Le blog de l'administrateur

Ayant enfin reçu les fameux ventilateurs, je le ai réinstallés hier soir dans les deux serveurs qui étaient arrêtés :

• arwen (diffusion multimédia)
• merry (serveur trackmania)

Ils sont de nouveau opérationnels, en espérant que ces nouveaux ventilateurs donnent satisfaction puisqu'ils ne tournent qu'à 4000 tr/min alors que les anciens tournaient à 5000 tr/min. Mais de nos jours, il est difficile de trouver des ventilateurs efficaces et donc bruyants...

Le site http://www.numerivienne.net n'est plus accessible : le serveur aragorn hébergeant le site est actuellement arrêté, son ventilateur de processeur s'est arrêté mardi 17 juin à 1h50, 3 minutes plus tard, le serveur s'est mis en sécurité thermique. Le service DNS est aussi perturbé par cette panne (lenteur de certaines opérations de recherche).

Comme indiqué ici sur le forum de coppermine photo gallery, la mode est au piratage de galeries photos... pour y insérer une IFrame avec un script masqué.

L'adresse source de l'attaque est la 91.78.75.227 (adresse russe...), le 16 avril dernier, la cible était la galerie photo du site Archigny.NET. L'attaque a été entièrement journalisée par mod_security :

• 19:15:16 début des tentatives d'injection SQL via l'entête cookie.
• 19:15:27 téléchargement d'un mini shell PHP appelé zacosmall.php
• modification de 3 fichiers index.php, displayimage.php et thumbnails.php
• vérification du "bon fonctionnement" des modifications
• 19:16:23 Fin de l'attaque

Actions prises :

• Changement des mots de passes
• Scan antivirus de routine
• Mise à jour de la galerie vers la version actuelle après nettoyage
• Tests et remise en ligne

Une coupure générale a eu lieu vers 19h30, mercredi 5 mars 2008, d'une durée inférieure à 5 minutes puisque le conseil d'administration tenait réunion dans la salle de réunion au même étage. Mais au redémarrage, deux serveurs n'ont pas redémarré à cause de leur alimentation défectueuse : pippin et legolas, et donc malheureusement la plupart des services ont été impactés :

• Messagerie Vienne Informatique (tous les domaines gérés aussi...);
• Sites web hébergés (collèges, clubs, ...);
• Sites web de numérivienne;
• Bases de données de numérivienne, annuaire LDAP, etc.

Les services ont été rétablis entièrement vers midi. Depuis que la plateforme est opérationnelle, il s'agit du plus gros incident qui se soit produit.

Suite à l'orage de la nuit dernière, le disjoncteur différentiel qui alimente 8 des 11 serveurs (ainsi que la climatisation) a coupé le circuit, tout a été rallumé vers 18h ce soir. Les services sont revenus à la normale depuis environ 23h.

Eclipse est un environnement de développement intégré (IDE) principalement utilisé pour le développement java, mais on peut aussi, grâce à deux extensions concurrentes l'utiliser pour le développement objet en PHP 5 (PHP 4 n'étant pas vraiment objet puisqu'il n'y avait pas la notion d'encapsulation : la notion public/private/protected n'existe pas). PHP5 n'est pas au niveau de Java ou de C# pour ce qui est du développement objet (pas de notion de package, ni de visibilité associée pour les membres ou les classes), mais on peut déjà faire beaucoup de choses intéressantes, implémenter les design patterns les plus connus, etc...

Deux extensions existent pour développer en PHP sous eclipse (ici, la version 3.2.2) :

• PHPEclipse Projet open-source indépendant
• PDT extension développée par la société Zend

Comment installer PDT

1. Installer eclipse (téléchargeable ici)
2. Ajouter un nouveau site distant à l'adresse http://downloads.zend.com/pdt nommé PDT
3. Sélectionner les 3 sites de téléchargements (Callisto, Eclipse et PDT)
4. Installer les extensions standard : JDT, GEF, EMF, GEM, WTP ainsi que PDT
   • Ces extensions se trouvent dans la section Callisto Discovery Site
   • Dans Graphical Editors and Frameworks Sélectionner les deux extensions Visual Editor et Graphical Editing Framework
   • Il va se plaindre de ne pas avoir EMF, dans ce cas, cliquer sur le bouton Select Rerquired, Eclipse va sélectionner automatiquement l'EMF dans la section Models and Model Development
   • Sélectionner Web Standard Tools dans la section Web and J2EE Development, comme tout à l'heure, il va lui manquer un autre module... cliquer sur Select Required
   • Sélectionner enfin PDT dans la section du même nom, ainsi que Zend Debugger éventuellement. Il ne devrait rien lui manquer.

C'est fini !

Comment installer PHPEclipse

1. Installer eclipse (téléchargeable ici)
2. Ajouter un nouveau site distant à l'adresse http://phpeclipse.sourceforge.net/update/releases nommé PHPEclipse
3. Installer l'extension PHPEclipse dans la section du même nom

PHPEclipse est plus simple à installer que PDT mais ne gère que les fichiers PHP, PDT lui semble gérer aussi bien les classes PHP que les javascripts, css et HTML, ce qui le rend d'autant plus intéressant pour n'avoir qu'un seul environnement de travail. Je n'avais pas réussi à installer PDT sur Eclipse 3.2.1... je n'avais pas trop cherché non plus :-), avec la version 3.2.2 l'installation s'est beaucoup mieux passée. A l'usage, quel est le plus intéressant.... à voir !

Attention! La cohabitation de projets PHPEclipse et PDT n'est pas simple... un projet PHPEclipse ouvert avec PDT fonctionnera... à moitié, la partie Outline ne fonctionnera pas, etc... le mieux est alors de supprimer le projet (mais pas les fichiers bien sur) puis de le recréer.

C'est quand même avec un peu d'étonnement que j'ai découvert que le module ldap de PHP (au moins jusqu'aux versions 4.4.4 et 5.1.6) ne supportait pas l'option LDAP_OPT_NETWORK_TIMEOUT. A quoi peut-elle bien servir ?

Cette option de la librairie openLDAP permet de définir le timeout de connexion au serveur, ce qui peut être très utile quand on utilise plusieurs serveurs LDAP, de pouvoir se connecter à un second serveur si le premier est indisponible, il y a deux scénarios possibles :

• le serveur principal est en ligne mais le service LDAP ne l'est pas, la commutation vers le serveur secondaire est instantanée (port 389 et/ou 636 fermés, le client se voit répondre un RST à sa demande de connexion), dans ce cas là, pas de problèmes.
• le serveur est hors ligne... aucune réponse à une tentative de connexion, dans ce cas, il se passe au moins 2 minutes voire plus avant que le serveur secondaire ne soit interrogé.

Le délai de deux minutes est réglable via l'option LDAP_OPT_NETWORK_TIMEOUT, mais pas de chance... elle n'est pas implémentée dans les dernières version de PHP... j'ai donc écrit ce tout petit patch initialement pour la version 5.1.4, qui implémente juste cette option. Il est disponible ici, sans aucune garantie, etc,... Il semble néanmoins fonctionner correctement sur les serveurs de numérivienne...

En test sur deux serveurs, actuellement :

• pippin
• gandalf

L'authentification SSH n'est plus possible par mots de passes (Les scans par dictionnaire peuvent donc aller se rhabiller) mais uniquement par clé électronique RSA ou DSA. J'ai aussi corrigé une erreur dans le script iptables qui coupait complètement l'accès au SSH de gandalf depuis l'extérieur.

J'en ai donc profité pour ajouter gandalf dans la liste des serveurs sous supervision nagios.

Le SNMP étant installé et configuré sur sauron, il me reste à installer les plugins SNMP pour Nagios afin de superviser aussi le serveur Windows 2003.

Depuis début août, le serveur principal de backoffice est tombé en panne. on attend toujours la réparation... les domaines numerivienne.net et numerivienne.com ont été impactés jusqu'au 3 août 2006.

La climatisation a été remise en route mercredi (hors service suite à un problème d'alimentation électrique), mais visiblement, les serveurs ont été coupés sans ménagement, et comme tous les services de la plateforme sont encore majoritairement en test et les serveurs DNS en pleine migration, cela a causé hier pas mal de perturbations sur tous les sites gérés, ainsi que la messagerie.

Freyear a pu redémarrer la plupart des services et serveurs hier midi, mais la situation est redevenue complètement normale ce matin avec le redémarrage temporaire du serveur DNS sur beren.

Les sites ont momentanément étaient coupé car les prises de courant de couleur jaune du locla ne reçoivent plus de courant. Le switch publique étant branché sur l'une d'elles, il n'était plus alimenté. J'ai donc procédé à une modification de branchement et le miracle eu lieu: la plateforme est de nouveau accessible via le net Sinon toute la plateforme est maintenant entièrement réinstallé. Toute semble bien marcher à première vue. Les tests compléteront les premières impressions voila

Je viens d'achever les réplications sur les serveurs de backoffices

• gimli en serveur maitre
• legolas en serveur esclave

cela dit je pense que Mr Marasse devrait aller voir pour vérifier car je n'avais jamais fait ça auparavant et je ne sais pas si tout est ok (en théorie si puisque j'ai suivi les tutos dispos sur internet)

Concernant aragorn, j'ai fini de transférer les datas contenus sur gandalf et je les ai reconfigurés pour qu'elles marchent avec les nouvelles installations Il faudrait faire un test en passant l'adresse : http://www.numerivienne.net sur aragorn, avant de commencer a désinstaller gandalf.

J'ai aussi regardé coté certificat ssl à faire :

• un certif pour aragorn pour les accès https (sauf si déjà présent)
• deux certifs pour legolas pour la base ldap (sauf si on prends les memes que sur gimli)
• un certif pour sauron pour les accès https réalise pour les modifications de playlists ou l'acces à https://www.numerivienne.com via le SSO
• un certif pour arwen pour les accès https réalisé pour la modification des playlists
• un certif pour gandalf pour les accès https (sauf si on reprend le même que sur aragorn)

Reste à voir :

1. test de la plateforme sous aragorn
2. test des fonctions ssh avec arwen
3. régler le problème des redirections du SSO qui ne veulent que des chemins en réseau privée
4. réinstaller gandalf quand les tests sur aragorn seront fini
5. créer des utilisateurs pour éviter de toujours utiliser les accès root un peu partout

L'installation de la climatisation a nécessité l'arrêt des serveurs pendant les travaux entre le 9 mai 19h30 et le 11 mai 18h. Les travaux n'ont pas dépassé la durée prévue, en première amélioration, la température des disques durs de beren s'est abaissée d'environ 8°C passant de 33°C à 25°C.

Les services web ont tous été remontés, au pire ce matin. Le seul service indisponible est MRTG, il semblerait que les commutateurs d-link aient oublié leur configuration...

Notre liaison internet SDSL était HS ce mardi 9 mai au matin entre 4h39 et 9h33. Après recherche dans les journaux, il apparait que la liaison SDSL est tombée à 4h39 mardi 9 mai 2006, et a été rétablie à 9h33. Le débit nul pendant cette période est visible sur MRTG, au niveau du routeur CISCO.

a regler : sur arwen : probleme avec la libssh qui ne semble pas marcher sur l'apache [aucun safe mode php pour les tests]
sur arwen tjs : probleme au lancement de sc_nsv : bind du port 8080 impossible [indépendant du numéro de port]
<05/05/2006@21:09:33> Playlist is in basic mode
<05/05/2006@21:09:33> Loaded 1 Items
<05/05/2006@21:09:33> Connecting to 127.0.0.1:8080
<05/05/2006@21:09:33> Error: Could not bind to port

sur sauron : probleme de mod_ssl qu'apache ne trouve pas alors qu'il est dans le bon rep.


Ajout tardif : je viens de tester la webradio, elle passe
pour les videos a tester mais j'ai de bonnes raisons de penser que ça passera aussi