Le blog de l'administrateur

La migration des bases de données vers les nouveaux serveurs a commencé... Les jours de l'ancien serveur sont comptés après pratiquement 9 années de services !

L'annuaire qui gère les comptes de messagerie ainsi que les comptes FTP a été déplacé sur les nouveaux serveurs de la plateforme.

L'installation des adaptateurs PS/2 -> USB a fonctionné, les deux serveurs sont donc accessibles via le KVM de la plateforme.

La distribution Debian Etch a été installée avec succès sans aucun problème. Suite de l'installation prochainement...

Aujourd'hui coupure de la plateforme entre 14h24 et 16h00, l'installation des deux onduleurs s'est bien passée. Maintenant les 2/3 des serveurs sont d'ores et déjà protégés, il restera quelques finitions à faire.

Effectuée sur tous les serveurs web publics sous linux, la version 2.2.6 est une grosse mise à jour de sécurité pour apache, voir la page du changelog. J'en ai profité pour y ajouter un module de sécurité normalement transparent pour une utilisation normale. Merci de me rapporter les éventuels dysfonctionnements des applications (Erreurs 500, 501, etc. inhabituelles).

Pour répondre au problème d'utilisation du port 25 depuis que plusieurs fournisseurs d'accès français interdisent expressément l'usage de ces ports (Free et Orange par exemple). J'ai installé un service de MSA (Message Submission Agent) pour que la messagerie soit de nouveau accessible. Conformément à la RFC 4409, il faut authentifier les utilisateurs. Pour cela, il conviendra d'utiliser ses identifiants de messagerie, mais ce n'est pas tout :

• L'utilisation des points d'accès WiFi ouverts et non sécurisés étant de plus en plus commune, l'authentification ne pourra se faire que si la communication est chiffrée.
• Le relevé de boite aux lettres (par IMAP ou POP3) devrait aussi être chiffré (c'est déjà possible depuis des années, mais sera bientôt obligatoire)
• Le port utilisé pour le service MSA est 587 et non plus 25, il faut modifier la configuration des clients de messagerie en conséquence...exemple avec Thunderbird :

l'Option "TLS, si disponible" ou "TLS" est obligatoire... sinon l'authentification ne se fera pas et le serveur retournera un message du style 'Relay access denied'. L'essai d'envoi sans authentification échouera aussi de la même manière avec le même message d'erreur :

Effectuée sur tous les serveurs web publics sous linux, la version 2.2.6 est une grosse mise à jour de sécurité pour apache, voir la page du changelog pour s'en convaincre !

Ce soir, j'ai pu mettre à jour en GNU/Debian Etch 4.0 les derniers serveurs qui étaient encore en Debian Sarge :

• aragorn (web principal)
• sam (supervision et sauvegardes)
• gimli (backoffice)

Sur ce dernier, la mise à jour de l'annuaire s'est mal passée, donc pour le moment, il n'y a plus de réplication sur ce serveur.

Ou comment gagner du précieux temps de compilation des pages PHP, plusieurs solutions existent pour PHP5 :

• APC Alternative PHP Cache
• xCache Un cache récent, livré avec une interface web d'administration
• d'autres libres ou non comme eAccelerator, turckMM, etc.

En consultant les comptes-rendus de réunions de développement de la version 6 de PHP (dont la version de test est disponible ici), notamment ce compte-rendu, j'ai pris la décision d'installer APC comme cache d'opcode sur pippin pour tests, avant de le déployer sur la totalité de nos serveurs web. APC sera intégré à la version 6 de PHP.

La dernière version de PHP corrige un certain nombre de vulnérabilités, je viens de la mettre à jour sur tous les serveurs en production sous Debian Etch. Parmi les extensions qui ont été ajoutées :

• PDO en module
• PDO_MySQL en module
• PDO_sqlite en module
• sqlite en module

ça aura permis aussi de refaire correctement les liens avec les librairies partagées suite à la migration sous debian Etch.

Aujourd'hui, mise à jour en Etch des serveurs :

• pippin.numerivienne.net

Rien de particulier à signaler, corrections à posteriori de :

• pop-before-smtp qui n'était pas actif après redémarrage du serveur (corrigé le 14/05)
• les outils imageMagick à disposition des applicatifs PHP qui n'avaient pas été mis à jour (corrigé le 15/05)

Aujourd'hui c'était au tour de gandalf de migrer de sarge vers etch. Aucun problème détecté mis à part que comme pour les autres mises à jour :

• Postfix est systématiquement désinstallé et exim4 installé
• Certains comptes utilisateurs sont proposés à la suppression, ce qu'il faut refuser.
• Les services portmap, nfs-common et inetd sont automatiquement lancés au démarrage.

Le service de webmail a été mis à jour pour la version 1.4.9a de squirrelmail qui corrige certaines vulnérabilités. D'une manière générale, le site SSL de pippin a été nettoyé, il ne reste plus que deux services : phpMyAdmin et le webmail.

La nouvelle version stable de Debian a été publiée le 8 avril 2007 (voir sur leur site ici), la question de la mise à jour globale de la plateforme numérivienne se pose naturellement. Le premier test de mise à jour a été fait tout à l'heure sur le serveur de diffusion multimédia arwen.numerivienne.net qui tourne maintenant avec une Debian Etch et non plus une Sarge.

D'ici quelques jours, si tout va bien, d'autres serveurs suivront (merry, frodon, aragorn, et tout le backoffice, etc...)

Suite à la publication de la dernière version de PHP corrigeant un certain nombre de problèmes de sécurité, je viens de procéder à la mise à niveau des Apache et PHP des serveurs suivants vers la nouvelle version Apache 2.2.4 et PHP 5.2.1 :

• pippin
• aragorn
• gandalf
• sam
• gimli
• legolas

Les serveurs suivants n'ont pas été mis à jour :

• arwen (extension ssh)
• beren (dont la durée de vie est limitée)

Je viens de procéder à la mise à jour de PHP 5.1.6 vers la version 5.2.0 (mise à jour recommandée sur le site officiel de PHP). Les serveurs de la plateforme numérivienne concernés sont :

• sam
• gimli
• legolas
• gandalf
• aragorn
• pippin

Les serveurs suivants gardent leurs versions actuelles (apache 2.2.3, PHP un peu moins récent) :

• beren, dont la vie a été prolongée jusqu'à migration de tous les sites écoles qui posent actuellement problèmes pour des raisons de compatibilité entre SPIP et PHP5.
• arwen (à cause de l'extension php ssh)