Archives par étiquette : Debian

Upgrade Debian Squeeze => Wheezy : retour d’expérience

debianSalut,
Un bail que je ne blogge plus grand chose, j’ai trop d’autres occupations.
M’enfin là, il fallait bien mettre à jour la release stable de Debian… Comme elle est sortie il y a quelques temps déjà, ça s’annonçait pas trop risqué avec Google sous la main pour résoudre les problèmes déjà connus par d’autres. Je ne regrette pas cette décision car ça c’est exactement passé comme ça… donc je reprends ici ceux que j’ai rencontré, ça peut resservir.

Je vous livre donc ici les différents problèmes sur un tas de serveurs (donc un tas de configuration et de services différents)
C’est parti : Continuer la lecture

Dépôts (repositories) Debian/Squeeze

Hop,
Ca ne vous aura sûrement pas échappé, mais Debian a sorti sa nouvelle version majeure. Bye bye « Lenny », bonjour « Squeeze ».

Au passage, un changement important : le dépôt « volatile » n’existe plus, il est remplacé par une une branche squeeze-updates.
Rappel : le dépôt « volatile » contient les mises à jour des paquets ne pouvant pas attendre une nouvelle version Debian tous les 2 ou 3 ans 🙂 Exemples : protocoles des clients de messagerie instantanée, outillage anti-spam etc.
Alors je résume ici ce que doit être un fichier minimum correct de listes de dépôts pour Squeeze, fichier /etc/apt/sources.list :

deb ftp://ftp.fr.debian.org/debian/ squeeze main contrib  non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free
# avant squeeze : deb http://volatile.debian.org/debian-volatile lenny/volatile main
deb ftp://ftp.fr.debian.org/debian/ squeeze-updates main contrib  non-free
#optionnel :
deb http://backports.debian.org/debian-backports squeeze-backports main contrib non-free

Merci à toute l’équipe Debian, nous leur devons une reconnaissance éééééternelle 😉

Mise à jour de ma documentation Debian

Salut,

(pas la peine de faire des commentaires de troll, je ne validerai pas)

J’ai mis à jour ma doc d’installation + kit de survie + gros sujets « serveur » à l’instant.
Elle est disponible au format Word (oui oui, je sais) et au format PDF (mais certains liens HTML dedans ne marchent pas, si quelqu’un sait pourquoi… généré avec PDFCreator depuis Word 2007)
Elle est destinée à des personnes connaissant un peu Linux et voulant installer un Linux qui a fait ses preuves, plutôt pour un usage serveur.

Le concept de cette n-ième mouture est le suivant :

  • J’abandonne la partie graphique/bureautique => utilisez Ubuntu
  • Premiers chapitres sur les quelques trucs à savoir sur Debian (différentes versions etc)
  • Gros chapitre comparant, écran par écran, l’installation de « Etch mode expert », « Lenny mode expert » et « Etch mode normal ». Afin de montrer les différences avec la prochaine release d’une part, et la comparaison normal/expert d’autre part – pour ceux à qui cela ferait peur.
  • Kit de survie : comment gérer les paquets, gérer son système – quelques spécificités Debian
  • Firewall « shorewall » : tout pour faire rapidement une conf propre
  • Serveur de mail : un exemple bien complet pour monter un serveur, de postfix à spamassassin, rulesemporium, tout ça
  • Un exemple d’installation d’application LAMP classique : gallery2

Voilà. Vous pouvez me faire vos retours, vos impressions, tout ça.

Firefox 3, ça poutre… ou pas

Génial le « download day ». Un concept. Non je déconne, en fait, je m’en tape… comme l’euro 2008, rien à foot.
Néanmoins, comme je trainais sur portableapps et que FFox 3 portable est sorti très vite, j’ai tenté ma chance. Donc en sauvegardant mon Firefox 2 avant, bien au chaud, sentant le coup venir.
Bilan des courses, une fois mes modules capitaux invalidés (all-in-one gestures, tabmix plus, google browser sync et celui d’ebay il me semble), voire d’autres, je ne sais plus car tout a été très vite, je suis revenu bien vite vers firefox 2.
Quand je vois des plug-ins inutiles comme Vimperator sont dispos pour ffox 3, j’ai mal de voir les autres non dispos. Bon certes, je gueule mais je ne développe rien. Oui en effet, mais bon j’aime pas trop me sentir pris au piège, on dirait du bigrozoft : migrez les gars, on verra après…

Allez-y, excitez-vous, d’ici 1 mois, je retrouverai mes modules et hop, à moi firefox 3…
Et après on se demande pourquoi je préfère Debian à des distrib un peu trop vivaces. Heureusement, mon Ubuntu est restée en 7.10, je me méfie de la migration en 8.jesaisplusquoi. A tous les coups y’a ffox 3 dedans maintenant et pan dans ta gueule les modules, de force.

Beta-deployez bien, a+

A propos de la fameuse faille OpenSSL sur Debian et dérivés

L’histoire en quelques mots

Bon, je poste un peu après tout le monde sur le sujet. Mais c’est histoire de faire part de 2/3 remarques. A voir les news postées un peu partout, j’ai l’impression de revivre la naissance de « Blaster » sous Windows : grande ampleur alors que la correction existait et beaucoup découvrent/découvraient ça tardivement sans trop savoir quoi faire.
Bon ici, il ne s’agit que de rectifier avant qu’une faille soit exploitable. Mais c’est extrêmement préoccupant.
Et le pire, c’est que contrairement à beaucoup de failles, le problème réside dans les « clefs de cryptage » que vous utilisez (qui vous sont propres), pas dans l’outil en lui-même. Donc appliquer les patchs constitue seulement 1% de la solution. (dans le cas où vos clefs ont été générées, disons, entre hier et y’a 2 ans… c’est large)

Point de départ de l’information

Si vous découvrez seulement maintenant le sujet et que vous gérez des Debian ou Ubuntu ou dérivés, c’est grave, lisez vite les « security advisory » de openssl et de openssh publié le lendemain. Ce sont les seules sources fiables, comme point de départ.
Si ça vous gonfle car c’est en anglais, parce-que personne n’en voudrait à votre pseudo-serveur etc, alors arrêtez tout de suite de « gérer » un serveur…
Le wiki de Debian résume bien tous les services qui peuvent être impactés et donnent les opérations à faire. A commencer par OpenSSH (tout le monde l’a celui-là)

Donc, pour cette fois, et pour les suivantes, faites ceci :

Pour bien réagir la prochaine fois :

Inscrivez-vous sur la mailing-list de securité Debian

Inscrivez-vous soit par l’interface web, soit en envoyant un mail à debian-security-announce-REQUEST@lists.debian.org avec sujet subscribe et en confirmant une fois le 1er de retour reçu).
Optez pour celle appelée « debian-security-announce », pas nécessairement « debian-security » qui est plutôt une chat-room non modérée 😉
=> Ainsi, vous serez au courant au bon moment avec les bonnes infos, plutôt que des « on dit » incomplets sur des forums.
Si vous n’êtes pas en Debian, ça vaut quand même. Il doit y avoir l’équivalent sur Ubuntu et autres dérivés.

Lisez les alertes à tête reposée et faites ce qui est demandé

Par exemple, dans celle d’OpenSSL dit notamment une toute petite phrase : « We recommend that you upgrade your openssl package and subsequently regenerate any cryptographic material, as outlined above. »
=> Cette toute petite phrase veut simplement dire qu’il faut regénérer TOUT ce qui a trait à la crypto. Donc tous vos certificats pour vos protocoles sécurisés, notamment SSH, HTTPS, POP3S, IMAPS, SSMTP etc. Sans parler des known_hosts et authorized_keys. En gros, si vous gérez un paquet de serveurs, ça va juste vous pourrir un bon paquet d’heures. Mais c’est obligatoire.

Le mot de la fin

Voilou, c’était histoire de clarifier la situation vu ce qu’on peut lire comme info incomplète sur cette faille. Le classique "apt-get update ; apt-get upgrade" du matin ne suffit pas !
J’ai eu envie de faire cet article quand je pense aux hébergeurs qui proposent des serveurs à pas cher, avec environ 97% d’admin archi-débutant-pas-sérieux. Je me ferais du souci à leur place. Surtout si un exploit est révélé !
Faites que le mien ne bloque pas le trafic SSH en cas d’exploit révélé (si si, mon hébergeur l’a proposé, arg !)…. ce serait un bordel sans nom.

Installer un serveur dédié Steam sous Linux

Pour ceux qui ont un serveur avec un minimum de bande passante montante (upload), voici comment monter votre propre serveur Steam, pour jouer à Counter-Strike, Counter-Strike Source, Day Of Defeat etc.
Continuer la lecture

Wifi Intel 3945 a/b/g sur Debian

J’ai un portable avec un chipset intégré Intel 3945 abg.
Mauvaise nouvelle : Intel n’a pas de driver public
Bonne nouvelle : il existe une sorte de daemon binaire qui permet de faire fonctionner le bazar.
Continuer la lecture