LifoLife

Voici en vrac quelques bons reflexes pour securiser son serveur Debian. Attention cette liste est loin d'etre exhaustive et ne constitue que quelques "trucs & astuces".

Après une installation, faire du menage dans /etc/inetd.conf pour ne demarrer que les services essentiels. Ne les demarrer qu'après leur securisation.

Installer logcheck
apt-get install logcheck

Dans /etc/logcheck/logcheck.conf : mettre votre adresse email et reportlevel "paranoid" au debut. Vous pourrez passer en "server" une fois que tout tournera correctement.

Mettre les fichiers de logs que l'on veut checker dans /etc/logcheck/logcheck.logfiles

Utiliser et configurer correctement l'authentification PAM. J'approfondirais le sujet dans un prochain article.

Generer les mots de passe avec makepasswd

Utiliser et configurer correctement les quotas. J'approfondirais le sujet dans un prochain article.

Utiliser lsattr/chattr avec le systeme de fichiers ext2/ext3. Permet de definir des droits plus stricts sur certains fichiers dont seul le root pourra modifier les attributs.

N'autoriser l'execution des compilateurs et installeurs que pour root

chmod o-x /usr/bin/gcc*
chmod o-x /usr/bin/make
chmod o-x /usr/bin/apt-get
chmod o-x /usr/bin/dpkg

Utiliser Nessus pour rechercher les failles sur un serveur et faire un audit

Et ce n'est qu'un début, je prevois plusieurs autres articles à ce sujet ;)

La sécurité sur un serveur doit être pensée dès le schéma de partionnement. Bien souvent on résume la sécurité à la mise en place d'un pare-feu, pourtant elle doit se penser bien plus en amont, avant même l'installation du systeme. Un peu à la manière du referencement qui doit se penser avant la création d'un site, après il sera trop tard.

Il est bon par exemple de penser à faire une partition pour les logs /var/log car si les logs venaient à gonfler de maniere excessive, ils pourraient entrainer un disfonctionnement des programmes ayant besoin d'espace disque (apache et /tmp, mysql etc...) et entrainer une indisponibilité de votre site web.

Une autre partition pourra être /var/cache/apt/archives pour conserver les archives des upgrade.

On pourrait choisir de mettre tous les binaires "hors package" dans une partition /usr/local. Ce repertoire est conservé en cas de re-installation et vous pourrez ainsi retrouver facilement tous vos programmes.

Il est judicieux egalement de creer une partition /var/mail ou /var/spool/mail selon votre serveur de mails. En cas de reception d'un nombre important d'emails cela evitera que tout le disque dur sature. ils pourraient entrainer un disfonctionnement des programmes ayant besoin d'espace disque (apache et /tmp, mysql etc...) et entrainer une indisponibilité de votre site web.

Créer seulement une partition generale /var pourrait poser des problemes car on retrouve dedans le repertoire /var/run necessaire à certains programmes pour fonctionner correctement. Si les mails ou les logs venaient à remplir /var, ces programmes ne fonctionneraient plus.

Pour les partitions pour lesquelles vous ne pouvez pas être certain de la place nécessaire, ins-
tallez Logical Volume Manager (lvm-common et les binaires nécessaires pour votre noyau qui
peuvent être soit lvm10, soit lvm6 ou encore lvm5). En utilisant lvm, vous pouvez créer des
groupes de volumes répartis sur plusieurs volumes physiques.

Pour installer lvm
apt-get install lvm2

Pour en savoir plus sur l'utilisation de lvm
http://www.wearegeeks.info/Utilisation-de-LVM

Quelques commandes pratiques

cfdisk (ou fdisk -l) vous indiquera le type de fichier.

Il est plus judicieux d'utiliser un systeme de fichiers du type ext3 qui est plus à même de gerer une coupure inopinée (reboot hard, coupure electrique) sans corrompre ou perdre trop de données.

Pour obtenir des infos sur le filesystem de votre partition (dans notre cas /dev/hda1)
tune2fs -l /dev/hda1

Pour modifier l'intervalle de fsck à 1 semaine:
tune2fs -i 1w /dev/hda1

Ainsi à chaque reboot si le dernier fsck (file system check) date de plus d'une semaine, la verification s'effectuera. Attention dans le cas de grosses partitions le fsck peut durer assez longtemps. Dans le cadre d'un serveur en production, il vaudra mieux lui faire faire un reboot automatique 1 fois par semaine vers 3H du matin afin de faire cette verification sans generer une indisponibilité importante du site web.

>Sur smashing magazine on retrouve les 9 erreurs les plus courantes dans le Web Design

>Vous voulez tout savoir sur les caracteres speciaux et leurs equivalents html et xhtml? rendez-vous sur Developpez.com

>Antivir propose un rescueCD gratuit qui pourra sauver nombre d'ordinateurs

>Le module de paiement en ligne Atos qui donne des sueurs froides aux developpeurs web : L'autoresponse fragilisée!

J'ai passé aujourd'hui 2 serveurs Debian Etch 4.0 vers Lenny 5.0

Le premier était un serveur debian standard de test, le second était un RPS de chez OVH, en production et loin d'être dans le moule...

En premier, un petit nettoyage s'impose
apt-get clean

Puis on mets à jour le Etch
apt-get update
apt-get upgrade

Dans le fichier /etc/apt/sources.list on remplace etch par stable partout où etch est indiqué. Sur le serveur de test j'ai dû commenter également tout ce qui était non-free.

On update
apt-get-update

Il y a un problème de signature, mais ce n'est pas grave

On upgrade
apt-get upgrade

On refait un update
apt-get update

Et là le problème de signature a disparu. Ouf!

Maitenant on mets à jour la distribution. C'est long et on a parfois des sueurs froides
apt-get dist-upgrade

Pour le serveur OVH, le systeme me demandais confirmation pour modifier des parametres de Lilo, là il y a la petite goutte de sueur avant de cliquer sur OK, quand on sait la complexité du systeme RPS :)

Idem quand il y avait des "failed" suivis d'un arret inopiné du dist-upgrade. Mais avec la commande dpkg --configure -a j'ai toujours réussi à relancer l'installation.

Une fois le dist-upgrade terminé, on remet les non-free si besoin dans le /etc/apt/sources.list

On refait un update puis un upgrade histoire de s'assurer que tout est ok
-apt-get update
-apt-get upgrade

Puis un dernier pour la route
apt-get dist-upgrade

Qui vous dira qu'il n'y a plus rien à faire.

Personnellement pour le serveur en production j'ai dû recompiler le module phpEAccelerator et j'ai rencontré des soucis d'incompatibilité avec snort entre l'ancienne et la nouvelle version.

Donc on reboot:
/sbin/reboot

Et si tout va bien le systeme redemarre correctement. Sur le OVH, le /etc/issue est incorrecte et signale toujours une debian 4.0, mais le fichier /etc/debian_version lui nous donne bien 5.0.

Le principale soucis qui peut être rencontré c'est quand on commence à toucher la config d'un paquet, qu'on doit autoriser l'écrasement ou non par exemple. Réfléchir à 2 fois à ce que l'on fait. J'ai autorisé l'écrasement du syslog mais pas du snort par exemple.

Enfin, en relation avec le précdent article, vsftpd a été mis à jour: Vous pouvez modifier la ligne suivante:
force_local_logins_ssl=YES

Puis vous connecter sans probleme avec Filezilla et le chiffrement explicite.

Il faut compter environ 1H pour cet upgrade.

Nous allons installer vsftpd avec support du SSL sur une debian etch 4.0.
Le serveur ftp n'autorisera que les utilisateurs Linux et refusera systematiquement toute connection anonyme.
Les utilisateurs Linux seront chrootés dans leur repertoire et ne verrons pas les fichiers cachés commençant par un point.

On considere que OpenSSL est déjà correctement installé

On va faire l'habituel update
apt-get update

Puis on installe les paquets vsftp et ftp-ssl
apt-get install vsftpd ftp-ssl

On stoppe aussitot vsftp car il est configuré par défaut
/etc/init.d/vsftpd stop

On supprime le repertoire ftp qui a été créé
rmdir /home/ftp

On copie /etc/vsftpd.conf vers /root/vsftpd.old
cp /etc/vsftpd.conf /root/vsftpd.old

On supprime /etc/vsftpd.conf
rm /etc/vsftpd.conf

On edite /etc/vsftpd.conf
vim /etc/vsftpd.conf

On mets ceci dans le vsftpd.conf

#=======GENERAL===========================================================
#On ne l'utilise pas avec inetd
listen=YES
#On interdit les acces anonymes
anonymous_enable=NO
#On autorise les utilisateurs linux à se connecter
local_enable=YES
#On autorise les utilisateurs à écrire là où ils ont le droit
write_enable=YES
#Tout fichier creer par ftp aura les droits 022 (-rw-r--r--)
local_umask=022
#Affiche les messages quand l'utilisateur va dans certains repertoires
dirmessage_enable=YES
#Activer les logs pour uploads/dowloads
xferlog_enable=YES
#Fichier de logs
xferlog_file=/var/log/vsftpd.log
#Logs dans le format standard
xferlog_std_format=YES
#Timout de session
idle_session_timeout=300
#Data timeout
data_connection_timeout=30
#Le texte qui s'affiche à chaque connection ftp
ftpd_banner=Bienvenue sur le serveur test-local.
#On chroot l'utilisateur dans son repertoire
chroot_local_user=YES
#On definit le nombre maximum d'utilisateurs connectés
max_clients=20
#Nombre maximum d'utilisateurs par IP
max_per_ip=5
#On cache l'affichage des fichiers cachés commençant par un point
force_dot_files=NO
#On cache les noms d'utilisateurs des fichiers
hide_ids=YES
#On utilise l'horloge locale
use_localtime=YES
#Activer le mode de connection passif
pasv_enable=YES
#Quand = NO, oblige à verifier qu'il n'y a pas d'usurpation d'ip
pasv_promiscuous=NO
#Plage de ports utilisés pour le mode passif
pasv_min_port=65000
pasv_max_port=65099
#L'adresse ip du serveur
pasv_address=192.168.1.5
#Controle qu'on utilise bien le port 20
#disabling this option enables vsftpd to run with slightly less privilege
connect_from_port_20=NO

#=======SSL=============================================================
#Chemin du certificat
#rsa_cert_file=/etc/ssl/certs/vsftpd.pem
#Activer l'authentification SSL
#ssl_enable=YES
#Autoriser les anonymes à utiliser ssl
#allow_anon_ssl=NO
#Obliger le SSL pour envoyer et recevoir des données
#force_local_data_ssl=NO
#Obliger le login uniquement par SSL
#force_local_logins_ssl=YES
#Utiliser uniquement tlsv1, le protocole le plus securisé
#ssl_sslv2=NO
#ssl_sslv3=NO
#ssl_tlsv1=YES


#======DEBIAN CUSTOMISATION=============================================
secure_chroot_dir=/var/run/vsftpd
pam_service_name=vsftpd

On notera que toute la partie SSL est désactivée pour l'instant.

Redemarrer le serveur

/etc/init.d/vsftpd stop
/etc/init.d/vsftpd start

Nous allons verifier que nous pouvons nous connecter ni en utilisateur anonyme ni en root

Tentative en anonyme (user anonyme, mettre une adresse email en mot passe)

local-deb:/etc# ftp localhost
Connected to localhost.
220 Bienvenue sur le serveur test-local.
Name (localhost:test): anonymous
530 Please login with USER and PASS.
530 Please login with USER and PASS.
SSL not available
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.
ftp> quit
221 Goodbye.

Tentative en root

local-deb:/etc# ftp localhost
Connected to localhost.
220 Bienvenue sur le serveur test-local.
Name (localhost:test): root
530 Please login with USER and PASS.
530 Please login with USER and PASS.
SSL not available
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.
ftp> quit
221 Goodbye.

Maitenant tentez avec un utilisateur Linux, cela devrait fonctionner.
Profitons-en si besoin pour tester les droits sur les fichiers avec filezilla depuis l'exterieur.

Une fois que tout est ok sans SSL - c'est à dire que les utilisateurs, les droits, les connexions depuis l'exterieur fonctionnent - nous allons activer le SSL

Créons un certificat - Créer les repertoires adéquats si besoin

cd /etc/ssl/certs
openssl req -x509 -nodes -days 730 -newkey rsa:1024 -keyout vsftpd.pem -out vsftpd.pem

Décommenter la section SSL comme suit dans le fichier /etc/vsftpd.conf

#Chemin du certificat
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
#Activer l'authentification SSL
ssl_enable=YES
#Autoriser les anonymes à utiliser ssl
allow_anon_ssl=NO
#Obliger le SSL pour envoyer et recevoir des données
force_local_data_ssl=NO
#Obliger le login uniquement par SSL
force_local_logins_ssl=YES
#Utiliser uniquement tlsv1, le protocole le plus securisé
ssl_sslv2=NO
ssl_sslv3=NO
ssl_tlsv1=YES

Redemarrer le serveur

/etc/init.d/vsftpd stop
/etc/init.d/vsftpd start

On test en local (ou en distant depuis une autre distribution Linux ayant ftp-ssl)

test@test-local:~$ ftp 192.168.1.5
Connected to 192.168.1.5.
220 Bienvenue sur le serveur test-local.
Name (192.168.1.5:test): test
234 Proceed with negotiation.
[SSL Cipher DES-CBC3-SHA]
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
-rw------- 1 ftp ftp 5499 Feb 12 18:15 vsftpd.old
226 Directory send OK.
ftp> quit
221 Goodbye.

La chaine [SSL Cipher DES-CBC3-SHA] indique que l'on est bien en crypté SSL. Plus haut avant que l'on active le SSL il était indiqué SSL not available.

Maintenant si nous essayons cela avec Filezilla (FTPES / Chiffrement explicite) vous aurez une erreur:

Statut : Connexion à 192.168.1.5:21 en cours...
Statut : Connexion établie. Attente du message d'accueil...
Réponse : 220 Bienvenue sur le serveur test-local.
Commande : AUTH TLS
Réponse : 234 Proceed with negotiation.
Statut : Initialisation TLS...
Statut : Vérification du certificat...
Commande : USER test
Statut : Connexion TLS/SSL établie.
Réponse : 331 Please specify the password.
Commande : PASS ******
Réponse : 230 Login successful.
Commande : SYST
Réponse : 215 UNIX Type: L8
Commande : FEAT
Réponse : 211-Features:
Réponse : AUTH SSL
Réponse : AUTH TLS
Réponse : EPRT
Réponse : EPSV
Réponse : MDTM
Réponse : PASV
Réponse : PBSZ
Réponse : PROT
Réponse : REST STREAM
Réponse : SIZE
Réponse : TVFS
Réponse : 211 End
Commande : PBSZ 0
Réponse : 200 PBSZ set to 0.
Commande : PROT P
Réponse : 200 PROT now Private.
Statut : Connecté
Statut : Récupération du contenu du répertoire...
Commande : PWD
Réponse : 257 "/"
Commande : TYPE I
Réponse : 200 Switching to Binary mode.
Commande : PASV
Réponse : 227 Entering Passive Mode (192,168,1,5,254,3)
Commande : LIST
Réponse : 150 Here comes the directory listing.
Statut : Le serveur n'a pas fermé correctement la connection TLS
Erreur : Connexion interrompue : ECONNABORTED - Connection aborted
Réponse : 226 Directory send OK.
Erreur : Échec à la lecture du contenu du répertoire

Ceci est dû à une incompatibilité entre Filezilla et Vsftpd SSL. Le paquet 2.0.7-1 de VsFTPD est censé résoudre le probleme mais il est actuellement en "testing" et donc indisponible dans les paquets debian stables.

En attendant nous n'avons d'autres choix de supprimer l'obligation de connection par SSL de nos utilisateur. Ainsi ceux qui ont Filezilla se connecterons de maniere classique, et ceux qui le peuvent ou le veulent pourront utiliser le FTP over SSL.

Pour cela il faut changer cette ligne:

#Obliger le login uniquement par SSL
force_local_logins_ssl=YES

En

#Obliger le login uniquement par SSL
force_local_logins_ssl=NO

Et quand VSFTD 2.0.7-1 sera publié on pourra retenter une connection Filezilla<->VsFTPD SSL

Une autre solution consisterait à utiliser le SFTP qui n'est autre que du SCP (Utilisant SSH). Bien que le protocole soit sécurisé, je ne l'adopte pas pour deux raison:
-Le port SSH est fermé au public pour plus de sécurité sur le serveur
-Le SSH ne permet pas de CHROOT est plus permissif au niveau de la manipulation des fichiers.

Sur ce, bonne installation!

Liens
Toutes les options de vsFTPD : http://vsftpd.beasts.org/vsftpd_conf.html
Installer vsFTPD sur une debian : http://www.paradoxal.org/blog/post/2007/06/02/Serveur-Debian-vsftpd
L'etat du paquet 2.0.7-1 qui devrait supporter Filezilla/SSL : http://packages.qa.debian.org/v/vsftpd.html

>>Smashing magazine publie un comparatif des PHP IDE: Comparatifs PHP IDE .Je ne suis pas fan de ces usines à gaz, très lourdes à l'utilisation. Je prefere SciTE Editor.

>>Decouvrez PhpLiveDocx qui permet des transformer des .doc et .docx en PDF en un clin d'oeil sous Linux/PHP.

>>On continue dans la série PHP<->MS Office avec ce tutoriel pour PHPExcel sur Developpez.com

>>Les robots Google qui ont du mal avec le reseau Ovh, particulierement sur les mutualisés : On en parle ici sur Webrankinfo

Developpez.com nous propose un excellent tutoriel pour intégrer la géolocalisation sur Apache 2 sous debian Etch.

Voilà le tutoriel
http://apache.developpez.com/cours/geolocalisation/

Le sommaire:
1. Présentation
2. Mise en place
2.1. A partir des sources
2.2. Exemple de Debian Etch pour une installation à partir des paquets binaires prévus
3. Utilisation
3.1. Par l'usage d'un langage de programmation côté serveur
3.1.1. PHP
3.1.2. Ruby
3.1.3. Perl
3.1.4. Autres langages
3.2. Dans le cadre de la configuration du serveur seul
3.2.1. Première application : interdire l'accès à certains utilisateurs étrangers
3.2.2. Deuxième application : redirection suivant le lieu de connexion
4. Epilogue
5. Remerciements

Ayant utilisé des solutions basées sur la geolocalisation Maxmind, je peux vous dire que même avec la version gratuite vous pourrez geolocaliser jusqu'à la ville de vos visiteurs, avec plus ou moins de succès ;)

Voici comment installer un server mysql 5 avec support du SSL sous Debian Etch 4.0

apt-get install mysql-server-5.0

Si il y a des erreurs du genre "libperl paquet defectueux", verifier son /etc/apt/sources.list qui doit ressembler à ça:

#GENERAL
deb http://ftp.fr.debian.org/debian/ etch main
deb-src http://ftp.fr.debian.org/debian/ etch main

#SECURITY
deb http://security.debian.org/ etch/updates main contrib
deb-src http://security.debian.org/ etch/updates main contrib

#NON-FREE
deb http://ftp.fr.debian.org/debian stable main contrib non-free
deb-src http://ftp.fr.debian.org/debian stable main contrib non-free

Une fois le package installé, modifier ensuite le mot de passe root

mysql -u root
>SET PASSWORD FOR 'root'@'localhost'=PASSWORD('lemotdepasse');

#Par mesure de securité on vire les utilisateurs anonymes si il y a
>DELETE FROM mysql.user WHERE user='';

Puis on modifie le fichier /etc/mysql/my.cnf comme suit

#PARAMETRES AJOUTES
wait_timeout = 60
connect_timeout = 10
interactive_timeout = 120
join_buffer_size=1M
sort_buffer_size=8M
read_buffer_size=2M
read_rnd_buffer_size=2M
key_buffer_size=64M
skip-networking

# * Fine Tuning
key_buffer = 256M
max_allowed_packet = 16M
thread_stack = 128K
thread_cache_size = 8
max_connections = 100
table_cache = 1024
query-cache-type = 1
query_cache_limit = 2M
query_cache_size = 128M

Et on redemarre mysql pour appliquer les changements

/etc/init.d/mysql restart

Maintenant nous allons apporter le support SSL

Par défaut, le paquet Debian n'est pas configuré avec le SSL. Il faut le recompiler.

Installer les paquetages suivants necessaires à la compilation:

apt-get install dpkg-dev
apt-get install devscripts
apt-get install gcc
apt-get install libtool
apt-get install debhelper
apt-get install libncurses5-dev
apt-get install libwrap0-dev
apt-get install zlib1g-dev
apt-get install libreadline5-dev
apt-get install chrpath
apt-get install automake1.9
apt-get install doxygen
apt-get install tetex-bin
apt-get install tetex-extra
apt-get install gs
apt-get install dpatch
apt-get install gawk
apt-get install bison
apt-get install openssl
apt-get install libssl-dev

Puis on recupere les sources

cd /usr/src
apt-get build-dep mysql-server
apt-get source mysql-server

Nous allons apporter la modification necessaire puis re-creer le paquet

cd mysql-dfsg-*
nano debian/rules

Remplacer la ligne 'without-openssl' par 'with-openssl'
Remplacer la ligne 'with-yassl' par 'without-yassl'

On indique le changement de version du paquet

debchange -v 5.0.32-7etch1+ssl-1 "Added SSL"

Puis taper dpkg-buildpackage qui va reconstruire le paquet. Cela dure un certain temps.

Ensuite, nous allons installer ce paquet

cd..
dpkg -i *.deb

Il peut y avoir des erreurs, dans ce cas là, recommencer dpkg -i *.deb et normalement ça passe.

Nous allons demander à Debian de ne plus mettre à jours ces paquets lors de l'apt-get upgrade. Attention à bien vous informer si une faille venait à etre decouverte...

echo "libmysqlclient15-dev hold"|dpkg --set-selections
echo "libmysqlclient15off hold"|dpkg --set-selections
echo "mysql-client hold"|dpkg --set-selections
echo "mysql-client-5.0 hold"|dpkg --set-selections
echo "mysql-server hold"|dpkg --set-selections
echo "mysql-server-5.0 hold"|dpkg --set-selections
echo "mysql-common hold"|dpkg --set-selections

Remplacer "hold" par "install" pour que Debian re-active les mises à jours automatiques si besoin.

Maintenant nous allons creer les certificats SSL pour le serveur

mkdir /etc/mysql/openssl
cd /etc/mysql/openssl/

openssl req -x509 -new -days 9999 -newkey rsa:2048 -nodes -keyout ca-key.pem -out ca-cert.pem
openssl req -new -newkey rsa:2048 -nodes -keyout server-key.pem -out server-csr.pem
openssl rsa -in server-key.pem -out server-key.pem
openssl x509 -req -days 9999 -in server-csr.pem -signkey server-key.pem -out server-crt.pem

Laissez vide pour la question `challenge password` et `suivante` s’il y a lieu.

Nous allons maintenant modifier le fichier de configuration mysql :

nano /etc/mysql/my.cnf

Repérez, modifiez et décommentez les 3 ssl dans la section [mysqld]

ssl-ca=/etc/mysql/openssl/ca-cert.pem
ssl-key=/etc/mysql/openssl/server-key.pem
ssl-cert=/etc/mysql/openssl/server-cert.pem

Redémarrer MySQL
/etc/init.d/mysql restart

Puis pour se connecter en SSL, taper:
mysql --ssl -u root -p --ssl-ca=/dev/null

Pour verifier que le SSL est bien activé, saisir la requete suivante
SHOW VARIABLES LIKE 'have_openssl';

Et voilà c'est tout! Pour activer les accès depuis l'exterieur il faudra commenter la ligne "skip-networking" et mettre pour bind-address l'adresse du serveur dans le fichier /etc/my.cnf.

On pourra autorisé l'acces seulement depuis certaines IP en jouant avec iptables et les droits d'acces de mysql, par exemple :

mysql> GRANT ALL PRIVILEGES ON test.* TO test@192.168.1.5 IDENTIFIED BY "goodsecret" REQUIRE SSL;

REQUIRE SSL indique que la connexion doit etre imperativement chiffrée.

Pour aller plus loin : http://www.lokris.net/doc/mysql/secure-grant.html

Sources :
http://momocello.com/connexion-ssl-mysql-openssl-sur-debian-etch-ou-lenny/
http://talkingcode.co.uk/2007/11/12/error-2026-hy000-ssl-connection-error-the-joy-of-mysql-ssl-on-debian/

Ayant loué un nouveau serveur dédié chez OVH, j'ai cherché une manière de vérifier que le RAID 1 (mirroring) ne se désynchronise pas sur la debian 32 bits. Ce serait balo que le systeme plante à un moment où le raid n'est plus operationnel ;)

Il existe la commande cat /proc/mdstat mais elle n'est pas très explicite. Quand elle indique "UU" c'est que les deux disques sont synchro.

Le mieux est d'installer le package mdadm pour gerer son raid.

Pour afficher l'état de md1 par exemple, il suffit de taper mdadm --misc --detail /dev/md1

/dev/md1:
Version : 00.90.03
Creation Time : Mon Jan 26 11:10:11 2009
Raid Level : raid1
Array Size : 5245120 (5.00 GiB 5.37 GB)
Device Size : 5245120 (5.00 GiB 5.37 GB)
Raid Devices : 2
Total Devices : 2
Preferred Minor : 1
Persistence : Superblock is persistent

Update Time : Tue Jan 27 10:03:52 2009
State : clean
Active Devices : 2
Working Devices : 2
Failed Devices : 0
Spare Devices : 0

UUID : 74932def:e8eba4a6:3d8cc965:69f71135
Events : 0.2

Number Major Minor RaidDevice State
0 8 1 0 active sync /dev/sda1
1 8 17 1 active sync /dev/sdb1

Ideme pour md2.

En bas si vous voyez active sync c'est que c'est ok.

Vous avez besoin d'un diaporama en flash vite fait bien fait pour votre site internet? Joomeo est fait pour ça! Je l'ai découvert sur le site Ouest-France aujourd'hui et je trouve ce service vraiment pratique pour creer un diaporama en quelques clics.

Voici un exemple :

J'ai été amené aujourd'hui à installé un système Debian sur une virtualbox Ubuntu. Probleme : J'avais bien le réseau pour aller sur le net, mais impossible de me connecter à cette debian depuis le réseau. J'avais une ip en 10.xx.xx.xx au lieu du 192.168.1.xx servie par le DHCP.

Pour que ca fonctionne et que j'obtienne une adresse du DHCP j'ai dû utiliser ce script bridging_vb_tap

puis dans la configuration réseau de VM :

cocher Activer l'adaptateur réseau
choisir Adaptateur réseau hôte
laisser l'adresse MAC par défaut
cocher câble relié
nom de l'interface : tap1 (ou tap0)
laisser blanc application d'installation et de désinstallation

Et voilà le reseau fonctionne pour ma debian virtualisée!

Autre problème : J'avais un soucis pour faire fonctionner l'USB sur mon XP virtualisé sur cette meme Ubuntu. J'ai essayé plusieurs astuces avant de voir que l'USB est desactivé sur le virtualbox OSE livré avec ubuntu. Il faut telecharger la version non-free sur le site de l'editeur www.virtualbox.org mais il y a ensuite 2/3 bidouilles à faire disponibles dans la doc ubuntu en ligne