Le format d’un paquet est le suivant « foo_VVV-RRR_AAA.deb » :

• VVV => la version
• RRR => la révision
• AAA => l’architecture

Le serveur qui gère les dépôts possède un Apache configuré et qui est accessible via l’URL (HTTP ou HTTPS) :

http://depot-deb/

Le serveur Apache pointe sur le dossier suivant :

/var/www/depot-deb

Génération de la clé GPG

Pour authentifier vos paquets, vous pouvez générer une clé GPG pour les signer. Ensuite, la clé sera utilisée pour certifier votre dépôt personnel.

Pour générer la clé (il faudra définir un nom et une adresse email) :

cd /root
gpg --gen-key
5 (pour choisir RSA)
4096
O

Ce processus peut prendre du temps. Laissez la console en l’état et ouvrez une nouvelle console.

Lors de la création d’un clé GPG, il faut générer des activités systèmes pour que des chaines aléatoires soient utilisées en copiant des fichiers, lister des répertoires, etc.
Vous rencontrerez surement le message ci-dessous :

Il n'y a pas assez d'octets aléatoires disponibles. Faites autre chose
pour que l'OS puisse amasser plus d'entropie ! (il faut 277 octets de plus)

Pour connaitre le nombre d’octets aléatoires générés par votre système, ouvrez une nouvelle console SHELL :

cat /proc/sys/kernel/random/entropy_avail

Pour accélérer cette génération aléatoire, voici le petit script que j’utilise :

#!/bin/bash

while true
do
cp -rp /etc/ /tmp/.
rm -r /tmp/etc/
done

L’opération devrait se terminer au bout de plusieurs minutes. N’oubliez pas de tuer le processus du script ci-dessus car il ne se terminera jamais à cause du « while true ».

Une fois la clé générée, on peut l’afficher :

gpg --list-keys

/root/.gnupg/pubring.gpg
------------------------
pub   1024R/EA8AE8AD 2012-01-20
uid                  user-test <user-test@domaine.fr>

Il faut maintenant exporter la clé pour être rendue publique, en effet, les machines qui accéderont à ce dépôt personnel demanderont la clé car les paquets sont signés :

gpg --armor --export user-test@domaine.fr >> /var/www/depot-deb/key/depot-deb.gpg.key

Ainsi, pour récupérer la clé à partir d’une machine, elle est accessible via :

http://depot-deb/key/depot-deb.gpg.key

Installation de reprepro

Le paquet REPREPRO permet de créer son propre dépôt personnel. L’installation est rapide :

apt-get install reprepro

La configuration est à placer dans un répertoire dédié :

mkdir /var/www/depot-deb/conf/

Il faut ensuite définir tous les systèmes pour lesquels nos paquets pourront être installés. Dans mon cas, il s’agit de Debian Squeeze (pour mettre pour Lenny, ajoutez simplement le même bloc dans ce même fichier distributions en remplaçant squeeze par Lenny) :

vi /var/www/depot-deb/conf/distributions

Origin: Depot-Debian
Label: User-test
Suite: stable
Codename: squeeze
Architectures: i386 amd64 source
Components: main non-free contrib
Description: Paquets pour Debian
SignWith: yes

Le paramètre SignWith est spécifié à yes car nos paquets sont signés.

Je laisse la définition du paramètre override même s’il n’est pas activé.

vi /var/www/depot-deb/conf/override.squeeze
verbose
ask-passphrase
basedir .

Construction du dépôt

Avant de pouvoir enregistrer nos paquets, il faut construire l’arborescence du dépôt. La commande va lire le fichier /var/www/depot-deb/conf/distributions :

reprepro --ask-passphrase -Vb /var/www/depot-deb export

Voici le résultat (il faudra spécifier votre mot de passe pour la clé GPG créée précédemment) :

Created directory "/var/www/depot-deb/db"
Exporting squeeze...
Created directory "/var/www/depot-deb/dists"
Created directory "/var/www/depot-deb/dists/squeeze"
Created directory "/var/www/depot-deb/dists/squeeze/main"
Created directory "/var/www/depot-deb/dists/squeeze/main/binary-i386"
Created directory "/var/www/depot-deb/dists/squeeze/main/binary-amd64"
Created directory "/var/www/depot-deb/dists/squeeze/main/source"
Created directory "/var/www/depot-deb/dists/squeeze/non-free"
Created directory "/var/www/depot-deb/dists/squeeze/non-free/binary-i386"
Created directory "/var/www/depot-deb/dists/squeeze/non-free/binary-amd64"
Created directory "/var/www/depot-deb/dists/squeeze/non-free/source"
Created directory "/var/www/depot-deb/dists/squeeze/contrib"
Created directory "/var/www/depot-deb/dists/squeeze/contrib/binary-i386"
Created directory "/var/www/depot-deb/dists/squeeze/contrib/binary-amd64"
Created directory "/var/www/depot-deb/dists/squeeze/contrib/source"
6CCC2757EA8AE8AD user-test <user-test@domaine.fr> needs a passphrase
Please enter passphrase:
Successfully created '/var/www/depot-deb/dists/squeeze/Release.gpg.new'
6CCC2757EA8AE8AD user-test <user-test@domaine.fr> needs a passphrase
Please enter passphrase:
Successfully created '/var/www/depot-deb/dists/squeeze/InRelease.new'

Ajout d’un paquet .deb

Le dépôt est prêt à accueillir les paquets .deb pour les rendre accessible aux autres machines.

Pour notre exemple :

• le nom logique du paquet se nomme mon-paquet
• le nom physique est mon-paquet_1.2-1_amd64.deb

Ajouter un paquet :

reprepro --ask-passphrase -Vb /var/www/depot-deb includedeb squeeze /root/mon-paquet_1.2-1_amd64.deb

Supprimer un paquet :

reprepro --ask-passphrase -vb /var/www/depot-deb remove squeeze mon-paquet

Lister les paquets non référencés :

reprepro --ask-passphrase -vb /var/www/depot-deb dumpunreferenced

Effacer les paquets non référencés :

reprepro --ask-passphrase -vb /var/www/depot-deb deleteunreferenced

Reréférencer les paquets :

reprepro --ask-passphrase -vb /var/www/depot-deb rereference

Côté client

Comme votre serveur peut fournir les paquets .deb avec reprepro, il faut maintenant configurer vos serveurs (ou PC clients) pour les récupérer.

vi /etc/apt/sources.list.d/depot-deb.list

# depot-deb repository
deb http://depot-deb/private/ squeeze main

Pour éviter le message d’erreur à cause de l’absence de clé, il faut l’ajouter dans le trousseau de clés :

wget -O - http://depot-deb/key/depot-deb.gpg.key | apt-key add -

Une fois la clée ajoutée, on met à jour :

apt-get update

Puis notre paquet est déployable sur la cible :

apt-get install mon-paquet

Le guide a été réalisé pour un serveur TeamSpeak en version 64 bits.

Installation

Création de l’utilisateur

useradd -m -b /home teamspeak

Récupération de l’archive

La version se récupère sur le serveur officiel TeamSpeak :

su - teamspeak
wget http://teamspeak.gameserver.gamed.de/ts3/releases/3.0.1/teamspeak3-server_linux-amd64-3.0.1.tar.gz
tar xzf teamspeak3-server_linux-amd64-3.0.1.tar.gz
rm -v teamspeak3-server_linux-amd64-3.0.1.tar.gz

Configuration

Pour ma part, je modifie le script $HOME/teamspeak3-server_linux-amd64/ts3server_startscript.sh en modifiant la ligne d’origine :pour spécifier l’emplacement du fichier ts3server.ini :

#COMMANDLINE_PARAMETERS="${2}" #add any command line parameters you want to pass here
 COMMANDLINE_PARAMETERS="inifile=ts3server.ini" #add any command line parameters you want to pass here

Ainsi, lors du démarrage de TeamSpeak, le script va charger le contenu du fichier ts3server.ini dans lequel se trouve l’IP de serveur et les divers paramètres.

Contenu du fichier ts3server.ini

Voici le contenu du fichier ts3server.ini qui se place à la racine $HOME/teamspeak3-server_linux-amd64/ts3server.ini :

machine_id=
default_voice_port=9987
voice_ip=178.33.xxx.xxx
licensepath=
filetransfer_port=30033
filetransfer_ip=178.33.xxx.xxx
query_port=10011
query_ip=178.33.xxx.xxx
query_ip_whitelist=query_ip_whitelist.txt
query_ip_blacklist=query_ip_blacklist.txt
dbplugin=ts3db_sqlite3
dbpluginparameter=
dbsqlpath=sql/
dbsqlcreatepath=create_sqlite/
dblogkeepdays=90
logpath=logs
logquerycommands=0
dbclientkeepdays=30

Les ports par défaut peuvent être gardés, en revanche, vous devez spécifier l’IP du serveur pour les paramètres suivants :

• voice_ip
• filetransfer_ip
• query_ip

Démarrage

Pour activer le serveur TeamSpeak, il faut simplement le démarrer :

cd $HOME/teamspeak3-server_linux-amd64/
./ts3server_startscript.sh start

Lors de la 1ère exécution, vous allez obtenir ces lignes dans votre Shell :

Starting the TeamSpeak 3 server
TeamSpeak 3 server started, for details please view the log file

------------------------------------------------------------------
I M P O R T A N T
------------------------------------------------------------------
Server Query Admin Acccount created
loginname= "xxxadminxxx", password= "kxxxxxxr"
------------------------------------------------------------------

------------------------------------------------------------------
 I M P O R T A N T
------------------------------------------------------------------
ServerAdmin privilege key created, please use it to gain
serveradmin rights for your virtualserver. please
also check the doc/privilegekey_guide.txt for details.

token=wvJc+RMU8cKKy3c6rzE52exxxxxxxxxxxx
------------------------------------------------------------------

Notez bien le login, mot de passe et le token qui vous permettra de vous connecter avec le client et de vous déclarer comme administrateur du serveur TeamSpeak.

Les prochains démarrage ne les affichera plus donc notez bien ces informations.

Logs

Pour savoir ce que TeamSpeak fait en arrière-plan, tout est enregistré dans les fichiers de logs (dont le dossier logs sera créé au démarrage) :

less $HOME/teamspeak3-server_linux-amd64/logs/ts3server_2012-01-12__18_22_57.155813_0.log

Base de données

La base de données qui contient vos permissions, nombre de canaux, etc se trouve dans le fichier suivant :

ts3server.sqlitedb

Pensez à bien le sauvegarder !

Mise à jour

Lors d’une mise à jour, vous devez :

• téléchargez la nouvelle version sur le site de TeamSpeak
• copier les nouveaux fichiers en écrasant les anciens
• vérifiez que votre script de démarrage ts3server_startscript.sh modifié, contient bien le paramètre inifile=ts3server.ini
• vérifiez la présence de la base de données ts3server.sqlitedb
• démarrez TeamSpeak avec ./ts3server_startscript.sh start

Au 1er démarrage, TeamSpeak va détecter l’ancienne version et va mettre à jour la base de données. Vous pouvez voir la progression dans les fichiers présents dans le dossier logs :

2012-01-12 18:22:57.156120|INFO    |ServerLibPriv |   | TeamSpeak 3 Server 3.0.1 (2011-11-17 07:34:30)
2012-01-12 18:22:57.157216|INFO    |DatabaseQuery |   | dbPlugin name:    SQLite3 plugin, Version 2, (c)TeamSpeak Systems GmbH
2012-01-12 18:22:57.157378|INFO    |DatabaseQuery |   | dbPlugin version: 3.7.3
2012-01-12 18:22:57.158194|INFO    |DatabaseQuery |   | checking database integrity (may take a while)
2012-01-12 18:22:57.215239|ERROR   |DatabaseQuery |   | db_open() select * from instance_properties where string_id = ''; error: no such column: string_id
2012-01-12 18:22:57.219796|INFO    |SQL           |   | database updated successfully to revision: 16
2012-01-12 18:22:57.231279|INFO    |SQL           |   | database updated successfully to revision: 17
2012-01-12 18:22:57.242037|INFO    |SQL           |   | database updated successfully to revision: 18
2012-01-12 18:22:57.253455|INFO    |SQL           |   | database updated successfully to revision: 19
2012-01-12 18:22:57.259112|INFO    |DatabaseQuery |   | database busy, waiting for finishing index tasks, may take some time!
2012-01-12 18:23:37.308225|INFO    |SQL           |   | updated permissions to version 9
2012-01-12 18:23:37.323234|INFO    |SQL           |   | updated permissions to version 10
2012-01-12 18:23:37.407635|INFO    |SQL           |   | updated permissions to version 11
2012-01-12 18:23:37.435631|INFO    |SQL           |   | updated permissions to version 12
2012-01-12 18:23:37.442458|INFO    |SQL           |   | updated permissions to version 13
2012-01-12 18:23:37.468095|WARNING |Accounting    |   | Unable to find valid license key, falling back to limited functionality
2012-01-12 18:23:37.512729|INFO    |FileManager   |   | listening on 178.33.xxx.xxx:30033
2012-01-12 18:23:37.642727|INFO    |CIDRManager   |   | updated query_ip_whitelist ips: 127.0.0.1,
2012-01-12 18:23:37.643727|INFO    |Query         |   | listening on 178.33.xxx.xxx:10011

A vous de jouer !

OpenManage est un outil qui fournit des binaires capables de récupérer toute la configuration matériel du serveur telle que la carte RAID, BIOS, etc.

De plus, OpenManage vous permettra de récupérer l’état du RAID (OK, Degraded, …), des disques physiques, … de quoi compléter le monitoring sous Nagios par exemple.

Installation sous RedHat / CENTOS

RedHat étant supporté par DELL, il est même possible d’effectuer des mises à jours de Bios et firmwares directement sous l’OS en installant les binaires fournis par le dépôt DELL.

Le dépôt DELL est accessible via l’adresse suivante : http://linux.dell.com/repo/hardware/

DELL fournit un script qui va configurer l’adresse du dépôt pour YUM :

wget -q -O - http://linux.dell.com/repo/hardware/OMSA_6.5/bootstrap.cgi | bash

Ensuite, il ne reste plus qu’à installer l’outil :

yum install srvadmin-all

Installation sous Debian / Ubuntu

Le dépôt DELL est accessible via l’adresse suivante : http://linux.dell.com/repo/community/deb/

Pour configurer le dépôt sous APT, la commande est la suivante :

echo 'deb http://linux.dell.com/repo/community/deb/latest /' | sudo tee -a /etc/apt/sources.list.d/linux.dell.com.sources.list

Ajout des clés GPG pour ce dépôt :

gpg --keyserver pgpkeys.mit.edu --recv-key E74433E25E3D7775
gpg -a --export E74433E25E3D7775 | sudo apt-key add -

Enfin, mise à jour et installation :

apt-get update
apt-get install srvadmin-all

Start / Stop

Dès la fin de l’installation, il faut se déconnecter puis se reconnecter pour recharger les variables du SHELL.

Pour démarrer ou arrêter le service :

srvadmin-services.sh (stop|start|restart)

Aperçu de OMREPORT

Voici un aperçu en utilisant omreport pour connaitre la configuration de 2 disques durs SAS sur un DELL r610 avec la commande « omreport storage vdisk controller=0 » :

Virtual Disk 0 on Controller PERC H700 Integrated (Embedded)

Controller PERC H700 Integrated (Embedded)
ID                  : 0
Status              : Ok
Name                : Virtual Disk 0
State               : Ready
Encrypted           : No
Layout              : RAID-1
Size                : 136.13 GB (146163105792 bytes)
Device Name         : /dev/sda
Bus Protocol        : SAS
Media               : HDD
Read Policy         : Read Ahead
Write Policy        : Write Back
Cache Policy        : Not Applicable
Stripe Element Size : 64 KB
Disk Cache Policy   : Enabled

Erreurs possibles

Si vous intégrez les paquets DELL sur votre propre dépôt Debian ou RedHat, et que vous rencontrez l’erreur « le système n’est pas supporté » lors du démarrage du service, cela provient de l’absence des paquets « smbios-utils » et/ou « libsmbios-bin« 

L’arborescence utilisée, sur le serveur où les paquets sont créés, est la suivante :

$HOME/build => emplacement des sources
$HOME/deb => emplacement des paquets créés

A l’intérieur du dossier où se trouve les sources, il faut créer l’arborescence suivante :

mkdir $HOME/build/nom-du-paquet/
cd $HOME/build/nom-du-paquet/

mkdir DEBIAN
touch DEBIAN/control
touch DEBIAN/postinst
touch DEBIAN/postrm
touch DEBIAN/preinst
touch DEBIAN/prerm
chmod 755 DEBIAN/post*
chmod 755 DEBIAN/pre*

Le fichier control

Architecture possible : i386, amd64, all

vi DEBIAN/control

Package: Nom_Du_Paquet
Version: 1.0
Section: base
Priority: optional
Architecture: all
Depends: bash
Maintainer: Nom Prénom
Description: paquet de test

Description des différents champs:

• Package : c’est le nom du paquet
• Version : c’est le numéro de version du paquet (à incrémenter pour le système de dépôt comprenne qu’il remplace la précédente version)
• Section : base
• Priority : c’est la priorité d’installation du paquet
• Architecture : c’est l’architecture sur laquelle est utilisable le paquet
• Depends : c’est ce qui doit être présent dans le système pour que le paquet puisse être utilisé
• Maintainer : ce sont les informations sur la personne qui s’occupe du paquet
• Description : c’est la description du paquet. On peut expliquer deux trois choses sur le paquet si nécessaire

Configuration des fichiers avant et après installation du paquet

Pour définir les différentes étapes lors de l’installation et désinstallation du paquet, vous avez 4 scripts disponibles :

• postinst => après l’installation
• preinst => avant l’installation
• postrm => après la désinstallation
• prerm => avant la désinstallation

De plus, le langage utilisé est très simple puisque vous pouvez écrire en Bash le contenu de ces scripts.

Contenu du paquet

Votre paquet va contenir l’emplacement de vos applications. Vous devez donc créer l’arborescence que vous souhaitez lorsque le paquet sera installé.
En effet, le paquet sera décompacté et se copiera suivant l’arborescence définie, par exemple :

$HOME/build/nom-du-paquet/usr/bin/votre_binaire
$HOME/build/nom-du-paquet/etc/config/votre_fichier
$HOME/build/nom-du-paquet/etc/init.d/script-init

Construction

Pour générer le paquet :

dpkg-deb --build $HOME/build/nom-du-paquet $HOME/deb/nom-du-paquet_0.1-1amd64.deb
dpkg-deb : construction du paquet « nom-du-paquet » dans « deb/nom-du-paquet_0.1-1amd64.deb ».

Ensuite, si vous souhaitez placer votre paquet sur un depôt Debian, vous allez devoir le signer :

dpkg-sig --sign nom-proprietaire $HOME/deb/nom-du-paquet_0.1-1amd64.deb
Processing deb/nom-du-paquet_0.1-1amd64.deb...

Vous avez besoin d'une phrase de passe pour déverrouiller la
clé secrète pour l'utilisateur: « nom-proprietaire (cle depot votre-depot) »
clé de 4096 bits RSA, ID XXXXXXXXX, créée le 2012-01-05

Signed deb deb/nom-du-paquet_0.1-1amd64.deb

Afficher la version de RedHat :

cat /etc/redhat-release
Red Hat Enterprise Linux Server release 5.7 (Tikanga)

Il existe un fichier qui est rempli lors de l’installation du système et qui fonctionne également sous Debian :

cat /etc/issue
Red Hat Enterprise Linux Server release 5.7 (Tikanga)
Kernel \r on an \m

Le fichier /etc/issue est pratique si vous utilisez une boucle SSH pour connaitre rapidement les versions Debian ou RedHat que vous possédez.

Version du noyau

uname -r
2.6.18-274.12.1.el5

Vous pouvez également lister les noyaux qui sont installés sur le système en utilisant la base des paquets :

rpm -qa | grep kernel
kernel-2.6.18-274.12.1.el5
kernel-2.6.18-274.3.1.el5
kernel-2.6.18-274.7.1.el5

Ce serveur tourne sur le noyau 2.6.18-274.12.1.el5 en 64 bits.

Chargement du noyau au démarrage

Sous GRUB, le noyau qui se charge au démarrage correspond au 1er groupe dans le fichier « /boot/grub/menu.lst » :

[...]
title Red Hat Enterprise Linux Server (2.6.18-274.12.1.el5)
        root (hd0,0)
        kernel /vmlinuz-2.6.18-274.12.1.el5 ro root=LABEL=/ rhgb quiet
        initrd /initrd-2.6.18-274.12.1.el5.img
title Red Hat Enterprise Linux Server (2.6.18-274.7.1.el5)
        root (hd0,0)
        kernel /vmlinuz-2.6.18-274.7.1.el5 ro root=LABEL=/ rhgb quiet
        initrd /initrd-2.6.18-274.7.1.el5.img
title Red Hat Enterprise Linux Server (2.6.18-274.3.1.el5)
        root (hd0,0)
        kernel /vmlinuz-2.6.18-274.3.1.el5 ro root=LABEL=/ rhgb quiet
        initrd /initrd-2.6.18-274.3.1.el5.img

Au démarrage, le serveur affichera les différents choix entre les noyaux 2.6.18-274.3.1, 2.6.18-274.7.1 et 2.6.18-274.12.1.

Par défaut, le serveur chargera celui qui se trouve tout en haut à savoir : 2.6.18-274.12.1.el5.

Afficher la version de Debian :

cat /etc/debian_version
6.0.3

Il existe un fichier qui est rempli lors de l’installation du système et qui fonctionne également sous RedHat, en revanche, vous n’aurez pas la version exacte :

cat /etc/issue
Debian GNU/Linux 6.0 \n \l

Le fichier /etc/issue est pratique si vous utilisez une boucle SSH pour connaitre rapidement les versions Debian ou RedHat que vous possédez.

Version du noyau

uname -r
2.6.32-5-amd64

Pour connaitre la release exacte du noyau (par exemple, pour savoir si vous êtes concernés par une faille), il faut vérifier directement dans la base des paquets :

dpkg -l | grep 2.6.32-5-amd64
ii  linux-image-2.6.32-5-amd64          2.6.32-38                    Linux 2.6.32 for 64-bit PCs

Ce serveur tourne sur le noyau 2.6.32-38 en 64 bits.

Chargement du noyau au démarrage

Sous GRUB, le noyau qui se charge au démarrage correspond au 1er groupe dans le fichier « /boot/grub/grub.cfg » :

menuentry 'Debian GNU/Linux, avec Linux 2.6.32-5-amd64' --class debian --class gnu-linux --class gnu --class os {
        insmod part_msdos
        insmod ext2
        set root='(hd0,msdos1)'
        search --no-floppy --fs-uuid --set d0778cde-fdb4-4b9d-a22f-a821fbc8485e
        echo    'Chargement de Linux 2.6.32-5-amd64 ...'
        linux   /vmlinuz-2.6.32-5-amd64 root=UUID=4fe98a6f-2358-4af1-8c41-42f011f5f307 ro  quiet
        echo    'Chargement du disque mémoire initial ...'
        initrd  /initrd.img-2.6.32-5-amd64
}

Par défaut, le serveur chargera celui qui se trouve tout en haut à savoir : 2.6.32-5-amd64.

PowerDNS est actuellement utilisé parmi de nombreux registrars de domaine et également Wikimédia qui utilise GeoBackend.

De plus, PowerDNS fonctionne aussi bien sous Windows que Linux, par contre, il y a plus de documentations sous Linux que sous Windows pour le module GeoBackend. Il faut également penser que le module GeoBackend doit être compilé avec Visual C++ sous Windows alors que sous Linux tout cela est automatique.

La solution est entièrement gratuite, le système d’exploitation est Linux Debian version Etch 4.0, la base de données est MySQL version 5.0, le serveur Internet est basé sur Apache 2.0, le tout administré avec un logiciel gratuit Windows : Putty.

BIND propose également un module de géolocalisation mais il n’a pas été remis à jour depuis 2004 donc cette solution ne fut pas sélectionnée.
Il existe d’autres systèmes, par exemple des géo balancers matériels qui se chargent de rediriger les internautes, malheureusement ce type de matériel est très onéreux.

Ce tutorial est issu d’un de mes rapports de stage en 2007. Et à l’époque j’utilisais « nano » au lieu de « vi »

Installation de PowerDNS

En ligne de commande, exécutez sur votre serveur :

apt-get install pdns-backend-geo pdns pdns-backend-mysql
cd /etc/powerdns/

Pour connaître la version utilisée, exécutez :

/usr/bin/pdns_control version

Pour démarrer PowerDNS :

/etc/init.d/pdns stop
/etc/init.d/pdns monitor

Configuration de PowerDNS

Comme tout programme sous Linux, il faut modifier les fichiers de configuration

nano /etc/powerdns/pdns.conf
local-address=0.0.0.0				# répond à toutes les IP qui l’interroge
local-port=53					# écoute sur le port 53
recursor=127.0.0.1:5300			# les requêtes récursives sont renvoyés au localhost port 5300
allow-recursion=127.0.0.1 172.20.0.0/16	# autorise seulement le localhost et les adresses IP internes à utiliser les requêtes récursives

PowerDNS doit répondre à tous les IP donc le paramètre « local-address=0.0.0.0 », le port par défaut du DNS est 53 « local-port=53 ». Pour les requêtes récursives, le module recursor écoute sur le port 5300 et les requêtes seront traitées par lui-même.
Pour des raisons de sécurité, les requêtes récursives ne sont autorisées que pour les IP locales.

Configuration des requêtes récursives

nano /etc/powerdns/recursor.conf
local-address=127.0.0.1		# écoute sur l’IP local
local-port=5300		# écoute sur le port 5300
allow-from=127.0.0.0/8	# autorise seulement le localhost à utiliser le serveur recursor

Pour des raisons de sécurité, les requêtes récursives ne sont autorisées que pour les IP locales.

Une fois configuré, il faut démarrer le démon pour charger les fichiers de configuration.

Démarrage de recursor :

/etc/init.d/pdns-recursor start

Démarrage de pdns pour voir l’état de l’application en temps réel (pratique pour déboguer en temps réel dans la console Shell) :

/etc/init.d/pdns monitor

Ces informations sont essentielles pour vérifier le bon fonctionnement de l’application mais également pour la dépanner. Voici un exemple de logs :

Jul 11 10:22:08 This is a standalone pdns
Jul 11 10:22:08 It is advised to bind to explicit addresses with the --local-address option
Jul 11 10:22:08 UDP server bound to 0.0.0.0:53
Jul 11 10:22:08 TCP server bound to 0.0.0.0:53
Jul 11 10:22:08 PowerDNS 2.9.20 (C) 2001-2006 PowerDNS.COM BV (Mar 10 2007, 00:36:58, gcc 4.1.2 20061115 (prerelease) (Debian 4.1.1-21)) starting up
Jul 11 10:22:08 PowerDNS comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it according to the terms of the GPL version 2.
Jul 11 10:22:08 Set effective group id to 109
Jul 11 10:22:08 Set effective user id to 108
Jul 11 10:22:08 DNS Proxy launched, local port 48069, remote 127.0.0.1:5300
Jul 11 10:22:09 Creating backend connection for TCP
Jul 11 10:22:09 About to create 3 backend threads for UDP
% Jul 11 10:22:09 Done launching threads, ready to distribute questions
Jul 11 10:22:15 Distributor misses a thread (4

Comme PowerDNS fonctionne sous forme de démon (similaire au « service » sous Windows), il est possible de l’exécuter sans afficher les logs en temps réel :

/etc/init.d/pdns start

Test du bon fonctionnement du serveur PowerDNS

Une fois installé, il faut tester le bon fonctionnement du serveur DNS. Nous allons taper les commandes recommandées dans la documentation (http://doc.powerdns.com/testing.html) :

host www.example.com 127.0.0.1

PowerDNS résout l’URL www.example .com pour nous retourner l’IP du domaine.

dig www.example.com A @127.0.0.1

Le serveur DNS nous retourne l’enregistrement de type A pour le domaine www.example.com qui a pour IP : 208.77.188.166 ce qui est correct.

Activation des logs

Les logs sont très importants et permettent de résoudre pas mal de problèmes de configuration mais également de bien vérifier que tout fonctionne correctement.

Il faut décommenter les lignes « logfile » et « loglevel » :

nano /etc/powerdns/pdns.conf

Attention, le « loglevel=7 » retourne un très grand nombre de ligne et ne doit servir que pour les tests ! Une fois les tests réussis, il faut remettre « loglevel=3 ».

Ensuite, il faut modifier le fichier « recursor.conf » avec « nano /etc/powerdns/recursor.conf » et rajouter la partie LOG :

L’argument « logging-facility=0 » permet de spécifier le format de sortie pour SYSLOG du système d’exploitation.

Pour récupérer les logs et remplir le fichier dédié à PowerDNS, il faut configurer syslog :

nano /etc/syslog.conf

On rajoute cela dans le fichier :

Puis on redémarre le démon syslog :

/etc/init.d/sysklogd restart

ainsi que les démons de PowerDNS

/etc/init.d/pdns-recursor restart

et

/etc/init.d/pdns restart

Pour visualiser les logs, il faudra faire :

tail -f /var/log/pdns.log

Installation de la Base de données

La base de données MySQL va contenir les domaines, les IP, c’est-à-dire toutes les informations nécessaires qui servent à définir un nom de domaine.
Il est possible d’utiliser une autre base de données tel qu’Oracle ou SQL Server mais le choix de MySQL fut adopté : éprouvé et gratuit.

Installation de MySQL

On commence donc par installer le module mysql de PowerDNS :

apt-get install pdns-backend-mysql

Il faut créer un utilisateur, spécifier un mot de passe (pdnstest dans notre exemple) et lui donner les droits pour qu’il puisse se connecter à la base.

mysql -u root –p
CREATE USER ‘u_pdnstest’@’localhost’ IDENTIFIED BY 'pdnstest'
#CREATE USER ‘u_pdnstest’@’localhost’;
CREATE DATABASE pdnstest;
GRANT ALL PRIVILEGES ON pdnstest.* TO 'u_pdnstest'@'localhost';
exit

On vérifie la bonne connexion de l’utilisateur :

mysql –u u_pdnstest -p

On rentre le mot de passe « pdnstest ». Il faut obtenir cela :

On quitte toujours en tapant « exit ; ».

Pour que PowerDNS puisse utiliser la base MySQL, il faut rajouter cela dans le fichier « pdns.conf » :

launch=gmysql
gmysql-host=127.0.0.1
gmysql-user=u_pdnstest
gmysql-dbname=pdnstest
gmysql-password=pdnstest

On commente la partie de tests d’avant : « launch=bind » et « bind-example-zones » pour que PowerDNS charge le module MySQL.

Création des tables MySQL

PowerDNS utilise une base de données (MySQL dans notre cas mais cela peut être Oracle, DB2, etc.) pour stocker les noms de domaines, les zones, etc.
Pour cela, il faut tout d’abord créer la structure de la base de données, car lors de l’installation, les tables ne sont pas installées ce qui nous permet de choisir notre SGBDR.

Voici ce qu’il faut exécuter sur le serveur MySQL pour créer les tables :

create table domains (
id INT auto_increment,
name VARCHAR(255) NOT NULL,
master VARCHAR(128) DEFAULT NULL,
last_check INT DEFAULT NULL,
type VARCHAR(6) NOT NULL,
notified_serial INT DEFAULT NULL,
account VARCHAR(40) DEFAULT NULL,
primary key (id)
)type=InnoDB;

CREATE UNIQUE INDEX name_index ON domains(name);

CREATE TABLE records (
id INT auto_increment,
domain_id INT DEFAULT NULL,
name VARCHAR(255) DEFAULT NULL,
type VARCHAR(6) DEFAULT NULL,
content VARCHAR(255) DEFAULT NULL,
ttl INT DEFAULT NULL,
prio INT DEFAULT NULL,
change_date INT DEFAULT NULL,
primary key(id)
)type=InnoDB;

CREATE INDEX rec_name_index ON records(name);
CREATE INDEX nametype_index ON records(name,type);
CREATE INDEX domain_id ON records(domain_id);

create table supermasters (
ip VARCHAR(25) NOT NULL,
nameserver VARCHAR(255) NOT NULL,
account VARCHAR(40) DEFAULT NULL
);

On relance PowerDNS pour vérifier la bonne connexion du serveur DNS à la base de données MySQL :

/etc/init.d/pdns monitor

Voici le résultat de la commande :

debian:~# /etc/init.d/pdns monitor
Jul 12 17:46:32 This is module gmysqlbackend.so reporting
Jul 12 17:46:32 This is a standalone pdns
Jul 12 17:46:32 It is advised to bind to explicit addresses with the --local-address option
Jul 12 17:46:32 UDP server bound to 0.0.0.0:53
Jul 12 17:46:32 TCP server bound to 0.0.0.0:53
Jul 12 17:46:32 PowerDNS 2.9.20 (C) 2001-2006 PowerDNS.COM BV (Mar 10 2007, 00:36:58, gcc 4.1.2 20061115 (prerelease) (Debian 4.1.1-21)) starting up
Jul 12 17:46:32 PowerDNS comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it according to the terms of the GPL version 2.
Jul 12 17:46:32 Set effective group id to 109
Jul 12 17:46:32 Set effective user id to 108
Jul 12 17:46:32 DNS Proxy launched, local port 42771, remote 127.0.0.1:5300
Jul 12 17:46:32 Creating backend connection for TCP
% Jul 12 17:46:32 gmysql Connection succesful
Jul 12 17:46:32 About to create 3 backend threads for UDP
Jul 12 17:46:32 Launched webserver on 0.0.0.0:8081
Jul 12 17:46:32 gmysql Connection succesful
Jul 12 17:46:32 gmysql Connection succesful
Jul 12 17:46:32 gmysql Connection succesful
Jul 12 17:46:32 Done launching threads, ready to distribute questions
Jul 12 17:46:48 Distributor misses a thread (4

La partie « gmysql Connection succesful » nous confirme la bonne connexion entre les deux.

Résolution de quelques noms de domaines

Pour tester le bon fonctionnement du serveur DNS, il suffit de rajouter l’IP du serveur et d’exécuter quelques pings vers example.com, perdu.com, etc. pour générer du trafic et des résolutions de requêtes.

Voici une vue des logs, après les pings :

tail -f /var/log/pdns.log

Jul 16 11:49:31 Query: select content,ttl,prio,type,domain_id,name from records where name='perdu.com'
Jul 16 11:49:31 Query: select content,ttl,prio,type,domain_id,name from records where name='*.com'
Jul 16 11:49:31 gmysql Connection succesful
Jul 16 11:50:04 Distributor misses a thread (4

Activation du serveur WEB de PowerDNS

PowerDNS contient un serveur Internet intégré pour afficher les requêtes que le serveur a traitées et permet de faire des statistiques.

Tout d’abord, il faut modifier le fichier de configuration pdns.conf pour l’activer. Voici mes paramètres :

Quelques explications sur les paramètres :

• « webserver=yes » -> activation du serveur Internet
• « webserver-address=0.0.0.0 » -> permet d’accéder au serveur à partir de toutes les IP. Attention ! Il vaut mieux mettre l’IP de la machine qui doit accéder aux statistiques pour la sécurité
• « webserver-port=8081 » -> sélection du port pour accéder au serveur Internet

Ainsi, pour accéder au serveur Internet, il faut taper : http://IP_serveur_DNS:8081

Une fois les pings effectués, il est possible de se connecter au serveur Web activé pour visualiser les diverses requêtes :

On remarque les résolutions inversées « .in-addr.arpa » des divers noms de domaine. Ainsi, lors d’un ping sur le domaine example.com : « PING example.com (208.77.188.166) 56(84) bytes of data » possède comme IP 208.77.188.166, le serveur DNS retourne l’adresse inversée « 166.188.77.208.in-addr.arpa ».

La liste des IP qui ont demandé des résolutions d’adresses sont loguées et des pourcentages sont visibles ce qui permet de connaître les IP qui sollicitent le plus le serveur DNS.

Test de divers serveurs DNS :

apt-get install zonecheck

Configuration des domaines dans la base de données MySQL

Quelques commandes sont à réaliser d’après la documentation :

« host www.test.com 127.0.0.1 » retourne « www.test.com has address 208.48.34.132 »

Il faut ajouter des enregistrements dans la base de données Mysql en exécutant en ligne de commande les lignes ci-dessous :

mysql -u u_pdnstest -p

	  INSERT INTO domains (name, type) values ('test.com', 'NATIVE');
	  INSERT INTO records (domain_id, name, content, type,ttl,prio)
	  VALUES (1,'test.com','localhost ahu@ds9a.nl 1','SOA',86400,NULL);
	  INSERT INTO records (domain_id, name, content, type,ttl,prio)
	  VALUES (1,'test.com','dns-us1.powerdns.net','NS',86400,NULL);
	  INSERT INTO records (domain_id, name, content, type,ttl,prio)
	  VALUES (1,'test.com','dns-eu1.powerdns.net','NS',86400,NULL);
	  INSERT INTO records (domain_id, name, content, type,ttl,prio)
	  VALUES (1,'www.test.com','199.198.197.196','A',120,NULL);
	  INSERT INTO records (domain_id, name, content, type,ttl,prio)
	  VALUES (1,'mail.test.com','195.194.193.192','A',120,NULL);
	  INSERT INTO records (domain_id, name, content, type,ttl,prio)
	  VALUES (1,'localhost.test.com','127.0.0.1','A',120,NULL);
	  INSERT INTO records (domain_id, name, content, type,ttl,prio)
	  VALUES (1,'test.com','mail.test.com','MX',120,25);
exit;

Maintenant, la requête « host www.test.com 127.0.0.1 » retourne « www.test.com has address 199.198.197.196 » ce qui correspond à l’IP renseigné dans la base de données pour le nom de domaine www.test.com.

Et la requête « host mail.test.com 127.0.0.1 » retourne « mail.test.com has address 195.194.193.192 » ce qui est correct puisqu’issue de la base de données.

Installation et configuration de la Géolocalisation

Sous Debian, l’installation du GeoBackend ne comporte pas de souci particulier :

apt-get install pdns-backend-geo

Le module geobackend permet de connaître le continent de l’internaute suivant son adresse IP. Il sera possible de rediriger cette internaute sur les serveurs choisis.

Il existe plusieurs modules disponibles en tapant : « apt-cache search pdns »

Il faut modifier le fichier de configuration pour intégrer le nouveau backend : « nano /etc/powerdns/pdns.conf »

Pour tester la géolocalisation, le domaine utilisé est « testrepartition.com ».

# The geobackend
launch=geo

# The zone that your geo-balanced RR is inside of.  The whole zone has to #be delegated to the PowerDNS backend, so you will generally want to make #up some subzone of your main zone.
geo-zone=geo.testrepartition.com

# The only parts of the SOA for "geo.telepulse.net" that apply here are the
# master server name and the contact address.
geo-soa-values=dns.testrepartition.com, webmaster@testrepartition.com

# List of NS records of the PowerDNS servers that are authoritative for #your GLB zone.
geo-ns-records=dns.testrepartition.com

# The TTL of the CNAME records that geobackend will return.  Since the same
# resolver will always get the same CNAME (apart from if the director-map
# changes) it is safe to return a reasonable TTL, so if you leave this
# commented then a sane default will be chosen.
#geo-ttl=3600

# The TTL of the NS records that will be returned.  Leave this commented if #you don't understand.
#geo-ns-ttl=86400

# This is the real guts of the data that drives this backend.  This is a #DNS zone file for RBLDNSD, a nameserver specialised for running large DNS #zones typical of DNSBLs and such.  We choose it for our data because it is #easier to parse than the BIND-format one.
# Anyway, it comes from http://countries.nerd.dk/more.html - there are #details there for how to rsync your own copy.  You'll want to do that #regularly, every couple of days maybe.  We believe the nerd.dk guys take #the netblock info from Regional Internet Registries (RIRs) like RIPE, #ARIN, APNIC.  From that they build a big zonefile of IP/prefixlen -> ISO-#country-pre mappings.
geo-ip-map-zonefile=/etc/powerdns/zz.countries.nerd.dk.rbldnsd

# And finally this last directive tells the geobackend where to find the #map files that say a) which RR to answer for, and b) what actual resource #record to return for each ISO country pre.  The setting here is a comma-#separated list of paths, each of which may either be a single map file or #a directory that will contain map files.  If you are only ever going to #serve one RR then a single file is probably better, but if you're going to #serve many then a directory would probably be better.  The rest of this #documentation will assume you chose a directory.
geo-maps=/etc/powerdns/geo-maps

« geo-ip-map-zonefile » retourne le pre du pays à partir d’une IP et « geo-maps » retourne un nom de pays à partir du pre du pays.

Récupération de la liste :

rsync -va rsync://countries-ns.mdc.dk/zone/zz.countries.nerd.dk.rbldnsd .

Ne pas oublier le « . » à la fin de la commande pour télécharger les données.

Attention à ne pas mettre de fichier tel que « zz.countries.nerd.dk.rbldnsd » dans le dossier geo-maps car le parseur recherche les variables « $RECORD » et « $ORIGIN » dans l’entête du fichier.
L’erreur obtenu est : « [geobackend] Error occured while reading director file /etc/powerdns/geo-maps/zz.countries.nerd.dk.rbldnsd: $RECORD line empty or missing, georecord qname unknown ».

Tous les fichiers sont placés dans le dossier « /etc/powerdns ».

Une fois le dossier choisi : « /etc/powerdns/geo-maps » dans notre exemple, il faut respecter un format de fichier.
Le début doit contenir « $RECORD », puis « $ORIGIN domaine.com. » puis un domaine par défaut.

$RECORD www 			# pour www.geo.testrepartition.com.
$ORIGIN iso.testrepartition.com.
#par défaut
0 geomain.testrepartition.com.

La suite comporte le nom du pays et le pre ISO. Par exemple, dans ce fichier se trouve :

# Belgium
56 eu

Le n°56 est le pre ISO de la Belgique. Le « eu » est nécessaire au module GeoBackend et lui indique la localisation de la Belgique qui se trouve dans l’Europe. Il répond par un enregistrement DNS de type CNAME « eu.iso.testrepartition.com ».
Lorsque le module GeoBackend est correctement lancé, le message « 0 failures » apparait.

La suite est disponible à cette adresse : http://www.micro-gravity.com/data/300605/vip

Voici un screenshot :

Configuration des domaines dans la base de données MySQL

La base de données MySQL contient les renseignements sur le domaine tel que l’IP, les noms DNS, etc.
Dans notre exemple, le domaine « testrepartition.com » est utilisé. Ainsi, il faut définir les noms DNS tel que « www.testrepartition.com » qui dépendra de « eu.iso.testrepartition.com », « us.iso.testrepartition.com » etc.
Puis il faut définir les IP suivant le nom de domaine. Pour effectuer un bon load balancing DNS, il est nécessaire de fournir plusieurs IP pour chaque nom de domaine. Dès lors, la charge des serveurs sera répartie.

Configuration DNS – schema de type BIND

$TTL 38400
@    IN    SOA    dns.testrepartition.com.  webmaster.testrepartition.com. (
1607200701	   ; N° série (yyyymmddnn)
10800		   ; Rafraichissement (3 heures)
3600			; Retry (1 heure)
604800		; Expiration (1000 heures)
86400			; Minimum (24 heures)
)

; IN    NS    dns.testrepartition.com.

www 		IN	CNAME	www.geo
dns		IN	A	172.20.1.1
geo		IN	NS	dns

;geo		IN	CNAME	us.iso ;pas besoin PowerDNS utilise le module Geo
;geo		IN	CNAME	eu.iso ;pas besoin PowerDNS utilise le module Geo

us.iso	IN	A	172.20.100.10
us.iso	IN	A	172.20.100.11

eu.iso	IN	A	172.20.100.20
eu.iso	IN	A	172.20.100.21

; accès par défaut
geomain	IN	A	172.20.100.10
geomain	IN	A	172.20.100.20

Installation dans la base de données (script MySQL)

Voici un exemple de script que j’ai réalisé :

INSERT INTO domains (name, type) values ('testrepartition.com', 'NATIVE');

INSERT INTO records (domain_id, name, content, type,ttl,prio) 	VALUES (2, 'testrepartition.com','dns.testrepartition.com web@testrepartition.com 1607200701 10800 3600 604800 86400','SOA',38400,NULL);

INSERT INTO records (domain_id, name, content, type,ttl,prio) 	VALUES (2, 'www.testrepartition.com','www.geo.testrepartition.com','CNAME',86400,NULL);
INSERT INTO records (domain_id, name, content, type,ttl,prio) 	VALUES (2, 'dns.testrepartition.com','172.20.1.1','A',86400,NULL);
INSERT INTO records (domain_id, name, content, type,ttl,prio) 	VALUES (2, 'geo.testrepartition.com','dns.testrepartition.com','NS',86400,NULL);

INSERT INTO records (domain_id, name, content, type,ttl,prio) 	VALUES (2, 'us.iso.testrepartition.com','172.20.100.10','A',86400,NULL);
INSERT INTO records (domain_id, name, content, type,ttl,prio) 	VALUES (2, 'us.iso.testrepartition.com','172.20.100.11','A',86400,NULL);

INSERT INTO records (domain_id, name, content, type,ttl,prio) 	VALUES (2, 'eu.iso.testrepartition.com','172.20.100.20','A',86400,NULL);
INSERT INTO records (domain_id, name, content, type,ttl,prio) 	VALUES (2, 'eu.iso.testrepartition.com','172.20.100.21','A',86400,NULL);

INSERT INTO records (domain_id, name, content, type,ttl,prio) 	VALUES (2, 'geomain.testrepartition.com','172.20.100.10','A',86400,NULL);
INSERT INTO records (domain_id, name, content, type,ttl,prio) 	VALUES (2, 'geomain.testrepartition.com','172.20.100.20','A',86400,NULL);
exit;

Test de la résolution

Sur la machine où est installé PowerDNS, il est possible d’utiliser l’utilitaire « dig » qui va nous permettre de résoudre « www.testrepartition.com » avec l’IP local :

Si l’on utilise l’outil Windows « nslookup » à partir d’une autre IP, dans les logs de PowerDNS, une ligne apparait :

Jul 17 17:08:21 [geobackend] Serving www.geo.testrepartition.com CNAME geomain.testrepartition.com to 172.20.200.1 (0)

Puisqu’il s’agit d’une IP privée, le serveur DNS retourne l’internaute vers la zone par défaut : « geomain.testreparition.com », car le serveur ne trouve pas cette IP dans la liste d’IP par continent.

Il ne reste plus qu’à tester avec une IP publique.

Modification de la base des IP pour tester une IP privée

Pour l’instant, seul les IP publiques peuvent être testées, mais il est intéressant de modifier la base de données des IP pour faire passer une IP privée, pour une IP venant de l’Europe.

Ajout du masque d’IP privée « 172.20.0.0 » dans le fichier de référence :

nano /etc/powerdns/zz.countries.nerd.dk.rbldnsd

Ajout : 172.20.0.0/16 :127.0.0.250:fr

Dès qu’un test est effectué, par exemple d’une machine virtuelle qui possède l’IP 172.20.200.1 et qui a pour serveur DNS l’IP du serveur où est installé PowerDNS, on effectue un « nslookup » de www.testrepartition.com et dans les logs, la résolution est visible :

[geobackend] Serving www.geo.testrepartition.com CNAME eu.iso.testrepartition.com to 172.20.200.1 (250)

Le chiffre « 250 » signifie qu’il s’agit d’une IP provenant du continent 250 qui a pour nom « eu » :

Dès lors, la demande « www.testrepartition.com » est redirigé sur les serveurs « eu.iso » qui sont les serveurs européens.

Une fois les fichiers modifié, il n’est pas nécessaire de redémarrer le démon PowerDNS, il suffit de taper : « pdns_control rediscover ».
Par contre, si vous avez exécuté PowerDNS avec « /etc/init.d/pdns monitor » et que l’on tente « pdns_control rediscover », alors une erreur apparait : « Fatal error: Unable to connect to remote ‘/var/run/pdns.controlsocket’: Connection refused ».

Il faut donc démarrer le démon avec « /etc/init.d/pdns start » puis « pdns_control rediscover » affichera « Ok ».

Configuration de la zone inverse in-addr.arpa

La résolution d’une IP en nom de domaine est possible en configurant la zone inverse in-addr.arpa.

Pour la mettre en place, il faut insérer de nouveaux enregistrements dans la base de données :

INSERT INTO records (domain_id, name, content, type,ttl,prio) 	VALUES (2, '99.1.20.172.in-addr.arpa','dns.testrepartition.com web@testrepartition.com 1607200701 10800 3600 604800 86400','SOA',38400,NULL);

INSERT INTO records (domain_id, name, content, type,ttl,prio) 	VALUES (2, '99.1.20.172.in-addr.arpa','us.iso.testrepartition.com','PTR',86400,NULL);

INSERT INTO records (domain_id, name, content, type,ttl,prio) 	VALUES (2, '20.100.20.172.in-addr.arpa','eu.iso.testrepartition.com','PTR',86400,NULL);
INSERT INTO records (domain_id, name, content, type,ttl,prio) 	VALUES (2, '21.100.20.172.in-addr.arpa','eu.iso.testrepartition.com','NS',86400,NULL);

INSERT INTO records (domain_id, name, content, type,ttl,prio) 	VALUES (2, '10.100.20.172.in-addr.arpa','geomain.testrepartition.com','PTR',86400,NULL);
INSERT INTO records (domain_id, name, content, type,ttl,prio) 	VALUES (2, ' 11.100.20.172.in-addr.arpa','geomain.testrepartition.com','PTR',86400,NULL);

exit;

Maintenant, il est possible de résoudre l’IP pour afficher le nom de domaine :

Dans cet exemple, le masque d’IP « 172.20.0.0 » est indiqué comme adresse américaine, dès lors, la résolution de l’adresse « 172.20.1.99 » retourne le nom DNS de la zone américaine, en l’occurrence « us.iso.testrepartition.com »

Test charge DNS

Pour tester la rapidité de résolution du serveur DNS, la création d’un petit script réalisant un nslookup est nécessaire. Deux versions ont été réalisées : l’une sous Linux et l’autre sous Windows.

Script Windows (.bat) :

@echo off
:replay
nslookup www.testrepartition.com
Goto replay
:FIN

Sous Debian (.sh) :

#!/bin/sh
while true
do
nslookup www.testrepartition.com
done

Bilan : 60 requêtes/sec -> 3% CPU

En extrapolant, il est possible de dire que le serveur DNS supporte 2000 requêtes par seconde sur ce type de test assez théorique.

Il faudra donc effectuer quelques tests réels et surveiller l’utilisation des ressources des divers serveurs.

Conclusion

La géolocalisation avec PowerDNS fonctionne très bien et se configure de manière assez simple sous Linux.

La priorité d’une telle solution est la base de données qui contient les IP et leur provenance classées par continent.
En effet, si cette base est erronée ou incomplète, les internautes seront redirigés vers le lieu par défaut rendant la géo localisation inefficace. Ainsi, il faut que cette base soit le plus juste possible.

Il existe des bases effectuant la relation « IP vers continent » en vente sur Internet réalisées par des sociétés spécialisées ce qui permet de garantir un minimum la fiabilité des données.

Il est possible de faire évoluer cette solution en développant un petit module pour configurer simplement les données (nom de domaine, IP, etc.) qui se trouvent dans la base de données MySQL. Actuellement, la configuration est réalisée avec PHPMyAdmin qui permet de modifier la base de données de PowerDNS.

En Bash, il est possible de supprimer simplement des caractères qui se trouvent à gauche ou à droite d’un caractère.

Par exemple, pour : RESULT= »host@channel ».

# Suppression chaine à gauche
echo ${RESULT#*@};

La variable RESULT renvoie : channel.

# Suppression chaine à droite
echo ${RESULT%@*};

La variable RESULT renvoie : host.

• qui fonctionne parfaitement en mode console (utile car nous n’avons pas d’interface graphique)
• permet de se connecter à de multiples réseaux (eDonkey, Overnet, Bittorrent, etc.)
• est mis régulièrement à jour par l’équipe (important pour corriger les bugs, failles, etc.)

Création d’un utilisateur pour le client Bittorrent

# création d'un utilisateur pour mldonkey.
adduser bittorrent

Installation

Récupération de l’archive MLDonkey :

wget http://surfnet.dl.sourceforge.net/sourceforge/mldonkey/mldonkey-2.9.2.static.i386-Linux_glibc-2.3.2.tar.bz2
bzip2 -d mldonkey-2.9.2.static.i386-Linux_glibc-2.3.2.tar.bz2
tar -xf mldonkey-2.9.2.static.i386-Linux_glibc-2.3.2.tar

Suppression de l’archive .tar qui ne nous sert plus :

rm mldonkey-2.9.2.static.i386-Linux_glibc-2.3.2.tar

Changement du nom en « mldonkey » :

mv mldonkey-distrib-2.9.2/ mldonkey

Compilation :

cd mldonkey
# il n'y a rien à compiler maintenant, l'exécutable est livré compilé
# ./configure --enable-batch
# make

# déplacement du dossier contenant les exécutables mldonkey
mv mldonkey/ /home/bittorrent/

# installation de nohup pour exécuter mldonkey qui restera actif même après la déconnexion de l'utilisateur
apt-get update
apt-get install nohup

Lancement / Exécution / Utilisation

# on se logue avec l'utilisateur bittorrent pour exécuter mldonkey sous l'utilisateur bittorrent pour des raisons de sécurité
su - bittorrent
cd /home/bittorrent/
# lancement du client avec nohup
nohup ./mlnet &

Pour contrôler MLDonkey, il faut utiliser le module « mldonkey_command ».

# autoriser des IP à accéder à l'interface Web
./mldonkey_command set allowed_ips "127.0.0.1 autre_ip autre_ip_2 autre_ip_3"

# lancer un téléchargement : par exemple l'ISO d'Ubuntu par bittorent
./mldonkey_command startbt ftp://cdimage.ubuntu.com/cdimage/releases/7.10/release/ubuntu-7.10-dvd-i386.iso.torrent

MLDonkey peut être entièrement configuré et contrôlé avec l’interface Internet : http://IP_de_votre_serveur:4080 pour accéder à l’interface. Lors de la 1ère connexion à l’interface, on est averti qu’il faut spécifier un mot de passe pour éviter que n’importe qui puisse lancer des téléchargements par exemple.

# protection contre l'accès à l'interface Internet
./mldonkey_command auth admin votre_mot_de_passe

Partage de fichier et téléchargement

Je vous conseille d’utiliser l’interface Internet ou alors de regarder la documentation sur les commandes pour MLDonkey pour réaliser la même chose sans l’interface Internet.

Pour télécharger un fichier que vous allez ensuite partager, il faut cliquer sur ce bouton : puis dans la fenêtre qui s’ouvre il suffit de copier le lien Torrent puis de valider.

Pour voir la progression du téléchargement il faut cliquer sur puis .

Une fois les fichiers téléchargés, il est possible de les laisser afin que d’autres personnes puissent les récupérer à leur tour, voici un exemple de fichiers que je partage :

En effectuant un clic droit sur 1 des liens tels que le fichier OpenOffice fr : « OOo_2.3.1_Win32Intel_install_fr.exe« , il est possible de faire un clic droit sur celui-ci et de récupérer le lien à transmettre à vos amis.

Pour partager d’autres fichiers, il faut les placer sur votre serveur dans le dossier « incoming » par exemple. Par défaut, tous les fichiers placés dans le dossier « /home/bittorrent/.mldonkey/incoming/ » sont partagés.

Liens

• Documentation sur les commandes pour MLDonkey

Là où Postfix fonctionne de manière autonome, Qmail se différencie par son fonctionnement sous la forme de module qui en fait un serveur de messagerie très sécurisé !

Installation de Qmail

L’auteur de Qmail n’a pas souhaité que des paquets soit créés, il faut donc compiler directement par les sources. Par contre il existe netqmail qui contient un grand nombre de patchs directement intégré.

wget http://mir2.ovh.net/www.qmail.org/netqmail-1.06.tar.gz
tar -xzf netqmail-1.06.tar.gz
make
make setup check
./config-fast domaine.com

Tous les fichiers de configuration se trouve dans le dossier :

/var/qmail/control/

Pour démarrer qmail :

/var/qmail/rc &

DaemonTools

Documentation : DaemonTools

DaemonTools va vérifier si le service qmail fonctionne, s’il est DOWN il sera relancé. De plus, la gestion des logs est améliorée.

Installation

mkdir -p /package
cd /package
wget http://cr.yp.to/daemontools/daemontools-0.76.tar.gz
tar -xzf daemontools-0.76.tar.gz
mv admin/daemontools-0.76/ daemontools-0.76
rmdir admin/
cd daemontools-0.76
package/install

Personnellement, lors de la compilation de daemontools, j’ai eu droit à cette erreur :

Erreur lors de la compil :
collect2: ld returned 1 exit status
make: *** [envdir] Error 1
Copying commands into ./command...
cp: cannot stat `compile/svscan': No such file or directory

Pour corriger cette erreur, il faut simplement patcher daemontools avec le patch issu du site de qmail :

cd /package
wget http://www.qmail.org/moni.csi.hu/pub/glibc-2.3.1/daemontools-0.76.errno.patch
patch -p0 < daemontools-0.76.errno.patch
patching file daemontools-0.76/src/error.h
cd daemontools-0.76
rm -R compile
package/install

Si la compilation se déroule bien, voici ce que vous devriez avoir :

Making compatibility links in /usr/local/bin...
Creating /service...
Adding svscanboot to inittab...
init should start svscan now.

On remarque que la ligne « SV:123456:respawn:/command/svscanboot » a été rajouté dans « vi /etc/inittab« .
Doit maintenir le service : scanboot, qui va maintenant svscan.

UCSPI-TCP

Le module UCSPI-TCP va gérer « qmail-smtpd » pour envoyer les mails. Puis il sera interfacé avec MySQL pour la gestion des accès au SMTP et seuls les utilisateurs du domaine pourront envoyer des emails. Documentation.

Comme pour daemontools il faut patcher le ucspi-tcp pour le bon déroulement de l’installation :

cd /tmp
wget http://cr.yp.to/ucspi-tcp/ucspi-tcp-0.88.tar.gz
tar -xzf ucspi-tcp-0.88.tar.gz
wget http://www.qmail.org/moni.csi.hu/pub/glibc-2.3.1/ucspi-tcp-0.88.errno.patch
cd ucspi-tcp-0.88
patch -p1 < /tmp/ucspi-tcp-0.88.errno.patch
make
make setup check

Vpopmail + MySQL

Vpopmail est très simple à configurer et va créer de lui-même les tables MySQL ainsi que leur remplissage.

Installation

Création d’un compte MySQL avec les droits sur la base de donnée nommée vpopmail :

CREATE DATABASE vpopmail;
GRANT select,insert,update,delete,create,drop ON vpopmail.* TO vpopmailuser@localhost IDENTIFIED BY 'votre_mot_de_passe';
quit;

Puis il faut récupérer le paquet, le décompresser et configurer la compilation pour la prise en charge de MySQL : enable-auth-module=mysql

wget http://garr.dl.sourceforge.net/sourceforge/vpopmail/vpopmail-5.4.25.tar.gz
tar xzf vpopmail-5.4.25.tar.gz
cd vpopmail-5.4.25
./configure \
--disable-roaming-users \
--enable-logging=p \
--disable-passwd \
--enable-clear-passwd \
--disable-domain-quotas \
--enable-auth-module=mysql \
--enable-auth-logging \
--enable-sql-logging \
--enable-valias \
--disable-mysql-limits

make
make install-strip

Pour tester, il suffit d’utiliser les commandes fournies par Vpopmail : vadddomain, vadduser, etc.

Par exemple, pour la création du domaine avec le user postmaster@domaine.com (et, je le rappelle la création automatique des tables MySQL): ./vadddomain domaine.com password-postmaster. Voici d’autres commandes :

#Création d'un compte utilisateur sur un autre domaine virtuel
vadduser ludovic@autre-domaine.com password

#Création d'un alias de postmaster
valias -i postmaster@domaine.com ludovic@domaine.com

#Visualiser les alias / forwards
valias postmaster@domaine.com

Configuration par défaut

nano /var/vpopmail/etc/vlimits.default

Emplacement des mails

/var/vpopmail/domains/

Test des mails :

echo to: postmaster@domaine.com | /var/qmail/bin/qmail-inject
#Vérification
nano /var/vpopmail/domains/domaine.com/postmaster/Maildir/new/

Configuration de Qmail

Pour la configuration de Qmail nous allons utiliser des scripts déjà tout faits.

 cd /tmp
wget http://qmail.jms1.net/scripts/service-qmail-send-run
wget http://qmail.jms1.net/scripts/service-qmail-smtpd-run
wget http://qmail.jms1.net/scripts/service-any-log-run
mkdir -p /var/qmail/supervise/qmail-send/log
mkdir -p /var/qmail/supervise/qmail-smtpd/log

cp /tmp/service-qmail-send-run /var/qmail/supervise/qmail-send/run
cp /tmp/service-qmail-smtpd-run /var/qmail/supervise/qmail-smtpd/run

chmod 755 /var/qmail/supervise/qmail-send/run
chmod 755 /var/qmail/supervise/qmail-smtpd/run

cp /tmp/service-any-log-run /var/qmail/supervise/qmail-send/log/run
cp /tmp/service-any-log-run /var/qmail/supervise/qmail-smtpd/log/run

chmod 755 /var/qmail/supervise/qmail-send/log/run
chmod 755 /var/qmail/supervise/qmail-smtpd/log/run

Configuration des scripts

nano /var/qmail/supervise/qmail-smtpd/run -> remplacer "IP=unset" par "IP=0"
nano /var/qmail/supervise/qmail-smtpd/log/run -> service-any-log-run

Les logs seront dans « /var/qmail/supervise/qmail-smtpd/log/main ».

Création du script de lancement de qmail qui va s’occuper la supervision des services

cd /tmp
wget http://www.lifewithqmail.org/qmailctl-script-dt70
cp /tmp/qmailctl-script-dt70 /var/qmail/bin/qmailctl
chmod 755 /var/qmail/bin/qmailctl
ln -s /var/qmail/bin/qmailctl /usr/bin

Affichage des LOGS

tail -f /var/qmail/supervise/qmail-send/log/main/current | tai64nlocal
tail -f /var/qmail/supervise/qmail-smtpd/log/main/current | tai64nlocal

Les logs s’affichent au format TimeStamp mais DaemonTools inclut un outil qui va convertir ce temps au format anglosaxon : « tai64nlocal ».

TCP SERVER

Documentation.

Recevoir les mails de tous

nano /etc/tcp.smtp
127.0.0.1:allow,RELAYCLIENT=""
:allow
qmailctl cdb

Tous les emails qui viennent des IP 127.0.0.X sont relayés.
Tous les emails venant d’autres ip sont acceptés uniquement si le destinataire est configuré sur la machine (voir le serveur MX).
Il n’est pas nécessaire de redémarrer le serveur smtp car le fichier est lu à chaque connexion smtp.

Démarrage de Qmail

Lancement du service qmail : « ln -s /var/qmail/supervise/qmail-send /service »
Lancement du SMTP : « ln -s /var/qmail/supervise/qmail-smtpd /service »

ps aux | grep qmail
root 7359 0.0 0.0 1428 300 ? S 13:40 0:00 supervise qmail-send
qmails 7361 0.0 0.0 1608 372 ? S 13:40 0:00 qmail-send
root 7363 0.0 0.0 1572 316 ? S 13:40 0:00 qmail-lspawn ./Maildir/
qmailr 7364 0.0 0.0 1568 304 ? S 13:40 0:00 qmail-rspawn
qmailq 7365 0.0 0.0 1560 320 ? S 13:40 0:00 qmail-clean
root 8082 0.0 0.0 1428 300 ? S 13:41 0:00 supervise qmail-smtpd
root 8126 0.0 0.0 3284 632 pts/1 R+ 13:41 0:00 grep qmail

Vérification du bon fonctionnement :

netstat -a | grep :smtp

Qmail est bien lancé :

qmailctl stat
/service/qmail-send: up (pid 7361) 535 seconds
/service/qmail-send/log: up (pid 7362) 535 seconds
/service/qmail-smtpd: up (pid 16696) 0 seconds
/service/qmail-smtpd/log: up (pid 8085) 515 seconds
messages in queue: 0
messages in queue but not yet preprocessed: 0

On remarque que tous les services ont démarré sauf « /service/qmail-smtpd » qui affiche un uptime de 0 seconde. Il faut donc corriger cela :

nano /var/qmail/supervise/qmail-smtpd/run

Il faut remplacer la ligne SMTP_CDB= »/etc/tcp/smtp.cdb » par SMTP_CDB= »/etc/tcp.smtp.cdb »

On affiche à nouveau l’état des services :

 qmailctl stat
/service/qmail-send: up (pid 7361) 1342 seconds
/service/qmail-send/log: up (pid 7362) 1342 seconds
/service/qmail-smtpd: up (pid 25461) 330 seconds
/service/qmail-smtpd/log: up (pid 8085) 1322 seconds
messages in queue: 0
messages in queue but not yet preprocessed: 0

Courier POP / IMAP

apt-get install courier-base courier-authdaemon courier-authlib-mysql courier-imap courier-pop

Configuration de l’authentification avec Courier

nano /etc/courier/authdaemonrc

authmodulelist= »authpam » -> authmodulelist= »authvchkpw »

Avec l’installation par paquet ne fournit pas la livraire AUTHVCHKPW donc il faut :

cd /tmp
wget http://www.qmailrocks.org/downloads/qmailrocks.tar.gz
tar xzf qmailrocks.tar.gz
cp qmailrocks/scripts/misc/authvchkpw /usr/lib/courier/courier-authlib/authvchkpw
bzip2 -d qmailrocks/courier-authlib-0.55.tar.bz2
tar xf qmailrocks/courier-authlib-0.55.tar
courier-authlib-0.55
./configure
make
cp /tmp/courier-authlib-0.55/.libs/libauthvchkpw.so /usr/lib/courier-authlib/

Redémarrage des démons

/etc/init.d/courier-authdaemon restart
/etc/init.d/saslauthd restart
/etc/init.d/courier-authdaemon restart
/etc/init.d/courier-imap restart
/etc/init.d/courier-imap-ssl restart
/etc/init.d/courier-pop restart
/etc/init.d/courier-pop-ssl restart

SMTP AUTH

SMTP AUTH permet à l’utilisateur de s’authentifier pour envoyer des mails à partir de n’importe quelle machine, tout en empêchant les envois de mails non désirés. En effet, il ne faut pas que le serveur soit « Open Relay ».

* Installation de CheckPassword

cd /tmp
wget http://cr.yp.to/checkpwd/checkpassword-0.90.tar.gz
tar xzf checkpassword-0.90.tar.gz
cd checkpassword-0.90
make
make setup check

Il faut stopper QMail car les fichiers binaires sont remplacés : « qmailctl stop« .

cd /tmp/netqmail-1.06/other-patches
wget http://shupp.org/patches/netqmail-1.05-tls-smtpauth-20070417.patch
cd /tmp/netqmail-1.06
patch -p0 < other-patches/netqmail-1.05-tls-smtpauth-20070417.patch

Si tout se passe bien :

patching file ./base64.c
patching file ./base64.h
patching file ./case_startb.c
patching file ./conf-cc
patching file ./dns.c
patching file ./FILES.auth
patching file ./hier.c
patching file ./install_auth.sh
patching file ./ipalloc.h
patching file ./Makefile
patching file ./Makefile-cert.mk
patching file ./qmail-control.9
patching file ./qmail-remote.8
patching file ./qmail-remote.c
patching file ./qmail-smtpd.8
patching file ./qmail-smtpd.c
patching file ./README.auth
patching file ./ssl_timeoutio.c
patching file ./ssl_timeoutio.h
patching file ./TARGETS
patching file ./tls.c
patching file ./tls.h
patching file ./update_tmprsadh.sh

On lance la compilation et on installe :

make
make setup check

Fabrication des certificats :

make cert
Generating a 1024 bit RSA private key
FR
France
Paris
Qmail
admin
admin
make tmprsadh

Les certificats ont été rajouté dans « /var/qmail/control ».

Modification du script de lancement de Qmail

Nous allons tester de nous authentifier auprès du serveur mail :

telnet ip_de_votre_serveur_mail 25
EHLO serveur-rps.fr
250-serveur-rps.fr
250-STARTTLS
250-PIPELINING
250-8BITMIME
250-SIZE 0
250 AUTH LOGIN PLAIN CRAM-MD5

Le serveur attend la chaine de caractère qui contient le destinataire, le domaine et le mot de passe du compte mail créé avec VPOPMail.

Génération du MDP : perl -MMIME::Base64 -e ‘print enpre_base64(« \000postmaster\@domaine.com\000votre_mot_de_passe »)’
Ou alors un convertisseur en ligne : http://www.motobit.com/util/base64-deprer-enprer.asp

AUTH PLAIN la_cle_retournee_par_le_site

Erreur que j’ai eu

454 oops, unable to write pipe and I can't auth -> au lancement -> exec tcpserver -vR

Il faut modifier la ligne :

nano /var/qmail/supervise/qmail-smtpd/run
ARGS=" $LOCAL $CHECKPW $TRUE" par ARGS=" $CHECKPW $TRUE"

On refait l’authentification et une nouvelle erreur apparait :

"535 authentication failed (#5.7.1)"

Dans les logs on remarque une erreur :

# voir les logs :
/var/qmail/supervise/qmail-smtpd/log/main/current
vmysql: can't read settings from /var/vpopmail/etc/vpopmail.mysql

Visiblement il y a un problème dans les droits, il faut donc corriger cela.

Par défaut :

 ls -l /var/vpopmail/etc/vpopmail.mysql
-rw-r----- 1 vpopmail vchkpw 576 2008-02-11 16:53 /var/vpopmail/etc/vpopmail.mysql
# commande à exécuter pour modifier les propriétaires
chown vpopmail:root /var/vpopmail/etc/vpopmail.mysql
-rw-r----- 1 vpopmail root 576 2008-02-11 16:53 /var/vpopmail/etc/vpopmail.mysql

Il est toujours impossible de se loguer, une nouvelle table est créé dans la BDD MySQL et contient les tentatives de log : « vlog ».
Affichage d’une nouvelle erreur : « vchkpw-smtp: vpopmail user not found postmaster@domaine.com:xxx.xxx.xxx.xxx »

Par défaut :

 ls -l /var/vpopmail/bin/vchkpw
-rwx--x--x 1 vpopmail vchkpw 86320 2008-02-11 16:47 /var/vpopmail/bin/vchkpw
# commande à exécuter pour modifier les droits
chmod 751 /var/vpopmail/bin/vchkpw
chmod 4711 /var/vpopmail/bin/vchkpw
-rws--x--x 1 vpopmail root 86320 2008-02-11 16:47 /var/vpopmail/bin/vchkpw

SpamAssassin

Il existe un patch pour permettre à Qmail 1.03 d’utiliser le binaire « qmail-queue » différent de celui qui est intégré par défaut. Mais puisque l’installation de Qmail a été réalisée avec NetQmail, le patch est déjà intégré.

Installation de Qmail-scanner

cd /tmp
wget http://prdownloads.sourceforge.net/qmail-scanner/qmail-scanner-2.02.tgz\?download
tar xfzv qmail-scanner-2.02.tgz
cd qmail-scanner-2.02
./configure
Y

Mais une erreur se produit -> « Cannot find reformime on your system! ».

Toutes les options de compilation sont listées [[http://qmail-scanner.sourceforge.net/configure-options.php|sur cette page]].

./configure --spooldir /var/lib/qscan --qmaildir /var/qmail --bindir /var/qmail/bin \
--qmail-queue-binary /var/qmail/bin/qmail-queue --admin postmaster --domain serveur-rps.fr \
--add-dscr-hdrs yes --lang fr_FR --debug yes --scanners fast_spamassassin

Il faut donc récupérer « reformime ». Il est possible de le faire en compilant MailDrop puis en copiant le binaire dans le répertoire. Par contre, il est possible d’avoir des problèmes lors d’une mise à jour par paquet donc je vous conseille d’installer mail drop par paquet « apt-get install maildrop ».

Si vous souhaitez tout de même copier seulement le binaire, voici la manipulation :

• Maildrop

cd /tmp
wget http://prdownloads.sourceforge.net/courier/maildrop-2.0.4.tar.bz2
bzip2 -d maildrop-2.0.4.tar.bz2
tar xf maildrop-2.0.4.tar
cd maildrop-2.0.4
./configure
make

Une nouvelle erreur apparait : (Perl-compatible regular expression library) n’est pas présent -> « configure: error: pcre.h not found – install PCRE from www.pcre.org ».

• PCRE

cd /tmp
wget http://kent.dl.sourceforge.net/sourceforge/pcre/pcre-7.6.tar.gz
tar xzf pcre-7.6.tar.gz
cd pcre-7.6
./configure
make
make install

• Récupération de reformime

cd maildrop-2.0.4
./configure
make

Recompilation de maildrop pour créer Reformime :

cd /tmp/maildrop-2.0.4
./configure
make

Copie du binaire « reformime » dans /usr/local/bin

cp /tmp/maildrop-2.0.4/rfc2045/reformime /usr/local/bin

Refaire le ./configure avec « –install 1″ à la fin pour éxécuter l’installation.

On reprend la configuration de qmail-scanner :

./configure --spooldir /var/lib/qscan --qmaildir /var/qmail --bindir /var/qmail/bin \
--qmail-queue-binary /var/qmail/bin/qmail-queue --admin postmaster --domain serveur-rps.fr \
--add-dscr-hdrs yes --lang fr_FR --debug yes --scanners fast_spamassassin
The following binaries and scanners were found on your system:
mimeunpacker=/usr/local/bin/reformime
uudepre=/usr/bin/uudepre

Content/Virus Scanners installed on your System
max-scan-size=100000000
fast_spamassassin=/usr/bin/spamc

If that looks correct, I will now generate qmail-scanner-queue.pl
for your system...
Continue? ([Y]/N)
Y

Testing suid nature of /usr/bin/perl...
Whoa - broken perl install found.
Cannot even run a simple script setuid

You will either have to correct this
or use the C-wrapper within the ./contrib dir

Error was:
Can't do setuid (cannot exec sperl)

See FAQ for further details

• perl-suid

Il faut installer le paquet manquant :

apt-get install perl-suid

Ajout de « –install 1″ dans le « ./configure » pour que tout s’installe correctement.

Modification du fichier TCP.SMTP

Lors que le serveur reçoit un mail, le fichier « //tcp.smtp// » est appelé. C’est donc ce fichier qui va appelé Qmail Scanner avec SpamAssassin

nano /etc/tcp.smtp
:allow,QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl"
qmailctl cdb
qmailctl restart

On vérifie le bon fonctionnement en envoyant un mail ou un SPAM qui traine dans une boite mail et on regarde les entêtes, on doit trouver :

X-Spam-Status: No, score=3.2 required=5.0
X-Spam-Level: +++

Si l’objet du mail n’est pas reécrit dans SpamAssassin :

nano /var/qmail/bin/qmail-scanner-queue.pl

Remplacer :

my $spamc_options='-s 256000 -t 30 -c ';

par :

my $spamc_options='-s 256000 -t 30 ';

Commandes à connaitre

Etat des services de qmail-send et qmail-smtp : qmailctl stat

Nombre de mail en attente : qmail-qstat

Entête des mails en attente : qmail-qread

Configuration sommaire : qmail-showctl

Pour toute modification de /etc/tcp.smtp il faut faire : qmailctl cdb

Fonctionnement en relai

Dans l’exemple précédent, tout Qmail est installé sur la même machine, et il se peut que le serveur sature avec la réception des mails, le traitement antispam puis le délivrement dans la boite mail.

Il est donc possible d’avoir un serveur en amont nommé relai qui va recevoir les mails puis appliqué SpamAssassin et enfin délivré dans les boites mails.

La configuration des relais est identique au serveur de boites mails, il faut :

• DaemonTools
• UCSPI-TCP
• NetQmail
• SpamAssassin

Il n’y a pas besoin de :

• Courier
• VPOPMail

Voici les IP que j’ai imaginé pour le réseau :

Serveur MX 1 -> 192.168.0.50
Serveur MX 2 -> 192.168.0.51
Serveur Boites mails -> 192.168.0.1
Domaine -> serveur-rps.fr

Sur les relais MX 1 et MX 2, il faut relayer les mails vers le serveur qui contient les boites mails. Ensuite, lorsqu’un utilisateur enverra un mail, le mail sera transféré à l’un des relais et c’est l’un des relais qui enverra le mail.

MX 1

Routage des mails reçus vers le serveur de boites mails :

nano /var/qmail/control/smtproutes
serveur-rps.fr:192.168.0.1

Autorisation du serveur de boites mails à envoyer des mails avec le relai MX :

 nano /etc/tcp.smtp
:allow
192.168.0.1:allow,RELAYCLIENT=""
qmailctl cdb

Autorisation du relai pour qui relai le domaine :

 nano /var/qmail/control/rcpthosts
serveur-rps.fr

MX 2

La configuration est identique au MX 1.

 nano /var/qmail/control/smtproutes
serveur-rps.fr:192.168.0.1

 nano /etc/tcp.smtp
:allow
192.168.0.1:allow,RELAYCLIENT=""
qmailctl cdb

 nano /var/qmail/control/rcpthosts
serveur-rps.fr

Boites Mails

Autorisation des relais pour relayer les mails :

 nano /etc/tcp.smtp
127.0.0.1:allow,RELAYCLIENT=""
192.168.0.50:allow,RELAYCLIENT=""
192.168.0.51:allow,RELAYCLIENT=""
qmailctl cdb

Lors de l’envoi d’un mail par un utilisateur du serveur de boites mails, il faut que le serveur de boites envoi le mail en utilisant l’un des deux relais MX :

 nano /var/qmail/control/smtproutes
:192.168.0.50
:192.168.0.51

Test d’envoi et de réception

D’après les logs, il est tout à fait possible de suivre le bon cheminement d’un mail : Relai MX -> Serveur de Boites mails.

Documentation

Life with qmail