Debian or not to be ? 2.0 » mise a jour http://www.crashdump.fr that is the question Mon, 23 Jan 2012 13:14:39 +0000 fr hourly 1 http://wordpress.org/?v= Mettre a jour une Debian Dedibox: Exploit root vmsplicehttp://www.crashdump.fr/debian/mettre-a-jour-le-kernel-dun-debian-dedibox-exploit-root-vmsplice-69/ http://www.crashdump.fr/debian/mettre-a-jour-le-kernel-dun-debian-dedibox-exploit-root-vmsplice-69/#comments Thu, 14 Feb 2008 08:02:56 +0000 Crashdump http://www.crashdump.fr/blog/index.php/2008/02/14/mettre-a-jour-le-kernel-dun-debian-dedibox-exploit-root-vmsplice/ http://www.securiteam.com/unixfocus/5JP0C0UNFU.html

Un tutoriel de mise a jour du kernel par dedibox: http://documentation.dedibox.fr/doku.php?id=distrib:kernel&s=noyau

La faille a été corrigé par les équipes de sécurité de la plupart des distributions.
Aussi peut être pensez vous comme moi qu’un simple (pour debian)

1
2
# apt-get update
# apt-get upgrade

Pourrais vous mettre à l’abri… Malheureusement chez dédibox il est optimisé pour C7, donc spécifique. Pas de panique ça reste assez simple a corriger quand même.

    La manipulation pour corriger la faille est décrite ici:

Je l’ai testé sur une testing:

Si vous avez installé votre dédibox avant le 28 Mai 2006 (ou si vous possedez une version raid), cette partie ne vous concerne pas !
Sinon, distributions Ubuntu-Server, Ubuntu Dedibox et Debian Sarge comportent un bug dans le comportement de grub-install. On va donc patcher grub.

1
# wget --passive ftp://ftp.dedibox.fr/pub/dedibox/fix/fix-grub-root.sh && chmod +x fix-grub-root.sh

On cherche sur quelle partition est “/” (pour savoir sur quel disque on boot):

1
mount | grep "/ "

Ce qui devrait vous retourner quelque chose du genre:

1
/dev/sda1 on / type ext3 (rw,errors=remount-ro)

C’est ce sda1 qui nous intéresse.. c’est le disque sur lequel boot votre machine !

On va donc lancer le script téléchargé précédemment, avec comme paramètre sda1 (dans notre cas, sinon remplacez par la bonne valeur):

1
# ./fix-grub-root.sh sda1

Le script va modifier le fichier: /boot/grub/menu.lst pour y entrer les bonnes valeurs. Si un problème survient par la suite, le script créé une sauvegarde de ce fichier ici: /boot/grub/menu.lst.bak

    Mise a jour du Kernel

On le télécharge:

1
# wget --passive ftp://ftp.dedibox.fr/pub/dedibox/kernel/r8-1/C7-X86-32bits/kernel-image-2.6.24.2-c7-r8-1.deb

Puis on l’installe :

1
# dpkg -i kernel-image-2.6.24.2-c7-r8-1.deb

On met a jour grub:

1
2
3
4
5
6
7
8
# update-grub
Searching for GRUB installation directory ... found: /boot/grub
Searching for default file ... found: /boot/grub/default
Testing for an existing GRUB menu.lst file ... found: /boot/grub/menu.lst
Searching for splash image ... none found, skipping ...
<strong>Found kernel: /vmlinuz-2.6.24.2</strong>
Found kernel: /vmlinuz-2.6.23.13dedibox-r8
Updating /boot/grub/menu.lst ... done

Tout va bien il a trouvé notre noyau.. donc on reboot:

1
# reboot

Prennez un café… puis on vérifie:

1
2
# uname -r
2.6.24.2dedibox-r8
    Ipv6 Activé ?

Il faut impérativement penser que l’IPV6 est activé et qu’il faut mettre les règles adoc pour filtrer un minimum.
Personnellement, j e n’utilise pas « encore » ipv6 donc j’ai entré ces règles dans mon script iptables/ip6tables :

1
2
3
4
5
6
7
8
9
10
11
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
echo " Flushing rules (ip6)"
ip6tables --flush
ip6tables --flush INPUT
ip6tables --flush OUTPUT
ip6tables --flush FORWARD
ip6tables --flush -t mangle
ip6tables --flush -t nat
ip6tables --delete-chain

C’est bon, je peut donc aller me recoucher, en paix. ;)

]]> http://www.crashdump.fr/debian/mettre-a-jour-le-kernel-dun-debian-dedibox-exploit-root-vmsplice-69/feed/ 0 Installer Spamassasin pour exim4 sous debianhttp://www.crashdump.fr/debian/installer-spamassasin-pour-exim4-sous-debian-58/ http://www.crashdump.fr/debian/installer-spamassasin-pour-exim4-sous-debian-58/#comments Sat, 09 Feb 2008 14:13:22 +0000 Crashdump http://www.crashdump.fr/blog/?p=58
  • Installer spamassasin

    • On commence par telecharger et installer l’appli:

    1
    # aptitude install spamassassin

  • Configurer Exim4

    • Ouvrir le fichier de configuration exim4 concernant la configuration des options (attention, suivant le type d’installation d’exim le fichier de configuration peut ne pas se trouver au même endroit, en effet il existe une installation avec un fichier de configuration unique et un type d’installation avec un fichier .conf unique) donc:

    1
    # vim /etc/exim4/conf.d/main/02_exim4-config_options

    Et décommenter la ligne suivante:

    1
    spamd_address = 127.0.0.1 783

  • Configurer spamd

    • Editer le fichier config:
    # vim /etc/default/spamassassin

    1
    2
    // Change to one to enable spamd
    ENABLED=1

  • Demmarer SpamAssassin

    • 1
    # /etc/init.d/spamassassin start

  • Mise a jour automatique

    • Et pour finir, on va mettre en place une mise à jour (via cron) de spamd… Pour cela:

    1
    2
    3
    4
    5
    # cat > /root/ majspamassasin.sh
    #!/bin/sh
    # Update SpamAssassin Rules
    /usr/bin/sa-update -D channel,dns
    /etc/init.d/spamassassin restart
    1
    # crontab -e
    1
    55   5  *   *   *  /root/majspamassasin.sh 2&1>/dev/null
    ]]>     http://www.crashdump.fr/debian/installer-spamassasin-pour-exim4-sous-debian-58/feed/ 0