Le blog de l'administrateur

L'installation des adaptateurs PS/2 -> USB a fonctionné, les deux serveurs sont donc accessibles via le KVM de la plateforme.

La distribution Debian Etch a été installée avec succès sans aucun problème. Suite de l'installation prochainement...

Aujourd'hui coupure de la plateforme entre 14h24 et 16h00, l'installation des deux onduleurs s'est bien passée. Maintenant les 2/3 des serveurs sont d'ores et déjà protégés, il restera quelques finitions à faire.

Effectuée sur tous les serveurs web publics sous linux, la version 2.2.6 est une grosse mise à jour de sécurité pour apache, voir la page du changelog. J'en ai profité pour y ajouter un module de sécurité normalement transparent pour une utilisation normale. Merci de me rapporter les éventuels dysfonctionnements des applications (Erreurs 500, 501, etc. inhabituelles).

Pour répondre au problème d'utilisation du port 25 depuis que plusieurs fournisseurs d'accès français interdisent expressément l'usage de ces ports (Free et Orange par exemple). J'ai installé un service de MSA (Message Submission Agent) pour que la messagerie soit de nouveau accessible. Conformément à la RFC 4409, il faut authentifier les utilisateurs. Pour cela, il conviendra d'utiliser ses identifiants de messagerie, mais ce n'est pas tout :

• L'utilisation des points d'accès WiFi ouverts et non sécurisés étant de plus en plus commune, l'authentification ne pourra se faire que si la communication est chiffrée.
• Le relevé de boite aux lettres (par IMAP ou POP3) devrait aussi être chiffré (c'est déjà possible depuis des années, mais sera bientôt obligatoire)
• Le port utilisé pour le service MSA est 587 et non plus 25, il faut modifier la configuration des clients de messagerie en conséquence...exemple avec Thunderbird :

l'Option "TLS, si disponible" ou "TLS" est obligatoire... sinon l'authentification ne se fera pas et le serveur retournera un message du style 'Relay access denied'. L'essai d'envoi sans authentification échouera aussi de la même manière avec le même message d'erreur :

Effectuée sur tous les serveurs web publics sous linux, la version 2.2.6 est une grosse mise à jour de sécurité pour apache, voir la page du changelog pour s'en convaincre !

Ce soir, j'ai pu mettre à jour en GNU/Debian Etch 4.0 les derniers serveurs qui étaient encore en Debian Sarge :

• aragorn (web principal)
• sam (supervision et sauvegardes)
• gimli (backoffice)

Sur ce dernier, la mise à jour de l'annuaire s'est mal passée, donc pour le moment, il n'y a plus de réplication sur ce serveur.

Ou comment gagner du précieux temps de compilation des pages PHP, plusieurs solutions existent pour PHP5 :

• APC Alternative PHP Cache
• xCache Un cache récent, livré avec une interface web d'administration
• d'autres libres ou non comme eAccelerator, turckMM, etc.

En consultant les comptes-rendus de réunions de développement de la version 6 de PHP (dont la version de test est disponible ici), notamment ce compte-rendu, j'ai pris la décision d'installer APC comme cache d'opcode sur pippin pour tests, avant de le déployer sur la totalité de nos serveurs web. APC sera intégré à la version 6 de PHP.

La dernière version de PHP corrige un certain nombre de vulnérabilités, je viens de la mettre à jour sur tous les serveurs en production sous Debian Etch. Parmi les extensions qui ont été ajoutées :

• PDO en module
• PDO_MySQL en module
• PDO_sqlite en module
• sqlite en module

ça aura permis aussi de refaire correctement les liens avec les librairies partagées suite à la migration sous debian Etch.

Aujourd'hui, mise à jour en Etch des serveurs :

• pippin.numerivienne.net

Rien de particulier à signaler, corrections à posteriori de :

• pop-before-smtp qui n'était pas actif après redémarrage du serveur (corrigé le 14/05)
• les outils imageMagick à disposition des applicatifs PHP qui n'avaient pas été mis à jour (corrigé le 15/05)

Aujourd'hui c'était au tour de gandalf de migrer de sarge vers etch. Aucun problème détecté mis à part que comme pour les autres mises à jour :

• Postfix est systématiquement désinstallé et exim4 installé
• Certains comptes utilisateurs sont proposés à la suppression, ce qu'il faut refuser.
• Les services portmap, nfs-common et inetd sont automatiquement lancés au démarrage.

Le service de webmail a été mis à jour pour la version 1.4.9a de squirrelmail qui corrige certaines vulnérabilités. D'une manière générale, le site SSL de pippin a été nettoyé, il ne reste plus que deux services : phpMyAdmin et le webmail.

La nouvelle version stable de Debian a été publiée le 8 avril 2007 (voir sur leur site ici), la question de la mise à jour globale de la plateforme numérivienne se pose naturellement. Le premier test de mise à jour a été fait tout à l'heure sur le serveur de diffusion multimédia arwen.numerivienne.net qui tourne maintenant avec une Debian Etch et non plus une Sarge.

D'ici quelques jours, si tout va bien, d'autres serveurs suivront (merry, frodon, aragorn, et tout le backoffice, etc...)

Suite à la publication de la dernière version de PHP corrigeant un certain nombre de problèmes de sécurité, je viens de procéder à la mise à niveau des Apache et PHP des serveurs suivants vers la nouvelle version Apache 2.2.4 et PHP 5.2.1 :

• pippin
• aragorn
• gandalf
• sam
• gimli
• legolas

Les serveurs suivants n'ont pas été mis à jour :

• arwen (extension ssh)
• beren (dont la durée de vie est limitée)

Je viens de procéder à la mise à jour de PHP 5.1.6 vers la version 5.2.0 (mise à jour recommandée sur le site officiel de PHP). Les serveurs de la plateforme numérivienne concernés sont :

• sam
• gimli
• legolas
• gandalf
• aragorn
• pippin

Les serveurs suivants gardent leurs versions actuelles (apache 2.2.3, PHP un peu moins récent) :

• beren, dont la vie a été prolongée jusqu'à migration de tous les sites écoles qui posent actuellement problèmes pour des raisons de compatibilité entre SPIP et PHP5.
• arwen (à cause de l'extension php ssh)

Pour faciliter l'utilisation "nomade" de la messagerie de Vienne Informatique depuis un client de messagerie, ce n'est pas évident, puisque pour envoyer du courrier, il faut depuis quelques années protéger nos serveurs de messagerie des spammeurs, il faut trouver un moyen de reconnaitre les vrais clients des spammeurs. Donc par défaut, le serveur de messagerie refuse tous les courriers qui ne sont pas destinés aux comptes qu'il gère... sauf que pour un utilisateur nomade, on ne peut dans ce cas envoyer des courriers qu'aux autres boites @vienneinfo.org et similaires, ça fait peu...

Première technique simple à mettre en place : le POP avant SMTP

Puisqu'il faut authentifier par un moyen ou un autre les clients avant de les autoriser à envoyer du courrier aux destinataires de leurs choix, une solution est déjà en place sur le serveur de messagerie :

• Le client relève sa boite (donc envoi de login + mot de passe correct)
• Un service popb4smtp sur pippin surveille les logins et collecte les adresses IP, et met à jour une base de données (et fait expirer les anciennes adresses collectées)
• Le même client tente d'envoyer du courrier... pippin vérifie alors un certain nombre de paramètres quant au destinataire des messages avant même que le corps du message soit envoyé :
  1. Domaine de messagerie connu (la partie qui suit le @ des adresses de messagerie), ceci est aussi valable pour l'adresse d'expéditeur.
  2. Le client fait partie des adresses IP connues et collectées par le service popb4smtp
  3. Interrogation du système de liste grise (en lui envoyant le triplet : adresse IP client, adresse expéditeur, adresse client)
• Une fois ce barrage passé, le corps du message est envoyé puis traité après passage par l'antivirus par le service de messagerie.

Le seul inconvénient de cette technique c'est qu'il n'y a pas d'authentification directe du client SMTP, mais indirecte via une connexion POP ou IMAP qui devra se produire avant.

Seconde technique... authentification par login/mot de passe

Cette fois, plus besoin de relever sa boite avant de se connecter au serveur, par contre avant de pouvoir envoyer un message à un destinataire extérieur, il faudra s'authentifier en envoyant au serveur son login et mot de passe de messagerie. A Vienne Informatique, cela fait déjà plusieurs années que les comptes de messagerie sont gérés par un annuaire LDAP, il a donc été relativement facile d'ajouter cette fonctionnalité au serveur de messagerie.

Inconvénient... comme l'authentification se faire par l'annuaire, on ne peut pas utiliser d'authentification sécurisée coté client (CRAM-MD5, etc...).

Seconde technique bis... version sécurisée de la précédente

Puisque les logins et mots de passes transitent en clair entre le client et le serveur, l'idée est d'obliger le client à utiliser une connexion chiffrée (par TLS) avant de l'autoriser à envoyer son login et son mot de passe. Fort heureusement, postfix permet de procéder de cette manière.

Conclusion

C'est cette dernière technique qui est maintenant utilisable sur le serveur de messagerie de Vienne Informatique. L'ancienne méthode (POP avant SMTP) restera valable jusqu'à la fin de l'année.

Pour continuer dans la lutte antispam... je viens d'installer un logiciel de greylist sur les serveurs de back-office.

pippin, le serveur de messagerie de Vienne Informatique utilise maintenant cet outil pour filter les messages entrant, avant qu'ils ne soient transmis par le serveur distant.

Le service est en route depuis samedi à 20h30, merci de me tenir informé si vous pensez que vous ne recevez plus certains messages... (en précisant l'adresse expéditeur théorique, que je fasse des recherches...).