Lycée Bahuet Brive-la-Gaillarde Année 2011-2012 Stagiaire : Maitre de stage : William.S Période de stage : 14/05/12 22/06/12
Remerciements Je tiens à remercier toute l équipe pédagogique du lycée Bahuet et les intervenants professionnels responsables de la formation Services informatiques aux organisations. Je remercie également Monsieur William.S pour avoir accepté ma demande de stage et pour avoir assuré le suivi de celui-ci. D une façon plus générale, je remercie l ensemble des employés de la Clinique du pont de Chaume pour leur aide et leur accompagnement tout au long de mon stage. Page 2
Sommaire Remerciements... Sommaire... Introduction. I) Présentation de l établissement.. 6 1) Historique... 6 2) Activités de la clinique 7 3) La clinique en chiffre 7 4) Position et plan 8 5) Ressources humaines et financières.... 9 6) Organigramme. 10 7) Fiche résumé. 11 II) Le service informatique...... 12 1) Présentation.. 12 2) Le parc informatique... 12 a. Son fonctionnement.... 12 b. Ses spécificités 12 3) Le réseau actuel.. 13 III) Installation d une messagerie collaborative. 14 1) Solutions existantes. 14 a. BlueMind... 15 b. GoogleApps..... 16 c. Sogo... 17 2) Tableau comparatif.... 18 3) Sogo 19 4) Récapitulatif. 19 5) Choix des éléments. 20 a. Système d exploitation 20 b. SMTP 20 c. Imap/Pop 20 d. Serveur Web. e. Base de données. f. Annuaire. 2 3 5 21 21 21 Page 3
6) Schéma des liens et dépendances. 7) Installation... a. Ntpdate.. b. Memcached. c. Lamp.... d. Phpmyadmin... e. Postfix f. Courier-imap/pop... g. Spamassassin.. h. Sogo.. i. Page de gestion. j. Importation des utilisateurs. 8) Sécurité du serveur. a. Fail2ban b. Rkunter. c. Configuration connexion ssh d. Mail d alerte. e. Bloquer les scanners.. 9) Sauvegarde. a. Base de données.. b. Fichiers locaux. IV) Conclusion... V) Ressources.... 22 23 23 24 24 25 26 35 36 37 41 42 44 44 45 45 47 47 48 48 50 51 52 Page 4
Introduction Mon stage de première année de d une durée de six semaines s est déroulé dans la clinique du pont de chaume à Montauban. Il m a permis d entrevoir et de participer au travail dans un service informatique au sein d une clinique. La principale activité durant mon stage a été de mettre en place un système de messagerie collaborative. Afin de réaliser ce projet j ai commencé par faire une recherche des différentes solutions, les comparer, les essayer, prendre contact avec des entreprises afin d obtenir des devis et plus d informations. Dans ce rapport je vais commencer par présenter la clinique dans son ensemble, les différents services qui la composent, ses ressources humaines. La seconde partie est composée du rapport d activité de stage. Page 5
I/ Présentation de l entreprise. 1) Historique Créée par un groupe de médecins montalbanais, la clinique du pont de Chaume ouvre ses portes en 1971. Après l absorption de plusieurs établissements privés du Tarn et Garonne la clinique possède aujourd hui une capacité de 301 lits et places qui en font l un des tout premiers établissements privés de Midi-Pyrénées. Le dernier regroupement avec la clinique Saint Orens en 2002 a été l occasion de réaliser un très important agrandissement de la structure immobilière de l établissement. La clinique compte aujourd hui 88 lits de médecine dont 12 de surveillance continue, 120 lits de chirurgie, 20 lits de gynécologie-obstétrique, 8 lits de réanimation polyvalente, 20 postes d hémodialyse en centre, 20 places d hospitalisation de jour en chirurgie, médecine et chimiothérapie. La clinique dispose également de 3 centres d auto-dialyse : 2 à Montauban et 1 à Castelsarrasin. Depuis décembre 2011, la Clinique fait partie du groupe VEDICI devenu actionnaire unique. Ce groupe a été fondé par Jérôme NOUZAREDE et le Dr Michel BODKIER depuis un peu plus de 10 ans, et dirige 26 établissements dans toute la France. Page 6
2) Activités de la clinique. 3) La clinique en chiffre 28 000 m2 de bâtiments 180 chambres d'hospitalisation le centre d'hémodialyse du Tarn et Garonne 1 unité de réanimation polyvalente 1 unité de soins intensifs cardiologiques 1 unité de surveillance continue chirurgicale 1 unité de surveillance continue médicale 13 salles d'opération et d'accouchement 1 unité d'endoscopie 10 salles de radiologie, échographie et scanner le centre de radiothérapie du Tarn et Garonne le centre de médecine nucléaire du Tarn et Garonne 1 laboratoire de biologie médicale 1 service d'urgence recevant 24h /24 Page 7
4) Position et plan Page 8
5) Ressources humaine et financière. Fonctions Effectifs Infirmière diplômée d état 151 Sage-Femme 15 Aide-Soignante 99 Auxiliaire de puériculture 15 Agent des services hospitaliers 65 Brancardier 9 Agent de bloc 2 Préparatrice en pharmacie et agent en pharmacie 4 Ouvrier d entretien 4 Technicien 4 Hôtesse d accueil 5 Agent administratif (secrétaire, comptable ) 27 Agent administratif de nuit 3 Encadrement des services de soins 11 Autre encadrement 8 Encadrement de direction 8 Total 430 Page 9
7) Fiche résumé Date de création de cette fiche : 22/06/12 ENTREPRISE : CLINIQUE DU PONT DE CHAUME Adresse : 330, avenue Marcel Unal - 82017 Montauban CP : 82017 N SIRET : 847-150-133 00019 Catégorie : société anonyme Directeur : Denis.R Responsable service : William.S Responsable de mon stage : William.S Surface couverte : 28 000 m² VILLE : MONTAUBAN Activité de l entreprise : Médical Capital social : 3.627.981 E Cabinet comptable: Interne Principaux clients : Malades Banque: Caisse d épargne / Banque courtoi Société de sous-traitantes : Arcadie Web100te Phillips (.) Total des travailleurs : 430 Syndicats professionnels : CGT Page 11
II/ Le service informatique 1) Présentation Le service informatique de la Clinique du pont de Chaume se compose de Mr William.S, mon maitre de stage et principal gérant ainsi que de Mr Benjamin.S. Ils ont en charge l entretien des postes de la Clinique (Installation, configuration, réparation) mais aussi de façon plus générale la gestion du réseau et de ses nombreux composants. La clinique compte environ 120 postes répartis dans l ensemble des services, elle dispose aussi de 21 cabinets privés qui possèdent leur propre parc informatique géré de façon indépendante avec des prestataires externes. Ceux-ci louent la connexion internet à la clinique. En comptant tous les postes et périphériques connectés, il y a environ 320 matériels informatiques. Il y a environ 5 ans la clinique ne possédait pas de service informatique, tous étaient gérés par des prestataires, mais à partir de 2006 la clinique s est dotée de son propre service informatique. Peu après son arrivée, William Senez a décidé de faire appel au constructeur 3com pour auditer l établissement. Il en résulte une modification importante du fonctionnement et du réseau en place. Le matériel vieillissant et mal organisé fut remplacé, aujourd hui encore le réseau est en évolution avec par exemple l arrivé du WIFI dans les bâtiments. 2) Ses spécificités En cas de coupure totale du réseau (arrêt serveur ), les médecins peuvent quand même accéder aux dossiers des patients sur certains postes informatiques. En effet ces postes récupèrent automatiquement les derniers dossiers patients et les stockent en local sur leur disque dur. Afin d éviter cette situation l intégralité des serveurs sont doublés. Page 12
3) Le réseau actuel : Page 13
III/ Installation d une messagerie collaborative Une messagerie collaborative est une messagerie qui permet de partager ses documents, contact, agenda avec d autres personnes afin d organiser de façon précise l activité professionnelle. Une messagerie collaborative doit avoir : Prise en main facile Ergonomie riche et intuitive Fonctionnalités complètes d agendas Recherche de disponibilité Droits fins et délégations Carnets d adresses multiples Carnets d adresses publics, privés, partagés Listes de distributions privées ou partagées Synchronisation avec Outlook, Thunderbird et Smartphones Coordonnées, photos Actuellement la clinique loue un service de messagerie classique externe à Orange Business Service, qui outre son coût, ne possède pas de fonctions «Collaboratives». L objectif est donc de trouver une solution alternative. Les solutions testées sont : Blue Mind Google SOGo Les deux premières solutions n ont pas été retenues, mais je vais tout de même les présenter afin d avoir un point de comparaison. Page 14
BlueMind est une des dernières née, présenté au public et disponible depuis seulement le mois d avril 2012! Elle a été créée par la société du même nom BlueMind- installée à Toulouse. Très jeune elle n est pas encore parfaite, mais sa grande simplicité d installation et utilisation est déconcertante Ayant eu à faire au support, celui-ci est très réactif et disponible! Elle est disponible en deux versions, la professionnelle (payante) et la classique qui est gratuite. Leur différence se situe au niveau des fonctions d administration et intégration. Néanmoins la petite taille de l entreprise et sa création récente est un frein assez important Elle reste malgré cela une excellente solution, peut-être la meilleure en termes de tarif au vu de la qualité proposée. Page 15
Parmi les solutions existantes Google se démarque des concourants par le nombre d applications proposées. Peut-être trop? En effet le nombre important d onglets, de liens, de fonctionnalités peut être assez déroutant au premier abord Le menu administrateur est quant à lui aussi très complet, permettant d avoir des réglages assez précis. L installation de google Apps est assez intuitive mais pas autant que BlueMind, c est principalement dû au nombre important de réglages possibles. Malgré que la solution soit adoptée par un grand nombre d entreprises, celle-ci n a pas non plus convaincu Son coût quant à lui est aussi plus important, 40 /ans et par utilisateur. De plus il est aussi dans la volonté de la clinique d avoir la gestion complète du service de messagerie, hors Google Apps ne le permet pas! Page 16
SOGo est finalement la solution retenue, c est sur sa mise en place qu est basé le rapport technique du stage. Cette solution est distribuée sous la licence GNU GPL / LGPL v2, son utilisation est totalement gratuite, néanmoins le support lui est payant. SOGo est un serveur collaboratif libre fondé sur OpenGroupware.org totalement gratuit et OpenSource. Il reprend les fonctions de messagerie, de partage d agendas et de carnets d adresses d OpenGroupware. Développeur: Inverse Dernière version stable: 1.3.13 Version 2.0.0.b4 disponible(beta) Environnement : GNUstep, GNU/Linux, Solaris, FreeBSD et d'autres variantes du système Unix Langue: Multilingue Type : Groupware Licence: GPL SOGo offre de multiples façons d accéder aux données d agendas et de messagerie. Les utilisateurs peuvent soit utiliser un navigateur Web, soit un appareil mobile pour accéder aux mêmes informations. En utilisant le connecteur Openchange, même les utilisateurs d outlook pourront accéder aux mails et calendrier partagés. Mozilla Thunderbird reste le meilleur client natif pour SOGo, des extensions ont été spécialement développées pour arriver à un niveau d interopérabilité avec Mozilla. Page 17
Tableau comparatif Dénomination Google app BlueMind OBS SOGo URL http://www.google.com/apps/intl/fr /index.html http://www.blue-mind.net http://www.sogo.nu/ Licence Propriétaire GPL Propriétaire GPL Société Google Blue-mind Orange Inverse Environnement GNU/Linux GNU/Linux Simplicité d'utilisation Moyenne Excellent Bien Calendrier partagé Oui Oui Non Oui Calendrier fonctionnalités Bien Bien Bien Taches - Evènements Oui Oui non oui Gestion des fichiers oui non non non Gestion des documents (Editer en ligne ect...) Bien non Messagerie instantanée Oui Non(A venir) non non Gestion des contacts Bien Bien Oui Gestion des groupes Bien Mauvaise Très bien Gestion des mails Moyen Bien Bien Messagerie (note globale) Bien Bien Bien Esthétique Moyen Très Bien Bien Admin - Gestion des utilisateurs Bien Facile et intuitive Admin - gestion des groupes Bien Facile et intuitive Admin - Annuaire Facile et intuitive Admin - Gestion des domaines Moyen Excellente Admin - Sécurité Bonne Admin - Rapport et stats oui oui Admin - Facilité d'installation Excellente Excellente Difficile Admin - Facilité de mise en place (transfert ) Bien Bien Difficile Connecteurs / Interopérabilité Bien Outlook / Thunderbird / Mobile Outlook / Thunderbird / Mobile Assistance Non testé Bien Correcte Non testé Espace de stockage 25go/personnes Dépend des réglages Dépend des réglages Solution en ligne oui Non oui non Solution dédiée non oui non oui Défauts Autres informations Support réactif, jeune société française. Tout le programme est libre&gratuit mais le support est payant Prix total 200 utilisateurs - 1an (Hors frais d installation) 8 000 5 980 8 306 0
SOGO Le tutoriel ci-dessous est basé sur diverses sources que j ai adaptées pour l utilisation dans la clinique. Les parties que je considère comme basiques seront traitées rapidement, néanmoins il faut faire très attention à n oublier aucune partie et vérifier assez régulièrement les logs. En effet la moindre erreur quelle qu elle soit aura pour conséquence le non fonctionnement du système! De plus afin de minimiser les erreurs il vaut mieux utiliser une distribution Debian avec une interface graphique, ce qui permet l utilisation du copier/coller. Pour des raisons de manque de temps, certaines parties ne seront pas abordées comme l utilisation de multi-source d utilisateurs ou encore la mise en place des connecteurs. Une liste des éléments manquants est disponible à la fin du tutoriel. 4) Récapitulatif : - Installation et configuration de Debian Squeeze. - Installation et configuration de programmes annexes. - Installation et configuration d un serveur LAMP. - Installation de phpmyadmin. - Installation et configuration de SOGo. - Installation et configuration d un serveur postfix. - Installation et configuration d un serveur IMAP et POP. - Installation et configuration d un anti spam. - Création de la page d administration. - Importation de la base de données orange. Page 19
5) Choix des éléments Pour installer le système de messagerie SOGo nous aurons besoins des éléments suivants : A ) Un système d exploitation : - Le système d exploitation servira de base pour effectuer l installation de tous les autres éléments. SOGo est compatible avec RedAt, Debian et Ubuntu. C est Debian Squeeze version 64bit qui sera retenu comme système d exploitation. B ) Un serveur SMTP : - Le protocole SMTP (Simple Mail Transfer Protocol) est le protocole standard permettant de transférer le courrier d'un serveur à un autre. C est lui qui s occupe d envoyer les mails. - Postfix est un serveur de messagerie conçu par Wietse Venema. Il est également utilisable sous tous les systèmes Unix (y compris Mac OS). Postfix permet notamment de gérer facilement les mails pour plusieurs domaines à la fois en le couplant avec mysql. On peut l interfacer avec des logiciels externes comme spamassassin. De plus il est assez simple à configurer et il existe un grand nombre de tutoriaux sur internet. C ) Un serveur IMAP/POP : - Les protocoles POP et IMAP servent à accéder aux mails reçus, la principale différence entre POP et IMAP est leur mode de stockage. Le protocole POP attend que le client se connecte pour lui faire parvenir le message et celui-ci le télécharge sur son poste, tandis que le protocole imap garde les mails sur son serveur. Page 20
D ) Un serveur web : - Le serveur Web aura pour principale fonction de permettre l accès à l interface de messagerie web, mais aussi aux pages d administration des utilisateurs et à phpmyadmin. E ) Une base de données : - Une base de données est une entité dans laquelle il est possible de stocker des données de façon structurée. Elle est obligatoire pour le fonctionnement de SOGo. Il existe plusieurs types de base de données, on peut citer postgresql, mysql ou encore Access. Le choix s est porté sur MySQL. F ) Un annuaire d utilisateurs : - Il faut un annuaire pour gérer les comptes utilisateurs, la particularité de SOGo est la possibilité d avoir plusieurs sources différentes. Parmi les annuaires compatibles (LDAP, base sql ), le choix s est fait sur une base de données Mysql. Page 21
Schéma des liens et dépendances MySQL SERVEUR LINUX - Debian Apache IMAP POP SOGo SMTP Interface web Page 22
7) Installation des composants Nous allons commencer par installer notre distribution linux: Debian squeeze (X86 ou X64) On peut la récupérer sur le site officiel, puis l installer sur son serveur. On ne peut installer que la base, l interface graphique n est pas obligatoire mais elle permet d aller beaucoup plus vite et d éviter les erreurs de frappe. Lors de l installation, ne pas oublier de configurer correctement le réseau! Et noter tous les mots de passe On peut vérifier que la connexion internet est bien présente en fessant un ping www.google.fr Si la tentative échoue, il faut revoir les configurations réseaux. Elles sont disponibles dans /etc/network/interfaces. Lorsque l installation est finie, commencer par faire un petit update afin de mettre à jour. A ) Ntpdate Une chose est importante sur un serveur : Il faut qu il soit toujours à l heure! On va donc commencer par installer ntpdate, afin de configurer notre serveur sur un serveur de temps externe (ou interne si on en a un). apt-get install ntpdate Pour configurer le serveur de temps : ntpdate votre_serveur_de_temps Normalement si notre serveur de date est bon, un message nous indique la mise à l heure du serveur. On peut faire un #date pour vérifier. /!\ Si debian vous demande le CD, il faut éditer le fichier suivant : nano /etc/apt/sources.list Et supprimer(ou commenter) la ligne concernant le Cdrom. Page 23
B ) Memcached Un second programme doit être installé : memcached apt-get install memcached Memcached est un démon qui permet de stocker en mémoire des objets, ce qui permet d accélérer les sites web. C) Installation d un serveur LAMP : Installation des paquets : apt-get install apache2 php5 mysql-server libapache2-mod-php5 php5-mysql L installation peut être assez longue notamment à cause des nombreuses dépendances. Je conseille une fois de plus de noter tous les mots de passe Nous aurons à réaliser de nombreux de travaux en sql! Afin de faciliter les futures tâches, nous allons installer phpmyadmin. Les fichiers sont disponibles à l arborescence suivante : disque/var/www Page 24
D) Installation de phpmyadmin : apt-get install phpmyadmin A la demande de quel serveur web configurer automatiquement : choisir apache2. On peut accéder à phpmyadmin via le navigateur Internet à l adresse suivante : http://ip_de_votre_serveur/phpmyadmin Par défaut les fichiers.htacess ne sont pas pris en comptes, il faut les activer en modifiant la ligne «AllowOverride all» dans le fichier /etc/apache2/sitesavaible/default Page 25
E) Installation de postfix : Pour installer postfix nous avons besoin des paquets suivants : apt-get postfix postfix-mysql Lors de l installation choisir l option pas de configuration. En effet elle sera réalisée manuellement plus tard. Quand l installation est terminée, rendez-vous sur phpmyadmin, puis créer une table nommée «postfix». A cette table il faut créer un utilisateur nommé «postfix» ayant tous les droits dessus. L ajout d utilisateur se fait via l onglet «Privilèges». Page 26
Exécuter le code sql suivant : CREATE TABLE IF NOT EXISTS `alias` ( `ID` int(11) NOT NULL AUTO_INCREMENT, `source` varchar(255) NOT NULL DEFAULT '', `destination` text NOT NULL, `etat` tinyint(1) NOT NULL DEFAULT '1', PRIMARY KEY (`ID`) ) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=1 ; CREATE TABLE IF NOT EXISTS `comptes` ( `ID` int(10) NOT NULL AUTO_INCREMENT, `email` varchar(255) NOT NULL DEFAULT '', `password` varchar(255) NOT NULL DEFAULT '', `login` varchar(255) NOT NULL DEFAULT '', `nom` varchar(255) NOT NULL DEFAULT '', `prenom` varchar(255) NOT NULL DEFAULT '', `groupe` varchar(255) NOT NULL DEFAULT '', `sexe` varchar(255) NOT NULL DEFAULT '', `commentaire` varchar(255) NOT NULL DEFAULT '', `quota` int(10) NOT NULL DEFAULT '0', `etat` tinyint(1) NOT NULL DEFAULT '1', `imap` tinyint(1) NOT NULL DEFAULT '1', `pop3` tinyint(1) NOT NULL DEFAULT '1', PRIMARY KEY (`ID`) ) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=6 ; CREATE TABLE IF NOT EXISTS `domaines` ( `ID` int(11) NOT NULL AUTO_INCREMENT, `domaine` varchar(255) NOT NULL DEFAULT '', `etat` tinyint(1) NOT NULL DEFAULT '1', PRIMARY KEY (`ID`) ) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=4 ; Page 27
Le code sql ci-dessus contient une table «domaine» pour lister les noms de domaines, une table «compte» pour les comptes utilisateurs et une table «alias» pour les alias de mails. Maintenant il faut que postfix utilise cette base de données SQL. Nous aurons besoin de 5 fichiers différents Il faut bien faire attention à ne pas faire de fautes de syntaxes! Certains se ressemblent beaucoup mais ne sont pas identiques. Je conseille de vérifier deux fois chaque fichier Notre premier fichier : (nano) /etc/postfix/mysql-virtual_domaines.cf hosts = 127.0.0.1 user = postfix password = Mot de passe Mysql Postfix dbname = postfix select_field = 'virtual' table = domaines where_field = domaine additional_conditions = AND etat=1 Le second: (nano) /etc/postfix/mysql-virtual_comptes.cf hosts = 127.0.0.1 user = postfix password = Mot de passe Mysql Postfix dbname = postfix table = comptes select_field = CONCAT(SUBSTRING_INDEX(email,'@',-1),'/',SUBSTRING_INDEX(email,'@',1),'/') where_field = email additional_conditions = AND etat=1 Page 28
Le troisième: (nano) /etc/postfix/mysql-virtual_aliases.cf hosts = 127.0.0.1 user = postfix password = Mot de passe Mysql Postfix dbname = postfix table = alias select_field = destination where_field = source additional_conditions = AND etat=1 Le quatrième : (nano) /etc/postfix/mysql-virtual_aliases_comptes.cf hosts = 127.0.0.1 user = postfix password = Mot de passe Mysql Postfix dbname = postfix table = comptes select_field = email where_field = email additional_conditions = AND etat=1 Page 29
Et enfin le dernier: (nano) /etc/postfix/mysql-virtual_quotas.cf hosts = 127.0.0.1 user = postfix password = Mot de passe Mysql Postfix dbname = postfix table = comptes select_field = quota where_field = email Note: Dans hosts il faut absolument utiliser une IP! (Ne pas mettre localhost) Une fois terminé, je vous recommande de sécuriser avec ces lignes de commande : chmod u=rw,g=r,o= /etc/postfix/mysql-virtual_*.cf #chgrp postfix /etc/postfix/mysql-virtual_*.cf Elles permettent de bloquer l accès aux autres utilisateurs à ces fichiers qui contiennent en clair le mot de passe!! Création de l utilisateur et groupe vmail : Il va falloir stocker les courriels des utilisateurs qui dit stockage dit droit d écriture! Soit un risque potentiel. Il faut donc cloisonner Pour cela nous allons créer un groupe et un utilisateur dédié à l écriture des mails sur le serveur. groupadd -g 5000 vmail #useradd -g vmail -u 5000 vmail -d /var/spool/vmail/ -m Page 30
Configuration de Postfix : Voilà la liste des configurations à écrire dans : /etc/postfix/main.cf (Le vert c est les commentaires.ne pas noter) # Bannière afficher lorsqu'on se connecte en SMTP sur le port 25 smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) # Service qui envoie des notifications "nouveau message" biff = no # Desactive la commande SMTP VRFY. Arrête certaine technique pour avoir des adresses email disable_vrfy_command = yes # Impose au client SMTP de démarrer la session SMTP par une commande Helo (ou ehlo) smtpd_helo_required = yes # Avec le courier local ça ajoute.ndd aux adresses incomplètes (seulement le nom d'hote) append_dot_mydomain = no # Le nom de la machine du système de messagerie # Par défaut c'est host.domain.tld mais on peut mettre un reverse dns myhostname = votre_nom_d_hote # Le domaine utilisé par defaut pour poster les message local myorigin = domaine_par_defaut # Liste des domaines pour lequel le serveur doit accepter le courrier mydestination = REVERSE_DNS, localhost.localdomain, localhost # Pour effectuer des livraisons de courrier avec un relay (ici non) relayhost = # Liste des réseaux locaux autorisés mynetworks = 127.0.0.0/8, IP_PUBLIQUE_SERVEUR # Taille des boîtes au lettre (0 = illimité) mailbox_size_limit = 0 # Séparateur entre le nom d'utilisateur et les extensions d'adresses recipient_delimiter = + # Interfaces réseaux à écouter (ici toutes) inet_interfaces = all Page 31
# Gestion des boites mails virtuelle # Contient les fichiers qui permettent de relier postfix mysql virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_aliases.cf,mysql:/etc/postfix/mysqlvirtual_aliases_comptes.cf virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domaines.cf virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_comptes.cf # Le dossier ou seront contenu les mails (=home de l'user vmail) virtual_mailbox_base = /var/spool/vmail/ # L'id du groupe et de l'utilisateur vmail créé précédement virtual_uid_maps = static:5000 virtual_gid_maps = static:5000 # Créer un dossier par compte email virtual_create_maildirsize = yes # A activer si vous souhaitez ajouter des quotas virtual_mailbox_extended = yes # Impose les limites au niveau des mails, dans notre cas aucune virtual_mailbox_limit_maps = mysql:/etc/postfix/mysql-virtual_quotas.cf # Ajouter une limite sur la taille des messages pour les boites virtuelles virtual_mailbox_limit_override = yes virtual_maildir_limit_message = "La boite mail de votre destinataire est pleine, merci de reessayez plus tard." virtual_overquota_bounce = yes # adresses d'expedition smtpd_sender_restrictions = permit_mynetworks, warn_if_reject reject_unverified_sender # adresses de destination smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, reject_non_fqdn_recipient # client smtpd_client_restrictions = permit_mynetworks IMPORTANT : En cas de copier/coller il faut faire attention aux réglages qui s étendent sur deux lignes En effet le terminal prendra en compte chaque ligne indépendamment et non comme une continuité. Page 32
Faire un restart de postfix : /etc/init.d/postfix restart Suivi d un check : /etc/init.d/postfix check Maintenant il faut voir s il n y a pas d erreurs notées dans les logs : cat /var/log/syslog Il faut chercher un «warning» ou «error» qui concernerait nos fichiers précédemment configurés. Le «warning» concernant Dict_nis_init est sans importance. S il y a des erreurs, il faut revoir les fichiers configurés. Page 33
Test d envois de mail: Pour pouvoir envoyer un mail il faut le rajouter dans la base de données, de même qu un domaine. Ajout d utilisateurs et nom de domaine: INSERT INTO `domaines` ( `domaine`, `etat` ) VALUES ('VOTRE_DOMAINE.com', '1'); INSERT INTO `comptes` ( `email`, `password`, `quota`, `etat`, `imap`, `pop3` ) VALUES ('contact@votre_domaine.com', 'VOTRE_PASS_MAIL', '0', '1', '1', '1'); L ajout ci-dessus est uniquement destiné à réaliser des tests! En effet le mot de passe n est pas «hash», l utilisateur ne sera donc pas pris en compte par Sogo. Faire un : telnet 127.0.0.1 25 Réponse type correcte Taper. Réponse type correcte Taper. Ne pas mettre «:» «.» Sert à terminer Page 34
S il n y a pas les réponses attendues, il faut vérifier les logs afin de déterminer l erreur. Faire un : ls /var/spool/vmail Si tous s est bien passé il doit y avoir un dossier au nom de votre nom de domaine créé. Il faut vérifier s il n y a pas d erreurs notées dans les logs : cat /var/log/syslog Chercher la ligne d envoi du message, elle doit finir par «delivered to Maildir». Page 35
F ) Installation de courier imap-pop apt-get install courier-base courier-authdaemon courier-authlib-mysql courier-imap courier-pop Dans un premier temps on doit configurer courrier pour qu il utilise mysq. (nano) /etc/courier/authdaemonrc Rechercher et modifier la ligne authmodulelist. authmodulelist="authmysql" Pour la connexion à la base de données : (nano) /etc/courier/authmysqlrc MYSQL_SERVER localhost MYSQL_USERNAME postfix MYSQL_PASSWORD Mot de passe de connexion SQL MYSQL_DATABASE postfix MYSQL_USER_TABLE comptes MYSQL_CRYPT_PWFIELD password MYSQL_UID_FIELD 5000 MYSQL_GID_FIELD 5000 MYSQL_LOGIN_FIELD email MYSQL_HOME_FIELD "/var/spool/vmail" MYSQL_MAILDIR_FIELD CONCAT(SUBSTRING_INDEX(email,'@',1),'/',SUBSTRING_INDEX(em ail,'@',1),'/') Il faut commenter la ligne: MYSQL_NAME_FILED Il ne manque plus qu un restart des services : /etc/init.d/courier-authdaemon restart /etc/init.d/courier-pop restart /etc/init.d/courier-imap restart De nouveau il faut vérifier dans les logs l absence d erreurs : cat /var/log/syslog Page 36
G ) Spamassassin : Spamassassin est un petit programme qui permet de détecter et éradiquer les courriels reconnus comme pourriels ou courriels non sollicités. Installation : apt-get install spamassassin spamc Quelques configurations supplémentaires : groupadd -g 5001 spamd useradd -u 5001 -g spamd -s /sbin/nologin -d /var/lib/spamassassin spamd mkdir /var/lib/spamassassin chown spamd:spamd /var/lib/spamassassin Il faut ensuite ajouter les lignes suivantes au fichier /etc/postfix/master.cf spamassassin unix - n n - - pipe user=spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient} Maintenant il faut paramétrer le fichier de configuration de spamassassin : /etc/spamassassin/local.cf Spamassassin fonctionne avec un système de points attribués au message en fonction du contenu de celui-ci. Ainsi un mail venant d un expéditeur connu recevra des points négatifs tandis qu un mail contenant des mots clés, connu comme pouvant provenir de spam recevra des points positifs. Le paramètre : «Required_score» détermine le nombre de points minimum pour qu un message soit considéré comme spam. Etant donné que spamassassin se base sur une base de données il faut la mettre à jour régulièrement via un : /usr/bin/sa-update Afin de tenir la base à jour il faut réaliser une tâche cron pour l exécuter tous les jours. Page 37
H) Installation de Sogo : Il faut tout d abord rajouter la source dans /etc/apt/sources.list deb http://inverse.ca/debian squeeze squeeze Faite un petit update (apt-get update), il va vous signaler que la signature des paquets n est pas vérifiée Enchainer sur l installation de Sogo : apt-get install sogo Validez par «o» la demande de validation d installation des paquets. Un petit message vous informe qu aucune configuration n a été trouvée pour SOGo. On commence par se connecter sous l utilisateur SOGo su sugo Configuration SMTP : defaults write sogod SOGoMailingMechanism smtp defaults write sogod SOGoSMTPServer 127.0.0.1 Page 38
Configuration IMAP: defaults write sogod SOGoIMAPServer 127.0.0.1 defaults write sogod SOGoDraftsFolderName INBOX.Drafts defaults write sogod SOGoSentFolderName INBOX.Sent defaults write sogod SOGoTrashFolderName INBOX.Trash Configuration de base de Sogo : defaults write SOGoForceIMAPLoginWithEmail YES defaults write sogod SOGoLanguage "French" defaults write sogod SOGoAppointmentSendEMailNotifications YES defaults write sogod SOGoFoldersSendEMailNotifications YES defaults write sogod SOGoACLsSendEMailNotifications YES Note : Tous les autres paramètres sont disponibles sur la documentation officielle de SOGo. http://www.sogo.nu/files/docs/sogo%20installation%20guide.pdf Configuration base de donnés Mysql : Créer une table nommée «sogo». A cette table il faut créer un utilisateur nommé «sogo» ayant tous les droits dessus. defaults write sogod SOGoProfileURL 'mysql://sogo:***@localhost/sogo/sogo_user_profile' defaults write sogod OCSFolderInfoURL 'mysql://sogo:***@localhost/sogo/sogo_folder_info' defaults write sogod OCSEMailAlarmsFolderURL 'mysql://sogo:*** @localhost/sogo/sogo_alarms_folder' defaults write sogod OCSSessionsFolderURL 'mysql://sogo:***@localhost/sogo/sogo_sessions_folder' Page 39
Pour la source des utilisateurs nous allons faire une vue sur la table compte de la base de donnée postfix. CREATE VIEW sogo_auth_view AS SELECT login AS c_uid, login AS c_name, password AS c_password, nom AS c_cn, email AS mail FROM postfix.comptes Ajouter la source d identification: defaults write sogod SOGoUserSources '({ type = "sql"; id = "directory"; viewurl = "mysql://sogo:***@localhost/sogo/sogo_auth_view"; canauthenticate = YES; isaddressbook = YES; userpasswordalgorithm = ENCRYPT; })' Faite un «exit» afin de quitter le compte sogo pour revenir sur le compte root. Configuration du serveur web: (nano) /etc/apache2/conf.d/sogo.conf RequestHeader set "x-webobjects-server-port" "443" RequestHeader set "x-webobjects-server-name" "s43100234" RequestHeader set "x-webobjects-server-url" "http://s43100234" Liste des modules apaches à activer: a2enmod proxy; a2enmod proxy_balancer; a2enmod proxy_http; a2enmod headers; a2enmod rewrite; a2enmod ssl; a2ensite default-ssl; Page 40
I ) Page de gestions des utilisateurs: SOGo accepte de nombreuses entrées d annuaire, de ce fait il n y a pas d interface de gestions «type». Pour ajouter, supprimer, modifier des utilisateurs il faut donc agir directement sur la base de données. Afin de faciliter cette gestion, la création d une interface d administration est nécessaire. Elle se contente de faire le minimum! A savoir : Ajouter un utilisateur Gérer les utilisateurs Ajouter un domaine Gérer les domaines Si vous voulez ajouter un utilisateur dans le but de réaliser un test rapide, il faut crypter le mot de passe en utilisant la fonction php crypt(). Exemple : <?php crypt('votre_mdp', '$1$pwsogo$');?> Il faut ajouter les pages dans le dossier : /var/www/admin_sogo/ Il est conseillé de le protéger avec un fichier.htaccess! Page 41
J ) Importation des utilisateurs: Il faut maintenant importer tous les comptes utilisateurs existant dans la base de données de Sogo. Tous les comptes utilisateurs sont répertoriés dans un tableau Excel. Le nombre de comptes étant assez important (200), il est exclu de les importer à la main! Exemple : Nom Compte Compte oléane Prenom/nom Email Password pl407-2 pl407-2@cliponch.fr.fto Bill Gate bgate@clinique-pontdechaume.fr apple pl407-3 pl407-3@cliponch.fr.fto Kevin Mitnick kmitnick@clinique-pontdechaume.fr pentagone pl407-4 pl407-4@cliponch.fr.fto François Hollande fholande@clinique-pontdechaume.fr flambi L idée est donc de parcourir chaque ligne du tableau en enregistrant les données dans des variables, puis réaliser une requête SQL afin d envoyer le tout dans notre base de données! Le langage utilisé est l ahk. #include mysql.ahk groupe = Utilisateur login = ND sexe = ND commentaire = ND ID = 1 sleep 5000 mysql := new mysql db := mysql.connect("127.0.0.1","root","","postfix") loop 206 { send {TAB} send {TAB} Send, {CTRLDOWN}c{CTRLUP} nom = %clipboard% send {TAB} Send, {CTRLDOWN}c{CTRLUP} email = %clipboard% send {TAB} Send, {CTRLDOWN}c{CTRLUP} password = %clipboard% send {DOWN}{LEFT}{LEFT}{LEFT}{LEFT} sql = ( INSERT INTO comptes (ID,email,password,login,nom,groupe,sexe,commentaire) VALUES ('%ID%','%email%','%password%','%login%','%nom%','%groupe%','%sexe%','%commentaire%') ) result := mysql.query(db, sql) ID +=1 } Page 42
Pour fonctionner le script a besoin de mysql.ahk ainsi que la dll contenant les fonctions mysql. Pour plus d informations : http://www.autohotkey.com/community/viewtopic.php?t=77860 Notre base de données n est pas exploitable directement il faut faire des modifications! Envoyer un message à tous les emails afin d ouvrir les comptes. Crypter le mot de passe car pour le moment celui-ci est en clair. Modifier le login Le script ci-dessous va se charger automatiquement de toutes les taches. Page 43
7) Sécurité Nous allons maintenant nous occuper de l aspect sécurité du serveur. Installation et configuration de fail2ban. Installation et configuration de rkunter. Installation et configuration d une connexion ssh. Mail d alerte lors d une connexion en ssh. Bloquer les scanners A ) Fail2ban : Fail2ban lit les logs à la recherche d erreurs d authentification répétitives, puis rajoute une règle afin de bannir l ip qui tente de se connecter. Cela permet de bloquer de façon efficace toutes les tentatives d attaques par «brute force» (tester tous les mots de passe possibles). Pour installer: apt-get install fail2ban La configuration : (nano) /etc/fail2ban/jail.conf On va activer les modules suivants : [ssh], [ssh-dos], [apache], [apache-multiport], [apache-noscript], [apache-overflows], [proftpd], [postfix], [couriersmtp] et [courierauth] Pour cela il faut passer enabled = false à enabled = true dans le fichier de configuration. Page 44
B) Détecteur de backdoor : Un backdoor est un petit programme qui permet à un pirate de prendre discrètement le contrôle d un système, il faut donc s en protéger Installation de rkhunter : apt-get install rkhunter Ce petit programme va regarder les fichiers importants de notre système afin de vérifier qu il s agit bien des vrais. En cas de problème il va prévenir l administrateur par mail. L email se configure sans /etc/default/rkhunter. C ) Configuration du poste client et serveur pour une communication en ssh : Putty est un logiciel qui fonctionne sous Windows qui permet de se connecter en mode terminal à un serveur distant. Nous aurons besoin de deux programmes : PuTTy qui sert à se connecter et PuTTY key generator pour générer des clées ssh. Dans un premier temps lancer PuTTY key generator, puis choisir le type de clé : ssh-2 DSA Puis cliquer sur générer une fenêtre avec une barre de chargement s affiche, il faut bouger la souris de façon aléatoire afin de la faire progresser et d arriver au bout. Puis il faut renseigner la passphrase. Il s agit simplement d une sécurité supplémentaire! En admettant que quelqu un récupère votre clé, il devra en plus connaitre la passphrase pour pouvoir se connecter!! Puis il faut enregistrer la clé privée sur son ordinateur (client_id_dsa) en cliquant sur «Save private key». Quant à la clé publique il faut la copier/coller dans un fichier client_id_dsa.pub Page 45
On peut maintenant lancer Putty et faire les configurations : - Mettre l ip de son serveur, ainsi que le port (par défaut 22). - Donner un nom de profil afin d éviter de devoir refaire la configuration. - Modifier l encodage des caractères dans Windows/Translation sur UTF-8 - Charger notre clé privée dans connection/ssh/auth - Puis retourner sur session pour sauvegarder. La configuration du client est finie, il faut maintenant configurer le serveur debian. On commence par installer les paquets : apt-get install openssh-server ssh-keygen -t dsa Il faut laisser la localisation par défaut, mais lorsque on demande la passphrase, il faut noter la même que celle définit précédemment. Maintenant il faut transférer la clé publique sur le serveur J ai choisi le transfert par FTP, mais toutes les solutions peuvent être envisagées Il faut ensuite la copier dans : (nano) ~/.ssh/authorized_keys Configuration d openssh : Il faut éditer le fichier : (nano) /etc/ssh/sshd_config RSAuthentication no AuthorizedKeysFile %h/.ssh/authorized_keys PasswordAuthentification no Page 46
La première ligne sert à définir le type de clé utilisé, la seconde ligne à définir où elle se trouve, la dernière ligne à empêcher la connexion avec un mot de passe. Cela permet d éviter les tentatives de Bruteforce pas de clé sur son poste client, pas de connexion! Pour finir il faut relancer le service : /etc/init.d/ssh restart Il ne reste plus qu à essayer D ) Recevoir un mail lors d une connexion ssh : Ce n est pas une protection proprement dite, mais plutôt une astuce! La ligne ci-dessous sert à vous prévenir par mail lorsque quelqu un se connecte en ssh sur votre serveur : echo Acces SheLL Root `who` `date` mail -s `hostname` Shell Root email@domaine.com Il faut la rajouter dans le fichier : ~(user)/.bashrc E ) Bloquer les scanners : Cette commande permet de bloquer les requêtes qui utilisent l ip de votre serveur à la place du nom de domaine. En effet les scanners utilisent l ip pour joindre un serveur et non son nom de domaine! # iptables -I INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 80 -m string --to 700 \ --algo bm --string 'Host: xxx.xxx.xxx.xxx' -j DROP Page 47
8) Sauvegarde Il faut maintenant installer un système de sauvegarde automatique de la base de données et des fichiers. La base de données : Créer les dossiers suivant : root/scripts/backups/ Créer un fichier sauv_bdd.sh dans le répertoire scripts. Ecrire : #!/bin/bash # ## on se place dans le repertoire ou l'on veut sauvegarder les bases # cd /root/scripts/backups/ for i in postfix; do ## Sauvegarde des bases de donnees en fichiers.sql ## Changer l user et mdp mysqldump -uroot -pmonpass $i > ${i}_`date +"%Y-%m-%d"`.sql ## Compression des exports en tar.bz2 (le meilleur taux de compression) tar jcf ${i}_`date +"%Y-%m-%d"`.sql.tar.bz2 ${i}_`date +"%Y-%m-%d"`.sql ## Suppression des exports non compresses rm ${i}_`date +"%Y-%m-%d"`.sql done cd /root/scripts/backups/ for i in sogo; do ## Sauvegarde des bases de donnees en fichiers.sql ## Changer l user et mdp mysqldump -uroot -pmonpass $i > ${i}_`date +"%Y-%m-%d"`.sql ## Compression des exports en tar.bz2 (le meilleur taux de compression) tar jcf ${i}_`date +"%Y-%m-%d"`.sql.tar.bz2 ${i}_`date +"%Y-%m-%d"`.sql ## Suppression des exports non compresses rm ${i}_`date +"%Y-%m-%d"`.sql done Puis un second script permet de supprimer les sauvegardes trop anciennes : #Nom du fichier : cleanbackupftp.sh #!/bin/bash # ## Supprime les sauvegardes vieilles de plus de 5 jours # find /root/scripts/backups/ -type f -mtime +4 -delete Il faut modifier les permissions afin d autoriser l exécution des fichiers (chmod) Page 48
Il faut maintenant créer une tache cron afin d exécuter le script chaque jour : Aller dans : /ect/ Il existe plusieurs dossiers : cron.daily => Tous les jours cron.hourly =>Toutes les heures cron.monthly => Tous les mois cron.weekly => Toutes les semaines cd /etc/cron.daily sudo ln -s /root/scripts/sauv_bdd.sh sauv_bdd sudo ln -s /root/scripts/cleanbackupftp.sh cleanbackupftp Mettre le script suivant dans le dossier voulu : Cela crée des raccourcis de nos précédents scripts. Page 49