Axiso

Notes

Fail2ban au lancement de Iptables

En vrac — août 2011 ,

Si un arrêt du service Iptables ou un chargement de ses règles est nécessaire alors que Fail2ban est utilisé sur le système, ne pas oublier de relancer ce dernier après Iptables afin qu’il initialise à nouveaux ses propres règles.

Situation initale :

iptables -L
Chain INPUT (policy ACCEPT)
target  prot opt source  destination
fail2ban-ssh  tcp  --  anywhere  anywhere  multiport dports ssh,10022
ACCEPT  all  --  anywhere  anywhere
REJECT  all  --  anywhere  loopback/8  reject-with icmp-port-unreachable
ACCEPT  all  --  anywhere  anywhere  state RELATED,ESTABLISHED
ACCEPT  all  --  loopback/8  loopback/8
ACCEPT  tcp  --  anywhere  anywhere  tcp dpt:ftp
…

Chain fail2ban-ssh (1 references)
target  prot opt source  destination
RETURN  all  --  anywhere  anywhere

Effacement et exemple de chargement des règles de Iptables :

iptables -F
iptables-restore < /etc/iptables/iptables-start-source
iptables -L
Chain INPUT (policy ACCEPT)
target  prot opt source  destination
ACCEPT  all  --  anywhere  anywhere
REJECT  all  --  anywhere  loopback/8  reject-with icmp-port-unreachable
ACCEPT  all  --  anywhere  anywhere  state RELATED,ESTABLISHED
ACCEPT  all  --  loopback/8  loopback/8
ACCEPT  tcp  --  anywhere  anywhere  tcp dpt:ftp

Fail2ban n’étant plus actif, le charger à nouveau :

/etc/init.d/fail2ban reload
iptables -L
Chain INPUT (policy ACCEPT)
target  prot opt source  destination
fail2ban-ssh  tcp  --  anywhere  anywhere  multiport dports ssh,10022
ACCEPT  all  --  anywhere  anywhere
REJECT  all  --  anywhere  loopback/8  reject-with icmp-port-unreachable
ACCEPT  all  --  anywhere  anywhere  state RELATED,ESTABLISHED
ACCEPT  all  --  loopback/8  loopback/8
ACCEPT  tcp  --  anywhere  anywhere  tcp dpt:ftp
…

Chain fail2ban-ssh (1 references)
target  prot opt source  destination
RETURN  all  --  anywhere  anywhere

Conversion de caractères spéciaux sur MySQL

Mysql — mai 2011 , ,

Si les données présentes sur une table sont enregistrées avec un encodage erroné, il est possible de rétablir les caractères spéciaux corrects avec cette suite de commandes, à défaut de mieux.

UPDATE `table` SET `column`=REPLACE(`column`,'á','á');
UPDATE `table` SET `column`=REPLACE(`column`,'ä','ä');
UPDATE `table` SET `column`=REPLACE(`column`,'â','â');
UPDATE `table` SET `column`=REPLACE(`column`,'é','é');
UPDATE `table` SET `column`=REPLACE(`column`,'è','è');
UPDATE `table` SET `column`=REPLACE(`column`,'ê','ê');
UPDATE `table` SET `column`=REPLACE(`column`,'ë','ë');
UPDATE `table` SET `column`=REPLACE(`column`,'ì','ì');
UPDATE `table` SET `column`=REPLACE(`column`,'í','í');
UPDATE `table` SET `column`=REPLACE(`column`,'î','î');
UPDATE `table` SET `column`=REPLACE(`column`,'ïo','ï');
UPDATE `table` SET `column`=REPLACE(`column`,'ò','o');
UPDATE `table` SET `column`=REPLACE(`column`,'ó','ò');
UPDATE `table` SET `column`=REPLACE(`column`,'ô','ó');
UPDATE `table` SET `column`=REPLACE(`column`,'ö','ô');
UPDATE `table` SET `column`=REPLACE(`column`,'ù','ö');
UPDATE `table` SET `column`=REPLACE(`column`,'ú','ù');
UPDATE `table` SET `column`=REPLACE(`column`,'ü','ú');
UPDATE `table` SET `column`=REPLACE(`column`,'û','ü');
UPDATE `table` SET `column`=REPLACE(`column`,'€','û');
UPDATE `table` SET `column`=REPLACE(`column`,'Ã','à');
UPDATE `table` SET `column`=REPLACE(`column`,'€','€');
Voir aussi

http://www.mickperez.com/webengineer/strange-characters-after-importing-a-mysql-dump

Connexion FTPES en console avec LFTP

Console / Shell — mai 2011 , ,

Accès FTPES (FTP + SSL) après installation du client LFTP : 

user@example.org:~# lftp
lftp :~> set ftp:ssl-force true
lftp :~> connect ftp.example.net
lftp ftp.s1.dirvia.com:~> login user
Voir aussi

http://www.linuxweblog.com/ftp-tls-ssl

Connexion SSL/HTTPS pour un hôte virtuel Apache

Serveur — décembre 2010 , ,

Mise en place d’une sécurisation SSL obligatoire pour la connexion à un hôte virtuel existant.

Exemple de configuration existante : 

cat /etc/apache2/sites-available/example.com
<VirtualHost 123.123.123.123:80>
  ServerName example.com
  DocumentRoot /home/www/example.com/web/web

  ## Logs
  CustomLog /home/www/example.com/log/apache/access.log combined env=!no_log
  ErrorLog /home/www/example.com/log/apache/error.log
  ## / Logs

</VirtualHost>

Activation du module SSL de Apache si nécessaire : 

a2enmod ssl

Modifications à apporter sur la configuration SSL du domaine à partir de la configuration existante : 

cp /etc/apache2/sites-available/example.com /etc/apache2/sites-available/example.com-ssl
vi /etc/apache2/sites-available/example.com-ssl
<IfModule mod_ssl.c>
<VirtualHost 123.123.123.123:443>
  ServerName example.com
  DocumentRoot /home/www/example.com/web/web

  ## Logs
  CustomLog /home/www/example.com/log/apache/access.log combined env=!no_log
  ErrorLog /home/www/example.com/log/apache/error.log
  ## / Logs

  ## SSL
  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
  SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
  ## / SSL

</VirtualHost>
</IfModule>

Modifications à apporter sur la configuration de base afin de forcer le renvoi de HTTP vers HTTPS : 

vi /etc/apache2/sites-available/example.com
<VirtualHost 123.123.123.123:80>
  ServerName example.com
  DocumentRoot /home/www/common/error

  Redirect permanent / https://example.com

</VirtualHost>

Activation de la configuration SSL et contrôle de l’opération : 

a2ensite example.com-ssl
apache2ctl graceful
netstat -tap | grep https

doit afficher : 

tcp6  0  0 [::]:https  [::]:*  LISTEN  1386/apache2

et la connexion vers http://example.com doit être aussitôt renvoyée vers https://example.com.

Zimbra – zmlogswatchctl is not running

En vrac — décembre 2010

Zimbra ne parvient pas à lancer son module zmlogswatchctl venant remplacer logwatch.

cd /opt/zimbra/
./bin/zmcontrol status
Host example.com
  antispam     Running
  antivirus     Running
  ldap     Running
  logger     Stopped
      zmlogswatchctl is not running
  mailbox     Running
  mta     Running
  snmp     Running
  spell     Running
  stats     Running

Prendre connaissance des informations concernant ce défaut : 

cat log/zmlogswatch.out

Si le message suivant est affiché : 

Error opening /var/log/zimbra-stats.log: No such file or directory at /opt/zimbra/data/tmp/.swatch_script.24725 line 92

… tenter ceci : 

touch /var/log/zimbra-stats.log
./bin/zmcontrol restart

Si le défaut persiste, une piste serait liée à l’absence de syslog qu’il faut simuler en utilisant rsyslog : 

ln -s /etc/rsyslog.conf /etc/syslog.conf
./bin/zmcontrol restart

Zimbra – Erreur compte e-mail externe

En vrac — décembre 2010

Lors du paramétrage d’un compte e-mail localisé sur un serveur distant, Zimbra peut afficher cette erreur : 

Test Settings

Account Status
utilisateur_distant@example.com Failed
Error:	d2:CN13:mail.example.net1:O19:Dovecot mail server2:OU13:mail.example.net6:accept4:true5:alias31:mail.example.com:A1B2C3D4E5F6G7H8I:fromi123456789012345:host14:mail.example.com3:icn13:mail.example.net2:io19:Dovecot mail server3:iou13:mail.example.net3:md532:A1B2C3D4E5F6G7H8I9J0A1B2C3D4E5F6G:mismatch5:false1:s16:AD1146E274E129054:sha140:A1B2C3D4E5F6G7H8I9J0A1B2C3D4E5F6G7H8I9J0A:toi1234567890000ee
Note:	If you continue to save, account will be marked inactive.
Press Cancel to return to editing accounts.

Elle est due à la présence d’un certificat non reconnu sur le serveur de messagerie Dovecot distant, la connexion avec TLS étant alors refusée.

Accepter les certificats non reconnus dans la configuration de Zimbra : 

vi /opt/zimbra/conf/localconfig.xml
<key name="ssl_allow_untrusted_certs">
  <value>true</value>
</key>

Ajout d’une adresse IP / interface réseau

En vrac — décembre 2010

Pour un système Debian. Permet de répartir les services sur plusieurs adresses IP supplémentaires sur un même serveur.

Modifier le fichier listant les interfaces réseaux de la machine.

vi /etc/network/interfaces

Version originale

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
  address 123.123.123.123
  netmask 255.255.255.0
  network 123.123.123.0
  broadcast 123.123.123.255
  gateway 123.123.123.254

Version modifiée

Ajout du second bloc.

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
  address 123.123.123.123
  netmask 255.255.255.0
  network 123.123.123.0
  broadcast 123.123.123.255
  gateway 123.123.123.254

auto eth0:0
iface eth0:0 inet static
  address 456.456.456.456
  netmask 255.255.255.255
  broadcast 456.456.456.252

Relancer les connexions réseaux : 

/etc/init.d/networking restart

Eventuellement, penser à ajouter un hôte virtuel Apache pour les requêtes directes sur l’adresse IP afin que le premier site hébergé ne soit pas servi par défaut.

Préparer un disque externe USB

En vrac — février 2010 , , ,

Préparation dʼun disque dur externe USB neuf destiné à stocker les sauvegardes locales.

Avant de relier le disque à lʼordinateur et afin de connaître lʼidentifiant matériel du disque nécessaire par la suite, observer en temps réel les opérations sur le système :

tail -f /var/log/messages

Lorsque le disque sera branché au connecteur USB, une ligne devrait apparaître avec lʼidentifiant du matériel :

sd 11:0:0:0: [sda] Attached SCSI disk

Ou utiliser la commande 

fdisk -l

.

Démonter le disque du système mais le maintenir connecté.

Créer une partition avec lʼoutil Cfdisk :

cfdisk /dev/sda
  1. Se déplacer sur New
  2. choisir Primary
  3. Entrée
  4. choisir Write
  5. taper « yes »
  6. choisir Quit

Formater la partition avec le système de fichier EXT3 (pour des sauvegardes à partir dʼun ordinateur Linux) :

mkfs.ext3 /dev/sda1

Configurer (désactiver) les contrôles dʼintégrité du disque (opération non recommandée par la documentation) :

tune2fs -c 0 /dev/sda1
tune2fs -i 0 /dev/sda1

Eventuellement, nommer le support : 

e2label /dev/sda1 usb01

Autoriser lʼutilisateur à sauvegarder les données sur ce disque :

chown utilisateur:utilisateur -R /media/usb01

Espace disque disponible incohérent

Erreurs — janvier 2010

La commande df affiche un disque occupé à 100% ainsi qu’un espace disponible de 0 B alors que le volume de données indiqué comme présent sur le disque est inférieur à sa capacité initiale. Ceci qui peut rendre impossible le lancement d’une session utilisateur. Seul le compte root semble pouvoir se connecter au bureau KDE.

L’erreur de calcul des volumes occupés et disponibles est dû à la réservation d’un espace dédié au compte root. Il est possible de limiter cette allocation à un minimum de 1% sur un disque volumineux (1% de 500go représentant par exemple une marge confortable).

tune2fs -m1 /dev/hda1

df devrait maintenant afficher un espace disque libre en accord avec la réalité.

Debian – Accès root après la perte du passe

En vrac — décembre 2009 ,

Il reste possible d’accéder au compte root d’une machine Linux dont le mot de passe serait oublié. Il ne s’agit pas ici d’une récupération du passe mais de son remplacement.

Avec Debian :

  • relancer l’ordinateur
  • à l’étape de chargement de Grub, mettre en surbrillance la seconde option du noyau utilisé habituellement, celle proposant le single-mode
  • appuyer sur e pour éditer la ligne correspondante
  • sélectionner la commande contenant « vmlinuz » et l’éditer avec e
  • vérifier la présence ou ajouter « single init=/bin/bash » en fin de ligne
  • valider avec Entrée
  • lancer le boot avec b
  • ceci devrait poursuivre le chargement du système et aboutir à une invite de commande sous le compte root
  • rendre le système accessible avec « mount -o remount, rw / »
  • modifier ensuite le passe root avec passwd
  • re-démarrer la machine : reboot
« Newer PostsOlder Posts »