Blog Dreaminvasion - développement et administration réseaux - Admin reseau - Serveurs

OVH : faire passer son hébergement PHP4 en PHP5

Gerald Lonlas — Thu, 06 Mar 2008 12:04:00 +0100

Pour ceux qui sont chez l’hébergeur OVH, vous avez du vous rendre compte que votre hébergement supporte le PHP4 et le PHP5.
Cependant pour exécuter un script en PHP5 il faudrait que vos scripts soient nommés .php5, difficile à faire lorsque toute votre application est déjà codée avec des pages nommées .php

La solution pour faire passer tous vos scripts par l’interpréteur PHP5 au lieu de PHP4 est très simple :

Créer un fichier .htaccess à la racine du site (dans le dossier "www ")
Ajouter la ligne suivant au fichier .htaccess
# Passage des pages .php (PHP4) sur l'interpréteur PHP5
SetEnv PHP_VER 5

Et voila maintenant vos scripts seront interprété par PHP5.

Windows Vista, Problème de lenteur sur un réseau avec Windows server 2003

Gerald Lonlas — Thu, 15 Nov 2007 20:49:00 +0100

Me voila de retour en stage, avec mon nouvel OS Windows Vista Business (Jusqu'à présent j’étais resté sur Windows XP Pro). Mais quelle fut ma surprise en voyant que mon Windows Vista ne pouvait ni se connecter au domaine de Windows server 2003, ni accéder correctement aux partages de Windows server 2003. Une grande frustration sur ce réseau que j’avais moi-même installé 6 mois auparavant.

Le problème à l’air d’être connu mais peu de réponses circulent sur Internet. Après deux bonnes heures de recherche et de teste j’ai enfin trouvé la solution.

Comme d’habitude sur ce blog je vais vous partager ma solution.

Problème : Lenteur réseau entre Windows Vista et Windows Server 2003

Solution : Désactivation du Receive Side Scaling et de la prise en charge déchargeant

Sur Windows 2003 Server :

Lancez regedit (Cliquez sur Démarrer, puis sur Exécuter, tapez regedit);
Allez dans HKEY_LOCAL_MACHINE\CurrentControlSet\Services\Tcpip\Parameter.
Si l’entrée EnableRSS n’existe pas, créez-le.
1. Menu Edition, puis Nouveau, choisissez "Valeur DWORD".
2. Dans la zone Nouvelle Valeur #1, tapez EnableRSS.
Modifiez la valeur de l’entrée EnableRSS (clique droit, puis Modifier).
Dans la zone Valeur, tapez 0.
Allez dans HKEY_LOCAL_MACHINE\CurrentControlSet\Services\Tcpip\Parameter.
Si l’entrée EnableTCPA n’existe pas, créez-le.
1. Menu Edition, puis Nouveau, choisissez "Valeur DWORD ".
2. Dans la zone Nouvelle Valeur #1, tapez EnableTCPA.
Modifiez la valeur de l’entrée EnableTCPA (clique droit, puis Modifier).
Dans la zone Valeur, tapez 0.
Redémarrez le serveur.

Plus d’information sur la documentation officielle de Microsoft.

Linux : Comment restreindre un shell ?

Gerald Lonlas — Thu, 20 Sep 2007 14:55:00 +0200

SecuObs nous propose un dossier en 4 parties sur les shells restreints : "Shells restreints – comment les contourner ?".

Résumé : Présentation des shells restreints qui sont des shells système modifiables afin de restreindre les possibilité d'interaction de la session d'un utilisateur donné avec le reste du système d'exploitation et cela notamment afin de limiter les risques de collecte d'informations sensibles par des personnes malveillantes ou de destruction du système par des utilisateurs peu expérimentés.

SecuObs.com nous présente dans ce dossier :

ce qu'un Shell restreint est et comment cela fonctionne,
comment est structuré un environnement restreint typique,
les méthodes pour s'évader d'un Shell restreint,
ce qu'il faut utiliser pour créer un environnement restreint plus fiable.

Avant de lire ce dossier SecuObs.com recommande des notions dans :

Les Shells.
Les bases du fonctionnement des systèmes Linux/Unix.
Le langage C.

Personnellement je trouve que c’est un très bon dossier, autour de la sensibilisation des accès dit restreint sous Linux.

Webmasters faites-vous le nécessaire pour la sécurité de votre site web ?

Gerald Lonlas — Wed, 19 Sep 2007 09:47:00 +0200

Google Webmaster Central Blog a publié hier un article (Quick security checklist for webmaster) sur quelques points à prendre en compte pour la sécurité de votre site internet.

Google nous conseils entre autre :

De vérifier la configuration de votre serveur d’application (Apache, PHP, IIS, …)
De toujours avoir ses applications à jours avec les derniers patchs.
Toujours vérifier ses logs (Facile à dire mais il faut le temps et en fonction de votre trafic ca peut être vite un casse tète).
Vérifier s’il n’existe pas de failles / Patch sur vos sites (surtout si vous utilisez des projets open sources).
Etre méfiant des parties de codes venant de personnes extérieur.
Tester Google pour voir les pages qui sont indexés (N’hésitez pas a tester d’autre moteur de recherche).
Utilisez le Webmaster Tools de Google (C’est vrai que c’est un très bon outil, surtout pour l’analyse de votre référencement).
Utiliser des protocoles sécurisés : SSH, SFTP, POP-SSL, … (Je le recommande vivement, car on sait jamais qui écoute sur le réseau avec des protocoles chiffrés vous êtes sûr que vos mots de passe ne circuleront pas en clair).
Lire le Google Online Security Blog.

Bien entendu Quick security checklist for webmaster est un article de Google pour Google, mais il permet de vous sensibiliser à quelques notions essentielles en matière de sécurité.

Je vous recommande de toujours garder un œil sur le site des applications que vous utilisez pour voir si un nouveau patch n’est pas sorti. Plus l’application que vous utilisez sera connue et répandue sur le net, plus les failles seront rapidement exploitées.

N’hésitez pas à rajouter les flux RSS de site sur la sécurité comme Sécunia, SécuObs.com, Securityfocus.com, …

Linux - Sécuriser votre Serveur SSH

Gerald Lonlas — Mon, 28 May 2007 15:12:00 +0200

Si vous avez laissé la configuration de base de votre serveur SSH, vous avez sûrement du remarquer dans vos logs que votre serveur SSH était très sollicité par des tentatives de connexions.
Généralement dû à un brute-force ce type de tentatives peuvent risquer la compromission de votre serveur.

Cet article vous présente une solution simple à mettre en place pour sécuriser votre serveur SSH contre les attaques extérieures.

Cette solution se base autour des trois modifications suivantes :

Changer le port du serveur SSH
Interdire les connexions en tant que Root
Limiter le nombre de tentative

La configuration ci-dessus à été faite sur des distributions Debian Sarge et Etch.

Changer le port du serveur SSH

Ouvrir le fichier de configuration du serveur SSH (/etc/ssh/sshd_config)

Changer Port 22 par Port xxxx (où xxxx représente le nouveau port de votre serveur ssh, choisissez de préférence un port au dessus de 1024)

ex : Port 3456

Interdire les connexions en tant que Root

Ouvrir le fichier de configuration du serveur SSH (/etc/ssh/sshd_config)
Changer PermitRootLogin yes par PermitRootLogin no

Limiter le nombre de tentative

Bien que le changement du port et l’interdiction de connexion sous Root limite le nombre de tentative par les scripts de brute-force.
Nous allons voir comment limiter le nombre de tentatives de connexion pour être sûr de ne plus être harcelé par un brute-force.

Pour cela il faut éditer votre script d’Iptables et ajouter la ligne suivante :

-A INPUT -p tcp -m tcp -s votre_IP --dport xxxx -j ACCEPT
-A INPUT -p tcp -m tcp -m limit --dport xxxx --limit 5/hour -j ACCEPT

(où xxxx représente le nouveau port de votre serveur ssh)

La première directive est optionnelle elle permet de dire à IPtables de toujours autoriser votre IP à se connecter au serveur SSH (à utiliser seulement si vous avez une IP fixe)
La deuxième directive IPtables permet de limiter le nombre de tentatives à 5 par heures.

N’oubliez pas d’enlever la ligne qui autorise les connexions sur le port 22.

Patch de sécurité pour VHCS 2.4.7.1

Gerald Lonlas — Thu, 09 Feb 2006 23:59:00 +0100

Une nouvelle mise à jour de sécurité pour VHCS vient d'être publiée.

Elle corrige un bug dans le fichier login.php.

Mise à jour de VHCS

Récupération du patch.

cd /tmp
wget http://ovh.dl.sourceforge.net/sourceforge/vhcs/vhcs_patch_2006-02-09.tar.bz2
tar xjf vhcs_patch_2006-02-09.tar.bz2

Sauvegarde de l'ancien fichier et mise à jour.

cd vhcs_patch_2006-02-09
cp /var/www/vhcs2/gui/include/login.php /var/www/vhcs2/gui/include/login.php.bak
cp gui/include/login.php /var/www/vhcs2/gui/include/login.php

Verification de la mise à jour en se connectant à la console VHCS
(Si la connexion ne fonctionne pas, supprimez le fichier login.php et renomer login.php.bak en login.php).

Suppression des fichiers inutiles.

/var/www/vhcs2/gui/include/login.php.bak
-R /tmp/vhcs_patch_2006-02-09
/tmp/vhcs_patch_2006-02-09.tar.bz2

Liens externes

New Security Patch / replaces Update from 2006-02-05