Augmenter la taille d’un volume sur un NAS Lenovo/EMC ix2

Vulnérabilité GHOST (GetHOST) CVE-2015-0235 - glibc

Augmenter la taille d’une partition xfs gérée dans un volume LVM sur un NAS Lenovo/EMC ix2

La galère du jour : comment augmenter la taille d’un volume sur un NAS Lenovo/EMC ix2 après l’ajout de nouveaux disques?

Voici le pitch : vous avez votre super NAS sur lequel vous venez d’ajouter une paire de disques. Les disques s’ajoutent correctement au Volume Group et augmente sa capacité.

Et maintenant, dans l’interface : impossible d’augmenter la taille du Volume, vous n’avez que la possibilité de créer un nouveau volume avec l’espace disponible!
Lire la suite

OpenLDAP augmenter le sizelimit des résultats de recherche

LDAP sizelimit search

OpenLDAP augmenter le sizelimit des résultats de recherche

Un post rapide qui servira d’aide mémoire à beaucoup (je pense).

La galère du jour : comment faire un ldapsearch qui retourne plus que les 5000 premiers résultats (valeur par défaut)?

C’est assez simple, et c’est valable aussi pour les recherches LDAP en PHP!
Lire la suite

Les bases d’une bonne configuration Exchange – Partie 4

Les bases d'une bonne configuration Exchange (Tutorial)

Les bases d’une bonne configuration Exchange – Partie 4

Ce tutoriel est en 4 parties:
Partie 1
Partie 2
Partie 3
Partie 4

Dans la première partie, nous avons fait une check-list de prérequis pour une installation sans soucis.
Dans la seconde partie, nous avons installé, puis configuré Exchange pour pouvoir envoyer des emails en interne.
Dans la troisième partie, nous avons configuré le nom d’hôte (FQDN) sur l’ensemble des répertoires virtuels Exchange et sur les connecteurs d’envoi et de réception. Nous avons configuré le nom de domaine Internet pour que les emails soient distribués à l’Exchange.

Maintenant, nous allons voir la configuration d’Exchange et du domaine pour :

  • Autodiscover (ou comment configurer Outlook de manière automatique)
  • Outlook Anywhere (synchronisation d’Outlook y compris à l’extérieur du LAN)
  • ActiveSync (synchronisation des Smartphones)

Pour cela, nous avons déjà un serveur Exchange configuré pour envoyer et recevoir des mails avec l’extérieur, et nous aurons besoin des éléments suivants (normalement, déjà déterminés dans la première partie) :

  • Nom de domaine Internet : sylvaincoudeville.fr
  • Le login et mot de passe pour configurer le nom de domaine Internet chez votre hébergeur
  • Le FQDN qui sera utilisé pour dialoguer avec le serveur Exchange : mailhost.sylvaincoudeville.fr

Lire la suite

Les bases d’une bonne configuration Exchange – Partie 3

Les bases d'une bonne configuration Exchange (Tutorial)

Les bases d’une bonne configuration Exchange – Partie 3

Ce tutoriel est en 4 parties:
Partie 1
Partie 2
Partie 3
Partie 4

Dans la première partie, nous avons fait une check-list de prérequis pour une installation sans soucis.
Dans la seconde partie, nous avons installé, puis configuré Exchange pour pouvoir envoyer des emails en interne.

Maintenant, nous allons voir la configuration d’Exchange pour pouvoir envoyer et recevoir des emails avec Internet.

Pour cela, nous avons déjà un serveur Exchange, et nous aurons besoin des éléments suivants (normalement, déjà déterminés dans la première partie) :

  • Nom de domaine Internet : sylvaincoudeville.fr
  • L’IP publique fixe de notre routeur : ici 109.xxx.yyy.111
  • Le login et mot de passe pour configurer le nom de domaine Internet chez votre hébergeur
  • Le FQDN qui sera utilisé pour dialoguer avec le serveur Exchange : mailhost.sylvaincoudeville.fr
  • Le login et mot de passe pour configurer les redirections de port sur votre routeur

Lire la suite

Les bases d’une bonne configuration Exchange – Partie 2

Les bases d'une bonne configuration Exchange (Tutorial)

Les bases d’une bonne configuration Exchange – Partie 2

Ce tutoriel est en 4 parties:
Partie 1
Partie 2
Partie 3
Partie 4

Dans la première partie, nous avons fait une check-list des prérequis pour une installation sans soucis.

Maintenant, nous allons effectuer une installation d’Exchange de base, avec les bons paramètres pour bien débuter dans la vie !

Pour cela, nous allons partir du principe que vous avez déjà une infrastructure Active Directory. Dans notre tutoriel, nous utiliserons les informations suivantes :

  • Nom de domaine Active Directory : monAD.local
  • IP du contrôleur de domaine : 192.168.198.10/24
  • Niveau fonctionnel de la forêt et du domaine : Windows 2008 R2
  • OS Serveur pour l’Exchange : Windows Server 2012 R2
  • Exchange : Exchange Server 2013

Lire la suite

Les bases d’une bonne configuration Exchange – Partie 1

Les bases d'une bonne configuration Exchange (Tutorial)

Les bases d’une bonne configuration Exchange – Partie 1

Ce tutoriel est en 4 parties:
Partie 1
Partie 2
Partie 3
Partie 4

J’interviens depuis quelques temps sur les Forums Technet, et j’ai pu constater un nombre important de questions et de problèmes dûs à une configuration Exchange « par défaut » voire très aléatoire…

Ce tutoriel a pour but de faire une check-list des besoins, et des commandes importantes pour une installation Exchange correcte (je n’aurai pas la prétention de dire qu’elle sera parfaite, mais elle sera fonctionnelle !).

La première partie de cet article fera l’état des prérequis que vous devrez réunir pour effectuer une installation dans les règles.
La seconde partie détaillera l’installation d’un Exchange en mono-serveur, et le paramétrage de base pour envoyer et recevoir des emails en interne.
Dans la troisième partie, nous nous pencherons sur le paramétrage Externe, afin que votre Exchange puisse envoyer et recevoir des emails via Internet.
La quatrième partie sera consacrée au paramétrage de la fonctionnalité que tout le monde cherche à avoir : Outlook Anywhere ou « comment synchroniser son Outlook même à l’extérieur de l’entreprise » !

Première partie – Les Prérequis pour un Exchange sans soucis

Lire la suite

Changer le blocksize d’un datastore VMware ESXi 4.x « In place »

VMware :changer le block size sur ESXi 4.x

Changer le blocksize d’un datastore VMware ESXi 4.x « In place »

Tout d’abord, plantons le décors !

Sur votre serveur, équipé de VMware ESXi, vous disposez d’un datastore formaté avec un blocksize de 1 Mo (valeur par défaut lors de l’installation).

Vous avez créé vos VM, vous avez fait votre petite vie et vous constatez :

  • que vous ne pouvez pas créer de disque virtuel de plus de 256 Go
  • que lorsque vous tentez de sauvegarder (avec Veeam ou toute autre solution de sauvegarde se basant sur les snapshot de VMware) une VM dont le total des disques et supérieur à 256 Go, la sauvegarde échoue car VMware ne peut pas créer un snapshot de plus de 256 Go

Lire la suite

Mauvaise qualité de certaines polices en RDS (TSE) 2003 aka KB3013455

Lissage des polices perdu sous windows server 2003 rds tse

Mauvaise qualité de certaines polices en RDS (Terminal Server) sous Windows Server 2003 aka KB3013455

Si depuis quelques jours, vous voyez flou sur votre Windows, ou que vous trouverez que les caractères affiché sont de mauvaise qualité, ceci est pour vous !

Vous utilisez un PC sous Windows Vista SP2, ou vous travaillez sur un serveur Windows Server 2003 SP2/Windows Server 2008 avec les services Remote Desktop (Terminal Server) activés, vous venez soit de perdre le lissage des polices de caractères ou vous subissez une « corruption » de certains polices.

Lire la suite

Comment patcher la vulnérabilité GHOST (GetHOST) CVE-2015-0235 – glibc

Vulnérabilité GHOST (GetHOST) CVE-2015-0235 - glibc

Vulnérabilité GHOST (GetHOST) CVE-2015-0235 – glibc – détection et patch!

La galère de cette semaine!

Annoncée le 28/01/2015, une vulnérabilité a été découverte dans la bibliothèque glibc par Qualys (voir leur article https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability).

Cette vulnérabilité permet de faire une attaque de type Buffer Overflow sur la fonction __nss_hostname_digits_dots() contenue dans plusieurs versions de la bibliothèque glibc et utilisée, entre autres, par la fonction gethostbyname() – cette fonction ayant pour but de convertir un nom réseau en IP.

De ce fait, toute machine ayant cette vulnérabilité est potentiellement attaquable, quel que soit le type de service exposé à internet (serveur mail, serveur SSH, serveur Web etc.)

Détection de la vulnérabilité

Afin de vérifier si votre système est vulnérable, utilisez les commandes ci-dessous pour télécharger, compiler et exécuter un script fourni par l’université de Chicago, et qui vous indiquera si votre système est vulnérable.

Pour Debian et dérivées

apt-get install wget gcc -y  # On installe wget et gcc, si ce n'est pas déjà le cas
wget https://webshare.uchicago.edu/orgs/ITServices/itsec/Downloads/GHOST.c  # On télécharge le script de détection de la vulnérabilité CVE-2015-0235, fournit par l'université de Chicago
gcc GHOST.c -o GHOST  # On compile le script
./GHOST  # On exécute le script

Si la sortie du script indique « not vulnerable », vous ne disposez pas des versions dangereuses de glibc.
Si par contre la sortie indique « vulnerable », je vous conseille de lire un peu plus loin comment mettre à jour votre système.

Pour Red-Hat CentOS et dérivées

yum install wget gcc -y  # On installe wget et gcc, si ce n'est pas déjà le cas
wget https://webshare.uchicago.edu/orgs/ITServices/itsec/Downloads/GHOST.c  # On télécharge le script de détection de la vulnérabilité CVE-2015-0235, fournit par l'université de Chicago
gcc GHOST.c -o GHOST  # On compile le script
./GHOST  # On exécute le script

Si la sortie du script indique « not vulnerable », vous ne disposez pas des versions dangereuses de glibc.
Si par contre la sortie indique « vulnerable », je vous conseille de lire un peu plus loin comment mettre à jour votre système.

Correction de la vulnérabilité (patch !)

Si votre système est vulnérable, il va falloir mettre à jour les librairies glibc :

Pour Debian et dérivées

apt-get update  # On met à jour les sources des paquets
dpkg-query -l libc*|grep -E "libc-|libc6"|grep "ii"|awk '{print $2}'|xargs apt-get install -  # Et ici, commande magique : on recherche l'ensemble des paquets glibc installés et on lance leur mise à jour!
./GHOST  # On relance le script de détection : si tout va bien, il doit dire "not vulnerable"
reboot  # On reboote pour être sûrs de relancer TOUS les services potentiellement vulnérables

Pour Red-Hat/CentOS et dérivées

yum update glibc -y  # On met à jours les paquets glibc
./GHOST  # On relance le script de détection : si tout va bien, il doit dire "not vulnerable"
reboot  # On reboote pour être sûrs de relancer TOUS les services potentiellement vulnérables

En espérant que ce billet vous fera gagner un peu de temps dans le patch de vos Linux.

Pour plus d’informations sur la vulnérabilité, et le PoC de cette dernière, rendez-vous à l’adresse suivante : http://www.openwall.com/lists/oss-security/2015/01/27/9

Réinitialiser un routeur Netasq (mot de passe et configuration)

Réinitialiser Netasq (mot de passe, password, configuration usine)

Réinitialiser un routeur Netasq (mot de passe, configuration usine)

Pour commencer, vous devez avoir un câble RS232.

Connecter le câble RS232 à votre Netasq et à votre machine.

Téléchargez (si nécessaire) PuTTy (http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html).

Ouvrez PuTTY, lancez une connexion sur le port COM de votre poste et allumez le Netasq.

Appuyez plusieurs fois sur « Espace » pendant le boot du boitier jusqu’à obtenir « ok » à l’écran :

FreeBSD/i386 bootstrap loader, Revision 0.8
Loading /boot/defaults/loader.conf
/kernel text=0x1b79fc data=0x237e0+0x233d0 syms=[0x4+0x2ab40+0x4+0x3283c]


Type '?' for a list of commands, 'help' for more detailed help.
ok

Tapez « boot -s » pour démarrer en mode single.

Une fois le boot terminé, vous devez choisir votre shell : validez avec « Entrée » :

Mounted root from ufs:/dev/ad0s1a
Enter full pathname of shell or RETURN for /bin/sh:

Une fois le shell obtenu (symbole # en début de ligne), tapez les commandes suivantes pour réinitialiser le mot de passe et suivez les instructions à l’écran:

# /usr/Firewall/sbin/chpwd
WARNING: R/W mount of / denied.  Filesystem is not clean - run fsck
mount: /dev/ad0s1a: Operation not permitted
/dev/ad0s1a: 1827 files, 19995 used, 41716 free (764 frags, 5119 blocks, 1.2% fragmentation)
md0: Malloc disk
md1: Malloc disk
TMP partition successfully mounted in memory
No SWAP partition found
No LOG partition found
No DATA partition found, Datas will be stored on root partition

You are now with the keyboard langage configured on Firewall

#######################################
## Change SRP/SSH password for admin ##
#######################################
setting password for admin
enter password:

Saisissez 2 fois le nouveau mot de passe. Le boitier va redémarrer automatiquement.

Une fois le Netasq redémarré, logguez-vous avec le nouveau mot de passe et tapez la commande « defaultconfig -f -r » pour réinitialiser le boîtier aux paramètres d’usine :

System is now ready.
FreeBSD (F50-XXXXXXXXXXXXXX) (ttyd0)

login: admin
SSH passphrase:
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
        The Regents of the University of California.  All rights reserved.

F50-XXXXXXXXXXXXXX: FW F50-E (S / EUROPE)
Software: Firewall software version 7.0.4
OUT[1]  : 10.0.0.254/255.0.0.0
IN[2]   : 10.0.0.254/255.0.0.0

F50-XXXXXXXXXXXXXX>defaultconfig -f -r

Le Netasq va afficher les messages suivants :

deleting previous backup...
deleting previous language backup...
deleting previous LDAPBase backup...
replacing current configuration with the default configuration...
deleting Pattern database...
deleting Pvm database...
deleting antivirus database...
deleting URLFiltering URL group database...
deleting Optenet URL group database...
autoupdate version 1 for NETASQ Firewall version 7.0.4
globalgen: 3 ethernet interfaces detected
globalgen: 0 WIFI interfaces detected
deleting Pattern database...
reset urlgroup versions...
replacing current pattern database with the default pattern database...

Patientez pendant la réinitialisation du Netasq. La procédure peut durer plusieurs minutes pendant lesquelles le boitier va faire de nombreux bip qui devraient vous rappeler une vieille Gameboy :).

Une fois arrivé au login, le boitier est réinitialisé aux configurations d’usine, avec le mot de passe afffecté au début de la procédure.

Enjoy!