Loïc Pefferkorn

Pour utiliser mon serveur smtp depuis n’importe quelle connexion, j’utilise le mécanisme d’authentification sasl de concert avec mon serveur imap Dovecot.

Dans mes logs, en dehors des classiques attaques par brute-force sur le serveur ssh (qui sont vouées à l’échec car je n’autorise que l’authentification par clé) je rencontre depuis peu des brute-force sasl :

Nov 17 20:50:51 mail postfix/smtpd[30600]: warning: 114-44-134-199.dynamic.hinet.net[114.44.134.199]: SASL CRAM-MD5 authentication failed: PDkxNDI5Njg5MzA1ODE4ODcuMTIyNjYwNTg0OUBtYWlsPg==

Bizarrement, le fail2ban installé ne détecte pas ces attaques.
En cherchant un peu, la regexp définie pour chercher les erreurs sasl, dans /etc/fail2ban/filter.d/sasl.conf :

failregex = : warning: [-._\w]+\[\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed$

Ne “match” pas les lignes d’erreurs générées en cas de brute-force, car il manque à la fin de la ligne le challenge en base64 envoyé au client.

L’expression rationnelle, une fois corrigée, donne ceci :

: warning: [-._\w]+\[(?:::f{4,6}:)?(?P\S+)\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [A-Za-z0-9+/]*={0,2})?$

Elle fonctionne aussi bien pour la méthode CRAM-MD5 et DIGEST-MD5 (qui semble envoyer des challenges plus long).

J’ai rapporté le bug sur le site du projet, en espérant que cela soit pris en compte pour la prochaine version

Maj 28/01/2009: le patch est pris en compte et sera inclu dans la version 0.8.4

Avec un gros téléchargement en arrière-plan, l’interactivité des sessions ssh ou le temps de chargement des pages web en prends un sacré coup, vous faisant revivre la vélocité du minitel.

Pour ceux qui n’ont pas le temps de lire les man de tc et cbq, il est possible d’obtenir rapidement quelque chose de pas trop mal avec un script tout fait, wondershaper

4 étapes suffisent :

• Installation du paquet avec apt-get install wondershaper
• Détermination de la vitesse de votre ligne en upload et download en kb/s (faites des transferts sur un ftp externe, ou utilisez des test de débit en ligne pour avoir une estimation)
• Lancer le script sur la bonne interface avec les vitesses trouvées, dans mon cas ce sera wondershaper ra0 4500 691
• Faire en sorte que cette commande soit lancée en même temps que l’interface à l’aide du fichier /etc/network/interfaces (voir les lignes en gras, dans mon exemple ra0 est une interface wifi)

iface ra0 inet dhcp
pre-up iwconfig ra0 essid “monssid”
pre-up iwconfig ra0 mode Managed
pre-up iwpriv ra0 set AuthMode=WPAPSK
pre-up iwpriv ra0 set EncrypType=TKIP
pre-up iwpriv ra0 set WPAPSK=”maclewpa”
pre-up ifconfig ra0 up
up /usr/sbin/wondershaper ra0 4500 691
down /usr/sbin/wondershaper clear ra0

C’est grossier, mais le rapport qualité/temps passé est intéressant. Les sessions ssh sont plus réactives, et mon ping moyen est divisé par 5 lors de gros téléchargements.

Lors de la rédaction des rapports que j’ai eu à écrire durant ma scolarité, l’utilisation de LaTeX m’a permis de produire des documents ayant un très bon rendu.

La présentation de code source informatique, dans divers langages, m’a donné l’occasion de me faire un petit aide-mémoire des différents packages disponibles.

Cet aide-mémoire est maintenant en ligne, n’hésitez pas à réagir sur son contenu :

http://www.loicp.eu/latex/

Bienvenue sur mon nouveau blog !

Cela fait un paquet d’années que j’utilise FreeBSD et GNU/Linux sur mes serveurs.

Au fil du temps des notes diverses et variées se sont accumulées, alors au lieu de les laisser stockées dans un coin de disque, je vais en faire profiter tout le monde