System-Linux

1000ème commentaire !

GanGan — Wed, 04 Aug 2010 10:45:00 +0200

Si c'est possible ! ! !

Et voila la barre est franchie !

Merci à tous ceux qui apportent ici leurs idées, expériences et avis, vous faites vivre ce blog !

Je vous donne donc rendez vous à la rentrée.

D'ici la reposez vous bien

PS : Nous sommes toujours à la recherche de gens motivés pour partager leurs aventures et déboires de sysadmin contactez nous !

C'est la Trêve Estivale ! ! !

GanGan — Tue, 13 Jul 2010 13:00:00 +0200

System-linux.eu en pause syndicale :p jusqu'à la rentrée !

Et oui il faut bien faire une petite pause pendant l'été pour repartir comme une balle debut septembre.

Donc bonne vacances à tous.

Lâchez un peu vos claviers vous verrez c'est sympa aussi :p

A Bientôt !

PS: Le site risque d'être indisponible quelques jours pour cause de maintenance, mise à jour, et surement migration vers Dedibox parce que Ovh....

CrossOver 9 Professionnel gratuit pour Linux en France jusqu’à minuit !

GanGan — Tue, 06 Jul 2010 10:30:00 +0200

Vite...Vite....demain y en aura plus !

CodeWeavers propose, si vous êtes sur le territoire français, de télécharger gratuitement des licences CrossOver 9 Professionnel Mac et Linux toute la journée ce mardi.

CodeWeavers a lancé il y a peu CrossOver 9 pour Mac et Linux. Basé sur le Projet Wine, le logiciel permet de faire fonctionner des applications pour Windows sur les ordinateurs Mac et Linux sans licence Windows.

Seules deux conditions sont à remplir pour obtenir sa licence CrossOver 9 Professionnel Mac ou Linux :

Se connecter sur le site de l’éditeur
Se connecter à partir d’une adresse IP située en France (bien entendu, tous les moyens seront bons pour se procurer une adresse IP française ce mardi !)

« En cette période où le moral des français est en berne en raison des mauvais résultats de l’équipe de France et en ce début des soldes, le 6 juillet nous est apparu comme la bonne journée pour cette opération », commente Jérémy White, PDG de CodeWeavers.

Voila un geste généreux qui plaira surement à quelques uns d'entre vous.

SOURCE : http://toolinux.org/lininfo/toolinux-information/logiciels/article/crossover-9-professionnel-gratuit

Le Parlement européen veut fliquer le web

GanGan — Wed, 23 Jun 2010 07:00:00 +0200

Le flicage continu...

Le Parlement européen vient d'adopter la déclaration 29. Ce texte met en place un système d'alerte rapide européen baptisé SARE contre les pédophiles et les auteurs de harcèlements sexuels. La décision n°29 vise non seulement les comportements pédophiles mais peut s'avérer plus intrusif. Le texte pousse également à étendre ce principe à toutes les recherches sur un moteur Internet. Tous les fournisseurs d'accès à internet (FAI) auraient alors l'obligation non seulement de conserver ces données liées à une connexion (adresse IP, heure, date...) mais également de les fournir en cas de besoin.

Question : cette obligation restera-t-elle orientée uniquement à la lutte contre la pédophilie ?

Mise à jour de Dotclear

GanGan — Tue, 22 Jun 2010 07:00:00 +0200

Wordpress n'a qu'a bien se tenir !!!

Comme lu un peu partout cette mise à jour n'apporte rien de spectaculaire (qui a dit comme dab ?) mais prépare le terrain pour l'avenir !

Voir info blog officiel : http://fr.dotclear.org/blog/post/2010/05/22/Dotclear-2.1.7

Téléchargement :

Rendez vous dans votre dossier DirectoryRoot de votre serveur web

wget http://download.dotclear.net/latest-2.0.tar.gz
tar xvzf dotclear-2.1.7.tar.gz
chown -R user-apache: dotclear

Au départ je ne voulais pas procéder comme ça, je croyais qu'il allait se dés-archiver dans un dossier de la forme dotclear-version et pas dotclear tout cour...il sait donc posé par dessus....mais miracle je n'ai rencontré aucun problème ! (il viendront sûrement plus tard...).

La prochaine mise à jour : http://fr.dotclear.org/blog/post/2010/06/02/Dotclear-2.2-beta risque d'être un peu plus embêtante car elle devrait mettre le souk dans les greffons, déjà qu'il y en a peu qui fonctionne... :p

ici Troll ! à vous Paris !

Installation et Configuration du Webmail Squirrelmail

GanGan — Mon, 21 Jun 2010 07:00:00 +0200

Le meilleur Webmail après Roundcube ?

Squirrelmail est un webmail, inventé par Nathan et Luke Ehresman, écrit en PHP. Il supporte les protocoles IMAP et SMTP, et toutes les pages créées le sont en pur HTML (sans aucun Javascript), ceci afin d'être compatible avec le maximum de navigateurs.

Son objectif est de fournir une compatibilité optimale pour se rendre aussi accessible que possible. Parce que c'est un logiciel libre sous licence GPL, il est adaptable à toutes sortes d'architectures.

Je l'avais installé à mes débuts sous Linux ! qui ne sont pas si vieux que ça... mhhh... 5 ans... déjà... Installé sur un vieux pIII 600mhz qui ronronnait dans le salon de mes parents

Site officiel : http://squirrelmail.org

Pré-requis :

un serveur web fonctionnel
avec Php
et biensur un serveur imap avec tout ce qui va dernière, un serveur mail quoi...

Téléchargement :

Rendez vous dans le dossier DocumentRoot de votre serveur web puis :

cd /data/www/
wget http://squirrelmail.org/countdl.php?fileurl=http%3A%2F%2Fprdownloads.sourceforge.net%2Fsquirrelmail%2Fsquirrelmail-1
.4.20.tar.bz2
tar xvjf squirrelmail-1.4.20.tar.bz2
mv squirrelmail-1.4.20 squirrelmail
chown -R user-apache: squirrelmail
cd squirrelmail

Configuration et Installation :

Il vous faudra définir un vhost, et un sous domaine sur votre serveur dns (bind9 ?).

Une fois fait rendez vous à l'url choisit.

Vous devriez tombé sur une truc pas sympa :

ERROR: Config file "config/config.php" not found. You need to configure SquirrelMail before you can use it.

Pour remédier à cela lancez le script perl de configuration :

./configure

Vous devriez vous retrouver devant un menu dans son plus simple appareil, simple, bien fait, vous n'avez plus qu'a suivre les instructions.

Une fois avoir rempli toutes les options qui vous intéresse n'oubliez pas de sauvegarder avec la touche S cela aura pour effet de vous générer un fichier de configuration : config.php dans le repertoire config, créé avec les droits root ce qui ne pose pas de problème bien au contraire.

Normalement vous devriez rencontrer ce message lors du premier essai de connexion :

Error opening ../data/default_pref
Could not create initial preference file!
/var/local/squirrelmail/data/ should be writable by user daemon
Please contact your system administrator and report this error.

Réglons cette histoire :

mkdir -p /var/local/squirrelmail/data
mkdir -p /var/local/squirrelmail/attach
chown -R daemon: /var/local/squirrelmail

Dossiers qui servent à Squirrelmail pour le stockage de données si vous n'utilisez pas Mysql.

Squirrelmail en Français :

./configure

Suivez le menu language et comme charset mettez UTF-8.

Puis modifiez le fichier functions/i18n.php comme suit :

[...]
$languages['fr_FR']['NAME'] = 'French';
$languages['fr_FR']['CHARSET'] = 'UTF-8';
$languages['fr_FR']['LOCALE'] = array('fr_FR.utf-8','fr_FR.utf-8','fr_FR');
$languages['fr']['ALIAS'] = 'fr_FR';
[...]

Vous n'avez qu'a remplacer tout ce qui est a la norme : ISO8859.

Conclusion :

Ouhhhh qu'il est pas beau !!! , mais pratique que ce soit lors de l'installation ou de l'utilisation, il est fonctionnel et rapide ! je n'ai rencontré aucun soucis il manquerait plus qu'un styliste de renommé s'occupe de sont cas et ça serait parfait ! Le petit plus par rapport à Roundcube est peut être le fait de pouvoir le personnaliser plus facilement dans ce fameux menu d'installation.

Passer vos vhosts sécurisés de SSL V2 a SSL V3

GanGan — Thu, 10 Jun 2010 14:30:00 +0200

Parce que c'est plus mieux bien...pour votre sécurité.

SSL v2 connait quelques petites failles et soucis voila pourquoi il est intéressant de passer en SSL v3 pour ceux qui ne l'ont pas encore fait.

Pas besoin de refaire vos certificats.

Cet article fait suite à ceux ci :

Éditez votre vhost Apache ou votre httpd-ssl.conf et ajustez ces quelques lignes selon votre installation :

SSLEngine on
SSLProtocol -all +SSLv3 +TLSv1
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLCertificateFile "/etc/httpd/ssl/www.crt"
SSLCertificateKeyFile "/etc/httpd/ssl/www.key"

Url pour ceux qui veulent comprendre toutes ces petites options bizarre : http://httpd.apache.org/docs/2.0/mod/mod_ssl.html

Vérification :

Tapez simplement ceci en console :

openssl s_client -connect localhost:443

Adapter le port et observer...

New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 608CE8BBAD7C2DC01BAF4F01526234BADAAB1640C5FFAAC7CB4341CA410B96A8
    Session-ID-ctx:
    Master-Key: 9AC69DD9E48B9EED13A6765984CE4F47316C5D0BC77A3C9083B39DD76BE37CB488CD986CF646D120DECCCFB6970BFBBE
    Key-Arg   : None
    Krb5 Principal: None
    Start Time: 1276170349
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)

Voila ! une bonne chose de faites.

Zonecheck v3

GanGan — Wed, 09 Jun 2010 00:30:00 +0200

Ils ont besoin de vous...

Message de Stephane Bortzmeyer :

La livraison de Zonecheck v3 (avec le support de DNSSEC, c'est la principale nouveauté) est prévue pour très bientôt.

Les développeurs apprécieraient beaucoup des rapports de bogue faits à partir de vos domaines, ceux de vos copains, ceux de vos ennemis...

Le code est dans un CVS public :

https://savannah.nongnu.org/cvs/?group=zonecheck

Et n'hésitez pas à signaler tout problème.

Merci d'aider à sauver le monde.

http://www.zonecheck.fr/demo/

Installation et Configuration de Dansguardian pour Squid

GanGan — Fri, 04 Jun 2010 07:00:00 +0200

Le filtrage de contenu.

J'ai expliqué brièvement dans un billet récent comment mettre en place un proxy avec Squid sous Debian (ceci dit, c'est la même chose avec n'importe quelle distribution, seul quelques détails changent). Une question question posé était: comment se prémunir d'un proxy ouvert sur le net qui pourrait mettre à mal les tentatives de sécurisation et de gestion d'accès à internet de notre LAN?

Une réponse à ceci pourrait être le filtrage de contenu grâce à Dansguardian ou Squidguard.

Nous utiliserons ici Dansguardian.

Prérequis :

Connaître un tant soit peu Linux et le réseau. Avoir une machine configuré avec Squid comme vu ici.

Objectif :

Réaliser et comprendre toutes les étapes de la configuration d'un filtrage de contenu avec Dansguardian

Matériel :

Deux machines en virtuel ou en physique. (Une sous Linux et l'autre, le client, avec n'importe quel OS.) De quoi faire communiquer les deux machines (switch, câbles UTP, etc)

En plus du fait que Squid va gérer les accès sur l'horaire, la sources, la mac adresse ou d'autres critères, il peut être utile aussi de filtrer le contenu des sites web visités.

Le filtrage sera utile pour prohiber l'accès à certain site jugé non désirable pour l'entreprise (en vertu d'un certain nombre de critère émis par la direction par exemple) qui entraînerait une baisse considérable de la productivité (facebook par exemple...) ou qui ne sont simplement pas le genre de site à consulter au boulot (porno?).

Dansguardian fonctionne filtre plusieurs choses et fonctionne de différentes façon. Nous pourrons grâce à des blacklists (téléchargeable sur internet) interdire des domaines, des urls, des extensions de fichier. Un autre aspect du filtrage concerne une pondération des mots qui pourraient se trouver dans la page elle même. Chaque page sera lue par Dansguardian afin d'établir si un page peut être affichée ou pas.

Donc nous aurons au final les requêtes qui arriveront a Dansguardian, qui les enverra à Squid qui ira chercher la page pour vous, la rendra à Dansguardian qui ensuite vous la restituera.

Passons aux choses sérieuse après tout ce blabla.

aptitude install dansguardian

Techniquement, Dansguardian fonctionne déjà avec un configuration toute faite. Vous pouvez éditer le fichier suivant vim /etc/dansguardian/dansguardian.conf

pour commenter la ligne qui commence par UNCONFIGURED afin de pouvoir lancer le service dansguardian.

/etc/init.d/dansguardian restart

Pour le moment, aucune requête n'arrive jusque Dansguardian et le pauvre n'a pas grand chose à faire. Aucun requête n'arrive car nous avons une redirection du trafic vers le port 80 (http) redirigé vers le port 3128 (squid). Or, dansguardian écoute sur le porte 8080.

iptables -t nat -D PREROUTING 1
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables-save > /etc/iptables

Maintenant Dansguardian reçoit les requêtes mais si vous testez, vous verrez que Squid ne les autorise pas à passer. Juste? Pourquoi donc?

Simplement, si vous retournez dans le fichier de configuration de squid, vous vous apercevrez que nous l'avions configuré pour qu'il accepte les requêtes venant du LAN mais maintenant il n'en est plus rien vue que c'est Dansguardian qui fait la requêtes, donc 127.0.0.1 (la boucle local quoi).

Il faut donc modifier squid :

vi /etc/squid3/squid.conf

Et supprimer deux lignes pour en écrire deux autres: l'acl et le http_access.

TROUVER :

acl localnet src 192.168.2.0/24
http_access allow localnet

REMPLACER PAR :

acl localhost src 127.0.0.1/32
http_access allow localhost

Quittez en sauvant le fichier et redémarrez squid

/etc/init.d/squid3 restart

Maintenant, tout devrait rouler.

Cool, ça fonctionne mais on ne sait pas encore pourquoi. Étant formateur, je sais que chercher par soi-même et trouver la solution est la meilleur façon de retenir (c'est aussi du vécu) donc je vous invite à chercher.

Petites indices:

Fichiers de configuration à checker:
/etc/dansguardian/dansguardian.conf
/etc/dansguardian/dansguardianf1.conf
/etc/dansguardian/lists/*

Le deux premiers fichier sont commentés et ne sont pas compliqué à comprendre. Vous vous y retrouverez sûrement très rapidement

Le premier contient la configuration du service, de son fonctionnement, du type de log ressorti, de l'ip du proxy à contacter. Le second contient pour sa part les répertoires des blacklists, la pondération maximum autorisée, etc.

Bon amusement avec Dansguardian et Squid

Installation et configuration de Drbd : haute disponibilité

GanGan — Thu, 03 Jun 2010 07:00:00 +0200

Petite approche de Drbd par l'exemple.

Drbd est une sorte de raid over ip, il vous permettra de faire un réplication parfaite entre deux ou plusieurs serveurs selon la version de Drbd que vous utiliserez.

Pour Drbd il existe deux mode d'utilisation le mode Actif/Actif ou l'ont peut écrire sur les deux nœuds (ou plus) en même temps, et Actif/Passif, il est indépendant du type de système de fichiers utilisé sur le serveur ou les serveurs.

Vous pouvez utiliser n'importe quel système de fichiers si vous etes en mode Actif/Passif, par contre en mode Actif/Actif il vous faudra un système tel que GFS ou OCFS.

Le scenario est simple deux serveurs Centos 5.5 avec chacun une partition de 512mo vierge, encore une fois je sais qu'il y a beaucoup de gens louches qui utilisent Debian voir Ubuntu serveur, un jour peut être mon Kvm sera souillé par un tel système... Quoi qu'il en soit c'est la même démarche seul les noms de paquets divergent un peu.

A savoir : pour l'instant la série de version de Drbd est la 0.8, avec la 0.9 nous aurons la possibilité d'avoir plus de 2 nœuds.

Pour une simple synchronisation préférez Rsync...

Installation :

Deux possibilités les paquets de votre distribution ou compiler la dernière version, le mieux est d'aller jeter un coup d'œil par la :

http://www.drbd.org/download/packages/

A savoir : les trois versions disponibles sur Centos et Redhat sont compatible entre elles, pour ces tests j'ai utilisé les versions :

[root@centos1 /]# rpm -qa | grep drbd
drbd83-8.3.2-6.el5_3
kmod-drbd83-8.3.2-6.el5_3

sur le premier nœud (serveur).

[root@centos2 ~]# rpm -qa | grep drbd
kmod-drbd-8.0.16-5.el5_3
drbd-8.0.16-5.el5.centos

sur le deuxième.

Compilation :

cd /opt/SOURCES
wget http://oss.linbit.com/drbd/drbd-latest.tar.gz
tar xzvf drbd-8.3.8.tar.gz
cd drbd-8.3.8
cd drbd
make
cd ..
make tools
make install
make install-tools
modprobe drbd

Avec les paquets :

Centos/Redhat

yum install drbd83 kmod_drbd83
modprobe drbd

Debian/Ubuntu

aptitude install drbd

Un petit : lsmod pour vérifier que le module est bien chargé ?

Avec un netstat -ntlpu vous pouvez voir que le module écoute sur un port.

exemple :

Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 192.168.1.248:7777          0.0.0.0:*                   LISTEN      -

Pensez à remplir convenablement votre fichier /etc/hosts.

Pré-requis :

Deux disques/partitions identiques.
mkdir /data

Passons maintenant à la configuration de drbd !

Le mode Actif/Passif :

Dans ce mode vous pouvez utiliser ext3 ou ext4.

Contenu du fichier de configuration /etc/drbd.conf :

global { usage-count no; }
common { syncer { rate 33M; } }
resource data {
        protocol C;
        net {
                 cram-hmac-alg sha1;
                 shared-secret "AllezBourgoin!!!";
            }
 on centos1 {
    device     /dev/drbd0;
    disk       /dev/hda1;
    address    192.168.1.248:7788;
    flexible-meta-disk  internal;
  }
  on centos2 {
    device     /dev/drbd0;
    disk       /dev/hda1;
    address    192.168.1.240:7788;
    flexible-meta-disk  internal;
  }
}

Le mode Actif/Actif :

Contenu du fichier de configuration /etc/drbd.conf :

global { usage-count no; }
common { syncer { rate 33M; } }
resource data {
        protocol C;
        net {
                 cram-hmac-alg sha1;
                 shared-secret "AllezBourgoin!!!";
                 allow-two-primaries;
            }
         startup {
             become-primary-on both;
            }
 on centos1 {
    device     /dev/drbd0;
    disk       /dev/hda1;
    address    192.168.1.248:7788;
    flexible-meta-disk  internal;
  }
  on centos2 {
    device     /dev/drbd0;
    disk       /dev/hda1;
    address    192.168.1.240:7788;
    flexible-meta-disk  internal;
  }
}

Go tout the cambouis :

drbdadm create-md data
drbdadm attach data
drbdadm connect data

Puis sur des deux serveurs :

drbdadm -- --overwrite-data-of-peer primary data

Démarrage :

/etc/init.d/drbd start

Vous suivez la synchro via

cat /proc/drbd 
ou
/etc/init.d/drbd status

Formatage du nouveau périphérique :

Vous faites de l'actfi/Passif :

mkfs.ext3 /dev/drbd0

Vous faites de l'Actif/Actif :

mkfs.gfs /dev/drbd0

Attention :

N'oubliez pas les scripts d'init au démarrage !

Pour Redhat/Centos :

chkconfig --add drbd 
chkconfig --level 35 drbd on

Pour Debian/Ubuntu :

rc-update

En cas de problème :

Passer un disque secondaire en primary :

drbdsetup /dev/drbd0 primary -0

Test de bon fonctionnement de drbd en mode Actif/Passif :

Simuler une panne sur le nœud/serveur primary et passer le secondary en primary :

umount /data
drbdadm primary data 
mount /data

Désactiver/Détruire un nœud :

umount data     -> démonte les données
drbdadm down data     -> déconnecte le nœud
drbdadm invalidate data     -> détruit les données

Activé/Régénérer un nœud :

drbdadm up data
drbdadm connect data

Vérifier l'avancement avec :

watch cat /proc/drbd

Test de bon fonctionnement de drbd en mode Actif/Actif :

Créer un fichier sur un nœud et vérifiez qu'il soit bien vu sur l'autre nœud et inversement proportionnel ou égal :p.

A garder à l'esprit si vous désirez faire du Actif/Actif appelé aussi Primary/Primary utilisez bien la version actuel stable en 8.3 car elle gère mieux les problèmes de coupure réseau.

Bon à savoir il existe un console d'administration open-source : http://www.drbd.org/mc/drbd-mc-is-open-source/

Bon bidouillage à tous !