« Gentoo sur Frozenkiwi » : différence entre les versions

Gestion de certificats OpenSSL

Gestion des Certificats OpenSSL

Optimisation des compilations de packages

Je recommande vivement à tous les administrateurs de serveurs Gentoo d'installer le package ccache et de l'ajouter à leur fichier make.conf dans la ligne FEATURES.

Cela aura pour effet d'accélerer de manière considérable les mises à jours de packages volumineux. En effet, une grande partie de ces mises à jours consiste en une recompilation presque inutile de code déjà compilé auparavant. Quand vous passez de PHP-4.1.1-r2 à PHP-4.1.1-r3 il n'y a pas d'énormes différences dans le code source...

Création automatique du home directory à la première consultation d'emails

Je ne vais pas décrire comment configurer PAM et pam_mkhomedir.so pour la création automatique du home directory des nouveaux utilisateurs lors de leur première connection SSH. Tout cela est très bien documenté dans plein de sites.

Il peut cependant être très utile de pouvoir aussi créer ces répertoires lors de la toute première connection des utilisateurs à leur email, surtout si on ne souhaite pas leur donner un accès SSH (ou si on ne souhaite même pas leur expliquer ce qu'est SSH).

Le module pam_mkhomedir ne peut être configuré que dans une ligne "session" dans le fichier PAM et nulle part ailleurs (ce n'est même pas la peine d'essayer de le mettre dans une section "account" ou "password").

session    required     pam_mkhomedir.so skel=/etc/skel/ umask=0077

Il faut donc trouver un moyen d'ouvrir une session PAM lorsque l'utilisateur consulte ses e-mails. La solution consiste à installer un serveur IMAP/POP3 tel que dovecot (en version 1.0 alpha5 ou supérieure) qui autorise l'ouverture d'une session temporaire à la connexion de chaque utilisateur.

Extrait du fichier de configuration dovecot.conf:

 # PAM authentication. Preferred nowadays by most systems.
 # Note that PAM can only be used to verify if user's password is correct,
 # so it can't be used as userdb. If you don't want to use a separate user
 # database (passwd usually), you can use static userdb.
 passdb pam {
   # [-session] [cache_key=<key>] [<service name>]
   #
   # -session makes Dovecot open and immediately close PAM session. Some
   # PAM plugins need this to work.
   #
   # cache_key can be used to enable authentication caching for PAM
   # (auth_cache_size also needs to be set). It isn't enabled by default
   # because PAM modules can do all kinds of checks besides checking password,
   # such as checking IP address. Dovecot can't know about these checks
   # without some help. cache_key is simply a list of variables (see
   # doc/variables.txt) which must match for the cached data to be used.
   # Here are some examples:
   #   %u - Username must match. Probably sufficient for most uses.
   #   %u%r - Username and remote IP address must match.
   #   %u%s - Username and service (ie. IMAP, POP3) must match.
   #
   # If service name is "*", it means the authenticating service name
   # is used, eg. pop3 or imap.
   args = "-session *"
 }

Et voilà !

La même chose semble possible avec d'autres serveurs, tels que uw-imap ou peut-être aussi courier-imap

Sécuriser le serveur Apache

Règle de base: Apache tourne sous l'utilisateur précisé dans la directive User. Cet utilisateur doit avoir le droit de :

• Lire les fichiers : +r
• Traverser les dossiers: +x (inclus tous les dossiers jusqu'au chemin des pages)
• Exécuter les scripts CGI: +x

La règle sur frozenkiwi est de faire appartenir tous les fichiers et répertoires à root:apache. L'utilisateur apache n'aura donc que les droits du groupe (r-x), et non pas les droits de l'utilisateur (rwx). Les autres utilisateurs n'ont aucun droit (---). Seuls les quelques répertoires de fichiers temporaires, ou certains fichiers de configuration dynamiques doivent appartenir à apache:apache pour qu'il puisse les modifier.

Liens utiles:

• http://www.onlamp.com/pub/a/apache/2004/05/28/apacheckbk.html
• http://sageweb.sage.org/links/solaris/webservers/apache-details.mm