “localip”, mais ça marche).

192.168.1.224-239” est une plage d'IP (“192.168.1.224/28”) attribué aux clients.

Dans “/etc/ppp/pptpd-options” :

# --- par defaut ---
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
# --- ajouts ---
ms-dns 192.168.1.2
ms-dns 212.27.40.240
noipx
# --- par defaut ---
proxyarp
nodefaultroute
lock
nobsdcomp

Dans “/etc/ppp/chap-secrets” , ajouter l'authentification du client:

toto      pptpd      toto-secret      *

On peut redémarrer:

# /etc/init.d/pptpd restart

Il faut aussi activer le “forward” entre les interfaces.

Dans “/etc/sysctl.d/local.conf”, ajouter:

net.ipv4.ip_forward = 1

Appliquer:

# sysctl -p /etc/sysctl.d/local.conf

Et voila: par la magie du “proxyarp” et du “forward”, les clients (en fait “toto”) peuvent se connecter, et:

  • Le réseau voit les clients VPN
  • Les clients VPN voient le réseau
  • Les clients peuvent surfer sur l'Internet via la Box (sous réserve qu'on ait pas changé la conf par défaut du client sous Windoz) .

PS: on n'oubliera pas d'adapter le firewall éventuel, et notamment de jouer avec TCPMSS , sinon, le surf sera pénible, voir impossible pour certains sites.

SpamAssassin: Patch pour le bug 7107

Un petit bug est apparu dans les dernières mises à jours des règles spamassassin.
Le bug est signalé par , mais il n'existe pas encore de correctif pour Debian Wheezy…

J'ai pondu un petit patch en attendant un correctif officiel.



start.txt · Last modified: 2012/03/25 22:48 by thierry