Axiso

Notes

Zimbra – zmlogswatchctl is not running

En vrac — décembre 2010

Zimbra ne parvient pas à lancer son module zmlogswatchctl venant remplacer logwatch.

cd /opt/zimbra/
./bin/zmcontrol status
Host example.com
  antispam     Running
  antivirus     Running
  ldap     Running
  logger     Stopped
      zmlogswatchctl is not running
  mailbox     Running
  mta     Running
  snmp     Running
  spell     Running
  stats     Running

Prendre connaissance des informations concernant ce défaut : 

cat log/zmlogswatch.out

Si le message suivant est affiché : 

Error opening /var/log/zimbra-stats.log: No such file or directory at /opt/zimbra/data/tmp/.swatch_script.24725 line 92

… tenter ceci : 

touch /var/log/zimbra-stats.log
./bin/zmcontrol restart

Si le défaut persiste, une piste serait liée à l’absence de syslog qu’il faut simuler en utilisant rsyslog : 

ln -s /etc/rsyslog.conf /etc/syslog.conf
./bin/zmcontrol restart

Zimbra – Erreur compte e-mail externe

En vrac — décembre 2010

Lors du paramétrage d’un compte e-mail localisé sur un serveur distant, Zimbra peut afficher cette erreur : 

Test Settings

Account Status
utilisateur_distant@example.com Failed
Error:	d2:CN13:mail.example.net1:O19:Dovecot mail server2:OU13:mail.example.net6:accept4:true5:alias31:mail.example.com:A1B2C3D4E5F6G7H8I:fromi123456789012345:host14:mail.example.com3:icn13:mail.example.net2:io19:Dovecot mail server3:iou13:mail.example.net3:md532:A1B2C3D4E5F6G7H8I9J0A1B2C3D4E5F6G:mismatch5:false1:s16:AD1146E274E129054:sha140:A1B2C3D4E5F6G7H8I9J0A1B2C3D4E5F6G7H8I9J0A:toi1234567890000ee
Note:	If you continue to save, account will be marked inactive.
Press Cancel to return to editing accounts.

Elle est due à la présence d’un certificat non reconnu sur le serveur de messagerie Dovecot distant, la connexion avec TLS étant alors refusée.

Accepter les certificats non reconnus dans la configuration de Zimbra : 

vi /opt/zimbra/conf/localconfig.xml
<key name="ssl_allow_untrusted_certs">
  <value>true</value>
</key>

Ajout d’une adresse IP / interface réseau

En vrac — décembre 2010

Pour un système Debian. Permet de répartir les services sur plusieurs adresses IP supplémentaires sur un même serveur.

Modifier le fichier listant les interfaces réseaux de la machine.

vi /etc/network/interfaces

Version originale

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
  address 123.123.123.123
  netmask 255.255.255.0
  network 123.123.123.0
  broadcast 123.123.123.255
  gateway 123.123.123.254

Version modifiée

Ajout du second bloc.

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
  address 123.123.123.123
  netmask 255.255.255.0
  network 123.123.123.0
  broadcast 123.123.123.255
  gateway 123.123.123.254

auto eth0:0
iface eth0:0 inet static
  address 456.456.456.456
  netmask 255.255.255.255
  broadcast 456.456.456.252

Relancer les connexions réseaux : 

/etc/init.d/networking restart

Eventuellement, penser à ajouter un hôte virtuel Apache pour les requêtes directes sur l’adresse IP afin que le premier site hébergé ne soit pas servi par défaut.

Préparer un disque externe USB

En vrac — février 2010 , , ,

Préparation dʼun disque dur externe USB neuf destiné à stocker les sauvegardes locales.

Avant de relier le disque à lʼordinateur et afin de connaître lʼidentifiant matériel du disque nécessaire par la suite, observer en temps réel les opérations sur le système :

tail -f /var/log/messages

Lorsque le disque sera branché au connecteur USB, une ligne devrait apparaître avec lʼidentifiant du matériel :

sd 11:0:0:0: [sda] Attached SCSI disk

Ou utiliser la commande 

fdisk -l

.

Démonter le disque du système mais le maintenir connecté.

Créer une partition avec lʼoutil Cfdisk :

cfdisk /dev/sda
  1. Se déplacer sur New
  2. choisir Primary
  3. Entrée
  4. choisir Write
  5. taper « yes »
  6. choisir Quit

Formater la partition avec le système de fichier EXT3 (pour des sauvegardes à partir dʼun ordinateur Linux) :

mkfs.ext3 /dev/sda1

Configurer (désactiver) les contrôles dʼintégrité du disque (opération non recommandée par la documentation) :

tune2fs -c 0 /dev/sda1
tune2fs -i 0 /dev/sda1

Eventuellement, nommer le support : 

e2label /dev/sda1 usb01

Autoriser lʼutilisateur à sauvegarder les données sur ce disque :

chown utilisateur:utilisateur -R /media/usb01

Espace disque disponible incohérent

Erreurs — janvier 2010

La commande df affiche un disque occupé à 100% ainsi qu’un espace disponible de 0 B alors que le volume de données indiqué comme présent sur le disque est inférieur à sa capacité initiale. Ceci qui peut rendre impossible le lancement d’une session utilisateur. Seul le compte root semble pouvoir se connecter au bureau KDE.

L’erreur de calcul des volumes occupés et disponibles est dû à la réservation d’un espace dédié au compte root. Il est possible de limiter cette allocation à un minimum de 1% sur un disque volumineux (1% de 500go représentant par exemple une marge confortable).

tune2fs -m1 /dev/hda1

df devrait maintenant afficher un espace disque libre en accord avec la réalité.

Debian – Accès root après la perte du passe

En vrac — décembre 2009 ,

Il reste possible d’accéder au compte root d’une machine Linux dont le mot de passe serait oublié. Il ne s’agit pas ici d’une récupération du passe mais de son remplacement.

Avec Debian :

  • relancer l’ordinateur
  • à l’étape de chargement de Grub, mettre en surbrillance la seconde option du noyau utilisé habituellement, celle proposant le single-mode
  • appuyer sur e pour éditer la ligne correspondante
  • sélectionner la commande contenant « vmlinuz » et l’éditer avec e
  • vérifier la présence ou ajouter « single init=/bin/bash » en fin de ligne
  • valider avec Entrée
  • lancer le boot avec b
  • ceci devrait poursuivre le chargement du système et aboutir à une invite de commande sous le compte root
  • rendre le système accessible avec « mount -o remount, rw / »
  • modifier ensuite le passe root avec passwd
  • re-démarrer la machine : reboot

Recherche de texte avec Grep

Console / Shell — novembre 2009

Ne pas tenir compte de la casse typographique (caractères majuscules / minuscules) :

grep -i 'aBCdefG'

Trouver les fichiers textes contenant la recherche et présents dans divers répertoires : 

grep -Hir abcdefg /home/utilisateur/*/*.txt

Rechercher plusieurs termes au choix (condition OU / OR) :

grep -E 'aaaa|bbbb|cccc'

Désactivation du Fsck forcé au démarrage

Erreurs

Tous les N démarrages du système, un contrôle de l’intégrité du disque par Fsck est imposé. Ceci a pour effet de rendre le poste de travail ou le serveur inutilisable durant le test du système, de quelques minutes à plusieurs dizaines de minutes selon le volume des disques.
L’alerte affichée correspond à

/dev/sda1 has been mounted 111 times without being checked, check forced

ou

/dev/sda1 has gone 111 days without being checked, check forced

Bien que cela ne soit pas recommandé par la documentation, il est possible de désactiver cette fonctionnalité.

Obtenir la configuration actuelle :

dumpe2fs -h /dev/sda1 | grep -Ei 'mount count|check interval'
dumpe2fs 1.41.3 (12-Oct-2008)
Mount count: 3
Maximum mount count: 34
Check interval: 15552000 (6 months)

3 démarrages ont eu lieu depuis le dernier contrôle qui intervient tous les 34 lancements de la machine ou tous les 6 mois.

Désactiver le contrôle forcé :

tune2fs -c 0 /dev/sda1
tune2fs -i 0 /dev/sda1

Modifier le paramètre -c (compteur) et -i (intervalle de temps) à la valeur 0 aura pour effet de ne plus lancer le test automatique.
Il est aussi possible de choisir une autre valeur afin de réduire ou d’espacer les tests.

Un contrôle régulier de l’état des disques reste possible avec la commande suivante à activer avant le re-démarrage du système :

touch /forcefsck
reboot

Aptitude – Etre informé des mises à jour avec Apticron

En vrac — octobre 2009 , ,

L’outil Apticron offre la possibilité de lister quotidiennement les nouveaux paquetages habituellement disponibles avec la commande aptitude upgrade sous forme d’e-mail.

aptitude update
aptitude install apticron

Modifier l’adresse e-mail vers laquelle envoyer les messages d’information :

sed -i 's/EMAIL="root"/EMAIL="contact@example.com"/' /etc/apticron/apticron.conf

Audit Apache avec Nikto

En vrac — octobre 2009 ,

Installation de l’outil Nikto :

aptitude install nikto

Mise à jour de ses données de test :

nikto -update

Analyse du serveur Apache correspondant à un domaine :

nikto -h www.example.com

Après quelques instants, le résultat obtenu listera les alertes et informations relatives aux différents tests menés par Nikto sur le serveur :

---------------------------------------------------------------------------
- Nikto 2.02/2.03     -     cirt.net
+ Target IP:       111.222.333.444
+ Target Hostname: www.example.com
+ Target Port:     80
+ Start Time:      2009-11-11 11:11:11

+ Server: Apache/2.2.9 (Debian) PHP/5.2.11-0.dotdeb.1 with Suhosin-Patch
- Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE
+ OSVDB-877: HTTP method ('Allow' Header): 'TRACE' is typically only used for debugging and should be disabled. This message does not mean it is vulnerable to XST.
+ OSVDB-877: TRACE / : TRACE option appears to allow XSS or credential theft. See http://www.cgisecurity.com/whitehat-mirror/WhitePaper_screen.pdf for details
+ OSVDB-3268: GET /icons/ : Directory indexing is enabled: /icons
+ OSVDB-3233: GET /icons/README : Apache default file found.
+ 2967 items checked: 5 item(s) reported on remote host
+ End Time:        2009-10-20 9:50:09 (10 seconds)

+ 1 host(s) tested

Les alertes présentées ici correspondent à celle d’un serveur Apache nouvellement installé et ne représentent pas de faille de sécurité directes.

« Newer PostsOlder Posts »