jmanteau

Depuis le temps que je le guettait du coin de l’oeil (j’ai même essayer une nightly build) il est enfin sorti le jeune louveteau : Amarok 2 est là !
Je pars le tester !

Pour les gens sous Fedora 9 le rpm est là .

La config de la bête:

• Deux processeurs 64 bits UltraSPARC-III à 750 MHz avec 8 Mo de cache chacun.
• 2 Go de RAM (8 x 256 Mo SDRAM DIMM, référence Sun 501-5401).
• Deux framebuffers UPA Sun Elite3d-m6 Series 2 (référence Sun 501-5575).
• Un disque 36.4 Go à 10000 tours/minute FC-AL Seagate série Cheetah 73LP (ST336605FC, référence Sun 390-0070).
• Un disque 73.4 Go à 10000 tours/minute FC-AL Seagate série Cheetah 73LP (ST373405FC, référence Sun 390-0071).
• Un lecteur DVD-ROM 10X SCSI StorEdge (référence Sun 390-0025).
• Un lecteur Smart Card simple face (référence Sun 370-3933).
• Un clavier Sun Type-6 (connectique USB) en version française (AZERTY).
• Une sourie 3 boutons (connectique USB).
• Un module audio avec le codec CS4231 (référence SUN 501-4155)

L’install se fait par le réseau, n’ayant pas de lecteur CD-ROM.

Pour cela on a besoin d’une autre machine sur laquelle on effectue les manips suivantes :

@MAC de la Sunblade (obtenue au démarrage de celle-ci en haut de l’écran) : exemple: 00:03:ba:18:0e:62
@IP: IP de la sunblade fixée par moi

@Host : le nom donnée à la machine

On renseigne le ficher host:

echo « @IP MaSunBlade » >> /etc/hosts

On vérifie la présence :

arp -s @IP @MAC

On installe le démon rarpd pour la résolution inverse ( apt-get install rarpd) et on lui donne à manger :

echo « @MAC @Host » >> /etc/ethers

Ensuite on installe un TFTP (apt-get install tftpd). On met dedans le fichier boot.img correspondant à la netinstall pour une Debian Sparc32 (je rentre pas dans les détails mais la liste debian-sparc conseille de prendre la 32 car la 64 n’apporte pas grand chose de plus rapport au portage des applications).

Donc on met notre fichier boot.img dans /tftpboot

Ensuite on fait

ln -s /tftpboot/boot.img /tftpboot/@MAC_en_hexa

pou moi @MAC_en_hexa valait C0A80128 . pour vérifier cela installez wireshark sur votre machine serveur allumez la Sunblade et regarder dans les paquets TFTP quel fichier elle demande.

Après on démarre la Sunblade.

L’install de Debian se déroule normalement jusqu’à la détection des disques où là pas de détection auto!

On bascule en mode console (CTRL+ALT+F2) et on rentre :

wget http://ftp.fr.debian.org/debian/pool/non-free/f/firmware-nonfree/firmware-qlogic_0.4+etchnhalf.1_all.deb

puis

udpkg -i fir(TAB) (faut bien que ça serve la complétion auto!)

modprobe -r -v qla2xxx : on enlève le module

modprobe qla2xxx : on le recharge

On revient à l’installeur (CTRL+ALT+F1) on appuie sur ECHAP et on refait l’étape de détection des disques.On arrive à l’étape de partionnement. Partitionnez comme vous le sentez et si vous avez un joli écran rouge vous indiquant une erreur alors revenez à la console et tapez:

dd if=/dev/zero of=/dev/sda bs=512 count=2; sync

La commande suivante sert à réinitialiser le début du disque (si Solaris était présent avant par exemple …) mais toutes les données du disques sont alors perdues ! Cela est nécessaire due à la façon dont Solaris gère les disques.

On revient alors à l’installeur on repartitionne et on finit l’install normallement. SAUF que !

Il faut alors recharge notre driver qla2xxx dans le système si l’on veut pouvoir redémarrez après!

On revient à la console .

On fait

mkdir /mnt/lenny

mount /dev/notrepartitionsysteme(pour moi sda4) /mnt/lenny

chroot /mnt/lenny (on « entre » dans notre système fraichement installé)

cd /etc/apt

On rajoute les dépots non-free dans le sources.list (genre sources.list ) et on fait

apt-get update

update-initramfs -k all -c : on initialise le initramfs

apt-get install firmware-qlogic : on installe le driver et le initramfs se MAJ automatiquement.

Ensuite on quitte (exit) et on démonte (umount /mnt/lenny).
On revient à l’installeur et on finit l’install.

Si au redémarrage vous avez le droit à un message « Memory not Aligned ». Eteignez normalement la machine ( STOP+Q dans Bootprom et puis shutdown), débranchez le cable d’alim 30s, rebranchez et redémarrez : ça m’a réglé mon problème.

Et voilà vous avez une SunBlade 1000 sous Debian !

IPtables (associé à Netfilter) est un des meilleurs firewalls pour Linux, et certainement le plus répandu. Vous pourrez trouver de nombreux scripts de configuration à son sujet. En voici un, à adapter à votre configuration. A tout instant, utilisez la commande iptables -L -v pour lister les règles en place.

Celles-ci portent sur 3 chaînes : INPUT (en entrée), FORWARD (dans le cas d’un routage réseau) et OUPUT (en sortie). Les actions à entreprendre sont ACCEPT (accepter le paquet), DROP (le jeter), QUEUE et RETURN.

Arguments utilisés :

* i : interface d’entrée (input)
* i : interface de sortie (output)
* t : table (par défaut filter contenant les chaînes INPUT, FORWARD, OUTPUT)
* j : règle à appliquer (Jump)
* A : ajoute la règle à la fin de la chaîne (Append)
* I : insère la règle au début de la chaîne (Insert)
* R : remplace une règle dans la chaîne (Replace)
* D : efface une règle (Delete)
* F : efface toutes les règles (Flush)
* X : efface la chaîne
* P : règle par défaut (Policy)

# lo : localhost (ou 127.0.0.1, machine locale)

Nous allons créer un script qui sera lancé à chaque démarrage pour mettre en place des règles de base

vi /etc/init.d/firewall

#!/bin/sh

# Vider les tables actuelles
iptables -t filter -F

# Vider les règles personnelles
iptables -t filter -X

# Interdire toute connexion entrante et sortante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# —

# Ne pas casser les connexions etablies
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# —

# SSH In
iptables -t filter -A INPUT -p tcp –dport 2222 -j ACCEPT

# SSH Out
iptables -t filter -A OUTPUT -p tcp –dport 2222 -j ACCEPT

# DNS In/Out
iptables -t filter -A OUTPUT -p tcp –dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp –dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp –dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp –dport 53 -j ACCEPT

# NTP Out
iptables -t filter -A OUTPUT -p udp –dport 123 -j ACCEPT

#Si vous hébergez un sevreur web (Apache) :

# HTTP + HTTPS Out
iptables -t filter -A OUTPUT -p tcp –dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 443 -j ACCEPT

# HTTP + HTTPS In
iptables -t filter -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp –dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp –dport 8443 -j ACCEPT

#Si vous hébergez un serveur FTP :

# FTP Out
iptables -t filter -A OUTPUT -p tcp –dport 20:21 -j ACCEPT

# FTP In
modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp –dport 20:21 -j ACCEPT
iptables -t filter -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

#Si vous hébergez un serveur de mail avec SMTP, POP3 et IMAP :

# Mail SMTP:25
iptables -t filter -A INPUT -p tcp –dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 25 -j ACCEPT

# Mail POP3:110
iptables -t filter -A INPUT -p tcp –dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 110 -j ACCEPT

# Mail IMAP:143
iptables -t filter -A INPUT -p tcp –dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 143 -j ACCEPT

# Mail POP3S:995
iptables -t filter -A INPUT -p tcp –dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp –dport 995 -j ACCEPT

Lorsque vous avez défini toutes les règles, rendez ce fichier exécutable :

chmod +x /etc/init.d/firewall

Vous pourrez le tester en l’exécutant directement en ligne de commande. Assurez-vous d’avoir toujours le contrôle de votre machine (reconnectez-vous en SSH, vérifiez la disponibilité des services web, ftp, mail…). En cas d’erreur, redémarrez le serveur, les règles seront oubliées et vous permettront de reprendre la main. En revanche, si les tests s’avèrent concluants, ajoutez le script au démarrage pour que celui-ci protège le serveur dès le boot.

Afin de l’ajouter aux scripts appelés au démarrage :

update-rc.d firewall defaults (DEBIAN)
chkconfig –levels 345 firewall on (CENTOS,RHEL)

Pour le retirer, vous pouvez utiliser la commande suivante :

update-rc.d -f firewall remove
chkconfig –levels 345 firewall off (CENTOS,RHEL)

Redémarrez, ou exécutez /etc/init.d/firewall pour activer le filtrage.

N’oubliez pas de tester vos règles. Un mauvais choix peut entraîner une indisponibilité de votre serveur ou une perte de contrôle sur celui-ci avec le blocage de votre connexion SSH.

Vous pouvez utiliser IPtables sans passer par un script de démarrage et entrer directement les instructions en mode console. Pour bannir temporairement une adresse IP en cas de nécessité, utilisez la commande iptables -A INPUT -s adresse_ip -j DROP

via Alsa Créations

Aussi bizarre que cela puisse paraitre on peut compiler un script bash. Cela peut être particulièrement utile si l’on veut que le script ne soit pas modifé par un utilisateur lambda lors de sa diffusion.

Pour cela télécharger Ici ou sur le site de l’auteur ( sur Debian un apt-get install shc marche également)

Les instructions se trouve dans l’archive mais tout simplement il faut faire :
make : pour compiler le programme
./shc -v -f moncriptamoi.sh :

et on peut redistribuer le monscriptamoi.sh.x qui est alors un exécutable binaire .

Si toi aussi ton apt-get se rebelle et te renvoie ballader, matte le avec :

echo « APT::Cache-Limit \ »141943904\ »; » >> /etc/apt/apt.conf.d/00configperso

En gros tu augmente la mémoire du cache de Apt-get avec ce nombre magique qui résoud tes problèmes . Une recherche google sur l’origine de ce nombre t’expliquera l’ironie de la chose !