X-Space - Mot-clé - Admin SystèmeLe blog à ED2023-12-12T09:33:18+00:00urn:md5:b0787ed53bd0d97f9dad924afffcb11aDotclearComment migrer un dépot subversion dans un autre dépot existant ?urn:md5:73cccb5c8a706eef8fdd9e64c0bb41112010-02-01T21:13:00+01:002010-02-01T21:14:39+01:00jeansebDev's BlogAdmin SystèmeSubversion <p>Jusqu'à récemment à chaque fois que j'avais besoin de versionner un projet, je créais un nouveau dépôt <a hreflang="en" href="http://subversion.apache.org/">subversion</a> ce qui revenait à faire :</p>
<ul><li>Via SSH : svnadmin create /some/path/</li>
<li>Création d'un <a hreflang="en" href="http://httpd.apache.org/docs/2.2/mod/core.html#virtualhost">VirtualHost</a> Apache (avec le htaccess qui va bien)</li>
<li>Installation d'un <a hreflang="en" href="http://www.websvn.info/">WebSVN</a></li>
</ul>
<p>
Tout ca pour au final me retrouver avec une dizaine de dépôts (et autant d'URL) ayant chacun moins de 100 <a hreflang="fr" href="http://fr.wikipedia.org/wiki/Commit">commits</a>. J'ai donc décidé de fusionner tous ca sous une URL unique avec certificat <a hreflang="fr" href="http://fr.wikipedia.org/wiki/Transport_Layer_Security">TLS</a> par dessus.</p>
<p>Deux hics : </p>
<ul><li>Comment importer mes dépôts dans le dépôt existant ?</li>
<li>Comment définir une convention de nommage des dépôts ?</li>
</ul>
<p>
Pour la deuxième question ce fut assez simple : je me suis basé sur l'arborescence <a hreflang="fr" href="http://fr.wikipedia.org/wiki/Domain_Name_System">DNS</a> inversée (ca tombe bien la majorité de mes projets ont une URL) :</p>
<p>Exemple : Si ce blog était versionné il le serait sous la forme net/x-space/www/ avec dans ce dossier les traditionnels trunk, branches et tags.</p>
<p>Pour la première question : et bien les développeurs de subversion ont pensé à tout.</p>
<pre>svnadmin dump /path/to/the/old/repository/ > net.x-space.www.dump</pre><p>Puis</p>
<pre>svnadmin load --parent-dir net/x-space/www/ /path/to/the/new/repository/ < net.x-space.www.dump</pre><p>Pour en savoir plus :</p>
<ul><li><a href="http://svnbook.red-bean.com/en/1.5/svn.ref.svnadmin.c.dump.html" hreflang="en">svnadmin dump</a></li>
<li><a href="http://svnbook.red-bean.com/en/1.5/svn.ref.svnadmin.c.load.html" hreflang="en">svnadmin load</a></li>
</ul>https://www.x-space.net/post/2010/02/01/Comment-migrer-un-d%C3%A9pot-subversion-dans-un-autre-d%C3%A9pot-existant#comment-formhttps://www.x-space.net/feed/atom/comments/143Déconnexion d'un spammeururn:md5:1155d74e3754fdf486e04a658e23d35b2008-11-15T12:29:00+01:002008-11-15T12:31:39+01:00jeansebDev's BlogAdmin Systèmespam <p>Le <a hreflang="en" href="http://www.washingtonpost.com/wp-dyn/content/article/2008/11/12/AR2008111200658.html?nav=hcmoduletmv&sub=AR&sid=ST2008111200662&s_pos=">Washington Post</a> (Via <a hreflang="fr" href="http://www.arretsurimages.net/vite.php?id=2446">ASI</a>) nous a appris cette semaine que l'un des plus gros spammeurs mondiaux, situé aux États Unis, a été déconnecté du réseau.</p>
<p>L'effet de cette coupure est impressionnant. Je vous laisse juger par vous même sur les statistiques de mon seul serveur :</p>
<p><img title="Statistiques Spam, nov 2008" style="margin: 0 auto; display: block;" alt="" src="https://www.x-space.net/public/./.spam_m.jpg" /></p>
<p>Note : Ce graphique a été produit grâce aux données fournies par le script <a href="http://toribio.apollinare.org/qmail-scanner/#n.6.b" hreflang="en">log-report.sh</a> de la version patché de <a href="http://qmail-scanner.sourceforge.net/" hreflang="en">Qmail Scanner</a> et mise en forme avec <a href="http://office.microsoft.com/fr-fr/excel/default.aspx" hreflang="en">Excel 2007</a>.</p>https://www.x-space.net/post/2008/11/15/Deconnexion-d-un-spammeur#comment-formhttps://www.x-space.net/feed/atom/comments/125Modifier les chmods à la volée.urn:md5:cee6863b9fd5d2ae54b95f674860d6542008-08-11T22:43:00+00:002008-08-12T09:39:28+00:00jeansebDev's BlogAdmin Systèmebashchmod <p>Quand j'étais jeune ( comprendre il y a deux ans ), j'avais tendance à ne pas me casser les pieds au niveau des chmods et faire</p>
<p class="code">chmod -R 777 mondossier</p>
<p>C'est pas propre, pas logique ( un fichier ne doit pas pouvoir être exécuter, potentiellement dangereux etc... Ayant vieilli, et commençant la migration du serveur actuel vers le nouveau je suis tombé sur un problème de chmod incohérent et j'ai donc du reconstruire le tout. Plutôt que de faire ça à la main ou en mode récursif ( -R ), j'ai développé un petit script pour faire les choses proprement : (<a href="https://www.x-space.net/public/chmod/chmodalavolee.sh">télécharger</a>)</p>
<p>Utilisation</p>
<p class="code">./chmodalavolee.sh mondossier</p>
<p>Grossièrement le script fait :</p>
<p>Pour chaque fichier dans mondossier : chmod 644 (lecture pour tous et seulement écriture pour le propriétaire).</p>
<p>Pour chaque dossier : chmod 755 (lecture et exécution - obligatoire pour rentrer dans un dossier - pour tous, écriture en plus pour le propriétaire). Exécuter le script dans ce dossier.</p>
<p>Seul problème ce script ne donne pas les droits d'exécution sur le fichier. Ce qui peut être problématique si on fait un 777 sur un dossier contenant des exécutables.</p>
<p>Un collègue, qui a fait cette erreur malencontreuse, m'a donc posé la question : y a il des fichiers exécutables dans /var ?</p>
<p>Ma réponse est dans le fichier <a href="https://www.x-space.net/public/chmod/var-executable-files">var-executable-files</a> que j'ai généré avec le script <a href="https://www.x-space.net/public/chmod/search-executable.sh">search-executable.sh</a>.</p>https://www.x-space.net/post/2008/08/11/modifier-les-chmods-a-la-volee#comment-formhttps://www.x-space.net/feed/atom/comments/98Comment récupérer un mot de passe root sans être root ?urn:md5:19a2951cbbed7e273a57be0cb921d6262008-08-05T22:57:00+02:002008-08-05T22:57:00+02:00jeansebAdmin SystèmeCentOSphp <p>Récemment j'ai perdu le mot de passe root d'un serveur que j'administre (ok je suis un boulet).<br /><br />Alors comment restaurer un mot de passe root quand on a perdu ce mot de passe ?</p>
<h2>Première solution : linux single </h2>
<p>Ce mode permet de démarrer le système en root, ne reste qu'à modifier le mot de passe puis à rebooter et c'est bon.<br />Sauf que ça implique une intervention manuelle sur le serveur et : </p>
<ul><li>le datacenter est à plus de 350 km de chez moi ;</li>
<li>je n'avais pas envie de téléphoner aux responsables du DC pour ce genre de bêtises.</li>
</ul>
<h2>Deuxième piste : vmsplice local root exploit </h2>
<p>Cette <a hreflang="en" href="http://lwn.net/Articles/268783/">faille</a> permettait à n'importe quel utilisateur d'exécuter des commandes root.<br />Cette faille a été corrigée dans la version 2.6.24. Manque de bol j'avais déjà mis à jour le serveur lors de la publication de la faille.<br />L'<a href="http://www.milw0rm.com/exploits/5093">exploit</a> n'a donc rien donné.</p>
<h2>Troisième piste : </h2>
<p>Heu la j'ai un peu séché pendant 1 ou 2 heures, en réfléchissant autour de la question : comment exécuter un script root sans être root ?<br />Impossible théoriquement.<br /><br />Jusqu'à ce que pense à regarder les <a hreflang="fr" href="http://fr.wikipedia.org/wiki/Cron">crons</a>, un des scripts du site effectue une sauvegarde quotidienne de la base de données. <br />Ce script s'exécute en cron mais peut aussi être exécuter à la main dans le site via un <a hreflang="fr" href="http://fr.php.net/manual/fr/function.exec.php">exec</a>.<a hreflang="fr" href="http://fr.wikipedia.org/wiki/Apache_HTTP_Server">Apache</a> en est le possesseur. Ne reste plus qu'a le modifier sauf que je ne suis pas Apache et que je n'ai aucun droit sur ce fichier même pas en lecture.<br />Et si je me faisais passer pour Apache ?<br />La version beta du site étant accessible pour moi, j'ai créé une page php afin qu'elle modifie le script de backup :</p>
<p class="code">
#!/bin/sh<br />echo root:<motdepasse> | chpasswd</p>
<p>J'exécute le script dans mon navigateur, comme c'est apache qui exécute la page donc j'ai le droit d'édition sur le script de backup. Ne restait plus qu'a attendre que le cron passe. Et hop le tour est joué.</p>
<h2>Joli faille de sécurité ?</h2>
<p>Plus ou moins: </p>
<ul><li>Je possède le seul compte utilisateur accessible via SSH</li>
<li>fail2ban fait le ménage sur les attaques des robots.</li>
</ul>
<p>Mais j'ai un script qui s'exécute en root qui est modifiable par un utilisateur quelconque ce qui relève donc d'une faille possible. J'ai donc retiré tout droit d'écriture sur le fichier.</p>https://www.x-space.net/post/2008/08/05/Comment-recuperer-un-mot-de-passe-root-sans-etre-root#comment-formhttps://www.x-space.net/feed/atom/comments/123Quelques heures dans la peau de TitaX, suite et finurn:md5:4e95138bd53e4e465cdbfded433a03a02008-04-19T17:22:00+02:002008-04-19T17:22:00+02:00jeansebAdmin SystèmeDellLinuxPowerEdge 2950RAID <p>Avec 6 mois de retard, voici la suite et la fin de mes aventures (<a hreflang="fr" href="http://www.x-space.net/post/2007/07/05/Quelques-heures-dans-la-peau-de-TitaX-%3A-P">partie 1</a>, <a hreflang="fr" href="http://www.x-space.net/post/2007/07/28/Re%3A-Quelques-heures-dans-la-peau-de-TitaX">partie 2</a>).</p>
<p>Lors de mon dernier billet, de nombreuses questions restaient en suspend : problème matériel (mon opinion) ou problème d'OS (Dell). </p>
<p>Comme je le prévoyais le serveur est retombé mi aout. L'OS est donc clairement hors de causes, mais le technicien Dell (toujours le même) ne voulait toujours rien savoir. </p>
<p>J'ai lancé des stress tests (<a hreflang="en" href="http://www.csc.liv.ac.uk/%7Egreg/thrash/">thrash</a>, <a hreflang="en" href="http://www.coker.com.au/bonnie++/">bonnie++</a>) sur les disques durs sans résultats. </p>
<p>J'ai alors soumis le problème à mes colistiers de <a hreflang="fr" href="http://www.sos-admin.com/">SOS-Admin</a>, qui flairaient eux aussi le problème hardware. Du fait de l'absence de syslog, Stephane B. m'a suggéré d'externaliser les logs.</p>
<h3>Externaliser les logs, mais qu'est ce donc ?</h3>
<p>Et bien c'est tout simple, les logs sous linux sont gérer par un petit démon qui s'appelle <a hreflang="en" href="http://linux.die.net/man/8/syslogd">syslogd</a>. Ce petit démon possède une fonctionnalité plutôt intéressante : il permet d'envoyer les logs d'une machine sur une autre machine (externaliser !). Plutôt pratique lorsque la machine à des problèmes de disques durs et donc que rien ne s'écrit dans les fichiers logs.</p>
<h3>Voyons maintenant comment configurer le bouzin.</h3>
<h4>Coté émetteur :</h4>
<p>C'est assez simple : il suffit de configurer syslogd afin de lui dire quel type de log on veut envoyer sur le serveur distant. Dans mon cas, on log tout.</p>
<p class="code">$ cat /etc/syslog.conf | grep "x-space"<br />
*.* @x-space.net</p>
<h4>Coté destinataire c'est un peu plus compliqué :</h4>
<p>Tout d'abord, il faut demander au démon d'écouter sur le réseau (désactivé par défaut):</p>
<p class="code"># tail -n1 /etc/default/syslogd<br />SYSLOGD="-r"</p>
<p>Puis on ouvre la parefeu en UDP sur le port de syslog (voir /etc/services):</p>
<p class="code">iptables -A INPUT -s IP_EMETTEUR -p udp --dport 514 -j ACCEPT</p>
<p>Ne reste plus qu'a redémarrer les démons de chaque coté.</p>
<h3>
Et la magie :</h3>
<p class="code">
Aug 28 19:02:47 ******* kernel: sd 0:2:0:0: SCSI error: return code =
0x00040000
<br />Aug 28 19:02:47 ******* kernel: end_request: I/O error, dev sda, sector
242365
<br />Aug 28 19:02:47 ******* kernel: sd 0:2:0:0: SCSI error: return code =
0x00040000
<br />Aug 28 19:02:47 ******* kernel: end_request: I/O error, dev sda, sector
242381
<br />Aug 28 19:02:47 ******* kernel: lost page write due to I/O error on dm-0
<br />Aug 28 19:03:18 ******* kernel: sd 0:2:0:0: SCSI error: return code =
0x00040000
<br />Aug 28 19:03:18 ******* kernel: end_request: I/O error, dev sda, sector
94319189
<br />Aug 28 19:03:18 ******* kernel: lost page write due to I/O error on dm-0
</p>
<h3>Epilogue</h3>
<p>Le technicien Dell (toujours le même) a alors voulu exclure un dysfonctionnement lié au disque 2 vu que c'est que lui qui remontait des erreurs donc il m'a demandé de faire fonctionner le RAID en mode dégradé (on retire un disque). Ça a marché jusqu'à que le serveur retombe "définitivement" : le raid s'est effondré et n'a pas pu se remonter sur deux disques. J'ai du donc gueuler la sérieusement sur un autre technicien Dell qui a bougé cette fois et a fait changer le contrôleur RAID rapidement (J+1). Depuis le serveur fonctionne très bien.</p>https://www.x-space.net/post/2008/01/20/Quelques-heures-dans-la-peau-de-TitaX-suite-et-fin#comment-formhttps://www.x-space.net/feed/atom/comments/117Backup FTPurn:md5:1a5bcc1a6bc97cdb6c9bdb316a22c1242008-04-19T16:37:00+02:002008-04-19T16:37:00+02:00jeansebAdmin SystèmeDebian EtchOVHserveur web <p>Depuis mercredi et comme chaque année, <a hreflang="fr" href="http://www.ovh.com/">OVH</a> vient de passer sa gamme de serveurs dédiés en reloaded. En gros, plus de services pour le meme prix. </p>
<p>Depuis mercredi, j'ai donc accès au service gratuit de sauvegarde par ftp. Reste à trouver un moyen d'automatiser la sauvegarde et donc plutôt que réinventer la roue, j'ai trouvé le script, bien documenté d'ailleurs, de <a hreflang="fr" href="http://www.dansteph.com/backupftp.php">DanSteph</a>. Seul petit soucis, il n'existe pas de package natif <a hreflang="en" href="http://linux.die.net/man/1/ncftpput">ncftpput</a> sous Debian Etch. C'est la que je me suis rappelé de la commande dont m'avais parlé <a hreflang="fr" href="http://blog.titax.fr/">TitaX</a> dernièrement et que j'avais <a hreflang="fr" href="https://www.x-space.net/post/2006/04/09/44-comment-migrer-un-site-web">déja utilisé</a> : <a hreflang="en" href="http://lftp.yar.ru/lftp-man.html">lftp</a>. </p>
<p>Et hop en deux temps, trois mouvements c'était corrigé : </p>
<p class='code'>lftp -u $USER,$PASS -e "put $TEMPDIR$FILENAME.gz -v; quit" $SERVER</p>https://www.x-space.net/post/2008/04/19/Backup-FTP#comment-formhttps://www.x-space.net/feed/atom/comments/120Ma première DDOSurn:md5:f5423b97d614995cf3915218976abdae2008-02-24T21:40:00+01:002008-02-24T21:40:49+01:00jeansebDev's BlogAdmin SystèmeDDOSOVH <p>Aujourd'hui j'ai vécu ma première attaque par <a href="http://fr.wikipedia.org/wiki/D%C3%A9ni_de_service" hreflang="fr">déni de service</a>.</p>
<p><img alt="" src="https://www.x-space.net/public/ns25110.ovh.net_tcp-day.png" /></p>
<p class="code">Statistiques Ping pour 91.121.29.90:<br />
Paquets : envoyés = 92, reçus = 49, perdus = 43 <strong>(perte 46%)</strong>,<br />
Durée approximative des boucles en millisecondes :<br />
Minimum = 128ms, Maximum = 244ms, Moyenne = 177ms </p>
<p>Chapeau bas au support d'OVH qui à 12h m'envoie un mail comme quoi mon serveur ne ping plus, puis annule l'intervention 10 minutes après parce que ca reping. Je les contacte à 15h car mon serveur est inaccessible, en leur demandant s'il y avait une attaque: réponse à 19h: ca ping... Aucunes informations durant l'évènement.</p>https://www.x-space.net/post/2008/02/24/Ma-premiere-DDOS#comment-formhttps://www.x-space.net/feed/atom/comments/119Quelques heures dans la peau de TitaX, la suiteurn:md5:90cdad6e90636664e95694439be4428f2007-07-29T22:09:00+02:002007-07-29T22:09:00+02:00jeansebDev's BlogAdmin SystèmeDebian EtchLinuxPowerEdge 2950RAID <p>Suite de mes <a hreflang="fr" href="https://www.x-space.net/post/2007/07/05/Quelques-heures-dans-la-peau-de-TitaX-%3A-P">aventures</a>.</p>
<p>Le serveur est retombé le 19 juillet. Donc la mise à jour du controleur RAID et des disque dur n'a rien changé.</p>
<p>Recontact avec Dell. </p>
<p>On a d'abord tenté d'installer l'<span class="para">utilitaire <a hreflang="fr" href="http://support.euro.dell.com/support/topics/topic.aspx/emea/shared/support/root/fr/dell_system_tool?c=ch&l=fr&s=gen">DSET</a> (Utilitaire de support pour systèmes Dell) mais comme c'est du Debian, ca passe pas ( Dell supporte uniquement les produits RedHat ).</span></p>
<p><span class="para">Rendez vous fut pris pour utiliser un LiveCD ( basé sur REHL 4.4 ) afin d'accéder aux journaux systèmes.</span></p>
<p>Les logs ne contenaient rien de vraiment intéressants. M'enfin il faut quand même remarquer que la machine est tombé trois fois:</p>
<ol><li>Le 27 juin 2007 ( date du constat, cela peut être la veille )</li>
<li>Le 03 juillet 2007</li>
<li>Le 19 juillet 2007 à 19h30</li>
</ol>
<p>Et que à des dates similaires, il s'est produit la perte de l'une des alimentations redondantes:</p>
<blockquote><p>Severity : Critical<br />Date and Time : Tue Jun 26 17:21:50 2007<br />Description : PS 1 Status: power supply sensor for PS 1, failure was asserted<br /><br />Severity : Critical<br />Date and Time : Tue Jun 26 17:21:51 2007<br />Description : System Board PS Redundancy: PS redundancy sensor for System Board, redundancy lost<br /><br />Severity : Critical<br />Date and Time : Tue Jun 26 17:21:51 2007<br />Description : PS 1 Status: power supply sensor for PS 1, input lost was asserted</p>
</blockquote><ol><li>Le 26 juillet 2007 - 17h21</li>
<li>Le 19 juillet 2007 - 18h17</li>
</ol>
Je trouve la coïncidence troublante. Tellement troublante que j'ai envie de faire le test à mon retour de vacances si la machine n'est pas retombé d'ici la.<br /><br />Quel peut être le lien entre un disque dur en read-only et un problème électrique?<br /><ul><li>Surtension ?</li>
<li>Mauvaise isolation électrique?</li>
<li>Court-circuit ?</li>
</ul>
<br />Il reste que Dell pour l'instant ne croit pas au problème hardware mais à un problème de l'OS, on est donc passé sous <a hreflang="en" href="http://www.centos.org">CentOS 5</a> ( non supporté par Dell mais c'est du REHL à 99.999% ).<br /><br /><br /><br /><br />https://www.x-space.net/post/2007/07/28/Re%3A-Quelques-heures-dans-la-peau-de-TitaX#comment-formhttps://www.x-space.net/feed/atom/comments/110Quelques outils pour surveiller un serveururn:md5:e147b57cdf4a26a5cfa89e21e1c65cc72007-07-10T22:14:00+02:002007-07-10T22:14:00+02:00jeansebDev's BlogAdmin SystèmeDebian EtchLinuxserveur web <h2>iftop</h2>
<a href="https://www.x-space.net/public/iftop.png"><img style="margin: 0 0 1em 1em; float: right;" alt="" src="https://www.x-space.net/public/./.iftop_s.jpg" /></a>
<br />Cet outil permet de surveiller le trafic circulant sur une interface à la manière d'un top. Ca m'a été trèsutile pour identifier la provenance d'un trafic anormal sur ce serveur le matin: Googlebot !<br /><br /><h2>logwatch</h2>
Comme son nom l'indique, ce programme analyse les fichiers de logs et génère un mail informatif tous les matins.<br /><ul><li>Echec de connexion ssh</li>
<li>Echec de connexion ftp</li>
<li>Connexion imap</li>
<li>Occupation disque dur</li>
<li>Résumé du trafic Apache2, liste des erreurs 404</li>
<li>...</li>
</ul>
Bref indispensable<br /><br />
<h2>Installation ?</h2>
<p class="code">aptitude install logwatch</p>
<p class="code">aptitude install iftop</p>
Et hop ca roule.https://www.x-space.net/post/2007/07/10/Quelques-outils-pour-surveiller-un-serveur#comment-formhttps://www.x-space.net/feed/atom/comments/102Quelques heures dans la peau de TitaXurn:md5:2f4848eb3850a6ffa7aef575b34a6c392007-07-05T18:44:00+02:002007-08-29T06:06:52+02:00jeansebDev's BlogAdmin SystèmeDebian EtchDellLinuxPowerEdge 2950RAIDserveur web<p>Je suis actuellement en stage de 2ième année et dans le cadre de ce stage, avec un collègue, je développe un site web / espace collaboratif mais dois aussi installer et configurer le <a href="https://www.x-space.net/tag/serveur%20web">serveur web</a> qui accueillera le site. La machine est un <a href="http://www.dell.fr">PowerEdge 2950</a> ( Père Noël si tu passes dans le coin ) sur lequel on a installé <a href="https://www.x-space.net/tag/Debian%20Etch">Debian Etch</a> ( oui je sais j'ai toujours pas publié mes notes d'installation de ce serveur ). Sauf que, gros problème, le système de fichier se met de temps en temps en lecture seule.</p> <p>Quand je dis de temps en temps en fait c'est la semaine dernière puis ca s'est reproduit mardi matin vers 11h30. On décide donc d'intervenir sur place pour diagnostiquer la panne. </p>
<h2>Mardi 03/07: 14h</h2>
<p>On arrive au datacenter, on redémarre la machine et on sauvegarde ce qu'on peut.</p>
<p>Notre Objectif: installer les outils de diagnostics Dell et un OS supporté par Dell au choix ( RHEL 5 ) pour avoir de quoi discuter avec le SAV. </p>
<p>Pour cela on utilise l'assistant livré avec le serveur. Et là, premier "échec", la configuration se passe bien: raid, réseau etc... et l'installation se lance puis se fige vers 19%. On refait une tentative: même constat. N'ayant plus de solution à l'esprit: on appelle le SAV de Dell. On est dans une salle machine, le technicien parle avec un fort accent, donc ca passe pas très bien. M'enfin il nous dis de mettre à jour les firmwares du contrôleur RAID et des disques durs puis de tester les disques durs. On apprends en passant que, en fait, l'assistant n'a pas planté mais attends les CD de l'OS pour pré installer le système ( faut être devin maintenant pour installer un serveur... ). </p>
<h4>Lancons la mise à jour du contrôleur RAID.</h4>
<p> Les versions sont identiques, il ne se passe rien. Il est 18h, notre contact au datacenter étant absent mercredi, rendez vous est pris jeudi matin.</p>
<h2>Jeudi 05/07: 8h</h2>
<h4>Passons aux disques durs</h4>
<p>Ca passe comme sur des roulettes, enfin presque. On fait un consistency check du <a href="https://www.x-space.net/tag/RAID">RAID</a>. Puis on boot sur les outils de diagnotic <a href="https://www.x-space.net/tag/Dell">Dell</a>, que nous a fournit le gars du SAV, enfin au départ on galère un peu car le lecteur de disquettes du serveur est une vrai merde, il nous indique des I/O Errors, un coup sur deux donc on grave une image bootable.</p>
<h4>Checkup des disques durs.</h4>
<p>C'est un peu long a tester, 141 millions de blocks * 3, mais ca passe sans encombre. </p>
<h4>Réinstallons Debian maintenant</h4>
<p> L'installation en elle même se passe très bien. L'installeur graphique est très intuitif. Petit souci avec la sélection de la carte réseau, y a 4 donc je me plante, mais c'est pas fondamental. Reboot et la c'est le drame, les disques ne sont pas montés, le système se lance sous initramfs. On reboot, même problème. Il est midi, l'heure de manger ( je suis pas stagiaire pour rien ^^ ).
</p>
<h2>Jeudi 05/07: 14h</h2>
<p>Je retente l'installation même problème. Je suis motivé: on va tenter de refaire l'installation avec l'assistant Dell maintenant qu'on connait la solution. Tout ca passe bien, je peux booter sur <acronym title="RedHat Entreprise Linux">RHEL</acronym> 5. Aucun problème, pas de dysfonctionnement. </p>
<p>N'ayant pas la licence RHEL, je retente l'installation de Debian. </p>
<p>Toujours même problème mais en discutant avec mon collègue qui avait procédé à la première installation il y a un mois, j'apprends qu'il avait eu le même problème: </p>
<p>En fait Debian a considéré que les partitions était sur /dev/sdbx, alors qu'en réalité elle sont sur /dev/sdax... </p>
<p>Lors du chargement de grub: on tappe "e" (edit), on remplace sdb1 par sda1, on valide et on presse "b" ( boot ). Et hop ca repart. Ca boot ! Enfin. Reste plus qu'a faire la même chose dans /etc/fstab et /boot/grub/menu.lst. Pour le réseau, on se connecte sur la bonne carte et hop ca roule. </p>
<h4>The End </h4>
<h2>Post Scriptum</h2>
Merci à TitaX pour m'avoir aidé a cerner le problème. Il a déjà eu ce problème sur des serveurs Dell: apparemment les disques Maxtor et Fujistu seraient concernés. Il m'a aussi confirmé que l'assistant de Dell était pourri.
<p>Je lui laisse le mot de la fin, pour explication du titre de ce billet: </p>
<p class="citation"> Bienvenue dans ma vie.</p>
<p>EDIT: C'est pas fini: <a hreflang="fr" href="https://www.x-space.net/post/2007/07/28/Re%3A-Quelques-heures-dans-la-peau-de-TitaX">La suite</a></p>https://www.x-space.net/post/2007/07/05/Quelques-heures-dans-la-peau-de-TitaX-%3A-P#comment-formhttps://www.x-space.net/feed/atom/comments/100fail2banurn:md5:84a11f17e71ad8503cc657de66ecec732007-05-12T20:36:00+00:002007-07-07T11:06:48+00:00jeansebGeneralAdmin SystèmeLinux <p>En étudiant les logs du serveur suite à une variation anormale de la RAM utilisée, je viens de m'apercevoir que le serveur subissait des attaques par force brute. </p>
<p>Petit exemple:</p>
<p class="code">
May 12 07:31:01 nsXXXX sshd[30255]: Illegal user bnc from 66.XXXXXX<br />
May 12 07:31:01 nsXXXX sshd[30255]: Address 66.XXXXXX maps to mail.XXX.com, but this does not map back to the address - POSSIBLE BREAKIN AT
TEMPT!<br />
May 12 07:31:01 nsXXXX sshd[30255]: error: Could not get shadow information for NOUSER<br />
May 12 07:31:01 nsXXXX sshd[30255]: Failed password for illegal user bnc from 66.XXXXXX port 41663 ssh2
</p>
<p>Premier réflexe: bannir l'adresse IP, <a href="http://fr.wikipedia.org/wiki/Netfilter">iptables</a> est notre ami!</p>
<p class="code">iptables -A INPUT -s 66.XXX-j DROP</p>
<p>Après une étude plus attentive, je me suis aperçu que ce n'était pas la première fois et pas uniquement sur cette IP. Je me suis souvenu d'un petit programme qui surveillait les logs d'authentification et procédait à un ban temporaire de l'adresse IP le cas échéant: <a href="http://www.fail2ban.org">fail2ban</a>.</p>
<p class="code">aptitude install fail2ban</p>
<p>J'ai aussi configuré la surveillance sur Apache, proftpd.</p>
<h3>Lien Externe</h3>
<p><a href="http://jujuseb.com/dotclear/?2006/04/18/6-fail2ban-contre-l-attaque-par-brute-force">Fail2ban contre l'attaque par brute force</a></p>https://www.x-space.net/post/2007/05/12/109-fail2ban#comment-formhttps://www.x-space.net/feed/atom/comments/96Organisation FileSystem: FTP, Apacheurn:md5:980ad15fa8f971f22cd316bdf268fcfe2007-05-10T22:46:00+00:002007-07-07T11:05:15+00:00jeansebDev's BlogAdmin SystèmeDebian EtchLinuxX-Space <p>Je vous parlais précédemment de mon projet de réinstallation du serveur qui héberge X-Space pour passer à Debian 4 ( Etch ). Avant de pratiquer cette installation, je me pose la question de l'organisation des fichiers.</p>
<p>La problématique est de gérer de multiples domaines, de multiples utilisateurs et une architecture claire.</p>
<p>Par défaut, Apache est configuré pour pointer vers /var/www sur la partition / donc. Or sur le serveur la partition / est de petite taille. On va donc utiliser /home qui est une partition à part.</p>
<p>Plusieurs sites, plusieurs domaines, j'inclinerais donc à construire comme ca:</p>
<ul>
<li>/home/livebox-script.com/</li>
<li>/home/cyber-addict.fr/</li>
<li>/home/x-space.net/</li>
<li>/home/temp/</li>
<li>...</li>
</ul>
<p>Plusieurs utilisateurs, avec leur propre HomeDirectory.</p>
<ul>
<li>/home/ED/</li>
<li>/home/TitaX/</li>
<li>...</li>
</ul>
<p>Un site peut être géré par plusieurs utilisateurs, cet utilisateur peut avoir son propre ftp, accessible par VirtualHost.</p>
<p>Pour l'instant la solution que je retiens est de monter l'arborescence souhaité dans le dossier de l'utilisateur concerné avec la commande mount.</p>
<p class="code">mount --bind /home/x-space.net/ /home/ED/x-space.net/</p>
<p>Ce qui nous donne:</p>
<ul>
<li>/home/ED/x-space.net/ -> http://www.x-space.net</li>
<li>/home/ED/temp/ -> http://temp.x-space.net</li>
<li>/home/ED/www/ -> http://ed.x-space.net</li>
</ul>
<p>Se pose maintenant, la gestion des droits et des utilisateurs, quel serveur FTP a utilisé ? pure-ftpd ou proftd ?
Comment laisser la possibilité à plusieurs utilisateurs d'accéder et de modifier le même contenu. </p>
<p>Ce sera l'objectif d'un autre billet, mais je suis ouvert à toutes vos propositions, idées. N'hésitez pas non plus à nous partager votre architecture en commentaires ou sur votre blog. ( hein TitaX )</p>https://www.x-space.net/post/2007/05/10/107-organisation-filesystem-ftp-apache#comment-formhttps://www.x-space.net/feed/atom/comments/94