dimanche 13 juillet 2008
Par Philippe,
dimanche 13 juillet 2008 à 19:25 - Maintenance évolutive
Aujourd'hui coupure de la plateforme entre 14h24 et 16h00, l'installation des deux onduleurs s'est bien passée. Maintenant les 2/3 des serveurs sont d'ores et déjà protégés, il restera quelques finitions à faire.
aucun commentaire
- aucun trackback
mardi 17 juin 2008
Par Philippe,
mardi 17 juin 2008 à 23:50 - Fourre-tout
Le site http://www.numerivienne.net n'est plus accessible : le serveur aragorn hébergeant le site est actuellement arrêté, son ventilateur de processeur s'est arrêté mardi 17 juin à 1h50, 3 minutes plus tard, le serveur s'est mis en sécurité thermique. Le service DNS est aussi perturbé par cette panne (lenteur de certaines opérations de recherche).
aucun commentaire
- aucun trackback
mercredi 11 juin 2008
Par Philippe,
mercredi 11 juin 2008 à 15:47 - Maintenance
Suite aux orages de la nuit du 10 au 11 juin, un des deux disjoncteur a coupé le courant le 10 juin vers 20h40, impactant 6 des 10 serveurs et donc la quasi-totalité des services (DNS, web, messagerie, ...). La situation est revenue à la normale vers 11h ce matin.
aucun commentaire
- aucun trackback
jeudi 8 mai 2008
Par Philippe,
jeudi 8 mai 2008 à 23:36 - Fourre-tout
Comme indiqué ici sur le forum de coppermine photo gallery, la mode est au piratage de galeries photos... pour y insérer une IFrame avec un script masqué.
L'adresse source de l'attaque est la 91.78.75.227 (adresse russe...), le 16 avril dernier, la cible était la galerie photo du site Archigny.NET. L'attaque a été entièrement journalisée par mod_security :
- 19:15:16 début des tentatives d'injection SQL via l'entête cookie.
- 19:15:27 téléchargement d'un mini shell PHP appelé zacosmall.php
- modification de 3 fichiers index.php, displayimage.php et thumbnails.php
- vérification du "bon fonctionnement" des modifications
- 19:16:23 Fin de l'attaque
Actions prises :
- Changement des mots de passes
- Scan antivirus de routine
- Mise à jour de la galerie vers la version actuelle après nettoyage
- Tests et remise en ligne
aucun commentaire
- aucun trackback
jeudi 6 mars 2008
Par Philippe,
jeudi 6 mars 2008 à 14:11 - Fourre-tout
Une coupure générale a eu lieu vers 19h30, mercredi 5 mars 2008, d'une durée inférieure à 5 minutes puisque le conseil d'administration tenait réunion dans la salle de réunion au même étage. Mais au redémarrage, deux serveurs n'ont pas redémarré à cause de leur alimentation défectueuse : pippin et legolas, et donc malheureusement la plupart des services ont été impactés :
- Messagerie Vienne Informatique (tous les domaines gérés aussi...);
- Sites web hébergés (collèges, clubs, ...);
- Sites web de numérivienne;
- Bases de données de numérivienne, annuaire LDAP, etc.
Les services ont été rétablis entièrement vers midi. Depuis que la plateforme est opérationnelle, il s'agit du plus gros incident qui se soit produit.
aucun commentaire
- aucun trackback
vendredi 25 janvier 2008
Par Philippe,
vendredi 25 janvier 2008 à 17:25 - Maintenance évolutive
Effectuée sur tous les serveurs web publics sous linux, la version 2.2.6 est une grosse mise à jour de sécurité pour apache, voir la page du changelog. J'en ai profité pour y ajouter un module de sécurité normalement transparent pour une utilisation normale. Merci de me rapporter les éventuels dysfonctionnements des applications (Erreurs 500, 501, etc. inhabituelles).
aucun commentaire
- aucun trackback
dimanche 9 décembre 2007
Par Philippe,
dimanche 9 décembre 2007 à 22:57 - Maintenance évolutive
Pour répondre au problème d'utilisation du port 25 depuis que plusieurs fournisseurs d'accès français interdisent expressément l'usage de ces ports (Free et Orange par exemple). J'ai installé un service de MSA (Message Submission Agent) pour que la messagerie soit de nouveau accessible. Conformément à la RFC 4409, il faut authentifier les utilisateurs. Pour cela, il conviendra d'utiliser ses identifiants de messagerie, mais ce n'est pas tout :
- L'utilisation des points d'accès WiFi ouverts et non sécurisés étant de plus en plus commune, l'authentification ne pourra se faire que si la communication est chiffrée.
- Le relevé de boite aux lettres (par IMAP ou POP3) devrait aussi être chiffré (c'est déjà possible depuis des années, mais sera bientôt obligatoire)
- Le port utilisé pour le service MSA est 587 et non plus 25, il faut modifier la configuration des clients de messagerie en conséquence...exemple avec Thunderbird :

l'Option "TLS, si disponible" ou "TLS" est obligatoire... sinon l'authentification ne se fera pas et le serveur retournera un message du style 'Relay access denied'. L'essai d'envoi sans authentification échouera aussi de la même manière avec le même message d'erreur :

aucun commentaire
- aucun trackback
jeudi 20 septembre 2007
Par Philippe,
jeudi 20 septembre 2007 à 14:31 - Maintenance évolutive
Effectuée sur tous les serveurs web publics sous linux, la version 2.2.6 est une grosse mise à jour de sécurité pour apache, voir la page du changelog pour s'en convaincre !
2 commentaires
- aucun trackback
mardi 4 septembre 2007
Par Philippe,
mardi 4 septembre 2007 à 23:38 - Maintenance évolutive
Ce soir, j'ai pu mettre à jour en GNU/Debian Etch 4.0 les derniers serveurs qui étaient encore en Debian Sarge :
- aragorn (web principal)
- sam (supervision et sauvegardes)
- gimli (backoffice)
Sur ce dernier, la mise à jour de l'annuaire s'est mal passée, donc pour le moment, il n'y a plus de réplication sur ce serveur.
aucun commentaire
- aucun trackback
mardi 3 juillet 2007
Par Philippe,
mardi 3 juillet 2007 à 15:38 - Maintenance évolutive
Ou comment gagner du précieux temps de compilation des pages PHP, plusieurs solutions existent pour PHP5 :
- APC Alternative PHP Cache
- xCache Un cache récent, livré avec une interface web d'administration
- d'autres libres ou non comme eAccelerator, turckMM, etc.
En consultant les comptes-rendus de réunions de développement de la version 6 de PHP (dont la version de test est disponible ici), notamment ce compte-rendu, j'ai pris la décision d'installer APC comme cache d'opcode sur pippin pour tests, avant de le déployer sur la totalité de nos serveurs web. APC sera intégré à la version 6 de PHP.
aucun commentaire
- aucun trackback
vendredi 15 juin 2007
Par Philippe,
vendredi 15 juin 2007 à 11:20 - Maintenance
Un problème de droits empêchait l'envoi de mél depuis PHP et les autres outils utilisant sendmail. problème réglé.
aucun commentaire
- aucun trackback
lundi 11 juin 2007
Par Philippe,
lundi 11 juin 2007 à 23:44 - Fourre-tout
Suite à l'orage de la nuit dernière, le disjoncteur différentiel qui alimente 8 des 11 serveurs (ainsi que la climatisation) a coupé le circuit, tout a été rallumé vers 18h ce soir. Les services sont revenus à la normale depuis environ 23h.
aucun commentaire
- aucun trackback
vendredi 8 juin 2007
Par Philippe,
vendredi 8 juin 2007 à 20:18 - Maintenance évolutive
La dernière version de PHP corrige un certain nombre de vulnérabilités, je viens de la mettre à jour sur tous les serveurs en production sous Debian Etch. Parmi les extensions qui ont été ajoutées :
- PDO en module
- PDO_MySQL en module
- PDO_sqlite en module
- sqlite en module
ça aura permis aussi de refaire correctement les liens avec les librairies partagées suite à la migration sous debian Etch.
aucun commentaire
- aucun trackback
vendredi 11 mai 2007
Par Philippe,
vendredi 11 mai 2007 à 15:37 - Maintenance évolutive
Aujourd'hui, mise à jour en Etch des serveurs :
Rien de particulier à signaler, corrections à posteriori de :
- pop-before-smtp qui n'était pas actif après redémarrage du serveur (corrigé le 14/05)
- les outils imageMagick à disposition des applicatifs PHP qui n'avaient pas été mis à jour (corrigé le 15/05)
aucun commentaire
- aucun trackback
vendredi 27 avril 2007
Par Philippe,
vendredi 27 avril 2007 à 20:31 - Maintenance évolutive
Aujourd'hui c'était au tour de gandalf de migrer de sarge vers etch. Aucun problème détecté mis à part que comme pour les autres mises à jour :
- Postfix est systématiquement désinstallé et exim4 installé
- Certains comptes utilisateurs sont proposés à la suppression, ce qu'il faut refuser.
- Les services portmap, nfs-common et inetd sont automatiquement lancés au démarrage.
Le service de webmail a été mis à jour pour la version 1.4.9a de squirrelmail qui corrige certaines vulnérabilités. D'une manière générale, le site SSL de pippin a été nettoyé, il ne reste plus que deux services : phpMyAdmin et le webmail.
aucun commentaire
- aucun trackback