Afin de vous aider à restaurer vos données simplement et rapidement, un script est mis à votre disposition.

Il est donc nécessaire de le télécharger, http://update.sivit.org/backup/Resto.bash puis de le lancer.

#wget http://update.sivit.org/backup/Resto.bash
# sh Resto.bash

Suite à cela, plusieurs questions vous seront posées, il suffira d'y répondre.

Voici un exemple, serveurclient étant le nom de votre serveur, sdxxx ou vdsyyy.

Je vais aussi prendre le cas ou plusieurs fichiers .pass sont trouvés, par exemple si le serveur est issu d'une migration VDS -> dédié.

# sh Resto.bash
Plusieurs fichiers .pass sont detectes. Nous allons donc avoir besoin de votre aider pour trouver le bon.
Voulez vous restaurer des fichiers du serveur sdxxx? non
Voulez vous restaurer des fichiers du serveur vdsyyy? oui

Dans la partie précédente, vous devez avoir le nom de votre serveur.

Depuis quel serveur voulez vous restaurer vos donnees? (sans le .sivit.org) backupxx

Ici, nous devez rentrer le nom du serveur de backup, qui est disponible sur votre interface client. Du type, (vds-)backup(-xxx)XY

Quel est le module de restauration (donne dans l'interface client sdxxxx-data par exemple) vdsyyy-data

Il s'agit du module visible dans l'interface client, du type serveur-data(X)(suffixe)

Quel est le chemin de ce que vous voulez restaurer ? /chemin/a/restaurer/
Ou devons nous restaurer le backup ? /chemin/ou/il/faut/mettre/la/restauration/

Par la suite, une liste de date vous est proposée, il suffit de choisir celle que vous souhaitez.

Il est à noter que liste des dates est générée en fonction des dates de fin du processus de backup.

Voila :). Bonne restauration.

Qu'est le menu SIVIT?

Il s'agit d'un ensemble de scripts permettant de gagner du temps pour effectuer des actions plus ou moins simples sur le serveur.

Avec tous les modules disponibles à l'heure actuelle, voici ce que vous aurez :

Comment, avec cet outil, regarder toutes les règles de Firewall actives sur le serveur? (cela dépends du module réseau).

Premièrement, choisissez le choix n.

Vous arrivez alors à cela (les choix ont été fait afin de vous présenter le module en complet) :

Sur ce serveur, nous n'avons pas de firewall.

Comment installer le menu SIVIT?

Pour installer le menu SIVIT, il est nécessaire d'être sur une base Debian, Etch ou Lenny.

Il faut alors rajouter le dépot SIVIT correspondant :

deb http://debian-sivit.sivit.org/ lenny sivit
deb-src http://debian-sivit.sivit.org/ lenny sivit

ou

deb http://debian-sivit.sivit.org/ etch sivit
deb-src http://debian-sivit.sivit.org/ etch sivit

selon la distribution.

Ensuite, il faut installer le menu. Pour cela, il y a plusieurs paquets à installer :

• menu-sivit-core, qui est la base du menu.
• menu-sivit-plugin-apache si vous avez un serveur Apache
• menu-sivit-plugin-mysql si vous avez un serveur MySQL
• menu-sivit-plugin-network pour tout ce qui est réseau
• menu-sivit-plugin-system pour tout ce qui est système.

Le lancement du menu se fait via la commande "menu".

Si vous souhaitez créer vous même vos propre plugins, je vous conseille d'installer menu-sivit-doc, qui est la documentation de cet outil.

Toutefois, nous sommes en train de développer les plugins, et nous sommes à votre écoute pour diverses idées.

Nous avons à ce titre créé une adresse mail,sivit-menu@sivit.fr , qui nous permettra de gérer de manière claire les mails relatifs à ce projet, que ce soit des rapports de bugs, ou encore des proposition de plugins.

Ces propositions peuvent être de deux types :

• Vous nous envoyez un plugin, que nous validons et intégrons dans le menu;
• Vous nous donnez une idée de plugin, qui sera alors étudiée, et développée si nous la jugeons pertinente.

Dans tous les cas, une réponse personnalisée vous sera faite, cependant, le délai de réponse pourra être plus ou moins long.

Cordialement,

Il faut mettre à jour vos /etc/apt/sources.list ainsi:

deb http://archive.debian.org/debian sarge main contrib non-free

Ensuite un apt-get update et le tour est joué.

Jusqu'à présent, suite à une demande au support, celui-ci vous proposait une date d'intervention. Si celle-ci ne vous conviens pas, la seule méthode est de recontacter le support, afin de déplacer l'heure d'intervention.

Afin d'être plus souple, la démarche à légèrement changé.

Le support, au lieu de proposer une date, à la possibilité de générer une "pré planification", en estimant le temps nécessaire à la réalisation de la tâche, et diverses contraites techniques.

Dès lors, vous recevez un mail sur vos adresses renseignées dans nos bases de données, contact administratif et / ou technique du serveur.

Ce mail vous indique alors qu'il existe une pré planification pour le serveur. Vous pourrez alors aller dans le panel client SIVIT, puis l'onglet "Planifications d'interventions".

Vous pourrez alors choisir, à votre convenance, et selon les disponibilités SIVIT, le jour et l'heure de l'intervention.

Par exemple, pour une upgrade de RAM, vous aurez une tâche upgrade de RAM, nécessitant une 20 aine de minutes. De manière transparente, vous aurez toutes les disponibilités SIVIT pour une plage de 20 minutes. Vous maitrisez donc la date et l'heure de l'intervention, sans avoir à recourrir au support pour changer celle-ci.

Cordialement,

Voici comment réaliser cela chez 1&1

En vous connectant sur votre interface d'administration 1&1 (et en sélectionnant le pack contenant votre domaine si vous en avez plusieurs), vous devriez obtenir un affichage semblable a celui ci dessous :

Depuis cette interface, vous allez donc sélectionner le choix "configuration des domaines", ce qui vous amène a la liste des domaines :

Depuis cette liste, sélectionnez le menu "Nouveau" dans lequel vous choisirez "Créer un sous domaine" comme indiqué ci dessous :

Cette action vous amène a l'affichage suivant :

Vous replissez alors le champs avec "ns1", sélectionnez dans la liste déroulante le nom de domaine pour lequel vous désirez créer ce ns1, puis cliquez sur "Créer". Vous revenez ainsi à la liste des noms de domaine, dans lequel il y a un petit nouveau :

Cochez alors la case située devant le sous domaine ns1 que vous venez de créer, et dans le menu "DNS", choisissez "Modifier les paramètres DNS", comme indiqué ci dessous :

Vous arrivez sur l'interface qui va enfin vous permettre d'associer l'ip du serveur a ce fameux ns1.

Dans la case "paramètres DNS avancés", sur la ligne "Adresse IP (A-record)" sélectionnez "Autre adresse IP". Apparait alors de nouveaux champs pour saisir l'ip de votre serveur. Cliquez ensuite sur "Suivant", et nous retournons une nouvelle fois a la liste des domaines.

Vous pouvez contrôler que la manipulation a bien été efficace en cochant la case devant le ns1, et dans le menu "DNS", choisissez l'option "Afficher les paramètres DNS" :

Vous constatez que l'adresse ip indiquée est bien la bonne :

Vous pouvez désormais enfin configurer les DNS du domaine principal pour qu'il utilise son sous domaine ns1 comme serveur de nom.

Notez qu'il y a parfois un petit délai de propagation DNS de quelques heures avant qu'un test zonecheck valide tout cela.

En effet, que ce soit Windows, Linux ou même *BSD, il existe un fichier magique, le fichier hosts qui génère une association nom de domaine / IP.

Ou trouver ce fichier hosts?

Sous Linux et *BSD, ce fichier se trouve dans /etc . Le nom est /etc/hosts .

Sous Windows XP, ce fichier est situé dans C:\Windows\System32\drivers\etc\, toujours avec le nom hosts.

Comment associer mon site à cette nouvelle IP?

Quel que soit le système, le format du fichier est le suivant :

IP Nom de domaine.

Par exemple, pour avoir localhost qui pointe sur le serveur l'IP 127.0.0.1, l'entrée doit être :

127.0.0.1 localhost

Il est tout à fait possible de mettre plusieurs noms de domaine sur la même ligne, par exemple :

127.0.0.1 localhost localhost.localdomain

Cette entrée est normallement déjà présente dans votre fichier hosts.

Un exemple plus concret, associer sivit.fr à son IP réelle :

194.242.115.2 sivit.fr www.sivit.fr

Bon courage pour vos tests :).

En effet, Firefox 3 bloque les connexions aux sites présentant un certificat SSL non valide selon lui. Mais les certificats des administrations webmin (port 10000) et sivit v2.x (port 10001) sont auto-signés, ce qui n'est donc pas valide selon Firefox 3.

La solution va consister a ajouter une exception afin d'autoriser la connexion.

Des images valent mieux qu'un long discours, voici donc quelques captures d'écran (un peu imposantes, je vous le concède, mais le redimentionnement abimerait trop le texte)

Cette première capture montre le message d'erreur rencontré lors de la tentative de connexion. Vous pouvez voir a la fin de cet avertissement un lien spécifique : "Ou vous pouvez ajouter une exception". C'est sur ce lien qu'il faut cliquer.

Comme Firefox 3 est très tatillon, il demande une validation du fait que vous voulez ajouter une exception. Vous devez alors cliquer sur le bouton "Ajouter une exception".

Une nouvelle fenêtre s'ouvre alors, correspondant a la gestion du certificat. Firefox ne récupère pas automatiquement les données du certificat, il est donc necessaire que vous cliquiez sur le bouton "Obtenir le certificat".

L'état du certificat indique donc maintenant le problème qu'il rencontre, en l'occurence que le certificat n'est émis par aucune autorité reconnue. Il suffit de cliquer sur le bouton "Confirmer l'exception de sécurité" pour valider celle ci.

Et voilà, la connexion SSL est effectuée, et vous pouvez saisir vos identifiants.

Voyons comment installer ces deux logiciels sur une Debian Sivit v2.1 ( vds ou sd )

Note: dans tout ce billet, '[projet]' doit etre remplacé par le nom de votre projet ( sans espaces ni caracteres speciaux )

Commencons par installer quelques paquets.

Avant toute chose, un petit:

apt-get update

histoire de récuperer une liste de paquets toute fraiche.

Ensuite:

apt-get install libapache2-mod-python trac subversion subversion-tools

qui sont dans l'ordre: mod_python pour apache, trac en lui-meme, subversion, et enfin les outils admin de subversion

Ensuite, créons les répertoires qui vont accueillir les projets svn et trac:

mkdir /home/svn-data mkdir /home/trac-data

Créons un premier projet svn:

cd /home/svn-data

svnadmin create [projet]

Editez les 3 fichiers de config dans /home/svn-data/[projet]/conf/ ( authz, passwd et svnserve.conf ):

authz:

[/]

rw = votrelogin

passwd:

votrelogin = votrepassword

svnserve.conf:

auth-access = write
# Commentez la ligne suivante pour permettre aux utilisateurs anonymes de checkouter / exporter vos données
anon-access = none
password-db = passwd
authz-db = authz
realm = Svn [projet]

Puis créons l'environnement trac qui va avec:

cd /home/trac-data

trac-admin [projet] initenv

Répondez aux questions selon votre projet. A la question "Repository type", laissez "svn" ( par défaut ) Au moment de donner l'emplacement du depot, donnez l'emplacement absolu sur votre fs: /home/svn-data/[projet]

Ensuite créons le virtualhost apache pour activer trac:

nano /etc/apache2/sites-availables/trac

<VirtualHost *>

DocumentRoot /home/trac-data/[projet]/
ServerName trac.votre-domaine.tld

<Location />
SetHandler mod_python
PythonInterpreter main_interpreter
PythonHandler trac.web.modpython_frontend
PythonOption TracEnv /home/trac-data/[projet]/
PythonOption TracUriRoot /
</Location>
<Location /login>
AuthType Basic
AuthName "[projet]: Trac"
AuthUserFile /home/trac-data/[projet]/.htpasswd
Require valid-user
</Location>

CustomLog /var/log/apache2/trac.[projet].access.log combined

</VirtualHost>

Simple précaution, on force l'activation de mod_python ( dpkg devrait normalement avoir posé la question, mais on ne sait jamais )

a2enmod python

Activons le Vhost fraichement crée:

a2ensite trac

Derniers réglages: permettre a apache ( donc trac ) l'acces au dépot ainsi qu'a son environnement

chown -R www-data:www-data /home/svn-data chown -R www-data:www-data /home/trac-data

Lancons le serveur svn: ( -d = deamonize, -r = rootpath )

svnserve -d -r /home/svn-data/

On croise les doigts et on valide les modifs en redémarrant apache:

/etc/init.d/apache2 force-reload

Une petite précision: En l'état, Trac va ronchonner parce que le depot svn est vide...

Faisons-lui plaisir en créant l'arborescence du projet ( sous la forme classique /trunk, /branches et /tags )

cd ~

mkdir temp

cd temp

mkdir trunk mkdir branches mkdir tags

svn import . svn://localhost/[projet] --username=[votrelogin] --password=[votrepassword]

Et on finit par supprimer le repertoire temporaire:

cd ~ rm -Rf temp

Normalement, votre depot subversion et votre Trac sont fonctionnels.

La faille SSL de Debian impacte beaucoup d'aplicatifs, comme par exemple :

- Apache (https) - FTP - POP - IMAP

et plus critique, SSH.

Comment trouver les clefs qui sont compromises?

Pour être compromis, il faut que vous soyez sous ETCH.

un "cat /etc/debian_version" dois retourner 4.0 .

Dans ces cas là :

On met à jour OpenSSH et OpenSSL :

apt-get install openssl openssh-server openssh-client openssh-blacklist

Ensuite, en root, un petit "ssh-vulnkey -a" retourne toutes les clefs SSH comprimises. (tant qu'elles sont là ou elles se mettent par défaut, donc dans le home directory/.ssh .)

Je vois déjà les petits malin, qui du fond de la salle se disent :

"Ouai, il n'y a que les clef SSH qui sont corrigées :) je vais attaquer par un autre biais"

Et ben non, un outil, openssl-blacklist à été retro porté d'Ubuntu.

Pour l'utiliser, il suffit de le télécharger et l'installer.

wget -O /tmp/openssl-blacklist_0.1-0debian-1_all.deb
dpkg -i /tmp/openssl-blacklist_0.1-0~debian-1_all.deb

Ensuite, une jolie boucle va analyser vos clef, pour signaler les clefs compromises :

for SSL in `find /etc -iname "*.key";find /etc -iname "*.pem";find /etc -iname "*.crt";find /etc -iname "*.csr"`
do
  openssl-vulnkey $SSL
done

Bon courage :)

Pour se faire il faut tout d'abord installer spamassassin:

apt-get install spamassassin

Ensuite, partons éditer /etc/postfix/master.cf:

smtp      inet  n       -       -       -       -       smtpd

Vous devrez ajouter le filtre à ce niveau. Ceci aura pour conséquence d'indiquer au serveur smtp de passer tout mail entrant par un filtre. Cela donnera donc:

smtp      inet  n       -       -       -       -       smtpd
 -o content_filter=spamchk

En fin de fichier, ajoutez la directive suivante:

spamchk   unix  -       n       n       -       10      pipe
  flags=Rq user=nobody argv=/usr/local/bin/spamchk -f ${sender} -- ${recipient}

Postfix est donc prêt à gérer le filtre.

Nous allons donc ensuite configurer le script qui va gérer ce filtre. Pour cela, il faut créer un fichier /usr/local/bin/spamchk:

#!/bin/sh

# -
# File:        spamchk
#
# Purpose:     SPAMASSASIN shell-based filter
#
# Location:    /usr/local/bin
#
# Usage:       Call this script from master.cf (Postfix)
#
# Certified:   GENTOO Linux, Spamassassin 3.0, Postfix
# -

# Variables
SENDMAIL="/usr/sbin/sendmail -i"
EGREP=/bin/egrep

# Exit codes from <sysexits.h>
EX_UNAVAILABLE=69

# Number of *'s in X-Spam-level header needed to sideline message:
# (Eg. Score of 5.5 = "*****" )
SPAMLIMIT=5

# Clean up when done or when aborting.
trap "rm -f /tmp/out.$$" 0 1 2 3 15

# Pipe message to spamc
cat | /usr/bin/spamc -u nobody > /tmp/out.$$

# Are there more than $SPAMLIMIT stars in X-Spam-Level header? :
if $EGREP -q "^X-Spam-Level: \*{$SPAMLIMIT,}" < /tmp/out.$$
then
  # Option 1: Move high scoring messages to sideline dir so
  # a human can look at them later:
  # mv out.[]

  # Option 2: Divert to an alternate e-mail address:
  # $SENDMAIL xyz@xxxx.xx < /tmp/out.$$

  # Option 3: Delete the message
  # rm -f /tmp/out.$$
else
  $SENDMAIL "$@" < /tmp/out.$$
fi

# Postfix returns the exit status of the Postfix sendmail command.
exit $?

Dans cette configuration, tout mail considéré comme spam avec un niveau égal ou supérieur à 5 sera supprimé.

Ne pas oublier de rendre exécutable ce script:

chmod +x /usr/local/bin/spamchk

Il faut maintenant éditer le fichier /etc/default/spamassassin pour mettre les options suivantes:

OPTIONS="--nouser-config --max-children 5 --helper-home-dir"

Rafraîchir la configuration postfix:

postfix reload

Le tour est joué. Exemple de logs (piochés dans /var/log/mail.info indiquant que c'est fonctionnel):

• Avec spam (donc suppression du mail)

Jul 17 18:46:50 sdxxx postfix/smtpd27083: connect from smtp.sivit.org194.146.224.121
Jul 17 18:46:50 sdxxx postfix/smtpd27083: C7A96142FD: client=smtp.sivit.org194.146.224.121
Jul 17 18:46:50 sdxxx postfix/cleanup27089: C7A96142FD: message-id=<469CF27A.1030107@sivit.fr>
Jul 17 18:46:50 sdxxx postfix/qmgr15184: C7A96142FD: from=<xxx@sivit.fr>, size=831, nrcpt=1 (queue active)
Jul 17 18:46:50 sdxxx postfix/smtpd27083: disconnect from smtp.sivit.org194.146.224.121
Jul 17 18:46:51 sdxxx spamd20281: connection from localhost 127.0.0.1 at port 1436 
Jul 17 18:46:51 sdxxx spamd20281: info: setuid to nobody succeeded 
Jul 17 18:46:52 sdxxx spamd20281: processing message <469CF27A.1030107@sivit.fr> for nobody:65534. 
Jul 17 18:46:53 sdxxx spamd20281: identified spam (1001.1/5.0) for nobody:65534 in 2.8 seconds, 842 bytes. 
Jul 17 18:46:53 sdxxx spamd20281: result: Y 1001 - BLANK_LINES_70_80,GTUBE scantime=2.8,size=842,mid=<469CF27A.1030107@sivit.fr>,autolearn=no 
Jul 17 18:46:53 sdxxx postfix/pipe27091: C7A96142FD: to=<destinataire@domaine.com>, relay=spamchk, delay=3, status=sent (sdxxx.sivit.org)
Jul 17 18:46:53 sdxxx postfix/qmgr15184: C7A96142FD: removed

• Sans spam (livraison du mail au destinataire)

Jul 17 18:45:25 sdxxx postfix/smtpd27083: connect from smtp.sivit.org194.146.224.121
Jul 17 18:45:25 sdxxx postfix/smtpd27083: 7E7C6142FD: client=smtp.sivit.org194.146.224.121
Jul 17 18:45:25 sdxxx postfix/cleanup27089: 7E7C6142FD: message-id=<469CF224.6010806@sivit.fr>
Jul 17 18:45:25 sdxxx postfix/qmgr15184: 7E7C6142FD: from=<xxx@sivit.fr>, size=761, nrcpt=1 (queue active)
Jul 17 18:45:25 sdxxx postfix/smtpd27083: disconnect from smtp.sivit.org194.146.224.121
Jul 17 18:45:28 sdxxx spamd25290: connection from localhost 127.0.0.1 at port 4374 
Jul 17 18:45:28 sdxxx spamd25290: info: setuid to nobody succeeded 
Jul 17 18:45:32 sdxxx spamd25290: processing message <469CF224.6010806@sivit.fr> for nobody:65534. 
Jul 17 18:45:37 sdxxx spamd25290: clean message (0.0/5.0) for nobody:65534 in 10.9 seconds, 775 bytes. 
Jul 17 18:45:37 sdxxx spamd25290: result: .  0 -  scantime=10.9,size=775,mid=<469CF224.6010806@sivit.fr>,autolearn=failed 
Jul 17 18:45:38 sdxxx postfix/pipe27091: 7E7C6142FD: to=<destinataire@domaine.com>, relay=spamchk, delay=13, status=sent (sdxxx.sivit.org)
Jul 17 18:45:38 sdxxx postfix/qmgr15184: 7E7C6142FD: removed
Jul 17 18:45:38 sdxxx postfix/pickup27045: AE40014317: uid=65534 from=<xxx@sivit.fr>
Jul 17 18:45:38 sdxxx postfix/cleanup27089: AE40014317: message-id=<469CF224.6010806@sivit.fr>
Jul 17 18:45:38 sdxxx postfix/qmgr15184: AE40014317: from=<xxx@sivit.fr>, size=1058, nrcpt=1 (queue active)
Jul 17 18:45:39 sdxxx postfix/virtual27099: AE40014317: to=<destinataire@domaine.com>, relay=virtual, delay=1, status=sent (delivered to maildir)
Jul 17 18:45:39 sdxxx postfix/qmgr15184: AE40014317: removed

Vous noterez la différence entre les 2 logs, l'un le mail est 'delivered to maildir' (non spam), tandis que l'autre est tout simplement 'removed'