ServeurPerso.fr / MonServeurPerso.com

Aller au contenu | Aller au menu | Aller à la recherche

jeudi 25 septembre 2014

Faille GNU Bash

Aujourd'hui, une faille au niveau du GNU Bash a été découverte ! Mettez à jour vos serveurs.

Pour tester la chose, voici un exemple fourni par blogmotion :

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Si vous voyez ceci s'afficher, c'est pas bon :-(

vulnerable

this is a test

Si vous voyez ceci, c'est bon !

bash: avertissement :x: ignoring function definition attempt

bash: erreur lors de l'import de la définition de fonction pour « x »

this is a test

Voir le site du CERT France pour plus de détails sur la faille en question.

lundi 15 septembre 2014

Synology : Désactiver la vérification en 2 étapes en SSH

Si vous avez activer la fonction de vérification en 2 étapes sur votre NAS Synology et que vous avez atteint la limite des 5 codes d'urgence, voici une solution pour désactiver la dite vérification.

ssh_synology_desactiver_2_etapes_2.jpg

Le pré-requis : SSH doit être activer sur le NAS.

On se connecte sur le NAS via un client SSH (si vous êtes sous Windows) sinon on lance un Shell (sous Linux), dans le cas présent, j'utilise KiTTY sous Windows.

ssh_synology_desactiver_2_etapes.jpg

On se diriger vers le répertoire suivant :

cd /usr/syno/etc/preference/admin/ folder

Puis on supprime google_authenticator avec la commande :

rm google_authenticator

On confirme par la suppression par Y

Ceci fait, on se dirige vers l'interface web du nas et on s'authentifie.

Comme vous pouvez le voir, le code de la vérification en 2 étapes n'est plus requis.

jeudi 11 septembre 2014

Mise à jour Synology DSM 5.0

Si vous utilisez un NAS Synology équipé de la version 5.0 du DSM, une mise à jour vous attends.

Voici les correctifs apportés :

Improvement

   # Improve the stability of file copy to encrypted shared folders.

Fixed Issues

   # Fixed a vulnerability that could allow servers to accept unauthorized access.

mise_jour_synology.png

Mise à jour estampillée 4493 Update 5

lundi 9 juin 2014

Installation d'un patch ESXi

Voici la procédure à appliquer quand on souhaite installer un patch sur un serveur esxi.

Pré-requis : avoir un accès ssh sur le serveur ou un accès direct au serveur esxi.

On passe la machine en mode maintenance :

~ # vim-cmd hostsvc/maintenance_mode_enter

En retour, on obtient quelques choses comme ça :

'vim.Task:haTask-ha-host-vim.HostSystem.enterMaintenanceMode-480860420'

On se déplace dans le répertoire contenant le patch qu'on aura au préalable télécharger.

Dans le cas présent, un répertoire patch a été télécharger sur le datastore1 contenant le fichier zip de la mise à jour.

~ # cd /vmfs/volumes/datastore1/Patch/

Un listage du répertoire permeet de voir le fichier zip :

/vmfs/volumes/509028a7-8b9f5f08-e7e0-001b21ce9319/Patch # ls
ESXi550-201404001.zip

On lance la commande suivante pour appliquer le patch.

# esxcli software vib update -d "/vmfs/volumes/datastore1/Patch/ESXi550-201404001.zip"

En retour, on obtient le message suivant :

Installation Result
Message: The update completed successfully, but the system needs to be rebooted for the changes to be effective.
Reboot Required: true
VIBs Installed:

Si on passe la commande suivante :

esxcli software vib list

On obtient la liste des logiciels installés ainsi que la date d'installation.

Ceci fait, on redémarre le serveur ESXi :

reboot

Une fois, le serveur redémarré, on repasse ce dernier en mode normal :

~ # vim-cmd hostsvc/maintenance_mode_exit

En retour, on obtient quelques choses comme ça :

'vim.Task:haTask-ha-host-vim.HostSystem.exitMaintenanceMode-230145299'

mercredi 9 avril 2014

Windows XP, c'est fini...

A partir du 8 avril 2014 (hier), Microsoft Windows XP ne connaîtra plus de mise à jour de la part de l'éditeur Microsoft, après 13 ans de service, le système d'exploitation de la firme de Redmond prendra sa retraite (bien méritée).

Si vous avez encore un pc sous windows xp, il faudra soit qu'il soit bien protégé (quoique ?) ou qu'il ne soit pas relié au monde extérieur (internet).

Pour pallier à l'abandon par Microsoft de son OS, deux choix s'offrent à vous, soit changer de matériel et passer par la même occasion sous Windows 8, soit garder votre ancien matériel et installer une distribution Linux (exemple : ubuntu, mageia).

Ce qui pour le deuxième choix ne vous coûtera rien. Pour le choix de passer à Windows 8, cela dépendra du prix de la configuration.

Si votre matériel n'est pas trop ancien, il est possible qu'il puisse accueillir Windows 8, voir le lien suivant pour vérifier avec l'assistant de mise à niveau.

http://windows.microsoft.com/fr-fr/windows-8/upgrade-from-windows-vista-xp-tutorial

logo_Microsoft_Windows_XP.png

Dans tous les cas, sorter couvert...

mercredi 26 mars 2014

Nginx et .user.ini

Si vous avez déjà configurer un serveur web apache, vous avez dû utiliser le fameux fichier .htaccess. Si vous avez migrer depuis sous Nginx vous vous êtes aperçu que les .htaccess ne fonctionne pas sous ce serveur web.

A cela, une solution possible, le fameux fichier .user.ini qui permet de définir des paramètres spécifiques pour un domaine par exemple tout comme on peut le faire sous Apache avec le .htaccess.

Vous n’avez qu’à placer le fichier .user.ini à la racine du domaine que vous souhaitez personnaliser. Le fichier étant relu toutes les 5 minutes (par défaut), il faudra peut-être attendre quelques instants pour qu’il soit pris en compte.

Voilà, les infos, si l’on fait un phpinfo() :

phpinfo_user.ini.png

Très pratique ce fichier quand on souhaite par exemple définir une taille de fichier maximale supérieure à 8 mo (par défaut).

samedi 22 mars 2014

Logwatch : où comment je surveille les logs ?

Vous avez un serveur linux, problème, vous n'avez pas le temps de faire le tour de ses logs.

A ce là, une réponse : Logwatch

Ce logiciel permet d'analyser les différents logs d'un linux et de générer un rapport détaillé.

Voici une petite procédure pour l'installer sur votre système :

aptitude install logwatch

Puis on copie le fichier de config' :

sudo cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/

Ensuite, on édite le fichier de configuration :

sudo nano /etc/logwatch/conf/logwatch.conf

Au niveau config voici ce que l'on peut faire :

LogDir = /var/log
TmpDir = /var/cache/logwatch
Output = mail
Format = html
Encode = none
MailTo = le1eremail@mondomaine.fr eventuellement2email@mondomaine.fr
MailFrom = Logwatch@mondomaine.fr
Filename = /tmp/logwatch
Archives = Yes
Range = all
Detail = Med
Service = All
Service = "-zz-network"
Service = "-zz-sys"
Service = "-eximstats"

On enregistre les modifications.

Ensuite, on lance la commande :

sudo logwatch

Ceci va lancer le programme logwatch puis envoyer le rapport version html vers la boite e-mail défini.

Voici un exemple de rapport HTML :

logwatch_rapport_html.png

Et vous, vous utilisez quel logiciel pour analyser vos logs ?

mardi 18 février 2014

Synology DSM : Mise à jour IMPORTANTE !

Synology a envoyé un e-mail aux utilisateurs de ses NAS à propos de 2 failles importantes découvertes dans le logiciel DSM. IL est FORTEMENT conseillé de mettre à jour le plus rapidement possible.

http://www.synology.com/fr-fr/support/download

Voici le contenu de l'e-mail reçu dans la journée :

Dear Synology users,

Synology® confirmed known security issues (reported as CVE-2013-6955 and CVE-2013-6987) which would cause compromise to file access authority in DSM. An updated DSM version resolving these issues has been released accordingly.

The followings are possible symptoms to appear on affected DiskStation and RackStation:

   Exceptionally high CPU usage detected in Resource Monitor:
   CPU resource occupied by processes such as dhcp.pid, minerd, synodns, PWNED, PWNEDb, PWNEDg, PWNEDm, or any processes with PWNED in their names
   Appearance of non-Synology folder:
   An automatically created shared folder with the name “startup”, or a non-Synology folder appearing under the path of “/root/PWNED”
   Redirection of the Web Station:
   “Index.php” is redirected to an unexpected page
   Appearance of non-Synology CGI program:
   Files with meaningless names exist under the path of “/usr/syno/synoman”
   Appearance of non-Synology script file:
   Non-Synology script files, such as “S99p.sh”, appear under the path of “/usr/syno/etc/rc.d”

If users identify any of above situation, they are strongly encouraged to do the following:

   For DiskStation or RackStation running on DSM 4.3, please follow the instruction here to REINSTALL DSM 4.3-3827.
   For DiskStation or RackStation running on DSM 4.0, it’s recommended to REINSTALL DSM 4.0-2259 or onward from Synology Download Center.
   For DiskStation or RackStation running on DSM 4.1 or DSM 4.2, it’s recommended to REINSTALL DSM 4.2-3243 or onward from Synology Download Center.

For other users who haven’t encountered above symptoms, it is recommended to go to DSM > Control Panel > DSM Update page, update to versions above to protect DiskStation from malicious attacks.

Synology has taken immediate actions to fix vulnerability at the point of identifying malicious attacks. As proliferation of cybercrime and increasingly sophisticated malware evolves, Synology continues to casting resources mitigating threats and dedicates to providing the most reliable solutions for users. If users still notice their DiskStation behaving suspiciously after being upgraded to the latest DSM version, please contact security@synology.com.

Sincerely, Synology Development Team

vendredi 24 janvier 2014

Attribut caché et système d’un fichier ou d’un répertoire suite à un virus (case caché grisée)

Si vous avez une clé qui a subi l'infection d'un virus tel que iTunesHelper.vbe alors la clé doit être passée à l'antivirus (ex : ESET). Par ailleurs, les fichiers et répertoires présents ont disparu pour ce faire voici une technique pour remettre les choses d'origine.

Tout d'abord, on jette un oeil dans la base de registre, pour ce faire on lance regedit en allant dans Démarrer / Exécuter, ceci étant on peut également lancer une invite de commandes puis on tape la commande regedit.

On se dirige vers l'arborescence HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden

Puis on vérifie les valeurs suivantes :

NOHIDDEN/CheckedValue : DWORD : 2
NOHIDDEN/DefaultValue : DWORD : 2
SHOWALL/CheckedValue : DWORD : 1
SHOWALL/CheckedValue : DWORD : 2

regedit_fichier_cache_2.png

regedit_fichier_cache_1.png

Si les valeurs sont identiques alors on va s'occuper des répertoires et fichiers qui sont en mode caché.

Pour ce faire on lance une invite de commandes (Démarrer / Tous les programmes / Accessoires) en faisant un clic droit dessus et en choisissant Exécuter en tant qu'Administrateur.

On se déplace sur la clé USB (ici correspondant au lecteur G:) puis on fait un attrib -h *.* pour afficher les fichiers et répertoires cachés :

attrib_fichier_systeme_non_reinitialise.png

Pour supprimer l'attribut caché et système, on tape la commande :

attrib /d /s -s -h

attrib_ok.png

Selon le nombre de fichiers et de répertoires, cela peut prendre de quelques secondes à plusieurs minutes.

Si tout est ok, vous devriez à nouveau voir vos fichiers / répertoires dans l'explorateur Windows.

mardi 7 janvier 2014

Extraction d'un dump mysql dans des fichiers individuels

Suite à l'article d'hier concernant l'extraction d'une base à partir d'un Dump MySQL. Ce soir, j'ai fait une recherche pour faire une extraction des tables mysql contenues dans un dump mysql puis enregistrer dans un fichier individuel.

La recherche ne fut pas très longue puisque kedar avait réaliser, il y a quelques années, un script qui remplissait cette fonction (à merveille).

Voici la marche à suivre si vous souhaitez utiliser ce script.

Tout d'abord, on le télécharge :

wget http://kedar.nitty-witty.com/blog/wp-content/uploads/2010/02/mysqldumpsplitter.sh.txt

Puis on renomme le fichier comme ceci :

sudo mv mysqldumpsplitter.sh.txt mysqldumpsplitter.sh

On met le droit d'execution :

chmod +x mysqldumpsplitter.sh

Si on lance le script directement sans argument voici le résultat :

sudo ./mysqldumpsplitter.sh

mydumpsplitter.png

Dans le cas présent, j'ai lancé la commande ci-dessous pour extraire les différentes tables du dump de la base d'hier que j'avais extrait du dump "général".

sudo ./mysqldumpsplitter.sh nom-de-la-base.sql

Résultat :

Toutes les tables de ma base de données dans des fichiers individuels histoire de facilité la restauration de ce qui nous intéresse vraiment.

lundi 6 janvier 2014

Extraire une base d'un Dump MySQL

Si vous souhaitez extraire une base de données d'un DUMP MySQL, rien de plus simple.

sed -n '/^--Current Database: `nom-de-la-base`/, /^--Current Database: `/p' dump-mysql.sql > nom-de-la-base.sql

Si vous souhaitez faire une restauration d'une base de données depuis un Dump MySQL sur un serveur :

mysql> mysql -u root -p --one-database nom-de-la-base < dump-mysql.sql

mardi 17 septembre 2013

Quelques commandes vim-cmd sur ESXi

Voici quelques commandes que vous pouvez utiliser en étant en local ou via SSH sur un serveur ESXi. La valeur VMID sera remplacer par l'ID de la machine virtuelle.

vim-cmd vmsvc/getallvms (liste les vm sur le serveur)

vim-cmd vmsvc/power.getstate VMID (récupérer l'état de la vm)

vim-cmd vmsvc/power.shutdown VMID (pour éteindre la vm)

vim-cmd vmsvc/power.on VMID (pour démarrer une vm)

Si le shutdown ne fonctionne pas, on peut faire un power off:

vim-cmd vmsvc/power.off VMID

Sinon nous avons aussi cela :

vim-cmd vmsvc/get.summary VMID (affiche les informations de la vm)

Suite à un vim-cmd vmscv/power.suspend VMID on fait un vim-cmd vmscv/power.on VMID pour relancer la vm.

Pour éteindre le serveur ESXi : poweroff

Pour redémarrer le serveur ESXi : reboot

Une liste plus complète est disponible ICI

mardi 10 septembre 2013

Installation du pilote d'impression canon sous linux

J'ai procédé à l'installation du pilote officiel Canon pour une imprimante PIXMA MX885, j'ai eu quelques difficultés à parvenir à la bonne installation de ce dernier. Et pour cause, celui ci date un peu (2011) et est à l'origine de pas mal de topic sur les forums.

Voici mon retour d'expérience sur une distribution Mageia 3 (64 bits).

Concernant du pilote, il s'agit du dernier en date sur le site officiel de canon : Linux IJ Printer Driver 3.50

Nom du fichier : cnijfilter-mx880series-3.50-1-rpm

Le premier problème que j'ai rencontré c'était des dépendances que j'ai pu résoudre en installant les paquets utiles à savoir :

libpangox-1.0.so.0()(64bit)
libpng12.so.0()(64bit)

Concernant la dernière dépendance, elle n'a pu être satisfaite dû au fait que dans la version mageia 3 c'est la version 5 de libtiff.

erreur : Dépendances requises:
libtiff.so.3()(64bit) est nécessaire pour cnijfilter-mx880series-3.50-1.x86_64

Une première solution consiste à faire un lien symbolique :

ln -s /usr/lib64/libtiff.so.5 /usr/lib64/libtiff.so.3

Si vous êtes sur une architecture 32 bits, il faut faire un lien symbolique comme ceci :

ln -s /usr/libtiff.so.5 /usr/libtiff.so.3

Personnellement, cela n'a pas résolu mon problème à l'installation.

Une autre solution consiste à modifier le script install.sh pour qu'il ignore le problème de dépendance.

Donc, j'ai édité le script pour recherche la ligne susceptible de lancer l'install, à savoir la ligne 1572 qui contient la ligne suivante :

C_FUNC_show_and_exec "rpm -Uvh $c_fpath_pkg_name"

Que j'ai modifié comme ceci :

C_FUNC_show_and_exec "rpm -Uvh --nodeps $c_fpath_pkg_name"

Une fois la modification faite, j'ai enregistré et j'ai relancé le script d'installation.

Là, l'installation continue sans problème :

Commande exécutée = rpm -Uvh --nodeps ./packages/cnijfilter-common-3.50-1.x86_64.rpm
Préparation... ################################# 100%
Updating / installing...
1:cnijfilter-common-3.50-1 ################################# 100%
Commande exécutée = rpm -Uvh --nodeps ./packages/cnijfilter-mx880series-3.50-1.x86_64.rpm
Préparation... ################################# 100%
Updating / installing...
1:cnijfilter-mx880series-3.50-1 ################################# 100%

Une fois ceci fait, j'ai suivi la procédure d'installation indiqué à l'écran.

A la fin de l'installation, j'ai obtenu un autre message d'erreur :

lpadmin: Bad device-uri scheme "cnijnet".
L'enregistrement de l'imprimante n'est pas terminée.
Enregistrez l'imprimante manuellement à l'aide de la commande lpadmin.

En faisant une recherche, je n'ai pas trouver de cnijnet sur mon système.

J'ai donc extrait le contenu du paquet cnijfilter-mx880series-3.50-1-rpm pour voir ce qui pouvait avoir été omis par le script d'installation. J'ai vu que les fichiers cnijnet, cnijusb et pstocanonij ne s'était pas copier dans les répertoires adéquates. J'ai procédé à la copie moi même :

cp packages/usr/lib64/cups/backend/cnijnet /usr/lib64/cups/backend/
cp packages/usr/lib64/cups/backend/cnijusb /usr/lib64/cups/backend/
cp packages/usr/lib64/cups/filter/pstocanonij /usr/lib64/cups/filter/

Enfin, j'ai lancé la commande indiquée à la fin du script d'installation à savoir :

lpadmin -p MX885LAN -m canonmx880.ppd -v cnijnet:/88-87-17-7A-XX-XX -E

Pas d'erreur...

Je vérifie dans le centre de contrôle de Mageia (CCM), mon imprimante est bien là, je lance une impression test.. C'est OK ! ça fonctionne :-)

dimanche 11 août 2013

Intel WiFi Link 5100 et NetworkManager

Intel propose une carte wifi mini pcie(xpress) qui offre l'avantage de fonctionner sur le 2,4 Ghz et le 5 Ghz.

Le souci étant que la dite carte présente une "incompatibilité" avec le NetworkManager qui est utiliser dans plusieurs distributions Linux (dont la Mageia) à l'heure actuelle.

La carte en question est la Intel WiFi Link 5100.

Intel WiFi Link 5100

Dans le cas présent, la carte fonctionne bien mais dès que l'on souhaite utiliser le NetworkManager pour se connecter à un point d'accès WIFI, il y a une erreur de connexion, peu importe le réseau wifi (ouvert ou protéger) sur lequel on souhaite se connecter.

Elle ne parvient pas à se connecter à quelques réseaux que ce soit.

La solution trouvée est de supprimer le paquet NetworkManager de la distribution utilisée.

Si vous connaissez une solution moins radicale, je suis preneur :-)

samedi 10 août 2013

Truecrypt & Loop sous Linux

Si vous avez le message d'erreur (ci-dessous) quand vous essayez de monter un volume Truecrypt sous Linux en l’occurrence dans le cas présent sous Mageia 3.

failed to set up a loop device

Il faut faire la manip' suivante :

echo "loop" > /etc/modprobe.preload.d/loop

Ceci aura pour effet de charger le module loop au démarrage du système et par la même occasion de rentre possible le montage du volume Truecrypt au prochain démarrage.

Si vous souhaitez charger le module loop toute de suite sans redémarrage, ouvrez un terminal en root et taper la commande suivante :

modprobe loop

Et voilà, dès à présent, vous pouvez monter votre volume Truecrypt.

mardi 18 juin 2013

LFTP - certificate verification : not trusted

Si vous utilisez le client (FTP) lftp et si vous essayez d'établir une connexion sur un serveur FTP Sécurisé alors vous rencontrer peut-être ce message d'erreur :

Certificate verification : Not trusted

Dans ce cas, il vous faut faire la manip' suivante, on édite le fichier de configuration lftp qui se situe dans /etc/lftp.conf :

sudo nano /etc/lftp.conf

On ajoute la ligne suivante à la fin du fichier :

set ssl:verify-certificate no

Puis on enregistre la modification.

On refait le connexion au serveur ftps et là plus de message d'erreur.

Voici les informations concernant ssl:verify-certificate dans le man :

ssl:verify-certificate (boolean)
if set to yes, then verify server's certificate to be signed by a known Certificate Authority and not be on Certificate Revocation List.

dimanche 16 juin 2013

Mise à jour du wiki

Le Dokuwiki a été mise à jour. Par la même occasion, j'ai mis en place un script qui permettra d'automatisé en grande partie le processus en m'inspirant ce document.

Wiki de ServeurPerso.fr

NDD : Transfert de bureau

Dernièrement, j'ai procédé à deux transferts de bureau pour 2 noms de domaines que j'avais chez Amen et que j'ai passé chez Bookmyname.

Résultat : il faut compter quelques 10 jours pour que la démarche soit effectif.

Par expérience, je sais que chez d'autres registars la procédure est plus rapide.