Webadev a mis en place un pod (serveur) diaspora. Vous pouvez vous y inscrire à l’adresse suivante : http://diasp.be/users/sign_up

Je suis l’administrateur de diasp.be. Je répond au doux nom de bachus@diasp.be sur diaspora.

Vous pouvez suivre également le projet sur twitter : @diaspbe

Connectez-vous via vSphere Client à votre serveur ESXi :

• Cliquez sur l’onglet Configuration
• Cliquez sur Profil de sécurité (Security profile) qui se trouve dans le menu Logiciel (Software)
• Cliquez sur Propriétés… (Properties)
• Cliquez sur Support technique à distance (SSH) (Remote Tech Support (SSH))
• Cliquez sur  Options… et choisissez l’une des règles dans Règle démarrage (Startup policy)
• Cliquez sur Démarrer (Start) si vous souhaitez directement activer le service.

• Presser les touches ALT + F1
• Taper : unsupported
• Indiquer votre mot de passe root
• Taper la commande : vi /etc/inetd.conf (pour éditer le fichier de configuration)
• Chercher les lignes commencant par #ssh
• Décommenter les lignes (en retirant le # devant ces lignes)
• Sauver le fichier en tapant : :wq!
• Redémarrer les servcices avec /sbin/services.sh restart

Il ne vous reste plus qu’à vous connecter sur votre serveur ESXi avec putty

Remarque : Pour revenir à la console standard, il vous suffit de presser les touches : ALT + F2

DOTDEB permet de maintenir à jour les versions récentes de PHP et MySQL sur un système Debian

Tant au niveau développement que production, on utilise le dépôt DOTDEB sur l’ensemble de nos serveurs tournant sous Debian chez Webadev.

Ce dépôt nous facilite grandement la vie. Je conseil vivement ce dépôt à tous les utilisateurs de Debian ayant besoin du couple PHP/Mysql.

Il ne me reste plus qu’à dire merci à Guillaume Plessis d’avoir créer DOTDEB et de le maintenir.

Il est souvent ennuyant de retenir les couples login/password surtout si on possède plusieurs serveurs. C’est là que les clés ssh interviennent.

Dans un premier temps, vous devez récupérer au moins les binaires de PuTTY et PuTTYgen sur la page de téléchargement de PuTTY. Cependant, je vous conseil de récupérer l’installer qui vous installera tout se dont vous avez besoin.

Une fois que nous avons téléchargé et installé PuTTYGen (et PuTTY), nous allons générer la paire de clés (privée / pubique) à l’aide de celui-ci.

1. On choisit le type de clé à générer en sélectionnant SSH-2 RSA et en indiquant une longueur 1024 bits
2. On clique ensuite sur le bouton Generate
3. On fait bouger la souris de façon aléatoire, ceux-ci vont servir à générer la clé.
4. On remplit le champ passphrase afin de protéger l’accès à notre clé privée.
5. On sauvegarde la clé publique et la clé privée

Attention: notre clé privée doit rester privée !

Nous allons devoir placer notre clé publique sur notre serveur. Pour se faire, il suffit de copier-coller la clé publique dans le fichier ~/.ssh/authorized_keys présent sur notre serveur.

Il nous restera une étape qui consistera à configurer PuTTY pour qu’il utilise notre clé privée pour se connecter à notre serveur. Nous devons indiquer le path de notre clé privée (préalablement générer) dans les options de PuTTY : Connection >> SSH >> Auth >> Authentication parameters.

N’oubliez pas de cliquer sur Save dans l’onglet Session pour sauvegarder vos paramètres.

Si tout c’est correctement déroulé, quand vous vous connecterez à votre serveur, il ne vous sera plus demandé le mot de passe du login mais uniquement la passphrase de clé privé que vous avez généré.

Si vous n’avez plus envie de devoir taper votre passphrase, vous pouvez utiliser l’outil Pageant (PuTTY authentication agent). Une fois Pageant lancé, effectuez un clic droit sur l’icône dans le systemtray (icônes à coté de l’heure) et cliquez sur Add Key. Vous devez alors lui fournit la clé privée, et entrez une dernière fois la passphrase.

Une quoi ?

Une alimentation sans interruption (ou ASI, ou en anglais UPS, Uninterruptible Power Supply) est un dispositif de l’électronique de puissance qui permet de fournir à un système électrique ou électronique une alimentation électrique stable et dépourvue de coupure ou de micro-coupure, quoi qu’il se produise sur le réseau électrique.

Elle est constituée de la mise en cascade d’un montage redresseur, d’un dispositif de stockage de l’énergie (batterie d’accumulateurs, supercondensateurs, volant d’inertie, etc.) et d’un onduleur fonctionnant à fréquence fixe.

Le terme onduleur est fréquemment utilisé pour désigner ce type d’alimentation. C’est le cas, par exemple, pour les onduleurs que l’on intercale entre le réseau de distribution et les ordinateurs.

Source : wikipedia

Ce dispositif me permet donc d’avoir une alimentation stable pour mes serveurs. Après une journée d’utilisation, je me suis rendu compte que cela était plus que nécessaire au vue de ce graphique :

Tout en oubliant pas qu’en cas de coupure de courant, les batteries de l’APC se mettront en route.
De plus, APC fourni un logiciel (PowerChute Business Edition) permettant de gérer et monitorer l’onduleur. Celui-ci permet entre autre de couper les machines avant que les batteries soient totalement vides.
Seuls petit bémol, PowerChute n’est pas compatible avec toutes les distributions linux ce qui est bien dommage. Mais bon, on va bricoler un petit truc pour que quand notre serveur tournant sous Windows Server 2003 se coupe, il coupe l’ensemble des serveurs sous Linux.

Tout cela pour dire que je suis vraiment content de mon achat et que je vous le conseil vivement.

Les grands acteurs tel que Microsoft, Sun, Cisco,… ont travaillé main dans la main pour corriger cette faille qui touche l’ensemble des plateformes (linux, windows,…) et donc l’ensemble du réseau mondial.
Avec cette faille, il est possible de faire une attaque sur les serveurs DNS non mis à jour et de les polluer avec de fausses informations concernant la résolution de noms de domaine.

L’exploit n’est pas encore publié – vu l’ampleur de celle-ci – mais dés qu’elle le sera, les serveurs DNS non patché se feront attaqué ce qui permettra au hacker de rediriger les visiteurs sur de faux serveurs WEB, de faux serveurs mail, etc…

Que votre serveur DNS tourne sous Windows ou linux , comme vous l’aurez compris, il est essentiel (et urgent) de le mettre à jour.

A vos patchs chers admins système :

• Windows : Windows Update
• Debian/Ubuntu : apt-get
• Gentoo : emerge
• Fedora/CentOS : yum
• Suse : yast
• …

Des exploits sont déjà disponibles sur le net et des serveurs se sont déjà fait hackés.

Pour ceux qui ont des serveurs chez ovh qui tournent avec un kernel 2.6.xx voici le message d’Octave :

Bonjour,
Une importante faille de sécurité a été mise en évidence ce week-end
sur l’ensemble des noyaux Linux 2.6.XX que vous pouvez utiliser chez
Ovh (et pas seulement). Aucun patch de sécurité (grsecurity, PaX,
Openwall, etc) ne bloque ce bug. La seule possibilité de fixer le
bug est de mettre à jour votre kernel vers la dernière version de
Linux 2.6.24.2 (mis à jour hier soir à 21H51 !!).

Ce bug est TRÈS dangereux: n’importe quel utilisateur du serveur
permet d’avoir les droits de root en moins de 10 secondes !! Très très
simplement. En suite c’est foutu car il fait réinstaller le serveur.
Même si vous ne proposez pas de shell/bash sur vos serveurs, à travers
les scripts php, cgi etc on peut avoir l’accès root sur la machine.

Ne remettez pas à demain ou à ce soir cette mise à jour ! Il y a 1h
environ, on vient de bloquer le 1er serveur hacké avec cette méthode.
Et avec ce bug, c’est la sécurité du réseau qui est en dangers. Nous
n’allons donc pas hésiter 1 seconde de bloquer votre serveur s’il est
hacké. Prenez donc 10 minutes là pour exécuter ces quelques commandes
simples.

Ovh propose des noyaux patchés, verifiés et sécurisés contre ce bug
de sécurité. Aussi, le nouveau noyau supporte mieux les cartes réseaux
utilisés sur le hardware chez Ovh, l’iSCSI, ainsi qu’une tonne de
petits bugs du Kernel.

Comment mettre à jour le noyau en moins de 5 minutes ? Très simplement.
Même si vous n’avez jamais fait, vous allez réussir cette mise à jour

1.)
Connectez vous sur le serveur en SSH et tapez (copier coller):
# wget -q ftp://ftp.ovh.net/made-in-ovh/dedie/…3ware-sysfs.sh -O – | /bin/bash
# wget -q ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O – | /bin/bash
Ceci met à jour votre RTM, le patch sysfs, 3ware. Une sécurité de plus
avant le reboot.

2.)
Dans le manager, choisissez « netboot » et puis « ipv4″, puis la version
« 32bits » ou « 64bits » (ça dépend la distribution que vous utilisez)
Par exemple « bzImage-xxxx-std-ipv4-32″
En suite reconnectez sur sur le serveur en SSH et tapez
# reboot
Attendez le redémarrage du serveur (entre 2 et 5 minutes en fonction du
serveur) puis reconnectez-vous sur le serveur en SSH puis tapez:
# uname -a
La commande doit vous renvoyer la version 2.6.24.2. Par exemple:
# uname -a
Linux oles2.ovh.net 2.6.24.2-xxxx-std-ipv4-32 #1 SMP Mon Feb 11 14:51:26

Si vous n’utilisez pas le netboot, vous pouvez telecharger nos noyaux
sur ftp://ftp.ovh.net/made-in-ovh/bzImage
bzImage-2.6.24.2-xxxx-std-ipv4-32
bzImage-2.6.24.2-xxxx-std-ipv4-32-hz1000
bzImage-2.6.24.2-xxxx-std-ipv4-64-hz1000
bzImage-2.6.24.2-xxxx-std-ipv6-32
bzImage-2.6.24.2-xxxx-std-ipv4-32-filer
bzImage-2.6.24.2-xxxx-std-ipv4-64
bzImage-2.6.24.2-xxxx-std-ipv4-64-rescue
bzImage-2.6.24.2-xxxx-std-ipv6-64

Les noyaux GRSecurity ne sont pas encore disponible. Le patch sera dispo
sous quelques jours.

Si vous compilez vous-même le noyau, vous pouvez trouver notre .tar.gz
ainsi que les .config sur ftp://ftp.ovh.net/made-in-ovh/bzImage

Si vous avez des problèmes, merci d’utiliser le forum ou la mailing list
afin qu’on vous aide très directement. N’oubliez pas mettre le nom de
votre serveur dédié dans vos messages (chaque message). Sur le

Merci à tous et bon patch !

Les clients qui ont pris l’option sécurité totale sont en cours de mise
à jour (déjà).

Amicalement
Octave

Note: les kernel 2.4.xx ne sont pas concernés par cette faille

Voici quelques liens qui pourraient vous servir :

• vmware-server : est un logiciel de vitalisation. Vous allez pouvoir créer une série de machines virtuelles (ex: windows, linux,…) tout ca sur une même machine.
• manuel d’installation d’une gentoo : ce manuel va vous permettre d’installer une gentoo. Attention de bien sélectionner votre type d’architecture (ex: AMD64, x86,…)
• Active Directory et Samba : cette article va vous permettre d’intégrer votre gentoo dans un active directory existant.
• Environement LAMP : installation d’un environnement LAMP : Apache 2, MySQL 5 et PHP 5.
• Subversion : système de gestion de versions
• …

Et n’oubliez pas votre meilleur ami : Google.

Il existe pas mal de doc sur la gentoo et la communauté est très réactive.