Le blog de l'administrateur

Ayant enfin reçu les fameux ventilateurs, je le ai réinstallés hier soir dans les deux serveurs qui étaient arrêtés :

• arwen (diffusion multimédia)
• merry (serveur trackmania)

Ils sont de nouveau opérationnels, en espérant que ces nouveaux ventilateurs donnent satisfaction puisqu'ils ne tournent qu'à 4000 tr/min alors que les anciens tournaient à 5000 tr/min. Mais de nos jours, il est difficile de trouver des ventilateurs efficaces et donc bruyants...

Suite aux orages de la nuit du samedi au dimanche 31 août, les deux circuit alimentant la plateforme ont disjoncté vers 5h30 dimanche matin. La plateforme a été redémarrée dimanche soir vers 20h30.

L'installation des adaptateurs PS/2 -> USB a fonctionné, les deux serveurs sont donc accessibles via le KVM de la plateforme.

La distribution Debian Etch a été installée avec succès sans aucun problème. Suite de l'installation prochainement...

Suite à une coupure de courant, le disque de sauvegarde n'était plus disponible entre le 12/08 et le 17/08, donc aucune sauvegarde n'a été faite entre ces deux dates.

Aujourd'hui coupure de la plateforme entre 14h24 et 16h00, l'installation des deux onduleurs s'est bien passée. Maintenant les 2/3 des serveurs sont d'ores et déjà protégés, il restera quelques finitions à faire.

Le site http://www.numerivienne.net n'est plus accessible : le serveur aragorn hébergeant le site est actuellement arrêté, son ventilateur de processeur s'est arrêté mardi 17 juin à 1h50, 3 minutes plus tard, le serveur s'est mis en sécurité thermique. Le service DNS est aussi perturbé par cette panne (lenteur de certaines opérations de recherche).

Suite aux orages de la nuit du 10 au 11 juin, un des deux disjoncteur a coupé le courant le 10 juin vers 20h40, impactant 6 des 10 serveurs et donc la quasi-totalité des services (DNS, web, messagerie, ...). La situation est revenue à la normale vers 11h ce matin.

Comme indiqué ici sur le forum de coppermine photo gallery, la mode est au piratage de galeries photos... pour y insérer une IFrame avec un script masqué.

L'adresse source de l'attaque est la 91.78.75.227 (adresse russe...), le 16 avril dernier, la cible était la galerie photo du site Archigny.NET. L'attaque a été entièrement journalisée par mod_security :

• 19:15:16 début des tentatives d'injection SQL via l'entête cookie.
• 19:15:27 téléchargement d'un mini shell PHP appelé zacosmall.php
• modification de 3 fichiers index.php, displayimage.php et thumbnails.php
• vérification du "bon fonctionnement" des modifications
• 19:16:23 Fin de l'attaque

Actions prises :

• Changement des mots de passes
• Scan antivirus de routine
• Mise à jour de la galerie vers la version actuelle après nettoyage
• Tests et remise en ligne

Une coupure générale a eu lieu vers 19h30, mercredi 5 mars 2008, d'une durée inférieure à 5 minutes puisque le conseil d'administration tenait réunion dans la salle de réunion au même étage. Mais au redémarrage, deux serveurs n'ont pas redémarré à cause de leur alimentation défectueuse : pippin et legolas, et donc malheureusement la plupart des services ont été impactés :

• Messagerie Vienne Informatique (tous les domaines gérés aussi...);
• Sites web hébergés (collèges, clubs, ...);
• Sites web de numérivienne;
• Bases de données de numérivienne, annuaire LDAP, etc.

Les services ont été rétablis entièrement vers midi. Depuis que la plateforme est opérationnelle, il s'agit du plus gros incident qui se soit produit.

Effectuée sur tous les serveurs web publics sous linux, la version 2.2.6 est une grosse mise à jour de sécurité pour apache, voir la page du changelog. J'en ai profité pour y ajouter un module de sécurité normalement transparent pour une utilisation normale. Merci de me rapporter les éventuels dysfonctionnements des applications (Erreurs 500, 501, etc. inhabituelles).

Pour répondre au problème d'utilisation du port 25 depuis que plusieurs fournisseurs d'accès français interdisent expressément l'usage de ces ports (Free et Orange par exemple). J'ai installé un service de MSA (Message Submission Agent) pour que la messagerie soit de nouveau accessible. Conformément à la RFC 4409, il faut authentifier les utilisateurs. Pour cela, il conviendra d'utiliser ses identifiants de messagerie, mais ce n'est pas tout :

• L'utilisation des points d'accès WiFi ouverts et non sécurisés étant de plus en plus commune, l'authentification ne pourra se faire que si la communication est chiffrée.
• Le relevé de boite aux lettres (par IMAP ou POP3) devrait aussi être chiffré (c'est déjà possible depuis des années, mais sera bientôt obligatoire)
• Le port utilisé pour le service MSA est 587 et non plus 25, il faut modifier la configuration des clients de messagerie en conséquence...exemple avec Thunderbird :

l'Option "TLS, si disponible" ou "TLS" est obligatoire... sinon l'authentification ne se fera pas et le serveur retournera un message du style 'Relay access denied'. L'essai d'envoi sans authentification échouera aussi de la même manière avec le même message d'erreur :

Effectuée sur tous les serveurs web publics sous linux, la version 2.2.6 est une grosse mise à jour de sécurité pour apache, voir la page du changelog pour s'en convaincre !

Ce soir, j'ai pu mettre à jour en GNU/Debian Etch 4.0 les derniers serveurs qui étaient encore en Debian Sarge :

• aragorn (web principal)
• sam (supervision et sauvegardes)
• gimli (backoffice)

Sur ce dernier, la mise à jour de l'annuaire s'est mal passée, donc pour le moment, il n'y a plus de réplication sur ce serveur.

Ou comment gagner du précieux temps de compilation des pages PHP, plusieurs solutions existent pour PHP5 :

• APC Alternative PHP Cache
• xCache Un cache récent, livré avec une interface web d'administration
• d'autres libres ou non comme eAccelerator, turckMM, etc.

En consultant les comptes-rendus de réunions de développement de la version 6 de PHP (dont la version de test est disponible ici), notamment ce compte-rendu, j'ai pris la décision d'installer APC comme cache d'opcode sur pippin pour tests, avant de le déployer sur la totalité de nos serveurs web. APC sera intégré à la version 6 de PHP.

Un problème de droits empêchait l'envoi de mél depuis PHP et les autres outils utilisant sendmail. problème réglé.