Le blog de llaumgui - apache

Pimp my Dotclear Acte II

llaumgui — Tue, 22 Apr 2008 20:42:00 +0200

Dotclear 2.0 RC1 arrivant à grands pas, on continue avec les exemples de mise en œuvre de ce gestionnaire de blog simple et efficace.
Après la sécurité et l'optimisation de Dotclear, aujourd'hui : les rétroliens (ou trackbacks) et les plugins pour Dotclear qui vont bien. Vous pouvez, à ce propos, consulter la liste des plugins déployés sur ce blog.

Rétroliens et anti-spam

Les rétroliens sont un super outil permettant à la discussion de dériver et de se poursuivre ailleurs. Le problème est que les trackbacks sont trop souvent victimes du SPAM et les bloggeurs ont alors tendance à les désactiver (ce qui était mon cas jusqu'à il y a peu).

La solution, pour pouvoir utiliser les trackbacks sereinement : le plugin rétrocontrôle configuré pour effacer directement les rétroliens indésirables, sans passer par la case corbeille.

Au passage, vous constatez que, pour le moment, ma configuration anti-spam est plutôt légère, j'ai donc encore des armes pour me défendre.

Je n'ai pas non plus activé l'option "adresses jetables" car je ne suis pas sûr de sa compatibilité avec le plugin Static Cache.

miniSEO :

Comme le montre ce calculateur (au résultat plus que discutable je vous l'accorde), le SEO du blog frôle la perfection (97%) et ce grâce, entre autres, au plugin miniSEO qui peut être couplé avec MyMeta comme le conseille l'auteur sur le billet de support.

MyMeta

Vous l'aurez peut être remarqué, une image illustre mes billets. Cette image est soit celle associée à la catégorie du billet, soit celle d'un tag. Pour cela j'utilise le plugin MyMeta :

Je peux ensuite appliquer à un billet une illustration en fonction d'un tag grâce à ce template :

<tpl:MyMetaIf type="tag-illustration" defined="false">

    <tpl:EntryIf has_category="1">

        <a href="{{tpl:EntryCategoryURL}}" class="category-illustration cat_{{tpl:EntryCategoryID}}" title="{{tpl:EntryCategory}}">&nbsp;</a>

    </tpl:EntryIf>

</tpl:MyMetaIf>

<tpl:MyMetaIf type="tag-illustration" defined="true">

    <a href="{{tpl:BlogURL}}tag/{{tpl:MyMetaValue type="tag-illustration"}}" class="category-illustration" title="{{tpl:MyMetaValue type="tag-illustration"}}" style="background: transparent url(/themes/nodoka/img/tag/{{tpl:MyMetaValue type="tag-illustration"}}.png) 0 0 no-repeat;">&nbsp;</a>

</tpl:MyMetaIf>

Pages

La révision #1729 de Dotclear introduit le plugin Pages remplaçant avantageusement le plugin Related que j'utilisais jusqu'à présent. C'est maintenant "Pages" qui gère les pages suivantes :

Notez au passage qu'avec une petite règle apache, le plugin Pages peut faire correspondre une page du blog à un sous domaine :

RewriteCond %{HTTP_HOST} ^cv.llaumgui.com

RewriteRule ^index.php$ index.php/pages/curriculum [L]

Subscribe to comments

En plus du flux RSS associé aux commentaires d'un billets, natifs dans Dotclear, le plugin Subscribe to comments permet à vos visiteurs de s'abonner par email aux nouveaux commentaires.

Pimp my Dotclear ;-)

llaumgui — Mon, 21 Apr 2008 22:35:00 +0200

Dotclear est un logiciel simple et léger permettant de créer son blog (comme ici) ou de mettre en place une plateforme de blog pouvant héberger plusieurs blogs comme c'est le cas sur la plateforme de blog de fedora-fr.

Optimiser Dotclear

Utilisation de connexions persistantes

Ludovic en parlait sur son Blog, les connexions persistantes sont à présent directement configurables depuis le fichier config.php de Dotclear :

define('DC_DBPERSIST',true);

Cache statique

Toujours en développement, le plugin staticCache est disponible via le dépôt SVN. Il permet de générer non pas du code php comme le fait le cache de template mais de stocker du code HTML qui sera directement rendu aux visiteurs de votre blog.

Pour l'activer, ça se passe encore dans le fichier config.php

define('DC_SC_CACHE_ENABLE', true );

Sécuriser son Dotclear

La première chose à faire pour sécuriser son Dotclear est de le mettre à jour. En effet, des failles de sécurité ont récemment étaient découvertes.

La gestion des uploads

Si vous êtes le seul à utiliser votre blog, la question se pose moins, mais si d'autres personnes utilisent le système d'upload, ils pourraient très bien envoyer des fichier php sur le serveur et les exécuter. Toujours dans le domaine de la supposition, ces fichiers pourraient permettre d'inclure le fichier config.php et d'en parcourir le contenu, dévoilant ainsi les mots de passe de la connexion à la base de données. Sur un serveur très très mal configuré, ces fichiers pourraient aller jusqu'à lire des fichiers du répertoire /etc/ !

Pas de panique : depuis la révision #1714, Dotclear permet d'exclure des extensions de fichier du gestionnaire de médias et ce via la directive media_exclusion du plugin about:config (plus d'infos).

Empêcher l'upload de fichier php c'est bien, mais empêcher l'exécution de fichier php dans le répertoire public, c'est mieux. Pour cela, on configurera apache :

<Location ~ "public/.*\.php$">

     ForceType text/plain

     RemoveHandler php

</Location>

Connexion apache sécurisée par SSL en place sur spb-box (https)

llaumgui — Thu, 13 Sep 2007 22:28:00 +0200

Après pas mal de galères et de tâtonnements, j'ai enfin réussi à installer des certificats SSL sur la spb-box. Je tiens d'ailleurs à remercier l'ami Remi qui m'a un peu blasé en trouvant le problème en 5 minutes. Dorénavant mon serveur SVN n'est plus sur http://svn.llaumgui.com mais sur https://svn.llaumgui.com.

J'en ai aussi profité pour mettre phpMyAdmin derrière une connexion SSL ce qui est plus prudent.

Une petite Dedibox sous CentOS

llaumgui — Wed, 04 Jul 2007 22:57:00 +0200

Comme certains le savent peut être, je suis fan de PaintBall et j'administre avec mon pote Radinus, la plus grosse communauté francophone de paintball scénarisé.

Avec une base de données MySQL qui grandie chaque jour (laisse tomber la manipulation de 200Mo sur un mutu' sans le shell) et les sites satellites qui vont arriver, il fallait se prendre un petit dédié.
Le choix s'est donc porté sur une Dedibox (pas pour rien qu'on l'appel Radinus) et pour le système d'exploitation, j'ai choisis CentOS 5.0, pourquoi ?

Les raisons sont multiples :

Professionnellement, j'administre du Debian, une CentOS me permet d'acquérir de nouvelles expériences et de prendre une bouffée de RPM dans un monde de deb.
C'est la famille (représente le chapeau !).
Autant je kiff Fedora pour du desk, autant son cycle de vie accéléré est moyen pour du serveur. Donc, dans la famille Red Hat, je demande le serveur au support gratuit : CentOS; bonne pioche.

Bref, pour le moment le strict minimum tourne dessus (apache/MySQL/Postfix) et je commence à transférer les petits sites satellites avant de passer au gros forum.

Obtenir tous les domaines configurés sur un serveur

llaumgui — Mon, 12 Feb 2007 17:52:00 +0100

Voici une petite astuce pour récupérer tous les domaines configurés sur un serveur apache :

root@borsalino ~> for vhost in /etc/httpd/users/*; do cat "$vhost" | grep '$ServerName\|ServerAlias$'; done;

Cela dépend bien sur de la façon dont vos vhost sont configurés. S'ils sont tous dans le fichier httpd.conf :

root@borsalino ~> cat /etc/httpd/conf/httpd.conf | grep '$ServerName\|ServerAlias$'

Le site de l'UMP sous eZ publish

llaumgui — Sat, 02 Dec 2006 10:44:00 +0100

C'est au cour d'une séance de surf, afin de trouver la vidéo de l'émission "A vous de juger" de jeudi, avec Nicolas Sarkozy (que je n'ai pu voir pour cause de Jeudi du libre) que je me suis rendu compte d'une chose sur le site de l'UMP :

Ce site s'appuie sur le CMS open source EZ Publish !

Ca fait plaisir qu'après les députés, la première formation politique de France s'appuie elle aussi sur le libre. Utilisant eZ publish dans ma vie professionnelle, je trouve que cette solution est un très bon choix. En effet, d'autres sites institutionnels tels que le WWF lui ont déjà fait confiance.

En mode l'oeil du professionnel qui aime bien critiquer :

Le index.php pollue, et il est facile de le rewriter, surtout que le site de l'UMP tourne sur du Apache Linux powered (sûrement de la Debian).
Le nom du siteaccess (ump), lui aussi pollue. Il serait bien de passer en mode host.
Mettre le copyright, c'est bien, le mettre en texte avec un lien en dur c'est mieux. Ecrire du texte en image est toujours quelque chose qui m'horrifie sur un site ! Les déficients visuels n'ont pas le droit de savoir que le site de l'UMP est sous eZ publish ?
De même pour les images du type « Adhérer maintenant » qui pourraient avoir des attributs alt non vide. Bref des efforts peuvent être fait pour le référencement et l'accessibilité...
Référencement toujours : www.u-m-p.org et u-m-p.org ça fait 2 adresses différentes pour 1 seul et même site. Faut en choisir 1 et rediriger l'autre dessus.

Mine de rien, je me rends compte que tel Loic Le Meur, ce billet m'avance de plus en plus vers le coming-out...

Protéger les accès SSH avec fail2ban

llaumgui — Mon, 13 Nov 2006 19:45:00 +0100

Après l'attaque de ce week-end et après une lecture des logs d'accès ssh, je me suis décidé à mettre en place une gestion automatique des bannissements d'IPs.

L'idée est simple : bannir les IPs qui tentent de passer le compte root en "Brut de force".
Il est évident que l'accès root n'est pas autorisé en ssh (PermitRootLogin no) tout comme les mots de passe (PasswordAuthentication no), et que de telles attaques ne peuvent pas aboutir, mais c'est pour le principe ;-).

root@borsalino ~> cat /var/log/secure.1 | grep "Failed password for root" --count

1812

Sur les conseils de Titax, je me suis penché sur fail2ban, mais à la différence de la méthode proposée par Thierry, j'ai préféré utiliser le dépôts dries.

Si vous ne l'avais pas installé, vous en trouverez la config ici.

Pour installer fail2ban :

root@borsalino ~> yum --enablerepo=dries install fail2ban

Une fois le service installé, il faut le configurer, ça ce passe dans /etc/fail2ban.conf, le fichier et très bien documenté vous pourrez y régler le nombre de tentative, la durée du bannissement, les services concernés (ssh mais possibilité de le mettre en place pour apache), et l'envoi de mail lors d'un bannissement.

Ensuite, pour activer le service :

root@borsalino ~> /sbin/chkconfig --add fail2ban

root@borsalino ~> /sbin/service fail2ban start

Première attaque sur Borsalino

llaumgui — Sun, 12 Nov 2006 02:13:00 +0100

Ce soirs Borsalino, le serveur de fedora-fr, a fait une montée en charge impressionnante (85) due aux services httpd et mysqld. Une charge m'obligeant à couper le serveur web pendant 10 minutes le temps d'analyser la situation.

Une fois les logs d'erreur (errors.log) contrôlés, j'ai du me rendre à l'évidence : je code rudement bien et il n'y a rien de ce côté là (Qui a dit que je me jeté des fleurs ;-)).

Mes soupçons ce sont alors portés sur les logs d'accès (acces.log) :

xxx.xxx.xxx.xxx - - [11/Nov/2006:08:56:44 +0100] "GET /index.php?title=Special:Recentchanges&amp;amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&amp;amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&amp;amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&amp;amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=atom&amp;amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&amp;amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=atom&amp;amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&amp;amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&amp;amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&amp;amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=atom&amp;amp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&amp;amp%3Bamp%3Bamp%3Bfeed=atom&amp;amp%3Bamp%3Bfeed=atom&amp;amp%3Bfeed=rss&amp;feed=rss HTTP/1.1" 200 60626 "-" "Mozilla/5.0 (compatible; Yoono; http://www.yoono.com/)"

Après investigation, il apparaîtrait que ce soit une attaque exploitant une faille, corrigée sur notre version, de Wikimedia.

D'après le whois, les IPs viendraient d'une société spécialisée dans la sécurité informatique (un comble !) et d'une résidence universitaire française... On peut supposer qu'on est en présence, soit d'étudiants s'amusant un samedi soir, soit de machines sous Windows transformées en zombies et attaquant à tout-va !

root@borsalino ~> cat access.log |grep ":Recentchanges&amp;amp%3Bamp%3Bamp%3Bamp%3Bamp" --count

6498

Sachant que je grep un log qui est en rotation journalière... Ca fait quand même beaucoup !

La sanction :

iptables -I INPUT -s xxx.xxx.xxx.xxx -j DROP

Et ce, afin de bloquer l'accès à la machine à cette IP et aux autres...

Merci à SpeedFire du chan #fedora-fr pour son cour sur iptables.

DotClear 2.0 et les redirections d'url

llaumgui — Mon, 21 Aug 2006 16:35:00 +0200

La forme des urls sous DotClear 1 et sous DotClear 2 est légèrement différente. Le forum officiel propose bien une solution, malheureusement ayant modifié mes adresses à la fois sous DotClear 1 et sous DotClear 2.0, je ne peux appliquer cette astuce. J'ai donc du me faire un petit fichier .htaccess perso.

Petit récapitulatif des différences entre les urls de DotClear 1 et celle de DotClear 2 :

DotClear 1 standard : index.php/annee/mois/jour/id-titre_du_billet
DotClear 1 LLaumgui : index.php/titre_du_billet
DotClear 2 standard : index.php/post/annee/mois/jour/titre_du_billet
DotClear 2 LLaumgui : /post/titre_du_billet

But de l'opération :

Le but est de rediriger les urls de type index.php/titre_du_billet vers post/titre_du_billet. Attention cependant aux pages spéciales de DotClear telles que les archives ou les catégories de billets.

L'.htaccess expliqué :

RewriteEngine On

Activation de la réécriture des urls.

# Redirection sur le www :

#

RewriteCond %{HTTP_HOST} !^www.llaumgui.com$

RewriteRule ^(.*)   http://www.llaumgui.com/$1  [QSA,L,R=301]

On redirige les urls llaumgui.com vers www.llaumgui. On ne référence ainsi qu'un seul nom de domaine.

####

# Vielles URL DC1 :

# Vieux RSS :

Redirect permanent /rss.php http://www.llaumgui.com/feed/rss2

Redirect permanent /atom.php http://www.llaumgui.com/feed/atom

Redirection des anciennes urls des feeds.

# Vielle TOC :

RedirectMatch permanent /index.php/toc(.*)$ http://www.llaumgui.com/archive

On redirige l'ancien plugin de Table des matières vers les archives de DotClear 2.0

# Vieux billets :

RewriteCond %{REQUEST_URI} !^/index\.php\/?$

RewriteCond %{REQUEST_URI} !^/index\.php/archive

RewriteCond %{REQUEST_URI} !^/index\.php/category

RewriteCond %{REQUEST_URI} !^/index\.php/feed

RewriteCond %{REQUEST_URI} !^/index\.php/page

RewriteCond %{REQUEST_URI} !^/index\.php/post

RewriteCond %{REQUEST_URI} !^/index\.php/tag

RewriteCond %{REQUEST_URI} !^/index\.php/tags

RewriteRule index.php/(.*) http://www.llaumgui.com/post/$1  [QSA,L,R=301]

On redirige les urls de type index.php/titre_du_billet en tenant compte des pages spéciales de DotClear :archives, catégories de billets, etc...

# Disparition du index.php

#Exécution des fichiers en PHP5

AddType x-mapp-php5 .php

#Indication du répertoire racine pour la réécriture

RewriteBase /

#Pas de réécriture si le fichier (-f, file) ou le dossier (-d, directory) existe

RewriteCond %{REQUEST_FILENAME} !-f 

RewriteCond %{REQUEST_FILENAME} !-d

#Passage de la page demandée entière sur le index.php/

RewriteRule (.*) index.php/$1

#Redirige index.php vers index.php/ pour éviter les 404 de DC

RewriteRule ^index.php$  index.php/

#Redirige vers index.php/ si on demande pas de page spécifique

DirectoryIndex index.php

On passe d'urls standards de type index.php/post/titre_du_billet vers un format sans index.php : /post/nom_du_billet.