Archives pour la catégorie ‘Système’

Apache : redirection transparente en HTTPS

Il existe plusieurs manières de forcer le passage en mode sécurisé d’un site hébergé sous Apache. Cependant, la plupart sont faites en dures : le port 443 est forcé voire également le domaine du site.

Voici donc la manière la plus propre et élégante que j’ai pu faire :

# Force HTTPS mode
<IfModule mod_ssl.c>
  <IfModule mod_rewrite.c>
      RewriteEngine On
      RewriteCond %{HTTPS} off
      RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
   </IfModule>
</IfModule>

Celle-ci fonctionne quelque soit le port sécurisé déclaré dans la configuration du serveur,  le domaine ou les alias utilisés par le VirtualHost considéré, et ne provoque pas l’arrêt du serveur si un des 2 modules nécessaires n’est plus activé. Pour limiter la redirection à une certaine partie du site, il ne reste plus qu’à restreindre la RewriteRule.

Linux : fichier de swap dynamique

Il peut être utile de créer un fichier de swap sur disque  (et non sur une partition dédiée). L’avantage est que le fichier peut être redimensionné après coup.Par exemple, pour créer un fichier de 256 Mo, il faut procéder ainsi :

# dd if=/dev/zero of=/var/swap bs=1024 count=262136
# mkswap /var/swap
# swapon /var/swap

La dernière ligne doit être exécutée à chaque boot pour activer le fichier de swap. Sous Gentoo, vous pouvez l’ajouter dans /etc/conf.d/local.start. Sous Debian, tout est plus simple avec le package dphys-swap qui permet une gestion automatique. Ce dernier est configuré par le fichier /etc/dphys-swapfile dont voici un exemple :

# /etc/dphys-swapfile - user settings for dphys-swapfile package
# where we want the swapfile to be, this is the default
CONF_SWAPFILE=/var/swap
# size we want to force it to be, default (empty) gives 2*RAM
CONF_SWAPSIZE=256

Faille de sécurité ClamAV CVE-2008-5314

Une faille de sécurité (CVE-2008-5314) a été découverte dans la dernière version de l’antivirus ClamAV 0.94 :

Stack consumption vulnerability in libclamav/special.c in ClamAV
before 0.94.2 allows remote attackers to cause a denial of service
(daemon crash) via a crafted JPEG file, related to the
cli_check_jpeg_exploit, jpeg_check_photoshop, and
jpeg_check_photoshop_8bim functions.

Une bien belle attaque DoS, exploitable avec un simple fichier JPEG à joindre en mail, destination serveur à dégommer.

J’en ai fait les frais vendredi dernier avec les mails de mes clients. Seule solution pour empêcher la charge et le crash du serveur à cet instant : désactiver l’antivirus et attendre la disponibilité du package version 0.94.2.

Et dire que j’avais probablement le client qui me faisait trimer le serveur au téléphone…

Gentoo : dépendances croisées e2fsprogs-libs, com_err & ss

Pour tout ceux et celles qui administrent des serveurs Linux Gentoo, une petite surprise va leur arriver : 4 dépendances croisées qui bloquent ladite mise à jour.

Alors on s’arme de patience car si on fait pas bien les choses, on se retrouve sans emerge, sans SSH, sans wget, sans mount… bref de quoi aller chercher son livecd comme un grand.

[ebuild     U ] sys-fs/e2fsprogs-1.41.2 [1.40.9]
[ebuild  N    ] sys-libs/e2fsprogs-libs-1.41.2  USE="nls"
[blocks B     ] sys-libs/ss (is blocking sys-libs/e2fsprogs-libs-1.41.2)
[blocks B     ] sys-fs/e2fsprogs-1.41 (is blocking sys-libs/e2fsprogs-libs-1.41.2)
[blocks B     ] sys-libs/com_err (is blocking sys-libs/e2fsprogs-libs-1.41.2)
[blocks B     ] sys-libs/e2fsprogs-libs (is blocking sys-libs/ss-1.40.9, sys-libs/

Voici la solution praticable en mode tout-terrain :

# emerge -fud world
# emerge -C ss com_err e2fsprogs
# emerge --oneshot e2fsprogs-libs
# emerge e2fsprogs

Pour être certain que le système est consistant, on finit par çà :

# revdep-rebuild

Une grosse prise de tête en moins. Vive le packaging Gentoo !

Se détacher d’une console Xen depuis un terminal Mac OS X

Voici un pense-bête perso dans le cadre de l’utilisation de Xen depuis un terminal Mac. Je parle du raccourci-clavier qui permet de se détacher de la console Xen : le fameux Ctrl + [ du monde PC.

Eh bien, le raccourci sous Mac devient Ctrl + Option + 6

Ah là tout de suite c’est mieux.

Haut de page