11déc.

Autoriser l'accès à un serveur sur demande

Quand on administre un serveur Linux, il est nécessaire de pouvoir s'y connecter, idéalement avec ssh. Le problème c'est que si on laisse un port ssh ouvert au monde entier, on se retrouve rapidement avec des série d'attaques "Brute Force" qui risquent d'exposer le serveur en plus de charger son cpu.

Afin de contourner le problème, on peut décider d'autoriser le ssh (ou d'autres protocoles), seulement à partir d'une adresse IP, par exemple celle d'un machine passerelle sur internet, ou celle d'un client à qui on donne ce genre d'accès. La commande iptables ressemblerait
à ceci:

iptables -A INPUT -s $IP_DE_CONFIANCE -p tcp --dport 22 -j ACCEPT

Ça nous limite toutefois à une adresse IP qu'on connaît à l'avance. J'ai donc imaginé une solution très simple qui permette d'ouvrir la porte à partir d'une page web...

Lire la suite

08nov.

Augmenter le nombre de sessions telnet simultanées

Un de mes gros clients a des terminaux qui se connectent avec le protocole telnet sur le serveur. Par défaut RedHat Enterprise Linux ne propose pas suffisament de sessions simultanées.

Comme je lance telnet avec xinetd, il faut augmenter le nombre d'instances de xinetd simultanées. Voici comment:

cat /etc/xinetd.conf
#
# Simple configuration file for xinetd
#
# Some defaults, and include /etc/xinetd.d/

defaults
{
instances = 120
log_type = SYSLOG authpriv
log_on_success = HOST PID
log_on_failure = HOST
cps = 25 30
}

includedir /etc/xinetd.d
De cette façon, 120 utilisateurs peuvent utiliser le serveur simultanément.

30oct.

En serais-je arrivé ou je suis sans Linux?

En faisant ma revue de presse en ligne aujourd'hui, je suis tombé sur cet article qui a éveillé un brin de nostalgie.

En effet, il présente exactement ce qu'était ma première compagnie en 1995. 32 lignes de téléphone louées à France Telecom. Oui oui, 32 prises de téléphones, pas de T1. Une ligne Transpac de 128 kbps (4000/mois) partagée entre nos quelques 1500 clients qui fut suivie plus tard par une ligne satellitaire de 256 Kbps ($8000/mois), et deux serveurs linux sous RedHat qui géraient le tout...

C'était il y a 13 ans déjà... C'est fou comme le monde a changé, mais Linux fait toujours partie de ma vie, et probablement de la votre, même si vous ne le savez pas!

24oct.

Changer le fuseau horaire avec CentOS

Ce matin, je me configure une machine virtuelle chez Gandi pour surveiller mes serveurs avec Munin. Et comme les machines virtuelles de Gandi sont configurées sur le fuseau horaire de Paris, j'ai du chercher comment changer l'heure.

Voici la solution:

[root@gandi etc]# date
Fri Oct 24 16:54:34 CEST 2008
[root@gandi etc]# cat /usr/share/zoneinfo/America/Montreal > /etc/localtime
[root@gandi etc]# date
Fri Oct 24 10:54:55 EDT 2008

19oct.

Howto - Désactiver IPv6

Le protocole IPv6 est maintenant disponible en standard dans la plupart des distributions Linux. Si votre passerelle ne le gère pas, cela ralentit le réseau.

Voici comment le désactiver :

Dans les distributions de saveur RedHat (CentOS, RHEL, Fedora):

Ajouter ces deux lignes dans le fichier /etc/modprobe.conf

::::::::::::::
/etc/modprobe.conf
::::::::::::::
alias net-pf-10 off
alias ipv6 off
Dans les distributions de saveur Debian (dont Ubuntu), on ajoutera les mêmes lignes dans /etc/modprobe.d/aliases