bind-address           = 127.0.0.1

en ajoutant un # devant.

ça s'applique aussi quand on a un seul serveur mysql accessible par plusieurs serveurs web par exemple.

en faisant cela, on vient d'autoriser les connexions au serveur depuis... partout ! (alors que par défaut il ne les accepte que depuis localhost) ce qui va nous permettre d'avoir un phpmyadmin unique pour pleins de serveurs mysql.

le problème, c'est qu'en terme de sécurité, la règle est simple, "Je ferme tout, puis j'ouvre ce dont j'ai besoin"
ici le besoin est d'ouvrir l'accès à Mysql depuis le serveur qui héberge phpmyadmin, or, avec notre modification, on vient d'ouvrir l'accès à tout le monde (encore faut-il avoir des login/password valides pour se connecter, mais vaut mieux ne pas tenter le diable^^).

pour remédier au problème, on va avoir recours au firewall, sous debain (et linux en général) c'est iptables

on va explicitement permettre l'accès à notre mysql depuis le serveur hébergeant phpmyadmin, et... le refuser à tout le reste

iptables -A INPUT -p tcp -s IP_DU_SERVEUR_PHPMYADMIN --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j DROP

et voilà, en 2 lignes c'est fait.
la première autorise le serveur qui héberge phpmyadmin, la 2ème ferme tout.

il est à noter que ces règles seront perdues si le serveur redémarre, donc, si redémarrage, il faudra les retaper, ou sinon les mettre dans un script exécuté au démarrage, comment faire ? c'est le sujet d'un prochain post

changer le ici mettant le nouveau hostname :

vim /etc/hostname

ensuite ouvrez le fichier hosts et AJOUTER (dans le cas du kimsufi, il faut qu'il réponde toujours au nom ksXXYYZZ donc ne remplacez pas, mais ajouter) le nouveau hostname (en face des ip locales)

vi /etc/hosts

ce qui donne (par exemple):

127.0.0.1       localhost.localdomain localhost
WW.XX.YY.YY     ksXXYYZZ.kimsufi.com monNouveauHostname

rendre la modification effective :

/etc/init.d/hostname.sh start

et c'est tout , il faut se déconnecter/reconnecter pour voir le changement.

avant de commencer, il faut savoir que la version actuelle de debian (donc la version stable) est : lenny

la version qui nous intéresse est la testing ou bien squeeze (on pourrait s'intéresser à la sid (non stable) mais c'est à éviter)

pour plus d'infos sur ces versions : http://wiki.debian.org/DebianReleases

pour pouvoir installer des paquets de la squeeze sous lenny il faut éditer son fichier /etc/apt/sources.list en ajoutant :

deb http://ftp.fr.debian.org/debian squeeze main
deb http://security.debian.org/ squeeze/updates main

en gros dupliquer les lignes existantes en remplaçant lenny (ou stable) par squeeze (on pourrait ajouter non-free après main en cas de besoin ; pour installer jdk par exemple...)

maintenant notre debian est configurée pour aller chercher ces paquets dans la branche squeeze, cool, mais c'est un peu la cata quand même en fait, on ne veut prendre dans squeeze que certains paquets, et par défaut on voudrait garder lenny quand même, pour cela il faut tout simplement le dire à la machine :

on édite le fichier /etc/apt/apt.conf (le créer si non existant)
on met dedans la ligne suivante :

APT::Default-Release "stable";

et maintenant un simple apt-get install va aller chercher les paquets au bon endroit (c'est à dire : lenny)

et si on veut installer un paquet de squeeze, on fait :

apt-get install --target-release squeeze MON-SUPPER-PAQUET-DE-SQUEEZE

et le tour est joué

à l'heure actuelle lenny est la version stable, le jour où la stable change, il suffira d'adapter un peu tout ça.

pour commencer il faut trouver une autre porte d'entrée au serveur (une autre adresse IP)

en suite le but est de supprimer la règle concernant votre IP sans devoir toucher aux autres règles voici comment faire :

iptables -L --line-numbers

ce qui donne (entre autre) :

Chain fail2ban-ssh (1 references)
num  target     prot opt source               destination
1    DROP       all  --  kol-static-36-240-16-61.direct.net.in  anywhere
2    DROP       all  --  unknown-host.yaltanet.com.ua  anywhere
3    RETURN     all  --  anywhere             anywhere

là on vois qu'il y a 2 ip bannies, il faut repérer le numéro de ligne de cette qu'on veut supprimer (ce qui revient à autoriser l'ip a se connecter au serveur)

iptables -D fail2ban-ssh X

fail2ban-ssh : le nom de la chain créée par fail2ban pour le ssh
X : le #numéro de ligne qui nous intéresse

on commence par la locale :
taper :

dpkg-reconfigure locales

choisir la bonne langue/locale et valider, comme ici :

faire de même à l'ecran suivant :

en suite on passe a l'heure, c'est très simple
on tape :

dpkg-reconfigure tzdata

et là on va avoir un écran où il faudra sélectionner "Europe" puis valider, en suite sélectionner "Paris" puis valider et c'est ok, l'heure est automatiquement régler avec le bon fuseau horaire, pas besoin de régler l'heure a la main puisque ntpdate s'occupe de la garder à jour.

N.B. Tous se fait sous root.

1. Le mode NAT
2. Adaptateur réseau hôte

Le mode NAT :

Avec ce type de configuration, la machine aura accès au net, mais sans plus, elle ne sera pas joignable, elle ne sera pas visible sur le réseau, c'est le plus simple, le plus rapide, mais pas le plus efficace, néanmoins, ça peut suffire dans la plupart des cas. D'ailleurs, c'est la configuration par défaut de VirtualBox, donc il n'y a rien à faire pour que ça fonctionne.

Adaptateur réseau du système hôte :

Cette configuration fait que, non seulement, la machine virtuelle aura accès au net, mais elle sera elle même joignable depuis le réseau, avec cette configuration, la machine virtuelle apparaitra sur le réseau comme une machine indépendante du système hôte, ce qui est plutôt appréciable pour certaines utilisations, indispensable pour d'autres.

Nous allons voir comment procéder à cette configuration dans le cadre d'un système hôte sous XP (ou Vista) et une machine virtuelle sous Linux (Debian Etch en l'occurrence).

Tout d'abord, aller dans les paramètres de la machine virtuelle (éteinte ) et modifier les options du réseau, dans la partie basse de la fenêtre ajouter une interface réseau (cliquez sur le "+" a droite de la fenêtre, cela créera une interface réseau supplémentaire qu'on utilisera plus tard (visible dans les connexions réseau).

dans "Attaché à :" sélectionnez "Adaptateur réseau hôte", puis validez.

aller dans les connexions réseau, sélectionnez votre connexion habituelle (en général elle s'appelle :"connexion au réseau local") et la connexion virtuelle créée précédemment, puis cliquez sur le bouton droit de la souris (il faut sélectionner les 2 en même temps), et dans le menu contextuel cliquez sur "connexion de ponts", ceci va créer un pont entre les 2 connexions réseau (en gros il va donner la connexion a l'interface virtuelle).

normalement si tout va bien votre machine virtuelle est ajouté au réseau (il faut l'allumer hein ), elle obtient directement son adresse IP (si vous avez un serveur DHCP sur le réseau bien sûr, sinon rester en NAT ou configurez une IP fixe).

En cas de problème n'hésitez pas à recommencer, parfois ça a du mal a fonctionner.

Quelques pistes en cas de problème :

parfois, si on a fait plusieurs tests, bidouillé un peu /etc/network/interfaces etc. l'interface coté linux peut changer de nom, en général c'est eth0 mais c'est pas toujours le cas, voici un moyen simple de savoir comment est appelée l'interface réseau :

cat /proc/net/dev

dans le résultat de cette commande on voit le nom de l'interface, pratique pour la configurer à la main (IP statique par exemple) en tout cas ça m'a bien servi pour voir que mon interface s'appelait eth4

n'oublier pas une petit

/etc/init.d/networking restart

après chanque changement dans /etc/network/interfaces

Bonne chance, et bonne virtualisation

ça parait simple, mais quand on a installé une Debian assez maigre (avec presque rien dessus) la tache ne se résume plus a un simple clic, voici donc ce qu'il faut faire :

la première étape est obligatoire pour nous éviter un message d'erreur du type :

"Please install the build and header files for your current Linux kernel.
The current kernel version is 2.6.17-5mdv
Please install the GNU compiler.
Problems were found which would prevent VirtualBox from installing.
Please correct these problems and try again."

debian-guest:~# apt-get install linux-headers-`uname -r` build-essential

après il faut aller dans : Périphériques >> Installer les additions client...

retourner dans Debian et faire :

debian-guest:~# cd /media/
debian-guest:~# mount cdrom0
debian-guest:~# cd cdrom
debian-guest:~# sh VBoxLinuxAddition-XXXX.run (le XXX c'est la version adm64 ou x86)

redémarrez les machine virtuelle est ca devrait être bon

il faut s'assurer que le paquet locale est deja installé (par défaut sur une etch il me semble) et faire un coup de :

dpkg-reconfigure locales

et là on sélectionne la locale voulue en la mettant par défaut, se déconnecter, se reconnecter et le tour est joué

blake frantz a rapporté une vulnérabilité, classifiée comme "faiblement critique", dans le kernel Linux, qui pourrait être exploitée par un utilisateur local malveillant pour révéler des informations sensibles.

La vulnérabilité est due à une erreur dans la fonction "do_coredump()" du script "fs/exec.c" qui ne vérifie par correctement l'ID de l'utilisateur d'un fichier core dump, lorsque les informations sont insérées dans ce fichier. Cette erreur peut être exploitée pour obtenir l'accès à des informations sensibles en incitant une application ayant un autre ID utilisateur à saisir ses données dans un fichier déjà existant.

La vulnérabilité a été rapportée pour les versions 2.4.x et 2.6.x antérieures à la version 2.6.24-rc4.
Le fournisseur propose la mise à jour 2.6.24-rc4 pour combler cette vulnérabilité.

Source : Kataz.com

Ce qui va suivre sont des commandes de l'utilisation de tous les jours avec un système linux.

cd : sert à se deplacer dans les repertoire
ex : cd tmp, cd /etc/init.d, cd ../.., cd usr, cd /

ls : sert à lister un/des répertoires
ex : ls, ls -l (résultat sous forme de liste), ls -a (avec les fichiers cachés), ls -al (les deux options cumulées)

cp : sert à copier un fichier vers une destination (cp source destination)

mv : sert à déplacer ou renommer un fichier (mv source destination)

pwd : sert à afficher le chemin du répertoire dans lequel vous vous trouvez

sh : permet d'executer un script shell (sh script.sh)

cat ou more : permet de lire un fichier (more access.log)

vi, joe, emacs: permet d'editer un fichier (vi lettre_de_dem.txt)

rm : supprime un fichier (rm fichier) (rm -R permet de supprimer un dossier et ses sous repertoire, R pour récursif)

find, which, locate : trouver un fichier (locate httpd.conf)

grep : trouver du texte dans un fichier

CRON : mm hh jj MMM JJJ tâche > log
exemple :

45 6 * * * /root/backup.sh > /root/backup.log

mm minutes (de 0 à 59)
hh l'heure (de 0 à 23)
jj jours (de 1 à 31)
MMM mois (de 1 à 12) ou l'abréviation (jan, feb, mar, apr, ...)
JJJ l'abréviation du nom du jour ou le chiffre correspondant au jour de la semaine (0 représente le dimanche, 1 représente le lundi, ...)

tâche représente la commande ou le script shell à exécuter

log représente le nom d'un fichier dans lequel stocker le journal des opérations. Si la clause > log n'est pas spécifiée, cron enverra automatiquement un mail de confirmation. Pour éviter cela il suffit de spécifier > /dev/null

Pour chaque unité de temps (minute/heure/...) les notations sont possibles:
*: a chaque unité de temps
2-5: les unités de temps (2,3,4,5)
*/3: toutes les 3 unités de temps (0,3,6,...)
5,8: les unités de temps 5 et 8

apt-get update
Met à jour la liste des paquets disponibles, à partir des sources définies dans /etc/apt/sources.list. Cette commande devrait être exécutée avant toute autre opération, pour s'assurer que la liste des paquets disponibles est correcte.

apt-get install <package>
Installe le package <package> en gérant les dépendances (autres packages nécessaire à l'exécution) et conflits (packages incompatibles).

apt-get -s install <package>
Simule l'installation du package <package>. L'option -s indique qu'il faut simuler les actions qui seraient effectuées par l'opération demandée (ici, l'installation). Cela permet de voir quelles actions apt effectuerait si la commande était réellement exécutée: paquets additionnels qui seraient ajoutés, paquets incompatibles qui seraient supprimés...

apt-get dist-upgrade
Met à jour la distribution par rapport à la liste des paquets disponibles. Il est recommandé d'examiner les opérations qu'APT va effectuer en invoquant dist-upgrade avec le flag -s. Si vous travaillez en "testing", sachez que les mises à jour sont généralement plus conséquentes et parfois plus périlleuses. Redoublez de méfiance.

apt-get --purge remove <package>
Supprime un package et le purge (suppression définitive et exhaustive).

apt-cache search <regexp>

apt-cache search php4

apt-cache search '^php4'

Recherche la <regexp> dans le nom et la description des packages. Notez la différence entre les deux dernières recherches. Dans le premier cas, la recherche est: nom de paquet ou description contenant php4. Dans le second cas, la recherche est: nom de paquet ou description commençant par php4.

apt-cache showpkg <package>

apt-cache show <package>

Affiche les informations concernant <package>: description, version, dépendances, ...
Décompresser une archive : tar xzf fichier.tr.gz

Pour vos commentaires c'est par ici : http://naeh.net/forum/index.php?topic=5.0

PS. Les informations postées dans cet article sont issues de différents sites traitant du sujet.