Au passage, un changement important : le dépôt « volatile » n’existe plus, il est remplacé par une une branche squeeze-updates.
Rappel : le dépôt « volatile » contient les mises à jour des paquets ne pouvant pas attendre une nouvelle version Debian tous les 2 ou 3 ans Exemples : protocoles des clients de messagerie instantanée, outillage anti-spam etc.
Alors je résume ici ce que doit être un fichier minimum correct de listes de dépôts pour Squeeze, fichier /etc/apt/sources.list :

deb ftp://ftp.fr.debian.org/debian/ squeeze main contrib  non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free
# avant squeeze : deb http://volatile.debian.org/debian-volatile lenny/volatile main
deb ftp://ftp.fr.debian.org/debian/ squeeze-updates main contrib  non-free
#optionnel :
deb http://backports.debian.org/debian-backports squeeze-backports main contrib non-free

Merci à toute l’équipe Debian, nous leur devons une reconnaissance éééééternelle

(pas la peine de faire des commentaires de troll, je ne validerai pas)

J’ai mis à jour ma doc d’installation + kit de survie + gros sujets « serveur » à l’instant.
Elle est disponible au format Word (oui oui, je sais) et au format PDF (mais certains liens HTML dedans ne marchent pas, si quelqu’un sait pourquoi… généré avec PDFCreator depuis Word 2007)
Elle est destinée à des personnes connaissant un peu Linux et voulant installer un Linux qui a fait ses preuves, plutôt pour un usage serveur.

Le concept de cette n-ième mouture est le suivant :

• J’abandonne la partie graphique/bureautique => utilisez Ubuntu
• Premiers chapitres sur les quelques trucs à savoir sur Debian (différentes versions etc)
• Gros chapitre comparant, écran par écran, l’installation de « Etch mode expert », « Lenny mode expert » et « Etch mode normal ». Afin de montrer les différences avec la prochaine release d’une part, et la comparaison normal/expert d’autre part – pour ceux à qui cela ferait peur.
• Kit de survie : comment gérer les paquets, gérer son système – quelques spécificités Debian
• Firewall « shorewall » : tout pour faire rapidement une conf propre
• Serveur de mail : un exemple bien complet pour monter un serveur, de postfix à spamassassin, rulesemporium, tout ça
• Un exemple d’installation d’application LAMP classique : gallery2

Voilà. Vous pouvez me faire vos retours, vos impressions, tout ça.

Bon, va falloir que je remette à jour ma doc, moi…

Allez-y, excitez-vous, d’ici 1 mois, je retrouverai mes modules et hop, à moi firefox 3…
Et après on se demande pourquoi je préfère Debian à des distrib un peu trop vivaces. Heureusement, mon Ubuntu est restée en 7.10, je me méfie de la migration en 8.jesaisplusquoi. A tous les coups y’a ffox 3 dedans maintenant et pan dans ta gueule les modules, de force.

Beta-deployez bien, a+

Bon, je poste un peu après tout le monde sur le sujet. Mais c’est histoire de faire part de 2/3 remarques. A voir les news postées un peu partout, j’ai l’impression de revivre la naissance de « Blaster » sous Windows : grande ampleur alors que la correction existait et beaucoup découvrent/découvraient ça tardivement sans trop savoir quoi faire.
Bon ici, il ne s’agit que de rectifier avant qu’une faille soit exploitable. Mais c’est extrêmement préoccupant.
Et le pire, c’est que contrairement à beaucoup de failles, le problème réside dans les « clefs de cryptage » que vous utilisez (qui vous sont propres), pas dans l’outil en lui-même. Donc appliquer les patchs constitue seulement 1% de la solution. (dans le cas où vos clefs ont été générées, disons, entre hier et y’a 2 ans… c’est large)

Point de départ de l’information

Si vous découvrez seulement maintenant le sujet et que vous gérez des Debian ou Ubuntu ou dérivés, c’est grave, lisez vite les « security advisory » de openssl et de openssh publié le lendemain. Ce sont les seules sources fiables, comme point de départ.
Si ça vous gonfle car c’est en anglais, parce-que personne n’en voudrait à votre pseudo-serveur etc, alors arrêtez tout de suite de « gérer » un serveur…
Le wiki de Debian résume bien tous les services qui peuvent être impactés et donnent les opérations à faire. A commencer par OpenSSH (tout le monde l’a celui-là)

Donc, pour cette fois, et pour les suivantes, faites ceci :

Pour bien réagir la prochaine fois :

Inscrivez-vous sur la mailing-list de securité Debian

Inscrivez-vous soit par l’interface web, soit en envoyant un mail à debian-security-announce-REQUEST@lists.debian.org avec sujet subscribe et en confirmant une fois le 1er de retour reçu).
Optez pour celle appelée « debian-security-announce », pas nécessairement « debian-security » qui est plutôt une chat-room non modérée
=> Ainsi, vous serez au courant au bon moment avec les bonnes infos, plutôt que des « on dit » incomplets sur des forums.
Si vous n’êtes pas en Debian, ça vaut quand même. Il doit y avoir l’équivalent sur Ubuntu et autres dérivés.

Lisez les alertes à tête reposée et faites ce qui est demandé

Par exemple, dans celle d’OpenSSL dit notamment une toute petite phrase : « We recommend that you upgrade your openssl package and subsequently regenerate any cryptographic material, as outlined above. »
=> Cette toute petite phrase veut simplement dire qu’il faut regénérer TOUT ce qui a trait à la crypto. Donc tous vos certificats pour vos protocoles sécurisés, notamment SSH, HTTPS, POP3S, IMAPS, SSMTP etc. Sans parler des known_hosts et authorized_keys. En gros, si vous gérez un paquet de serveurs, ça va juste vous pourrir un bon paquet d’heures. Mais c’est obligatoire.

Le mot de la fin

Voilou, c’était histoire de clarifier la situation vu ce qu’on peut lire comme info incomplète sur cette faille. Le classique "apt-get update ; apt-get upgrade" du matin ne suffit pas !
J’ai eu envie de faire cet article quand je pense aux hébergeurs qui proposent des serveurs à pas cher, avec environ 97% d’admin archi-débutant-pas-sérieux. Je me ferais du souci à leur place. Surtout si un exploit est révélé !
Faites que le mien ne bloque pas le trafic SSH en cas d’exploit révélé (si si, mon hébergeur l’a proposé, arg !)…. ce serait un bordel sans nom.

D’abord, utilisez un compte utilisateur Linux dédié, c’est plus sûr. Disons qu’il s’appelle « steam », pour l’exemple ci-dessous.
Pas besoin d’avoir acheté le jeu, d’avoir une license, un compte Steam etc, car la création de serveur dédié est gratuite (comme pour tous les jeux en général).

La mise en place d’un serveur steam se passe en quelques étapes :

Installation de l’outil de serveur dédié
Téléchargez-le et lancez-le comme suit :

steam@monnusk:~$ wget http://www.steampowered.com/download/hldsupdatetool.bin
steam@monnusk:~$ chmod +x hldsupdatetool.bin
steam@monnusk:~$ ./hldsupdatetool.bin
blablabalba
...
Enter 'yes' to accept this agreement, 'no' to decline: yes
extracting steam.tar.Z...done

Mise à jour du coeur de Steam
La commande est :

steam@monnusk:~$ ./steam -command update -game valve -dir .
Checking bootstrapper version ...
Getting version 18 of Steam HLDS Update Tool
Downloading. . . . . . . . . . . .
Steam Linux Client updated, please retry the command

Dans l’exemple ci-dessus en gras, le client s’est d’abord mit lui-même à jour. On relance la même commande, et cette fois c’est bien le noyau Steam qui se met à jour :

steam@monnusk:~/steam$ ./steam -command update -game valve -dir .
Checking bootstrapper version ...
Updating Installation
No installation record found at .
Checking/Installing 'Linux Server Engine' version 35
Downloading: .\core_i386.so
Downloading: .\engine_amd.so
Downloading: .\engine_amd64.so
Downloading: .\engine_i486.so
Downloading: .\engine_i686.so
Downloading: .\filesystem_stdio_amd64.so
Downloading: .\filesystem_stdio_i386.so
Downloading: .\hlds_amd
Downloading: .\hlds_amd64
Downloading: .\hlds_i486
Downloading: .\hlds_i686
Downloading: .\hlds_run
Downloading: .\hltv
Downloading: .\libSteamValidateUserIDTickets_amd64.so
Downloading: .\libSteamValidateUserIDTickets_i386.so
Downloading: .\linuxreadme.txt
Downloading: .\proxy_i386.so
Downloading: .\steam_api_i486.so
Downloading: .\steamclient_i486.so
Downloading: .\tier0_s_i486.so
Downloading: .\vstdlib_s_i486.so

No installation record found at .
Checking/Installing 'Half-Life Base Content' version 8
Downloading: .\valve\cl_dlls\client.dll
Downloading: .\valve\dlls\hl.dll
et ça continue...
Downloading: .\valve\violence.cfg
Downloading: .\valve\xeno.wad

HLDS installation up to date

Installation des jeux souhaités
Pour installer Day Of Defeat :

steam@monnusk:~/steam$ ./steam -command update -game dod -dir .

Pour installer Counter-Strike Source :

steam@monnusk:~/steam$ ./steam -command update -game "counter-strike source" -dir css

Attention à la partie en gras. CSS doit être dans un répertoire à part. Ne me demandez pas pourquoi ?

Lancement d’un jeu
Je vous recommande de vous créer des scripts pour le lancement de chacun de vos jeux ; et de lancer tout ça dans des « screen » afin de pouvoir reprendre les sessions plus tard.
Pour DoD, le script ressemblera à ça :

#!/bin/sh

cd steam/
./hlds_run -console -game dod +ip vo.t.re.ip -port 27015 +map dod_anzio +maxplayers 21 -autoupdate -tickrate 100

Pour CSS, plutôt à ça, il y a une vague nuance :

#!/bin/sh

cd steam/css/
./srcds_run -console -game cstrike +ip vo.t.re.ip -port 27015 +map de_dust +maxplayers 21 -autoupdate -tickrate 100

Il faut évidemment ouvrir les ports réseaux TCP et UDP que vous spécifiez. Et si vous voulez faire tourner plusieurs jeux en même temps, il faudra utiliser des ports différents.

Voilou, bon frags.

Il faut installer les paquets suivants :
- ipw3945d
- firmware-ipw3945
- ipw3945-modules-2.6.18-4-686
Attention pour ce dernier : la version doit correspondre à votre noyau actuel. Ci-dessus, je suppose que vous utilisez le noyau 2.6.18-4 pour 686.
Pour installer :

apt-get install ipw3945d firmware-ipw3945 ipw3945-modules-2.6.18-4-686

Et si vous utilisez un autre noyau, pour trouver la dénomination exacte du paquet ipw3945-modules, tentez donc un :

apt-cache search ipw3945 modules

L’installation des paquets ci-dessus apporte notamment le driver (module). Il faut le charger. Le plus simple est d’utiliser modconf (faites un

apt-get install modconf

s’il faut, le module fraîchement installé est le premier dans la liste). modconf a l’avantage d’éviter de faire des echo > /proc et des modifs bizarroïdes dans /etc/modules.conf.

Enfin, il vous faudra les outils développés par HP, les « wireless tools », qui sont indispensables.
Installez-les avec ça :

apt-get install wireless-tools

Voyez la liste des commandes sur le site de HP.

Dernière chose : mettre en place la connexion. Sous Gnome, un joli programme à installer :

apt-get install network-manager-gnome

Bonus : mettre en place ce qu’il faut pour le changement dynamique de connexion filaire / wifi et de connexion au bon réseau wifi suivant ce qui est disponible (maison, boulot, copains…). Bon ça je ne l’ai pas fait car mon contexte d’utilisation ne s’y prête pas.

A voir aussi, le paquet « wifi-radar ».