Un bouncer ?

C’est un programme qui se connecte à un ou plusieurs réseaux IRC à votre place. Ainsi au lieu de vous connecter à un canal depuis votre PC directement vous passez par votre relais, le bouncer et vous passez alors de “hors ligne” à “en ligne” automatiquement, pas la peine  de spammer les chans en changeant de nick à chaque fois. Les intérêts sont multiples :

• Pouvoir se connecter à un serveur/chan IRC depuis n’importe quel périphérique avec son identifiant habituel (et ne pas avoir 3 connexions simultanées entre la maison, le bureau et le smartphone par exemple),
• Ne pas dévoiler son IP personnelle, mais celle de son serveur (voire un proxy/VPN/Tor comme on va le voir ici),
• Pouvoir récupérer les logs des canaux sur lesquels nous sommes (et ne rien perdre de ce qui se dit en notre absence),

• Le but de l’activer, ou non, via un relais Tor est double : accéder à des IRC sur Tor et/ou masquer l’IP de son bouncer, donc de son serveur.

Je vais ici prendre le cas de ZNC, l’un des 3 plus utilisés avec BNC et Quassel. Évidemment tout se passe sur un serveur/VPS Linux mais vous pouvez trouver des guides pour Mac et Windows. D’abord rédigé dans une optique “noob” je vais tout détailler, de la configuration du serveur à l’utilisation via un client IRC en passant par sa configuration. Les plus aguerris pourront certainement passer des étapes.

ZNC fonctionne aussi bien en commandes, à taper dans son client, que via une interface Web.

Le tutoriel est fait sur Debian 7 et les commandes sont à taper en root. Sur Debian 8 le compte root est bloqué par défaut, il faut donc se connecter en user et passer par sudo pour chaque commande soit se donner les droits sudo su avant de se lancer.

Je n’aime pas l’éditeur Vim, j’installe donc nano qui servira à éditer certains fichiers via la commande du même nom : apt-get install nano

Et on s’y connecte en SSH évidemment : Windows, Mac, Linux (vous savez faire, je mets pas de lien ^^)

 

 

Configuration du serveur

Pour garder votre serveur à l’heure, notamment pour les logs, il faut installer NTP (faites d’ailleurs une MàJ si vous l’avez sur votre serveur, un exploit a été donné il y a quelques jours) : apt-get install ntp  et le lancer /etc/init.d/ntp start.

Mise à jour manuelle

Une des bases de la sécurité est de maintenir son OS et ses logiciels, packages sous Linux, à jour. Pour se faire tapez apt-get update && apt-get upgrade -yy

Mise à jour automatisée

Aimant me prendre la tête (mais pour mieux flemmarder ensuite), je décide d’automatiser les MàJ et de recevoir un e-mail à chaque fois que ça se produit.

Il me faut un outil pour envoyer des e-mails. Je ne suis pas à l’aise avec Exim livré par défaut avec Debian donc je le retire et mets nullmailer qui est d’une simplicité extrême. Ce n’est pas un serveur mais un outil qui se connecte à un compte mail existant (Yahoo, Gmail, Openmailbox…) pour envoyer des e-mails.
Retirer Exim

dpkg -r exim4

dpkg --purge exim4

Installer nullmailer

apt-get install nullmailer

Lors de son installation vous devez entrer sa configuration. Elle dépend de votre fournisseur de mails, voici 2 exemples avec Openmailbox et Gmail (je vous recommande Openmailbox, Protonmail plutôt que Gmail, Yahoo, Hotmail… pour votre vie privée -message subliminal-).

smtp.openmailbox.org smtp --port=465 --auth-login --user=utilisateur@openmailbox.org --pass=motdepasse --ssl

Ou smtp.gmail.com smtp --port=465 --auth-login --user=utilisateur@gmail.com --pass=motdepasse --ssl

Puis relancer nullmailer /etc/init.d/nullmailer restart

Il faut maintenant installer Cron qui permet d’automatiser des tâches à heure régulière : apt-get install cron-apt

Le configurer pour qu’il aille chercher les MàJ et l’indique par e-mail : nano /etc/cron-apt/config et ajouter


APTCOMMAND=/usr/bin/apt-get

OPTIONS="-o quiet=1 -o Dir::Etc::SourceList=/etc/apt/sources.list"

MAILTO="[email protected]"

MAILON="always"

où [email protected] = l’e-mail sur lequel vous voulez recevoir l’information. Donc pas le même que celui que vous utilisez pour l’envoyer.

Le configurer pour qu’il aille installer les MàJ : nano /etc/cron-apt/action.d/3-download

Et retirer le -d de cette ligne dist-upgrade -y -o APT::Get::Show-Upgraded=true

-d = download only (donc justement à virer dans mon cas vu que je veux que ça s’installe), -y = yes (oui je veux MàJ), -o = option (ici je veux que Cron me montre ce qu’il a modifié)

 

Tout étant configuré on peut ajouter l’automatisation (selon vos préférences de fréquence) : nano /etc/cron.d/cron-apt et ajouter

00 01* * *  root -x /usr/sbin/cron-apt && /usr/sbin/cron-apt

Ça se lance donc à 1h chaque jour et je reçois ensuite un e-mail de ce type (Beatrixz étant le nom de ma machine)

Sujet : CRON-APT completed on Beatrixz [/etc/cron-apt/config]

CRON-APT RUN [/etc/cron-apt/config]: Sun Dec 28 04:00:01 CET 2014
CRON-APT SLEEP: 373, Sun Dec 28 01:06:14 CET 2014
CRON-APT ACTION: 0-update
CRON-APT LINE: /usr/bin/apt-get -o quiet=1 -o Dir::Etc::SourceList=/etc/apt/sources.list update -o quiet=2
CRON-APT ACTION: 3-download
CRON-APT LINE: /usr/bin/apt-get -o quiet=1 -o Dir::Etc::SourceList=/etc/apt/sources.list autoclean -y
Reading package lists…
Building dependency tree…
Reading state information…
Del libssl-dev 1.0.1e-2+deb7u13 [1755 kB]
Del libssl-doc 1.0.1e-2+deb7u13 [1198 kB]
Del zlib1g-dev 1:1.2.7.dfsg-13 [215 kB]
CRON-APT LINE: /usr/bin/apt-get -o quiet=1 -o Dir::Etc::SourceList=/etc/apt/sources.list dist-upgrade -y -o APT::Get::Show-Upgraded=true
Reading package lists…
Building dependency tree…
Reading state information…
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

 

 

Sécurité

L’idée n’est pas d’en faire un bunker mais de limiter les risques d’accès non autorisé. Pour ça nous allons modifier les paramètres de connexions SSH, bloquer les tentatives de connexions des bourrins (et des autres), diminuer les possibilités de scanner la machine etc.

• Mot de passe root
  

Une fois votre serveur installé vous recevez un email avec un accès root (ou juste un compte user avec Debian 8, le login root par mot de passe étant bloqué par défaut). Il convient donc de changer ce mot de passe, que le compte soit activé ou non : (en root) passwd

• Mot de passe user

Comme pour le root, mettez-vous sur votre compte user et changez le mot de passe : passwd

• Login par clé

Le plus sécurisé étant de se connecter avec une clé SSH au lieu d’un mot de passe, suivez ce tutoriel.

• Donner les droits root à un utilisateur

nano /etc/sudoers

Trouver la ligne root ALL=(ALL) ALL et ajouter en-dessous USER ALL=(ALL) ALL où USER = le nom de l’utilisateur. De cette manière l’utilisateur en question pourra passer root avec son mot de passe. Si vous voulez pouvoir le faire sans taper de mot de passe oubliez la ligne précédente et ajoutez tout à la fin du fichier USER ALL=NOPASSWD: ALL

• Changer le port SSH et désactiver le root login

nano /etc/ssh/sshd_configp puis modifier comme le port (22 par défaut). Puis relancer SSH /etc/init.d/ssh restart

• Anti-intrusion

Le programme fail2ban permet de définir de règles de bannissement, sur une durée ou définitivement, de toute IP se trompant X fois de login. Que ce soit pour SSH ,FTP… Ici je le configure pour bannir définitivement toute erreur pour SSH. Vu que je n’ai pas de FTP sur cette machine tout en autorisant mon IP fixe (qui donc ne sera jamais bannie). Pour plus de détails : documentez-vous.

Installation : apt-get install fail2ban

Si Fail2ban trouve une IP correspondant à un comportement anormal il va alors la mettre dans une prison (jail). Il nous faut éditer la règle nano /etc/fail2ban/jail.conf

Nous voyons

ignoreip = 127.0.0.1/8

bantime  = 600

maxretry = 3

IgnoreIP : IP à ignorer. J’ajoute mon IP personnelle qui est fixe. Vous pouvez ajouter par exemple l’IP d’un autre serveur quand vous êtes sur un fail2ban d’une seedbox afin de ne pas entraver un script rsync de synchronisation automatique
Bantime : temps en secondes de bannissement de l’IP “bizarre”
Maxretry : IP à bannir après X tentatives infructueuses

Ce qui me donne la configuration suivante

ignoreip = 127.0.0.1/8 123.456.78.90 123.456.78.90 = mon IP perso

bantime  = 604800 = 1 semaine

maxretry = 2

Restez dans  /etc/fail2ban/jail.conf ou rééditez-le pour aller indiquer l’e-mail sur lequel être prévenu en cas de blocage d’IP

destemail = e-mail@mail.com

Puis modifiez la teneur du rapport envoyé par e-mail pour en avoir un complet

action = %(action_mwl)s Là il faut ajouter le “mwl”

Par défaut seule la prison SSH est active. Ce qui me suffit. Si vous voulez en ajouter d’autres (passer de false à true) c’est dans la suite de  /etc/fail2ban/jail.conf

Comme j’ai plusieurs serveurs il m’est plus pratique de savoir lequel me fait parvenir un e-mail. Pour ça j’édite son nom dans les paramètres e-mails de Fail2ban : nano /etc/fail2ban/action.d/sendmail-whois-lines.conf

Je remplace Fail3Ban par le nom de ma machine (Beatrixz ou le reverse que vous avez indiqué lors de l’installation de votre serveur chez Online, OVH & co).

MAIS comme ensuite je me fais un petit script avec mes règles de sécurité à relancer/remettre en place à chaque reboot de la machine il faut prévenir Fail2ban de s’initialiser après le lancement du dit script : nano /etc/init.d/fail2ban

Et ajoutez $iptablesrules à la ligne ci-dessous, au début du document # Required-Start: $local_fs $remote_fs $iptablesrules

Et on relance : /etc/init.d/fail2ban restart

• Anti-scanne

Pour attaquer une machine connectée au Web et se faire bannir par Fail2ban quand on se trompe plusieurs fois de mot de passe, il faut déjà savoir quels services tournent. Et pour ça il faut savoir quels sont les ports ouverts. Le jeu ici est donc de bloquer les scannes de ports, tout simplement. J’utilise Portsentry couplé à IPtables (qu’on voit après via un script maison) : apt-get install portsentry

Et le configure rapidement : nano /etc/portsentry/portsentry.conf

Cherchez les valeurs en MAJUSCULES pour trouver les lignes à modifier (Ctrl+W tapez BLOCK_UDP et ainsi de suite)

BLOCK_UDP="1" blocage des ports UDP en cas de détection de scanne

BLOCK_TCP="1" blocage des ports TCP en cas de détection de scanne

KILL_ROUTE="/sbin/route add -host $TARGET$ reject" blocage d’un scanne

KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP" ajout de l’IP qui scanne dans iptables (firewall)

Et on relance : /etc/init.d/portsentry restart

• Firewall

IPtables sert à configurer des règles de firewall. Pour IPv4. Pour IPv6 par exemple c’est IP6tables.
Nous allons ici configurer IPtables pour bloquer tous les ports entrants non utilisés (donc définir ceux que nous allons utiliser), laisser le trafic sortant libre, autoriser le ping mais bloquer le syn flood et le scanne de ports (en plus des informations données par portsentry).
IPtables est déjà installé, pas besoin d’apt-get.
Je ne vais pas dans les détails, Internet regorgeant de tutoriels sur IPtables. Pour que tout ça reste bien  en place même après un reboot intempestif de mon serveur (un serveur n’est pas sensé être relancé), je me suis fait un petit script très simple. Le script suivant est personnel et peu certainement être amélioré. Avant de l’exécuter, pensez à changer les ports (en  bas, remplacer CHANGER par le port que vous avez préféré).

#!/bin/sh
### BEGIN INIT INFO
# Provides: iptablesrules
# Required-Start: $remote_fs $syslog $network
# Required-Stop: $remote_fs $syslog $network
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Description: IPtables Rules UpAndClear.org - Mettre en place un bouncer IRC (ZNC) avec ou sans Tor + un peu de sécurité
### END INIT INFO

# Reinitialisation tables
iptables -t filter -F
iptables -t filter -X

# Blocage trafic entrant
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP

# Autorisation trafic sortant
iptables -t filter -P OUTPUT ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

#Activation routage
echo 1 > /proc/sys/net/ipv4/ip_forward

#Ne pas toucher au trafic entrant déjà autorisé
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Autorisation loopback
iptables -t filter -A INPUT -i lo -p all -j ACCEPT

# Autorisation ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT

#Protection syn flood
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT

#Protection scanne
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#Autorisation SSH entrant
iptables -A INPUT -p tcp --dport CHANGER -j ACCEPT

#Autorisation http/s
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT

#Autorisation bouncer IRC (ZNC)
iptables -t filter -A INPUT -p tcp --dport CHANGER -j ACCEPT
#Ce port sera à remettre lors de la configuration de ZNC

#Autorisation Tor
iptables -t filter -A INPUT -p tcp --dport 9050 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 9050 -j ACCEPT

 

# Sauvegarder les regles pour qu elles soient chargees si reboot

iptables-save -c > /etc/iptables-save

Pour le créer sur votre serveur, dans votre /home/USER : nano iptablesrules.sh et copiez/collez le script

Le placer dans init.d : cp iptablesrules.sh /etc/init.d/iptablesrules

Le rendre exécutable : chmod +x /etc/init.d/iptablesrules

L’exécuter à chaque boot de la machine : update-rc.d iptablesrules defaults

Le lancer : /etc/init.d/iptablesrules

Pour voir les règles en cours d’IPtables : iptables -L

Pour plus d’info : http://www.inetdoc.n…planations.html

 

 

Monitoring léger par email
Les EZ Server Monitor etc ne servent à rien à part avoir un truc beau qui dit que tout va bien tout en pompant des ressources systèmes (c’est du moins inutile sur ce type de machine ou une seedboxe). Du coup je vous propose d’installer MOTDstat, package utile et léger qui va vous alerter par e-mail en cas de pépin ou si un service ne tourne plus (ZNC par exemple). Par ailleurs, comme son nom l’indique (MOTD) ça vous affiche un récapitulatif à chaque login SSH.

 

Récupération : wget http://www.gelogic.net/wp-content/uploads/2014/07/MOTDstat-0.0.4.tar.gz

Décompression : tar xzf MOTDstat-0.0.4.tar.gz

Compilation : cd MOTDstat-0.0.4

Installation : make install

Voir et/ou modifier les processus à surveiller et donc le déclenchement de l’alerte e-mail si un des services ne tourne pas

nano /etc/motdstat/process

Pour ajouter ZNC, ajoutez : znc à la liste

Modifier l’e-mail sur lequel envoyer les alertes : nano /etc/motdstat/motdstat.conf

Modifiez au début du document

# When the EMAIL is set, the motdstat will send e-mail notification when

# some event occures. Requires the mail command installed

EMAIL="[email protected]"

Exécution automatique (un e-mail ne sera envoyé que si un service ou un port ne fonctionne pas)

crontab -e

Ajoutez cette ligne à la fin

*/5 * * * *   /usr/bin/motdstat --generate

Tester

motdstat --generate

 

 

Tor

J’installe ici de quoi utiliser Tor et non pas servir de relais. Récupération pour Debian Wheezy (sinon changer le nom dans la 2nde commande)

nano /etc/apt/sources.list

Et ajouter à la fin

deb http://deb.torproject.org/torproject.org wheezy main

Ajouter les clés du projet Tor (permet de vérifier l’authenticité du package)

gpg --keyserver keys.gnupg.net --recv 886DDD89

gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -

Puis indiquez à Debian que vous venez de lui ajouter une nouvelle source de mise à jour

apt-get update

Installation

apt-get install deb.torproject.org-keyring

apt-get install tor

 

 

Proxychains
Pour qu’un programme puisse utiliser Tor il doit pouvoir passer par SOCKS (un proxy). Ce n’est pas toujours le cas et ce n’est pas celui de ZNC justement. Il faut alors ruser et installer Proxychains qui va permettre de faire transiter les flux de ZNC via un proxy (Tor dans notre cas du coup).

apt-get install proxychains

 

 

ZNC : installation

Je ne reviens pas sur le pourquoi du comment de ZNC, nous l’avons brièvement vu au début. Je suis par ailleurs certain que vous êtes capable d’aller chercher des informations tous seuls. De préférence sur un moteur de recherche soucieux de votre vie privée, plutôt que Google.
Les dépôts étant à jour tous les 36 du mois de juin des années bisextiles dont le 1er janvier tombe un dimanche (…) je préfère compiler la bête plutôt que de faire apt-get install.

 

Installation des outils pour compiler

apt-get update

apt-get install build-essential libssl-dev libperl-dev pkg-config

cd ~

Récupération des sources

wget http://znc.in/releases/znc-latest.tar.gz

Décompression

tar -xzf znc-latest.tar.gz

Puis

cd znc-*

Pré-compilation (le openssl étant pour le faire tourner avec SSL)

./configure --with-openssl

Compilation

make

Installation

make install

 

 

ZNC : configuration

Si vous êtes en root (ou sudo -i) passez sur un compte USER avec la commande su USER où USER = votre utilisateur. C’est sous ce compte que nous allons configurer puis lancer ZNC.

cd ~

/usr/local/bin/znc --makeconf

Vous tombez donc sur un script de configuration avec des questions :
[yes] ou [no] est la réponse sélectionnée par défaut si vous ne tapez ni yes ni no mais appuyez seulement sur Entrer.
 – Indiquez le port sur lequel vous vous connecterez à la fois via votre client IRC et le Web (pour le webadmin). Ce port est celui que vous avez entré dans le script iptablesrules dans la partie Sécurité
 – Activez SSL
 – Activez IPv6 même si votre IP est encore en v4, un jour votre FAI se modernisera (…)
 – Sauvegardez le .pem
 – Partyline : yes si vous voulez discuter en ligne via ZNC avec d’autres utilisateurs de vorre bouncer (donc très peu probable)
 – Webadmin : yes, ça vous permettra de gérer ZNC via une interface .PHP et non des commandes dans votre client IRC
 – Username etc : c’est l’utilisateur ADMIN (mettre yes à la fin) pour vous connecter et administrer la Webadmin,
 – Laissez le reste par défaut,
 – Répondez yes pour les modules proposer,
 – Network : mettez des informations bidons, on va tout configurer depuis la Webadmin.
 – Mettre no pour toute question yes/no posé.

 

Ne lancez pas ZNC tout de suite !

Launch ZNC now? (yes/no) [yes]: no

exit

 

 

ZNC : lancement

Je n’installe pas de script pour relancer ZNC automatiquement à chaque reboot de ma machine. Je ne reboot jamais un serveur. Cependant, pour lancer une commande en SSH et qu’elle continue de s’exécuter une fois SSH fermé il me faut la lancer dans un screen.

• Lancement sans Tor

Se connecter sous USER

screen

puis appuyer sur Espace et taper

znc

Puis quitter screen

Ctrl + a + d

• Lancement avec Tor

Se connecter sous USER

screen

puis appuyer sur Espace et taper

proxychains znc

Puis quitter screen

Ctrl + a + d

 

 

ZNC : configuration de vos serveurs et channels IRC

Qu’il soit lancé via Tor ou non, vous pouvez maintenant vous rendre sur https://12.12.12.12:1234 où 12.12.12.12 = IP de votre serveur et 1234 = port de ZNC. Et vous vous connectez avec l’utilisateur créé lors de la configuration de ZNC. Ce sera d’ailleurs le seul compte à créer si vous êtes seul à utiliser ZNC.

 

Vous voyez bien le port de connexion, qui peut se modifier (attention à MàJ IPtables aussi)

 

Pour les différents modules à charger, ou non, je vous laisse consulter la documentation sur le site de ZNC

=> Your settings
Vous n’avez pas encore de Network, nous allons ajouter celui d’IRCdial où j’ai mon salon ensuite. Pour les modules… à vous de voir.

=> Ajouter un serveur IRC auquel se connecter h24
Dans Your settings / Networks, cliquer sur Add et remplir avec “logique”. Voici l’exemple du mien pour IRCdial

Vous pouvez ajouter autant de Networks (serveurs IRC) que vous voulez, avec autant de salon mémorisés à l’intérieur. Pour chaque Network vous pouvez définir un nickname différent.

Nickname est le nom que vous choisissez de porter sur IRC. Dans l’adresse du serveur IRC le + devant le port 6657 indique que je veux que ZNC s’y connecte de manière sécurisée (comme le HTTPS).

De même, seulement lors de votre première connexion à un nouveau serveur IRC, vous devrez valider à la main l’empreinte SSL du réseau : dns votre client IRC vous aurez un onglet status* avec un message du type

[13:31:46]  *status If you trust this certificate, do /znc AddTrustedServerFingerprint 49:dc...:6b:86

Et pour l’accepter vous n’aurez qu’à saisir la commande donnée

/znc AddTrustedServerFingerprint 49:dc...:6b:86

Channels : ce sont les salons sur lesquels vous allez. Soit vous les enregistrez à la main soit vous acitvez le module Chansaver, ce dernier permattant à ZNC de mémoriser les salons (et non les PVs) sur lesquels vous allez. Ainsi à chaque connexion avec votre client IRC ZNC vous remet automatiquement dans tous les salons.

Pour les modules, encore une fois, c’est au choix (et selon les droits que vous avez sur le salon (Owner, Opérateur, Demi-opérateur…).

Mais pensez à chansaver qui permet de garder en mémoire automatiquement tous les channels que vous joignez depuis votre client IRC local tout comme à Nickserv qui est votre mot de passe d’authentification. Car un pseudo s’enregistre, afin de ne pas pouvoir se faire “usurper” son identité (une fois sauvegardé le mot de passe ne se voit plus). 

 

 

ZNC : utilisation dans son client IRC
Donc maintenant vous ne vous connectez plus à l’IRC IRCdial directement depuis votre client IRC : vous passez par votre bouncer ZNC qui y reste connecté 24/365 et vous sert de relais depuis n’importe quel client IRC.
Il vous faut créer une connexion par serveur IRC relayé par ZNC. Concrètement avant vous pouviez vous connecter à plusieurs serveurs IRC avec un seul profil dans votre client. Pour peu que vous preniez le même pseudo sur chaque serveur.

Maintenant il faut créer 1 profil de connexion par Network créé dans ZNC. Par exemple avec Hexchat
Liste des réseaux => Ajouter (par exemple ZNC IRCdial)
Ajouter un serveur : 12.12.12.12/1234 (IP de votre serveur + port ZNC)
Nom d’utilisateur : USER/ircdial (nom d’utilisateur de votre ZNC / nom du Network créé, donc ircdial dans ce tutoriel)

Méthode d’identification : Server Password
Mot de passe : le mot de passe de votre USER pour se connecter à ZNC

 

 

Bienvenue sur IRC avec un vrai client et de surcroît un beau relais :)

 

Mots clés

• bouncer
• irc
• Linux
• znc