Ensuite il faut se connecter à horde en admin (http://horde.chezvous.com/admin/config) et lancer la mise à jours des configurations et des schémas de bases (suivre la procédure à l’écran, c’est du clic clic…).
Si tout c’est bien passé vous devriez avoir un panel d’admin dans ce goût là :
FOG est un outil formidable pour le déploiement de poste client que j’utilise en milieu professionnel. J’aurais envie de dire qu’il ne lui manque que la parole, mais non : il ne lui manque que la gestion des drivers
Devant un parc d’ordinateur plutôt hétérogène je ne pouvais pas mettre tous les drivers dans mon image. Je les donc déporté sur un partage réseau et j’ai utilisé DPInst (du Windows Driver Kit) dans un petit script VBS maison. Ce script est lancé automatiquement après le déploiement du poste grâce à sysprep.
Scénario du script :
Monte \\monserveur.mondomaine.lan\drivers en lecteur réseau (partage en lecture seul avec simplement les drivers
Recherche le répertoire du même nom que le “ComputerSystem Model”, que vous pouvez obtenir avec la commande « wmic computersystem get model » (ex : OptiPlex 380)
Copy les drivers en local (car en cas d’installation des drivers de la carte réseau ça coupe…)
Noter qu’il faut au minimum que la carte réseau soit reconnu par Windows pour que le script fonctionne.
' David Mercereau - Institut Saint-Dominique de saint-herblain Juin 2014
' Post-déploiement - installation des drivers selon le modèle de machine
''''''''' Déclaration
On Error Resume Next
Dim objNet, objFso, objLogFile, objShell
Dim tmpObj, tmpItem
Dim SystemName, MakeModel, LocalisationDrivers, LecteurReseau
SystemName = "localhost"
' La localisation des drivers - ne doit pas nécessité d'authentification réseau.-
LocalisationDrivers = "\\monserveur.mondomaine.lan\drivers"
RepertoireTravailLocal = "C:\Windows\DeploiementDrivers"
LecteurReseau = "M"
Set objNet = CreateObject("Wscript.Network")
Set objFso = CreateObject("Scripting.FileSystemObject")
Set objShell = CreateObject("WScript.Shell")
''''''''' Script
' On monte le lecteur réseau
objNet.MapNetworkDrive LecteurReseau & ":", LocalisationDrivers
' On recherche le modèle
set tmpObj = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & SystemName & "\root\cimv2").InstancesOf ("Win32_ComputerSystem")
for each tmpItem in tmpObj
' MakeModel = trim(tmpItem.Manufacturer) & "-" & trim(tmpItem.Model)
MakeModel = trim(tmpItem.Model)
next
Set tmpObj = Nothing: Set tmpItem = Nothing
If (objFso.FolderExists(LecteurReseau & ":\" & MakeModel)) Then
' Création du répertoire local
objFso.CreateFolder RepertoireTravailLocal
' Copie de dpinst.exe & dpinst.xml
objShell.Run "cmd /C copy " & LecteurReseau & ":\dpinst* " & RepertoireTravailLocal, 1, true
' Synchro du répertoire de drivers
objShell.Run "cmd /C robocopy /S """ & LecteurReseau & ":\" & MakeModel & """ " & RepertoireTravailLocal, 1, true
' Lancement de l'installation
objShell.Run "cmd /C c: & cd " & RepertoireTravailLocal & " & dpinst.exe /c", 1, true
Set objShell = Nothing
End if
' On démonte le lecteur réseau
objNet.RemoveNetworkDrive LecteurReseau & ":", true, true
emailPoubelle.php est donc une page qu’il faut typiquement inclure dans votre site. Elle permet d’administrer des adresses email (des alias plus précisément) jetable ou temporaire. Ces adresses peuvent avoir une durée de vie limitée ou non. Elles peuvent être désactivé (>/dev/null) à tout moment.
Le (petit) projet
Le plus gros changement sur version 1.0 est l’utilisation d’une base de données (sqlite, postgresql, mysql.. au choix, c’est du PDO). Mais vous pouvez continuer à utiliser la version 0.3 qui est en full plain text
Le script dépend de Postfix, un service web avec PHP, php-pdo et (en option) de la lib pear Net_DNS2
Afin de réaliser des maintenances sur mon service web (ou les services attenant tel que Mysql) j’ai mis en place un petit mot d’excuse qui dit en substance : « maintenance en cours, merci de repasser plus tard ». C’est mieux que « La connexion a échoué » ou « Can’t Connect to MySQL Server on nian nian nian » non ?
La configuration de prod :
Apache sur le port 80
La configuration de maintenance :
Apache sur le port 80 (le même)
Lighttpd sur le port 81
Iptables redirige le trafic arrivant sur le port 80 vers le port 81 en PREROUTING sauf pour mon IP (ça permet donc de bricoler)
Installation de lighttpd
Apeuté, et ayé :
aptitude -y install lighttpd
update-rc.d lighttpd remove
mkdir /var/www/maintenance
echo "Serveur en maintenance" > /var/www/maintenance/index.html # Vous pouvez faire une belle page html c'est mieux !
Il est certainement possible de faire plus propre sur ce point. Actuellement je gère le message dans le index.html que je met dans le error404. Des redirection 302 quelque soit l’URL serait à envisager.
Maintenance On/Off
Pour se mettre en mode maintenance :
# Démarrage du serveur d'excuse
service lighttpd start
# Redirection du port 80 vers 81 sauf pour mon IP
iptables -A INPUT -p tcp --dport 81 -j ACCEPT
iptables -t nat -A PREROUTING \! -s ${IPMAISONDEMOI} -p tcp --dport 80 -j DNAT --to-destination ${IPDUSERVEUR}:81
iptables -t nat -A POSTROUTING -j MASQUERADE
Et pour désactiver le mode maintenance :
# Si vous n'avez pas d'autres règles (c'est mal) :
iptables -F
iptables -t nat -F
# Sinon redémarrer votre service iptables
# Lighttpd n'est plus utile
service lighttpd stop
Des dires de Wikipedia : « Sieve est un langage de filtrage du courrier électronique. Il est normalisé dans le RFC 5228. Sieve permet de filtrer sur les en-têtes d’un message qui suit le format du RFC 5322, c’est-à-dire un message Internet typique. »
Sieve c’est très pratique car le filtrage du courrier est effectué au niveau du serveur dès la réception de l’email. Ce qui est presque indispensable quand on utilise plusieurs clients de messagerie (web &/ou desktop). Je vais donc utiliser Managesieve (qui est la partie serveur du protocole) pour Dovecot (projet Pigeonhole).
Actuellement le panel ISPconfig me permet d’éditer les filtres Sieve mais n’utilise pas Managesieve. ISPconfig stock en base (table mail_user_filter) et écrase le fichier à chaque modification.
Je ne souhaite plus passer par ISPconfig pour modifier mes filtres, mais directement par Horde (via Ingo) ou Roundcube (plugin) ou encore par thunderbird (plugin) selon mes besoins.
Installation de Managesieve
Rien de plus simple :
aptitude install dovecot-managesieved
Modifier le fichier /etc/dovecot/dovecot.conf :
< protocols = imap
> protocols = imap sieve
Puis redémarrer le service, le port 4190 doit ensuite être à l’écoute :
Il vous suffit de modifier le fichier ingo/config/backends.php de votre instance horde de la façon suivante :
[...]
/* IMAP Example */
$backends['imap'] = array(
// ENABLED by default
< 'disabled' => false,
> 'disabled' => true,
'transport' => array(
Ingo::RULE_ALL => array(
'driver' => 'null',
'params' => array(),
),
),
[...]
$backends['sieve'] = array(
// Disabled by default
< 'disabled' => true,
> 'disabled' => false,
'transport' => array(
Ingo::RULE_ALL => array(
'driver' => 'timsieved',
'params' => array(
// Hostname of the timsieved server
'hostspec' => 'localhost',
// Login type of the server
'logintype' => 'PLAIN',
// Enable/disable TLS encryption
'usetls' => false,
// Port number of the timsieved server
'port' => 4190,
// Name of the sieve script
< 'scriptname' => 'ingo',
> 'scriptname' => 'filtres',
// Enable debugging. The sieve protocol communication is logged
[...]
Ne faites (peut être) pas ça chez vous
En effet ça ne s’avère pas être forcément la meilleure des solutions :
Il n’est apparemment pas possible d’importer des scripts existants.
Plus embêtant il s’avère que Horde fonctionne presque de la même façon qu’ISPconfig. A savoir qu’il stock en base les filtres et écrase le script sieve (via managesieve quand même) Ce qui me condamne à n’utilise qu’une interface (horde) pour modifier mes filtres :’-(
Bon je m’en contente, il est toujours plus agréable de modifier ses filtres via son webmail (horde) que via le panel ISPconfig.
« Si c’est gratuit, c’est vous le produit ! » c’est le titre d’une émission très intéressante de « là-bas si j’y suis » (ré-écouter) qui nous rappel à quel point nos données personnels sont une source de revenu phénoménale pour quelques grosses entreprises de marketing… Ma position personnelle est claire (d’autant plus avec le plugin wordpress d’incitation à l’anti-pub) : je refuse, tant que faire se peut, qu’on collecte des informations sur ma personne à l’insu de mon plein gré. (dédicace Richard V.)
J’avais rédigé un article pour venter les mérites de Ghostery qui, venant s’ajouter à un anti-pub classique, me satisfaisait amplement. Il bloquait réseau sociaux, statistique (type Analytics)… c’était parfait ! Mais au détour d’un surf sur la toile du web (comme disent les jeunes) je suis tombé sur un article de surfezcouvert.net qui dit ceci :
« Ghostery” […] serait détenu par Evidon une entreprise qui… vend nos données personnelles aux publicitaires. »
je contacte l’auteur aussitôt pour essayer de connaître la source de cette information, mais je n’obtiens pas de réponse. J’ai donc fouiné… et voici quelques sources plus ou moins intéressantes sur le sujet:
Donc oui Ghostery appartient à la société Evidon dont l’activité est de faire du « Online marketing intelligence, web analytics privacy »… un dessin ?
Le développement de Ghostery et sa base d’utilisateurs dévoués nous permettent de révéler la technologie marketing invisible sur le Web de façon plus exhaustive et unique que jamais auparavant, » a déclaré Scott Meyer, PDG d’Evidon. « Un panel de recherche quantitative courant peur comprendre 50 000 utilisateurs. Cependant, notre panel GhostRank compte plus de 7,8 millions d’utilisateurs qui nous permettent d’indexer l’activité de plus de 26 millions de domaines chaque jour, dans le monde entier. Les données anonymes issues de notre panel révèlent un éclairage précieux qui permet aux publicitaires et aux éditeurs d’affiner leur prise de décisions de partenariats dans l’écosystème numérique. » [Sources bfmtv.com]
Toutefois il semblerait* que seul la fonction GhostRank (qui n’est pas -encore- activé par défaut) envoie des données chez Exidon.
* « il semblerait » car je n’ai pas fait la démarché de décompresser et d’analyser le code de Ghostery. Ceci dit si quelqu’un le fait qu’il n’hésite pas à en faire part !
Ghostery serait donc acceptable. Mais plus pour moi, car en plus de ne pas être libre, un doute plane… sans compter qu’on ne sait pas ce qu’ils feront dans la prochaine mise à jour. Il faut trouver une autre solution.
Plan B : Protection par DNS
Il y a un paradoxe à protéger sa vie privée en fessant mentir le DNS non ? En tout cas pour un groupe de machine ça reste une solution remarquable. C’est suite à un commentaire que j’ai découvert adsuck. Adsuck est un petit service DNS qui bloque les méchants…)
Sourceforge avec Adsuck
Mais Adsuck, en plus d’être pénible à installer et à faire fonctionner sous linux, ne s’avère pas optimisé donc fait grandement ralentir mon surf. A ajouter à cela le fait que le projet ne semble pas très actif.
Mais en fouillant pour comprendre le fonctionnement d’Adsuck j’ai découvert un « service » qui fournis des fichiers hosts de nom de domaine méchant. Il y a plein de service existant de ce type, celui qu’utilise Adsuck s’appelle winhelp2002.mvps.org, il semble actif, je teste !
Plan C : winhelp2002.mvps.org
On télécharge le fichier hosts fourni et le met à la place du notre. Cette manipulation peut être facilement automatisée tous les jours (cron.daily) avec un petit script :
Ce qui me plaisait dans Adsuck c’était l’aspect intégration avec le service DNS et donc la possibilité de le mutualiser… Du coup j’ai scripté pour transformer le fichier hosts de winhelp2002.mvps.org en zone DNS bind9 :
#!/bin/bash
set -eu
HOSTSURL="http://winhelp2002.mvps.org/hosts.txt"
NAMEDCONFADS="/etc/bind/named.conf.ads"
BLOCKEDZONE="/etc/bind/blockeddomain.hosts"
FICTMP=`tempfile`
ERRORLOG=`tempfile`
# Email pour les erreurs (0 pour désactiver
EMAIL=0
# Log d'erreur
exec 2> ${ERRORLOG}
ionice -c3 -p$$ &>/dev/null
renice -n 19 -p $$ &>/dev/null
function cleanup {
if [ "`stat --format %s ${ERRORLOG}`" -ne "0" ] && [ "$EMAIL" != "0" ] ; then
cat ${ERRORLOG} | mail -s "$0 - Log error" ${EMAIL}
else
cat ${ERRORLOG}
fi
rm ${ERRORLOG}
}
trap cleanup EXIT
# téléchargement du fichier hosts
wget "${HOSTSURL}" -O ${FICTMP} &>/dev/null
# Suppression des commentaires
grep -v '^#' ${FICTMP} |
# Suppression des 6 premières lignes inutiles
tail -n +6 |
# On retir les sauts de ligne mac
sed 's/\x0D$//' |
# La syntaxe bind
awk -v blockzone=${BLOCKEDZONE} ' { printf "zone \"%s\" {type master; file \"%s\";};\n" ,$2,blockzone }' > ${NAMEDCONFADS}
/usr/sbin/named-checkconf ${NAMEDCONFADS}
/usr/sbin/service bind9 reload
rm ${FICTMP}
Il ne reste plus qu’à inclure le fichier /etc/bind/named.conf.ads dans le named.conf :
> include "/etc/bind/named.conf.ads";
Après quelques jours d’utilisation ça ne s’avère pas très probant, car ça bloque finalement moins que les machin’block en extension navigateur (Trueblock, Adblock Edge, *block)
En continuant à utiliser le site, vous acceptez l’utilisation des cookies (au chocolat) Plus d’informations
Les cookies sont utilisés à des fin de statistique de visite du blog sur une plateforme indépendante que j'héberge moi même. Les statistiques sot faites avec un logiciel libre. Aucune information n'est redistribué à google ou autre. Je suis seul autorisé à lire ces informations
Edit (05/01/2014) : prise en compte des commentaires
