Docker: Migrer le stockage AUFS vers Overlay2

Docker Migrate from AUFS to Overlay2

Docker: Migrer le stockage AUFS vers Overlay2

La galère de la semaine dernière : mettre à jour le kernel Linux d’une machine hébergeant Docker.

Pour faire simple, il fallait passer d’un noyau 3.x à 4.9. Or, en passant en 4.9, le support d’AUFS n’est plus assuré.

Docker utilisant AUFS pour le stockage de ses images, il faut donc le migrer vers Overlay2 (le nouveau filesystem supporté par Docker).

Lire la suite

LVM : Agrandir facilement un volume

LVM : Agrandir facilement un volume

Alors aujourd’hui, nous allons voir comment agrandir facilement un volume LVM.

Nous sommes dans un environnement virtuel et nous devons agrandir le volume monté dans /var.

La première étape est d’ajouter un disque virtuel : oui, vous avez bien entendu – on n’augmente pas la taille du disque d’origine, on ajoute un disque.

Pourquoi ? Déjà parce que c’est plus simple et ensuite car cela permet de multiplier par 2 les axes de stockage et donc, la performance !

Lire la suite

LVM: Monter un Logical Volume issu d’une restauration

LVM: Monter un Logical Volume issu d’une restauration

Alors aujourd’hui, nous allons voir comment monter un Logical Volume issu d’une restauration de données.

En somme, nous avons une VM que nous avons restauré, et nous avons besoin de monter sur la VM d’origine, le VMDK restauré.

Sauf que, notre VMDK contient un volume LVM, avec le même UUID. Et pour couronner le tout, la partition est en XFS avec elle aussi un problème d’UUID dupliqué…

Lire la suite

Augmenter la taille d’un volume sur un NAS Lenovo/EMC ix2

Vulnérabilité GHOST (GetHOST) CVE-2015-0235 - glibc

Augmenter la taille d’une partition xfs gérée dans un volume LVM sur un NAS Lenovo/EMC ix2

La galère du jour : comment augmenter la taille d’un volume sur un NAS Lenovo/EMC ix2 après l’ajout de nouveaux disques?

Voici le pitch : vous avez votre super NAS sur lequel vous venez d’ajouter une paire de disques. Les disques s’ajoutent correctement au Volume Group et augmente sa capacité.

Et maintenant, dans l’interface : impossible d’augmenter la taille du Volume, vous n’avez que la possibilité de créer un nouveau volume avec l’espace disponible!
Lire la suite

Comment patcher la vulnérabilité GHOST (GetHOST) CVE-2015-0235 – glibc

Vulnérabilité GHOST (GetHOST) CVE-2015-0235 - glibc

Vulnérabilité GHOST (GetHOST) CVE-2015-0235 – glibc – détection et patch!

La galère de cette semaine!

Annoncée le 28/01/2015, une vulnérabilité a été découverte dans la bibliothèque glibc par Qualys (voir leur article https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability).

Cette vulnérabilité permet de faire une attaque de type Buffer Overflow sur la fonction __nss_hostname_digits_dots() contenue dans plusieurs versions de la bibliothèque glibc et utilisée, entre autres, par la fonction gethostbyname() – cette fonction ayant pour but de convertir un nom réseau en IP.

De ce fait, toute machine ayant cette vulnérabilité est potentiellement attaquable, quel que soit le type de service exposé à internet (serveur mail, serveur SSH, serveur Web etc.)

Détection de la vulnérabilité

Afin de vérifier si votre système est vulnérable, utilisez les commandes ci-dessous pour télécharger, compiler et exécuter un script fourni par l’université de Chicago, et qui vous indiquera si votre système est vulnérable.

Pour Debian et dérivées

apt-get install wget gcc -y  # On installe wget et gcc, si ce n'est pas déjà le cas
wget https://webshare.uchicago.edu/orgs/ITServices/itsec/Downloads/GHOST.c  # On télécharge le script de détection de la vulnérabilité CVE-2015-0235, fournit par l'université de Chicago
gcc GHOST.c -o GHOST  # On compile le script
./GHOST  # On exécute le script

Si la sortie du script indique “not vulnerable”, vous ne disposez pas des versions dangereuses de glibc.
Si par contre la sortie indique “vulnerable”, je vous conseille de lire un peu plus loin comment mettre à jour votre système.

Pour Red-Hat CentOS et dérivées

yum install wget gcc -y  # On installe wget et gcc, si ce n'est pas déjà le cas
wget https://webshare.uchicago.edu/orgs/ITServices/itsec/Downloads/GHOST.c  # On télécharge le script de détection de la vulnérabilité CVE-2015-0235, fournit par l'université de Chicago
gcc GHOST.c -o GHOST  # On compile le script
./GHOST  # On exécute le script

Si la sortie du script indique “not vulnerable”, vous ne disposez pas des versions dangereuses de glibc.
Si par contre la sortie indique “vulnerable”, je vous conseille de lire un peu plus loin comment mettre à jour votre système.

Correction de la vulnérabilité (patch !)

Si votre système est vulnérable, il va falloir mettre à jour les librairies glibc :

Pour Debian et dérivées

apt-get update  # On met à jour les sources des paquets
dpkg-query -l libc*|grep -E "libc-|libc6"|grep "ii"|awk '{print $2}'|xargs apt-get install -  # Et ici, commande magique : on recherche l'ensemble des paquets glibc installés et on lance leur mise à jour!
./GHOST  # On relance le script de détection : si tout va bien, il doit dire "not vulnerable"
reboot  # On reboote pour être sûrs de relancer TOUS les services potentiellement vulnérables

Pour Red-Hat/CentOS et dérivées

yum update glibc -y  # On met à jours les paquets glibc
./GHOST  # On relance le script de détection : si tout va bien, il doit dire "not vulnerable"
reboot  # On reboote pour être sûrs de relancer TOUS les services potentiellement vulnérables

En espérant que ce billet vous fera gagner un peu de temps dans le patch de vos Linux.

Pour plus d’informations sur la vulnérabilité, et le PoC de cette dernière, rendez-vous à l’adresse suivante : http://www.openwall.com/lists/oss-security/2015/01/27/9