FRsAG February 2011

frsag@frsag.org

43 participants
16 discussions

DDOS Tomcat
by Thomas 10 Feb '11

10 Feb '11

Bonjour, Une petite faille dans tomcat permet de faire un DDOS, un nouveau patch viens de sortir: http://seclists.org/fulldisclosure/2011/Feb/76 Cdlt, Thomas

1 0

Interface d'administration SAMBA
by Hugo Deprez 04 Feb '11

04 Feb '11

Bonjour à tous, je suis actuellement à la recherche d'une interface web pour administrer un serveur de fichier sous samba. L'objectif est de pouvoir déléguer à des utilisateurs l'attribution des droits sur certains dossiers. J'ai regardé du côté de SWAT, mais je n'ai pas trouvé d'option pour déléguer des droits. Il semblerait que Webmin puisse faire ce genre de chose. Avez-vous des retours d'expérience ou connaissez-vous d'autre logiciels ? Hugo

4 5

Retour d'expérience IPv6 sur du mutualisé (10k vhosts)
by Frédéric VANNIÈRE 02 Feb '11

02 Feb '11

(copie de mon post frnog) Bonjour, Comme j'avais envie de jouer avant le 8 juin j'ai activé IPv6 sur tous nos serveurs (pas ceux gérés pour les clients) et notre mutualisé la semaine dernière. Ce qui m'a poussé à faire ça c'est que la nouvelle Freebox v6 n'a pas de mode bridge pour le moment et que l'IP non fixe de notre connexion de secours SFR n'est pas pratique pour administrer les serveurs. J'ai déjà donné une IPv6 publique à chaque serveur comme ça ils ont commencé à faire des résolutions IPv6 pour les services externes (DNS, MX, HTTP ...). Ensuite j'ai passé des services non critiques de l'hébergement mutualisé en dual stack (FTP, SSH, phpMyadmin, espace clients), puis la messagerie (LE service sensible) et enfin tout le web mutualisé. Donc tous les sites que nous hébergeons (10k vhosts) et tous les services sont maintenant en dual-stack IPv4/IPv6 depuis près d'une semaine. Et ... rien ... personne n'a rien remarqué. Aucun ticket client, aucun bug. Au niveau des chiffres du 31 janvier 2011 sur l'hébergement mutualisé HTTP : - 16,5 millions de hits en tout, 1,2% en IPv6 - 1 million d'IPs distinctes, 2% en IPv6 - sur les 21000 IPv6 distinctes 98,5% venaient de Free/Proxad. Le 21/01/2011 11:06, Frédéric VANNIÈRE a écrit : > Oui ! mais avant je dois trouver une solution pour avoir des > gateways ipv6 en haute disponibilité avec du Cisco 3560 (ils gère le > HSRP ipv4 ou ipv6 mais pas les deux en même temps). Ma solution est d'utiliser le router advertisement et de désactiver autoconf. Sur les serveurs j'ai : iface eth0 inet6 static address 2a01:648::42 netmask 64 (pas de gateway !) et aussi : net.ipv6.conf.eth0.autoconf = 0 et sur les gw : interface Vlan43 description Vlan Serveurs dedies Vitry ipv6 address 2A01:648:0:3::FFFD/64 (FFFE sur l'autre) ipv6 nd prefix default no-advertise (évite l'autoconfiguration sauvage) ipv6 nd router-preference High (Low sur l'autre) ipv6 nd ra lifetime 4 ipv6 nd ra interval 4 > Pour cette journée j'ai regardé comment passer mon mutualisé en ipv6, > la version pas-trop-buggée de keepalived (VRRP pour mes load > balancers) qui gère ipv6 est sortie ... le 16 janvier 2011. Là c'est plus simple, le VRRP reste en IPv4 mais quand ça bascule il y a un script qui bouge l'IP v6 d'un LB à l'autre : http://permalink.gmane.org/gmane.linux.keepalived.devel/3028 ... à vous :) -- Frédéric VANNIÈRE PLANET-WORK 231 rue Saint-Honoré 75001 PARIS - FRANCE Tél : 01 41 79 78 60 Fax : 01 41 79 78 61 Web : http://www.planet-work.fr/ Planet-Work, vecteur de votre image sur Internet

3 2

Mini portail de sysadmin
by Greg 01 Feb '11

01 Feb '11

Bonjour ! J'administre les 6 serveurs d'un site web qui monte, et par faute de temps je faisais le travail un peu à la va vite. Maintenant que le site commence à prendre de la notoriété et à gagner en sérieux, je me dis qu'il est temps de passer aux étapes suivantes qui consistent à améliorer le quotidien du sysadmin, à savoir une sorte de portail avec un lien vers les différents outils actuels et à venir: graphs, nagios, manager de l'hébergeur, stats memcache, stats interne, etc ... (Les étapes de redondance et de backups sont déjà faites...) Au lieu de réinventer la roue, je me demandais ce que vous utilisiez pour vos besoins ? Niveau pro, j'utilise un Trac + une page bookmark, mais c'est un peu sortir l'artillerie lourde pour une 12ène de liens ... Je me demande aussi si je devrais pas utiliser un outils pour moi pour gérer mes différents clients, avec un accès restreints pour chaque clients... Après ça, je vais peut-être me lancer sur Puppet ... Bon week-end ! -- Greg

8 9

Perte de connexion NFS
by David Le Meur 01 Feb '11

01 Feb '11

Bonjour à tous, Récemment inscrit à la liste, je sollicite votre aide pour un problème NFS, voici le contexte: Nous possédons deux environnements (Production et Préproduction): sur chaque environnement se trouvent deux serveurs: un serveur de base de données et un serveur web. Les serveurs web de chaque environnement récupèrent des données importées sur un serveur via NFS, les deux serveurs WEB sont en tout point identiques (Hardware et Software). Mon problème est le suivant: Nous perdons la connexion entre le serveur de Préproduction et le serveur NFS de manière aléatoire, ce problème n'a jamais été relevé jusqu’à ce jour sur le serveur de Production. Les 2 environnements et le serveur NFS sont sur deux réseaux différents, un FireWall autorisant les connexions sur le port 2049 et 111. Les flux mis en place sont les mêmes pour la Prod et la Préprod. Voici la configuration: *Serveur WEB:* *OS* -> RedHat 2.6.18-164.11.1.el5 */etc/fstab* -> 192.168.X.X:/var/ftp/AExporter /usr/local/AExporter nfs soft,intr,rsize=32768,wsize=32768,nosuid,tcp 0 0 *netstat* -> Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 2950/portmap tcp 0 0 0.0.0.0:624 0.0.0.0:* LISTEN 2986/rpc.statd tcp 0 0 0.0.0.0:56120 0.0.0.0:* LISTEN - (NFS) *nfsstat* -> Client rpc stats: calls retrans authrefrsh 10662 8543 0 Client nfs v3: null getattr setattr lookup access readlink 0 0% 2492 23% 103 0% 711 6% 5254 49% 0 0% read write create mkdir symlink mknod 0 0% 296 2% 398 3% 0 0% 0 0% 0 0% remove rmdir rename link readdir readdirplus 103 0% 0 0% 0 0% 0 0% 3 0% 5 0% fsstat fsinfo pathconf commit 1292 12% 4 0% 0 0% 0 0% *Serveur NFS:* * * *OS* -> RedHat 2.6.18-164.11.1.el5 *netstat* -> Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN - (NFS) tcp 0 0 0.0.0.0:614 0.0.0.0:* LISTEN 3403/rpc.mountd tcp 0 0 0.0.0.0:650 0.0.0.0:* LISTEN 3012/rpc.statd tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 2976/portmap tcp 0 0 0.0.0.0:57118 0.0.0.0:* LISTEN - (NFS) *nfsstat* -> Server nfs v3: null getattr setattr lookup access readlink 12 0% 121471 39% 14426 4% 47336 15% 50741 16% 0 0% read write create mkdir symlink mknod 11461 3% 19404 6% 21118 6% 0 0% 0 0% 0 0% remove rmdir rename link readdir readdirplus 14423 4% 0 0% 0 0% 0 0% 188 0% 835 0% fsstat fsinfo pathconf commit 5331 1% 18 0% 0 0% 209 0% L'erreur qui nous est remontée est la suivante: "kernel: nfs: server 192.168.X.X not responding, timed out" Cette erreur ne concerne que le serveur WEB de préproduction L'analyse que nous avons mené jusqu'à présent nous indique un problème de session (tcpdump effectué au niveau du firewall): Le client essai bien de contacter le serveur ( tcp syn sur port 2049 ) 192.168.X.X 192.168.X.X TCP 784 > nfs [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=277750420 TSER=0 WS=7 784 nfs Le paquet arrive bien sur le serveur 192.168.X.X 192.168.X.X TCP 784 > nfs [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=277750420 TSER=0 WS=7 784 nfs Le serveur envoie sont paquet en retour ( ACK ) afin d'etablir la session tcp 2 0.000007 192.168.X.X 192.168.X.X TCP [TCP ACKed lost segment] nfs > 784 [ACK] Seq=1 Ack=2049758058 Win=501 Len=0 TSV=1624483218 TSER=1589620550 SLE=0 mais ce paquet n'arrive pas au client. Il faut savoir que ce montage NFS fonctionne la majorité du temps (C'est pourquoi je ne pense pas à un problème de config client) et que ces pertes de connexion concernent uniquement le serveur de Préproduction (c'est pourquoi je ne pense pas a un problème de configuration serveur). En ce qui concerne la config du FireWall, les serveurs de Prod et Préprod appartiennent au même groupe qui est autorisé à communiquer avec le serveur NFS sur les ports 2049 et 111. Merci pour vos lumières. Cordialement, David

6 7

Gestion d'un réseau filaire avec plusieurs passerelles
by Fontenay Ronan 01 Feb '11

01 Feb '11

Bonjour, Je suis chargé de réinstaller le serveur d'un réseau d'une résidence étudiante et je suis a la recherche d'une solution efficace pour remplacer les divers "bricolages" en place. Chaque logement est équipé d'une prise réseau et l'association peut leur prêter un routeur, si ils désirent avoir leur propre box et partager leur connexion avec d'autres étudiants. Pour l'instant les étudiant qui désirent partager leur connexion s'inscrivent via une interface web, les données sont insérées dans une base MySQL puis insérée dans la configuration du DHCPD. Ainsi ceux qui utilisent la connexion d'un autre, reçoivent directement la passerelle à utiliser via DHCP. Comment organiseriez vous la gestion d'un tel réseau et avec quels outils ? J'espère ne pas avoir fait de boulettes pour mon premier message sur cette liste. Fontenay Ronan

5 6

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

FRsAG February 2011