Le blog de llaumgui - Balise - Dedibox

CentOS 5.2 et DédiBoite V1

llaumgui — Tue, 24 Jun 2008 20:17:00 +0200

Aujourd'hui, la version 5.2 de CentOS est sortie.
Vous pouvez consulter l'annonce sur le site francophone (je suis fan de l'admin qui a posté cette news;-)) et consulter les notes de version officielles (très conseillé avant de vous lancer dans un yum update frénétique !).

A noter que j'ai fais ma mise à jour très rapidement pendant ma pause déjeuné et que j'ai lancé le reboot de ma DédiBoite V1 avant de partir en réunion et ce de façon un peu légère... Bilan : interruption du service tout l'après-midi...

Après une rapide discussion avec l'ami Remi sur le chan IRC de fedora-fr (faut qu'on fasse un chan CentOS -Fr !) il semblerait que le problème vienne encore et toujours de l'initrd...

Pour citer un sage :

RemiFedora : surement un initrd vérolé...
RemiFedora : la maladie des migrations

Bref, après une petite étude de l'initrd de CentOS 5.2 comparé à celui de la 5.1, il semblerait que les seules différences soient (merci Remi pour les lignes de commandes) :

llaumgui@enterprise ~/Bureau> gunzip -dc 5.2/initrd-2.6.18-9*.img | cpio -id

llaumgui@enterprise ~/Bureau> gunzip -dc 5.1/initrd-2.6.18-53*.img | cpio -id

llaumgui@enterprise ~/Bureau> diff 5.1/init  5.2/init 

43,46d42

< echo "Loading uhci-hcd.ko module"

< insmod /lib/uhci-hcd.ko 

< echo "Loading ohci-hcd.ko module"

< insmod /lib/ohci-hcd.ko 

48a45,48

> echo "Loading ohci-hcd.ko module"

> insmod /lib/ohci-hcd.ko 

> echo "Loading uhci-hcd.ko module"

> insmod /lib/uhci-hcd.ko

Bilan de la situation actuelle : en attendant une piste, llaumgui.com (et scenario-paintball.com) tournent sur une CentOS 5.2 avec un kernel de 5.1 (2.6.18-53.1.21.el5 )...

A suivre...

Montée en charge et compression Gzip des pages servies

llaumgui — Fri, 07 Dec 2007 19:57:00 +0100

Depuis quelque temps, je trouve que Scenario-Paintball et llaumgui.com (tous deux hébergés sur la spb-box) mettent du temps à servir les pages.

J'ai mis à jour le système de CentOS 5.0 vers la 5.1 avec le dernier kernel pensant que ça pourrait améliorer les perfs (qui a dit naïf ?) de mon kernel datant du temps où CentOS 5.0 était encore en phase de bêta testes chez Dedibox (mais CentOS était bel est bien en version finale).

Rien à faire, j'observais encore des montées en charge et des montées de CPU. J'ai donc entrepris de m'orienter du côté d'Invision Power Board et de mieux régler la bête pour ne plus servir de pages compressées en gzip (Disable GZIP encoding?). Depuis, beaucoup moins de problème de montée en charge et même lorsque le serveur charge il arrive encore à servir les pages en un temps tout à fait respectable.
J'ai profité de cette occasion pour affiner les réglages d'IPB et configurer une charge limite (Server Load Limit ?) de 15 à laquelle Scénario-PaintBall affiche un message d'erreur invitant à patienter...

Bref, la version 2.1 n'étant pas connu pour sa légèreté, je pense que la migration vers la version 2.3 d'IPB se fait de plus ne plus pressante...

La spb-box sous CentOS 5.1

llaumgui — Mon, 03 Dec 2007 21:39:00 +0100

Petit rappel, la spb-box est la Dedibox qui héberge entre autre Scénario-PaintBall et llaumgui.com (ce blog).

Cette nuit, à l'heure des tâches cron de maintenance, j'ai reçu un mail de ma spb-box (sous CentOS 5.0), pour m'indiquer une mise à jour de 115 paquets ! Intrigué, je consulte la liste d'annonces CentOS qui m'informe de la sortie de CentOS 5.1.

Il faut savoir que pour passer d'une version X.n vers une version X.(n+1) de CentOS (5.0 vers 5.1 dans mon cas), c'est aussi simple qu'un yum update : il n'y a rien à changer ni à configurer vu que les changements restes mineurs. Un yum update plus tard donc :

root@spb-box ~> cat /etc/redhat-release

CentOS release 5 (Final)

"CentOS 5 (Final)" ? ! ? ! ? ! Suis je toujours sur CentOS 5.0 ? Après un passage sur #centos et après avoir pris connaissance de ce bug, je me lance dans un :

root@spb-box ~> rpm -qa centos-release

centos-release-5-1.0.el5.centos.1

Cette dernière commande me confirme que je suis bien sous l'opus 5.1 de ma distro serveur préférée (la distro bureau étant bien entendu Fedora).

Rassuré, je reboot sous CentOS 5.1 tout en gardant le kernel de Centos 5.0 « made for Dedibox » et tout ce passe bien. Étant en début de soirée et ayant du temps (à perdre) pour tester le système de secours des Dedibox, je tente alors de booter sur le kernel de CentOS 5.1... Et bien là, contre toute attente : le kernel officiel de CentOS supporte pleinement les Dedibox et leur processeur VIA exotique...
C'est pas aujourd'hui que je testerais le système de secours des Dedibox.

Voici donc llaumgui.com propulsé par une spb-box sous CentOS 5.1.

Les Dedibox seraient elles plus victimes d'attaques ?

llaumgui — Wed, 12 Sep 2007 23:56:00 +0200

Que ce soit professionnel ou personnel : je gère, à la louche, un parc de 15 serveurs dédiés.
Si je mets de côté les serveurs sous Windows qui sont à eux seuls, à la fois une aberration et une faille de sécurité; je dois m'occuper d'une bonne dizaine de serveurs Linux. Ces serveurs sont variés et tournent sous des Debian Sarge et Etch, des CentOS 5 ou Fedora 5. On peut localiser ce parc par 8 serveurs chez Ikoula et 2 Dedibox.

Après avoir décrit le parc, je vais décrire mes habitudes. Comme je suis conscient que tout le monde il est pas beau et que tout le monde il est pas gentils; j'ai pris l'habitude d'installer fail2ban et logwatch sur mes serveurs.
Le premiers détecte les tentatives d'intrusions par brute force et bloque, pendant une durée X, l'IP de toute personne ayant tenté par 3 fois et sans succès, de se connecter sur un serveur.
Le second est une tâche planifiée qui m'envoie un rapport journalier sur les serveurs.

Maintenant que le décor est planté, ma constatation : Les attaques par brute force ou par tentative d'exploitation de faille CMS ou de forums^[1] sur mes 2 Dedibox sont largement supérieures à celles de mes serveurs chez Ikoula voir même supérieures à l'ensemble de toutes les autres machines.

J'ai ouvert un topic sur le sujet chez Dedibox-news et l'explication qu'il m'a été faite me parait à la fois effrayante et réaliste : à 29€ HT, Dedibox démocratise le dédié et n'importe quel clampin peu s'offrir une box sans aucune compétence en administration. Bilan, les IPs Dedibox auraient une réputation plus facile...

^[1] Erreur 404 représentant des URLs typiques de script répendu tel que phpMyAdmin, joomla ou autres.

dedibox pas si nue que ça

llaumgui — Mon, 06 Aug 2007 21:50:00 +0200

C'est lors de la configuration du serveur mail de ma dedibox, que j'en ai profité pour voir les services lancés au démarrage (chkconfig --list). Et là, quelle surprise d'y trouver des services inutiles sur un serveur dédié : NetworkManager, Blutooth, etc.....

Le problème est que dedibox ne propose pas des distros complètement nues ce que je trouve très dommage surtout quand on voit la richesse de paramétrages et de configuration de sa dedibox.

Petit bémol : Ma CentOS est une 5.0 finale mais l'utilisation de CentOS 5.0 sur dedibox était encore en phase bêta lors de mon installation. Peut être que cela a évolué en mieux.

Serveur mail postfix / postfix-mysql / Dovecot / RoundCube / spamassassin sous CentOS 5

llaumgui — Mon, 06 Aug 2007 21:24:00 +0200

Après le passage de Scenario-PaintBall sur un serveur dédié (spb-box), je me suis lancé dans la configuration du serveur mail. Pour rappel, le serveur est une dedibox sous CentOS 5.
Afin de pouvoir gérer plusieurs domaines et plusieurs comptes facilement, postfix est configuré en multi-domaines et virtual-user et afin d'ajouter facilement des comptes, les informations sont stockées en base MySQL via postfix-mysql.

Architecture du serveur mail

Connaissant bien postfix (personnellement et professionnellement, bien que nos derniers serveurs au taf soient sous Exim) et ayant déjà configuré postfix pour l'envoi de mail via php, c'est donc tout naturellement que j'ai retenu cette solution couplée à un Dovecot, un spamassassin et un webmail sous le très prometteur RoundCube.

postfix

Bien que pour le moment il n'y ai qu'un seul domaine géré par le serveur, j'ai choisis de faire une configuration multi-domaines et virtual-user (sans passer par des comptes unix).
Les mails sont donc dans un compte Unix unique : vbox; et ils sont stockés dans un arborescence du type : /home/vbox/domain/compte.

Je mets mon fichier main.cf en annexe.

postfix-mysql et CentOS

Alors là j'ai perdu pas mal de temps. Le postfix de CentOS n'est pas compilé avec l'option MySQL et il n'y a pas de paquet postfix-mysql pour CentOS ! Heureusement Google est mon ami et j'ai trouvé la solution : prendre le postfix de centosplus (présent de base dans CentOS mais pas activé par défaut) :

yum -–enablerepo=centosplus update postfix

Pour éviter de mettre à jour postfix à partir de updates j'ai juste rajouté postfix* dans la liste des paquets exclus (fichier .repo en annexe). Comme j'ai activé centosplus par défaut, j'ai aussi exclus le kernel de centosplus pour privilégier celui d'updates et ainsi éviter les problèmes.

Postfix-mysql

Ce qui est génial avec postfix-mysql, c'est qu'on construit ses requêtes ! On peu donc attaquer n'importe quel structure de base existante ou en faire une soit même. J'ai mis en annexe mes fichiers de conf' ainsi que la structure de ma base.

Dovecot

Maintenant que les mails sont sur le serveur, faudrait pouvoir les lire ! J'ai donc utilisé l'excellent Dovecot pour me faire un serveur IMAP.
Sa configuration est simple, je me suis basé sur ce tutoriel.

Afin de pouvoir attaquer le serveur mail avec un client du type ThunderBird, ne pas oublier d'ouvrir le port IMAP, le 143 (perso, je passe par le tui system-config-securitylevel-tui).

RoundCube

Excellent et très prometteur projet encore au stade de la O.1 RC1 et disponible dans le dépot EPEL. Ça configuration passe comme une lettre à la poste !

Spamassassin

Pour installer spamassassin rien de tel qu'un petit yum install spamassassin (installation), suivi d'un service spamassassin start (démarrage du service) ainsi que d'un chkconfig spamassassin on (lancer au démarrage) et surtout une lecture de la doc.

Script de création de comptes mail

Histoire de créer facilement des comptes mails, je me suis fait 3 petits scripts tout simples que je vous livre en tant que démo.

Remarque : Ces script sont appelés en root et j'ai un fichier /root/.my.cf contenant le mot de passe MySQL du root, ce mot de pase ne m'est donc plus demandé.

Une petite Dedibox sous CentOS

llaumgui — Wed, 04 Jul 2007 22:57:00 +0200

Comme certains le savent peut être, je suis fan de PaintBall et j'administre avec mon pote Radinus, la plus grosse communauté francophone de paintball scénarisé.

Avec une base de données MySQL qui grandie chaque jour (laisse tomber la manipulation de 200Mo sur un mutu' sans le shell) et les sites satellites qui vont arriver, il fallait se prendre un petit dédié.
Le choix s'est donc porté sur une Dedibox (pas pour rien qu'on l'appel Radinus) et pour le système d'exploitation, j'ai choisis CentOS 5.0, pourquoi ?

Les raisons sont multiples :

Professionnellement, j'administre du Debian, une CentOS me permet d'acquérir de nouvelles expériences et de prendre une bouffée de RPM dans un monde de deb.
C'est la famille (représente le chapeau !).
Autant je kiff Fedora pour du desk, autant son cycle de vie accéléré est moyen pour du serveur. Donc, dans la famille Red Hat, je demande le serveur au support gratuit : CentOS; bonne pioche.

Bref, pour le moment le strict minimum tourne dessus (apache/MySQL/Postfix) et je commence à transférer les petits sites satellites avant de passer au gros forum.