Squid
Launch command :
docker run -d -p 3128:3128 -v /path/to/passwd_file:/etc/squid/passwd --name proxy knepti/squid
Unbound
Launch command :
Launch command: docker run -d -p 53:53 -p 53:53/udp –name dns knepti/unbound
Je les rajouterai ici au fur et à mesure. Par défaut, ils seront ce seront des automated build pour limiter les erreurs et toujours avoir la dernière version des dépendances et/ou systèmes.
####Authentification simple demandée lors de l’accès via le proxy:
Installation de squid sur une debian (surement valable pour d’autres distribution en adapatant) : sudo aptitude install squid
Fichier de conf: /etc/squid/squid.conf
Configuration utilisée:
#authentification ncsa auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd auth_param basic children 5 #a augmenter si trop lent auth_param basic realm Squid proxy-caching web server #par défaut auth_param basic credentialsttl 2 hours #durée de validité auth_param basic casesensitive on #explicite #acl all obligatoire - sur ubuntu cette ligne peut être supprimée acl all src 0.
MAJ avec pour base l’image alpine au lieu de ubuntu. Le poids de l’image passe de 125 à 9mo.
On se sert des billets précédents et on fait une petite image docker pour unbound. Ca permet de valider les précédentes expérimentations. Pouf. Donc le Dockerfile:
FROM alpine:latest MAINTAINER knepti <[email protected]> RUN apk add --no-cache unbound ADD local.conf /etc/unbound/unbound.conf EXPOSE 53 EXPOSE 53/udp ENTRYPOINT ["unbound"] CMD ["-d"] Créer l’image via le Dockerfile : docker build --tag knepti/unbound .
####Merci la loi du renseignement Install rapide et crade d’unbound avant d’affiner tout ça. sudo aptitude install unbound
Configuration de bind9 pour ne plus écouter sur le loopback (si besoin de bind sinon on peut couper le service) /etc/bind/named.conf.options :
listen-on-v6 { };
listen-on { };
Configuration de /etc/resolv.conf: #unbound
nameserver 127.0.0.1
Configuration de /etc/unbound/unbound.conf:
server: verbosity: 1 #toutes interfaces reseaux interface: 0.0.0.0 port: 53 do-ip4: yes do-ip6: yes do-udp: yes do-tcp: yes #openbar access-control: 0.
Pour avoir le shell distant sur une machine windows (en imaginant qu’on est dans une domaine avec les droits suffisants):
La suite pstools de systinternal -> ici cmde : psexec \\\ip_machine_distante cmd.exe laZagne, chocolatey, RH, Nirsoft, etc.
Liste pour essayer de se rappeler de groupes / albums auxquels il faudrait jeter une oreille ou deux (par curiosite personnelle et surtout recommandations de gensgens):
Solkyri – ‘Sad Boys Club’ Denai Moore Talisko Gallon Drunk : The Soul Of The Hour Mineral : Plastic Ekphrastic Pink Floyd Led Zeppelin Bakermat (électro) Bosco Delrey Luxey 2014 : Raki Balkans Sound System (dj set balkanique) Ezza (rock touareg) Minimum Fanfare (euh… une fanfare) La Pegatina (ska) Eskelina Quantic : Magnetica
###Rajouter un filtre dans fail2Ban Créer un fichier /var/fail2ban/filter.d/
touch /var/fail2ban/filter.d/apache_null.conf
Modifer ce fichier: nano /var/fail2ban/filter.d/apache_null.conf
># Regex python parsant les logs du serveur
>failregex = - - (.*) “-” 408 0 “-” “-”
># Option: ignoreregex ># Notes.: regex to ignore. If this regex matches, the line is ignored.
>ignoreregex =
Tester le filtre sur le fichier de log concerné: fail2ban-regex /var/log/apache2/other_vhosts_access.log filter.d/apache-null.conf
et confirmer avec (le nombre de match retourné doit être égale) cat /var/log/apache2/other_vhosts_access.
sudo aptitude install debian-goodies
Plusieurs outils pratique dans ce paquet: . checkrestart : liste les processus à redémarrer suite à des majs
. dpigs : liste les paquets installés par taille
autres commandes : ici
sudo aptitude install ncdu
Une simple commande pour connaitre la taille des dossiers facilement et rapidement.
Photo - 2015-03-19 11:44:56
![cover]Michael Faist / Smithsonian Magazine