vendredi 21 juin 2013

Faire sauter son mot de passe Windows

Si comme moi vous utilisez un ordinateur en dual boot et que ça fait à peu près 1 an 1/2 que vous ne vous êtes pas connecté sur votre compte Windows, vous avez certainement dû l'oublier. Et quand vous devez dans le même temps faire une procédure d'installation sur ce type d'OS et que vous n'avez aucune espèce d'idée de comment faire ça (ni les CD de boot d'ailleurs), vous serez sûrement content d'apprendre que vous pouvez faire ça avec un super utilitaire en ligne de commande : j'ai nommé l'ami chntpw.

Première chose, on va l'installer :

apt-get install chntpw

Quelques secondes plus tard, vous devriez être prêt pour la suite.

Mais où est passé l'ami SAM

Chez Unix, les hash des mots de passe sont dans /etc/shadow. Sous Windows, c'est l'ami SAM qui un rôle à peu près équivalent (en tout cas, il contient les hashs des mots de passes utilisateurs).

Avant toute chose (si ce n'est déjà fait), on va monter notre lecteur Windows dans /mnt :

mount /dev/sda2 /mnt

De là, il faudra se rendre dans le répertoire /mnt/Windows/System32/config où nous pourrons commencer à torturer l'ami SAM.

Première chose, nous allons afficher les comptes déclaré dans notre beau fichier SAM :
# chntpw -l SAM
[...]
* SAM policy limits:
Failed logins before lockout is: 0
Minimum password length        : 0
Password history count         : 0
| RID -|------- Username ---------| Admin? |- Lock? --|
| 01f4 | Administrator            | ADMIN  | dis/lock |
| 01f5 | Guest                    |        | dis/lock |
| 03e8 | TOTO2                    | ADMIN  | dis/lock |

Nous voyons ici 3 comptes mais seul TOTO2 nous intéresse (c'est mon compte). Pour se faire, relançons chntpw avec en paramètre l'utilisateur à modifier :

chntpw -u TOTO2 SAM

Ici, chntpw devrait nous proposer plusieurs choix avec notamment la possibilité de supprimer le mot de passe (choix n°1). chntpw vous demandera une confirmation pour écrire le fichier sur le disque. Répondez oui, que vous êtes un gros gueudin qui n'a peur de rien. Sinon, si vous êtes un peu plus raisonnable, faîtes non et faîtes une sauvegarde avant de tout péter.

Reste plus qu'à démonter le FS du Windows et redémarrer dessus pour vérifier que la manœuvre a bien fonctionné. Si tout c'est bien passé, vous devriez être en mesure de démarrer votre session avec le nouveau mot de passe. Pirate !

jeudi 13 juin 2013

Administration d'un serveur SVN à l'aide de SVN

Ma vie trépidante d'administrateur m'a amené dernièrement à mettre en place un serveur SVN en place (en utilisant le module Apache couplé avec authentification LDAP) et surtout l'isolement de ce serveur dans une bulle derrière des firewalls.

D'un côté c'est vrai que c'est bien la sécurité et tout ça, mais de l'autre, à chaque fois que j'ai envi de modifier un truc sur mon serveur, je suis un peu obligé de me connecter via un VPN + tunnel SSH. Comme chacun sait, je suis un gros feignant et c'est pas par gaîté de coeur que je m'y connecte. C'est donc assez naturellement que je me suis dit : et si j'utilisais un repository SVN pour faire mon administration ? Diabolique non ? De plus je gagnais instantanément un suivi de qui modifié quoi sur mon serveur SVN. Très pratique pour savoir qui taper en cas de problème.

Création du repos adminsvn

La première étape a été de créer un repository sur mon serveur qui allait me servir à ça. Pour cela, rien de plus simple, on crée un repository SVN :
$ svnadmin create /var/svn/adminsvn
On crée ensuite un trunk pour faire jolie ainsi qu'un sous-répertoire admin :
$ svn mkdir --parent file:///var/svn/adminsvn/trunk/admin -m "Création d'un trunk/admin"
Nous allons maintenant alimenter le fichier /etc/httpd/svn.d/droits-svn.conf afin de protéger le repository d'administration :
[groups]
admins_svn = yannig,cnorris

[/]
* = rw

[adminsvn:/]
# Personne ne peut lire le contenu de ce repository
* =
# Par contre, les admins SVN ont le droit de tout faire
@admins_svn = rw
Alimentons maintenant nos utilisateurs dans le fichier svn.passwd :
$ htpasswd -nb yannig mdpdeyannig > /etc/httpd/svn.d/svn.passwd
$ htpasswd -nb cnorris chucknorrisnapasbesoindemdp >> /etc/httpd/svn.d/svn.passwd
Ajoutons maintenant ces fichiers dans le repository avec la commande suivante :
$ svn add svn.passwd droits-svn.conf

Mise en place du mécanisme de post commit

Procédons maintenant à un checkout de ce repository SVN dans un coin de notre serveur (en tant qu'utilisateur apache ou www-data selon que vous soyez sous RH ou Debian like) :
$ svn co file:///var/svn/adminsvn/trunk/admin /etc/httpd/svn.d
Nous allons maintenant mettre en place un mécanisme de mise à jour de ce checkout. Rendez-vous dans le répertoire /var/svn/adminsvn/hooks et créons un fichier shell post-commit avec la commande suivante :
echo "svn up /etc/httpd/svn.d" > post-commit
chmod +x post-commit
Comme vous pouvez le voir, le script n'est pas super complexe.

Si vous n'avez pas utiliser le bon utilisateur pour faire le checkout, vous pouvez modifier les droits avec la commandes suivantes :
chown -R apache:apache /etc/httpd/svn.d

Déclaration d'un ensemble de repository dans apache

Déclarons maintenant la racine contenant le repository dans apache en créant le fichier /etc/httpd/conf.d/svn.conf avec le contenu suivant :
<Location /svn>
  DAV svn
  SVNParentPath /var/svn/
  SVNListParentPath On

  Options +Indexes
  AuthType Basic
  AuthName "SVN"

  # Gestion authentification
  AuthBasicProvider file
  AuthzSVNAccessFile /etc/httpd/svn.d/droits-svn.conf
  AuthUserFile /etc/httpd/svn.d/svn.passwd
  Require valid-user
</Location>
Un arrêt/relance de l'ami Apache et nous voilà prêt pour la suite.

NB : Il est bien sûr évidant que vous devez disposer de l'extension mod_dav_svn. Sous RHEL, vous devrez lancer la commande yum suivante pour procéder à l'installation :
yum install mod_dav_svn
Sous Debian, ce module s'appelle libapache2-svn. Vous devrez dans ce cas utiliser la commande suivante :
apt-get install libapache2-svn

Test de notre mécanisme

Cette partie est plus simple puisqu'elle va consister à faire des commits dans notre repository. Pour se faire, vous devez donc vous munir d'un client SVN. En tant que vieux barbu, je fais ça en ligne de commande depuis mon poste Linux :
svn co --username yannig http://monserveursvn/svn/adminsvn/trunk ~/adminsvn
Éditons maintenant votre fichier droits-svn.conf de la manière qu'il nous plaira et lançons le commit :
$ svn diff
Index: changelog.txt
===================================================================
--- droits-svn.conf       (revision 1)
+++ droits-svn.conf       (working copy)
@@ -1,3 +1,4 @@
-admins_svn = yannig,cnorris
+admins_svn = yannig,cnorris,nobody

[/]
* = rw

$ svn ci -m "Ajout de l'utilisateur nobody."
Sending        droits-svn.conf
Transmitting file data .
Committed revision 2.
Allons maintenant faire un tour sur notre serveur pour vérifier que le fichier droits-svn.conf a bien été mis à jour :
$ grep nobody /etc/httpd/svn.d/droits-svn.conf
admins_svn = yannig,cnorris,nobody
La modification a bien été prise en compte. Le mécanisme fonctionne bien comme prévu !