11déc.

Autoriser l'accès à un serveur sur demande

Quand on administre un serveur Linux, il est nécessaire de pouvoir s'y connecter, idéalement avec ssh. Le problème c'est que si on laisse un port ssh ouvert au monde entier, on se retrouve rapidement avec des série d'attaques "Brute Force" qui risquent d'exposer le serveur en plus de charger son cpu.

Afin de contourner le problème, on peut décider d'autoriser le ssh (ou d'autres protocoles), seulement à partir d'une adresse IP, par exemple celle d'un machine passerelle sur internet, ou celle d'un client à qui on donne ce genre d'accès. La commande iptables ressemblerait
à ceci:

iptables -A INPUT -s $IP_DE_CONFIANCE -p tcp --dport 22 -j ACCEPT

Ça nous limite toutefois à une adresse IP qu'on connaît à l'avance. J'ai donc imaginé une solution très simple qui permette d'ouvrir la porte à partir d'une page web...

Lire la suite

08nov.

Augmenter le nombre de sessions telnet simultanées

Un de mes gros clients a des terminaux qui se connectent avec le protocole telnet sur le serveur. Par défaut RedHat Enterprise Linux ne propose pas suffisament de sessions simultanées.

Comme je lance telnet avec xinetd, il faut augmenter le nombre d'instances de xinetd simultanées. Voici comment:

cat /etc/xinetd.conf
#
# Simple configuration file for xinetd
#
# Some defaults, and include /etc/xinetd.d/

defaults
{
instances = 120
log_type = SYSLOG authpriv
log_on_success = HOST PID
log_on_failure = HOST
cps = 25 30
}

includedir /etc/xinetd.d
De cette façon, 120 utilisateurs peuvent utiliser le serveur simultanément.

19oct.

Howto - Désactiver IPv6

Le protocole IPv6 est maintenant disponible en standard dans la plupart des distributions Linux. Si votre passerelle ne le gère pas, cela ralentit le réseau.

Voici comment le désactiver :

Dans les distributions de saveur RedHat (CentOS, RHEL, Fedora):

Ajouter ces deux lignes dans le fichier /etc/modprobe.conf

::::::::::::::
/etc/modprobe.conf
::::::::::::::
alias net-pf-10 off
alias ipv6 off
Dans les distributions de saveur Debian (dont Ubuntu), on ajoutera les mêmes lignes dans /etc/modprobe.d/aliases