Re: [HS] table de partition et Linux
Oui : le bios du PC doit pouvoir trouver le MBR (en 0). Non : le bios se fout des partitions du moment qu'il peut lancer un boot du MBR. Je suis allé voir la doc Grub pour essayer de mieux comprendre les différentes étapes du boot et ce qui dépend du partitionnement type msdos. En fait, le MBR lui-même (512 octets) contient une table des partitions dans ce format, ce qui en fait un point de passage quasi-obligé. C'est ce qui permet de donner un sens au (hd0,4) de grub par exemple et ça ne marche qu'avec des partitions ms-dos. J'ai d'ailleurs vu au passage que grub fait un truc moyennement propre, appelé stage 1.5, car il est trop gros (et de loin !) pour tenir dans le mbr et que pour charger le reste il faut monter un système de fichier. Le stage 1.5 est dans des blocs voisins du MBR; en général libres d'après la doc, et dont le numero figure en dur dans le stage 1 situé dans le MBR. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: attaque ssh?
Bonjour, Effectivement c'est une attaque, la pluipart du temps se sont des vers qui tentent des attaques par dicitonnaire sur les ports SSH ouverts dans des plages d'adresses. C'est très fréquent. Si tu te sens l'âme charitable, tu peux faire un whois sur l'IP et écrire un mail au service abuse des administrateur pour qu'ils solutionnent le problème de leur coté. Solutions en vrac pour sécuriser de ton coté : - faire écouter SSH sur un port différent (tu évites quasiement toutes les attaques automatiques) - enlever l'authentification par mot de passe - utiliser le port knocking (un peu extreme, mais tres efficace) Moi j'utilise les règles iptables suivantes qui autorisent 1 connexion par minute (ou moins si on veut) et par ip sur le port ssh. Ca permet de calmer les tentatives avec différents users en rafale sans géner l'utilisation normale : # Limite connexion ssh iptables -A INPUT -m hashlimit -m tcp -p tcp --dport 22 -i $INTER_IF \ --hashlimit 1/min --hashlimit-mode srcip --hashlimit-name ssh -m state --state NEW -j ACCEPT iptables -A INPUT -m tcp -p tcp --dport 22 -i $INTER_IF -m state --state NEW -j REJECT -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [GRUB][UUID] kernel panic au reboot avec les UUID dans le menu.lst de grub
Le 05/12/2006 10:55 GIGGz a dit : Bonjour la liste, Dans mon optique de passer ma SID en 2.6.19 avec les drivers PATA, je remplace les anciens noms de périphérique (ex /dev/hd*) par l'UUID du volume. J'ai fait la manip dans le /etc/fstab. Tout fonctionne à merveille; mes partitions sont correctement montées (même ma swap!). Par contre qd je modifie mon menu.lst de grub tout va de travers! Je remplace le root=/dev/hda1 par root=UUID=monUUID. au reboot le noyau se lance, il affiche en gros les messages classiques du démarrage (tout se qui est en dur...) et au moment de commencer à charger les modules patatra kernel panic. Je précise que c'est un noyau compilé à la main, sans initrd (dc je n'ai pas initramfs*). Quel est le module (l'option) du noyau qui donne l'UUID ? en effet je dois avoir cette option en module et non en dur, d'où le kernel panic...non ? si quelqu'un a une idée, un conseil, un rapport de bug qui m'intéresserait...ben je suis preneur Bonjour, mon idée, c'est que le noyau ne gère pas les uuid et donc, qu'en l'absence d'initrd, il faut obligatoirement mettre le root=/dev correspondant. Je me suis fait avoir sur une ubuntu qui a par défaut une commande root=UUID=... qui marche avec l'initrd de base mais pas quand on recompile soi-même un noyau sans initrd. Voir également : http://marc.theaimsgroup.com/?l=linux-kernelm=111881912207834w=2 -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [GRUB][UUID] kernel panic au reboot avec les UUID dans le menu.lst de grub
Oki ms bon l'initrd c'est juste une sorte de chargeur de modules dont on va avoir besoin. dc si on passe en dur le bon module, ça devrait fonctionner non ? merci pour le lien Je peux me tromper mais je pense que c'est udev qui gère les uuid et lui est activé au moment du initrd et de l'init (montage de / par fstab) mais pas au boot sans initrd. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Vhosts, messages au restart d'apache...
Le 30/11/2006 18:07 Shams Fantar a dit : Plop ! J'ai un vhost dans /etc/apache2/apache2.conf (je sais, d'autres méthodes moins bourrins existent) : VirtualHost *:80 DocumentRoot /*/*/* ServerName *** ErrorLog /*/*/* TransferLog /*/*/* /VirtualHost Lors du restart ou reload d'apache2, j'ai un message : [Thu Nov 30 17:54:39 2006] [error] (EAI 2)Name or service not known: Could not resolve host name toto -- ignoring![Thu Nov 30 17:54:39 2006] [error] VirtualHost *:80 -- mixing * ports and non-* ports with a NameVirtualHost address is not supported, proceeding with undefined results Ce message ne gêne en rien le fonctionnement d'apache ou des vhosts, mais je souhaiterais savoir si je pouvais résoudre ces messages. Tu dois avoir un NameVirtualHost * qui traine ; remplace le par NameVirtualHost *:80 -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Vhosts, messages au restart d'apache...
Un NameVirtualHost * qui traine dans apache2.confg ? Non, il n'y en a pas, et il n'y a qu'un vhost dans le fichier : DocumentRoot /*/*/* ServerName *** ErrorLog /*/*/* TransferLog /*/*/* /VirtualHost Je ne comprends pas trop pourquoi tu dis remplacer NameVirtualHost * par NameVirtualHost *:80 Parce que j'ai eu le meme message que toi aujourd'hui et qu'il a disparu en mettant NameVirtualHost *:80. Peux tu essayer de rajouter NameVirtualHost *:80 avant VirtualHost *:80 ? Je te signale que cette directive est citée dans ton message d'erreur (NameVirtualHost address is not supported, proceeding with undefined results) et que la doc APache dit : The NameVirtualHost directive is a required directive if you want to configure name-based virtual hosts. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: DHCP + BIND
Le 18/11/2006 09:19 [EMAIL PROTECTED] a dit : Bonjour à tous. Depuis plusieurs années j'utilise mes machines en réseau. Tant que je n'avais que 3/4 machines j'utilisais une configuration fixe. Puis j'en ai eu plus et j(ai converti mon serveur à bind et ensuite bind + dhcpd, mais toujours configuré en ip fixes (dhcp liait les adresses MAC à une adresse ip définie dans la config de bind). Depuis quelques semaines je me suis mis à essayer de configurer dhcp et bind9 afin que ce dernier soit mis à jour par dhcpd lors d'une connexion mais aucune m-à-j ne se fait. La lecture de howtos et autres docs m'ont fait modifier la config de dhcpd (/etc/dhcp3/dhcpd.conf) avec les éléments suivants : include /etc/bind/rndc.key; ddns-updates on; ddns-update-style interim; ignore client-updates; zone vipere.noire. { primary 127.0.0.1; key rndc-key; } zone 0.168.192.in-addr.arpa. { primary 127.0.0.1; key rndc-key; } J'ai regardé ma config et elle est très proche de la tienne... sauf qu'elle marche. La seule différence que j'ai vu, c'est dans dhcpd.conf où j'ai en première ligne la commande authoritative (le update-static c'est pour la mise à jour des micros à adresse fixée par le dhcp) : authoritative; ddns-update-style interim ; update-static-leases on; Tu peux peut-être essayer. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [HS, quoique] export display d'XP vers etch via putty
Le 04/10/2006 21:40 Steve a dit : Salut à tous, Du boulot, je me connecte à mon serveur Debian via putty depuis un poste XP. No problem. J'essaie, sans succès, d'afficher un truc graphique sur l'écran de l'XP. J'ai activé le X forwarding sur le serveur ssh (je crois que ce n'est pas nécessaire, mais ne suis pas sûr), essayé de faire un export DISPLAY (IP du firewall j'imagine + un numéro de display différent de 0), mais rien n'y fait, j'obtiens toujours un message d'erreur concernant le display (oublié d'écrire le message exact, je le ferais demain c'est promis). J'ai aussi fait un port scan de l'intérieur du réseau du boulot (je sais c'est mal, mais je voulais savoir ce qui en était), et le résultat est BLOCKED pour tous les ports, y compris le 22. J'ai lu sur le net que certains y sont parvenus en installant un cygwin, mais je ne peux pas (politique restrictive) le faire dans cette boîte. Avant de continuer de m'énerver, j'aimerai savoir si c'est simplement possible avec putty ou si je peux laisser tomber. J'aimerai bien y parvenir afin d'essayer de convaincre certains de la flexibilité et la puissance des outils du Libre. Merci de m'aiguiller. Salut, j'ai l'impression que tu n'as pas installé de serveur X sur ton XP pour afficher les graphiques. Le plus simple est Xming, facile à utiliser et qui marche bien. Tu lances XMing. Tu lances puuty en activant le X11 forwarding (ça t'évites de régler la variable DISPLAY) et ça marche. Quelques liens : http://freedesktop.org/wiki/Xming http://resel.enst-bretagne.fr/configuration/xming/ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Configuration de socks et iptables
Une autre voie que le proxy consisterait à créer un véritable tunnel IP entre le client et le serveur. Si SSH est le seul moyen de communication entre les deux, il est possible de monter sur la connexion SSH une session PPP avec pppd au lieu d'un shell. Il y a peut-être moyen de monter un autre type de tunnel IP dans un tunnel TCP sur SSH, mais je n'ai pas de nom en tête. Dans les deux cas tu auras un vrai réseau avec des interfaces et du routage, du NAT, etc... mais les performances peuvent être médiocres car SSH est basé sur TCP, et TCP n'est pas adapté au transport d'une couche IP. Je suis d'accord. C'est la voie que j'indiquais en faisant un tunnel avec vtun et qui fonctionne correctement si on n'est pas trop exigeant sur le débit. 1) tu fais tourner un serveur vtun sur SERV_PRIV 2) tu fais un tunnel ssh sur le port vtun (par exemple 5000) entre A et SERV_PRIV avec ssh -L 5000:localhost:5000 SERV_PRIV (voir http://vtun.sourceforge.net/faq.html#1.23) 3) tu lances ton client vtun sur machine A. Tu vas avoir une nouvelle interface tun0 avec une adresse ip dans la plage de ton réseau local 4) tu ajoutes une route pour router tous les paquets à destination du port 110 pat cette interface. Comme ça tout le trafic pop de ta machine A sera routé par vtun vers SERV_PRIV puis vers pop.wanadoo.fr et compagnie (ton serveur est bien sur configuré pour forwarder/masquerader les paquets entrants par vtun) Il me semble que c'est le plus proche de ce que tu veux faire. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Configuration de socks et iptables
3) tu lances ton client vtun sur machine A. Tu vas avoir une nouvelle interface tun0 avec une adresse ip dans la plage de ton réseau local Tu veux dire dans le réseau local du serveur SSH ? Note : le serveur aura aussi une nouvelle interface tunX à l'autre bout du tunnel. Tu as raison : il y a une interface tun de chaque coté. Je voulais dire que si ton réseau local est en 192.168.1.0/24, tu peux prendre 2 adresses dans cette plage pour le tunnel une coté serveur, l'autre coté client. Ca évite de rajouter encore d'autres règles de routage coté serveur. 4) tu ajoutes une route pour router tous les paquets à destination du port 110 pat cette interface. Euh, ce n'est pas si simple. On ne peut pas directement router en fonction du port destination. Il va falloir marquer les paquets sortants avec une règle iptables MARK et faire du routage avancé avec une règle de routage (ip rule) basée sur la marque définie qui aiguille le routage vers une table de routage alternative contenant une route par défaut passant par le tunnel. Du classique. Sans oublier le cas écheant de désactiver rp_filter sur l'interface tunnel sinon les paquets de réponse se feront jeter au retour. Ouf ! Effectivement... mais quelle joie quand ça marche... En fait, quand j'ai testé ça, je filtrai sur l'adresse source et là c'est plus simple car ip rule le fait directement. {...] Masquerading de rigueur en effet pour que les paquets de réponse trouvent le chemin du retour jusqu'au serveur SSH, sauf si d'une part l'interface tunnel du client a une adresse - libre évidemment - que la passerelle du serveur sait joindre, par exemple dans le sous-réseau du LAN du serveur, et d'autre part le proxy_arp est activé sur le serveur. Ainsi le serveur répondra aux requêtes ARP pour l'adresse de tunnel du client. Une bonne vieille route statique point à point suffit il me semble. Et je suis sûr de ne pas avoir eu besoin de proxy arp mais peut-être pour certaines utilisations... Et là quelque chose me dit que David n'est plus très chaud pour se lancer dans l'option tunnel et qu'il va plutôt se concentrer sur l'option proxy. ;-) C'est marrant, j'ai la même impression... (voir message de David sur Dante plus loin). Moi, dans son cas, je préfère jouer avec les paquets tcpip, iptables, iproute2 et vtun plutôt que multiplier les proxy mais chacun son truc. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Tunnel SSH et redirection générique pou r un port...
En tous cas, sachant que la sécurité du tunnel SSH me convient, si j'avais un moyen (proxy ?) de pouvoir y faire transiter le trafic que je souhaite (une sélection uniquement !), ça me conviendrait parfaitement... Merci d'avance pour les indices que vous pourrez me donner ;-) Tu as essayé vtun (http://vtun.sourceforge.net/) ? Tu fais un tunnel vtun dans ton tunnel ssh et avec les bonnes routes coté client, tu dois pouvoir t'en tirer (ce que tu veux faire n'est pas très clair). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: question au niveau des tunnel ssh
Mais je ne comprends pas trop pourquoi sans proxy web, ca ne marche pas, vu que j'avais mal compris exactement la definition d'un tunnel ssh. Si j'établis le tunnel dont on vient de parler, et que le fais google.fr:1234, la requete sur le port 1234 sera relayé sur le port 80 de serveur, et donc serveur devra à partir de son port 80 établir une communication avec google.fr et me renvoyer la page donc normalement. Tu pourrais m'expliquer pourquoi ca ne marcherait pas? Parce que, quand depuis serveur tu accèdes à google.fr, tu te connectes avec un port local (qui n'est pas le port 80) attribué dynamiquement à ton navigateur vers le serveur de google.fr qui écoute sur le port 80. Perso, je vois le tunnel ssh comme équivalence de port : le port 1234 de ton ordi local équivaut au port 80 de serveur. Mais pour accéder à google.fr, il ne sert à rien de se connecter sur le port 80 de serveur (sauf si une redirection transparente par proxy est faite sur ce port). En bref, comme le dit P.hambourg, pour surfer via un tunnel ssh, il faut un proxy sur le serveur et dirigé le tunnel ssh vers le port de ce proxy. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: reunir deux partition voisines
ultimate:~# df Sys. de fich.1K-blocs Occupé Disponible Capacité Monté sur /dev/hda2 24784380 5637376 17888016 24% / tmpfs 258332 4258328 1% /dev/shm /dev/hda3 43255680 8915404 32143012 22% /var /dev/hda4 47094392 10365476 34336636 24% /home /dev/hdb1 38448276 19421188 17073988 54% /media/1 /dev/hdb2 40330060 37984628296744 100% /media/2 tmpfs10240 152 10088 2% /dev /dev/sda1 124900 33464 91436 27% /mnt/cf ultimate:~# Par contre je peut vider temporairement hdb1 pour la reunification mais pas toucher à hdb2 et surtout ne pas perdre de données Le principe en ext2 est que l'on peut réunir des partitions à condition de ne pas changer le secteur de départ. Dans ton cas, ca veut dire qu'il faut de débrouiller pour vider hdb2 en le mettant sur hdb1 (ca passe juste..) après avoir mis hda1 temporairement sur hda3 par ex. Ensuite il faut prier car tu dois, avec cfdisk par exemple : * supprimer hdb2 * supprimer hdb1 * recréer hdb1 en reprenant impérativement le même secteur de début pour ne pas perdre les données mais en prenant toute la place comme taille. Ensuite il faut faire un resize2fs pour que le système de fichier tienne compte de la nouvelle taille de partition. Le moment crispant, c'est quand on supprime la partition qui contient les données pour la recréer ensuite... mais si on fait gaffe, ca marche. Et personnellement, je préfère ça à parted qui, de toute facon, impose la meme contrainte : ne pas changer le secteur de début. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Avenir du noyau Linux 2.4 dans Debian ?
Sur un sujet proche, une discussion a lieu en ce moment sur l'avenir de la branche 2.4 qui passe en deep maintenance. Avec en particulier la question du support de la version 4 de gcc qui ne permet pas de compiler les noyaux 2.4. Visiblement, il va devenir de plus en plus difficile de marier noyaux anciens et applis récentes... Pour rester en noyau 2.4, il faudra rester en Debian 3.0... Pour en savoir plus : http://lwn.net/Articles/195823/, article Old kernels and new compilers (en anglais) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: dvd authoring, mencoder et 5h de film sur un dvd5
Le format du DVD, c'est le MPEG2 alors que le divx c'est (en gros) du MPEG4, plus performant en terme de compression (en attendant le x264). En mpeg2, il faut donc un bitrate plus elevé à qualité égale. Les DVD sont autour de 7000-8000 ; la TNT autour de 4000-5000. Alors avec tes 2100, tu es quasiment au minimum possible sans trop de dégradation apparente. Pour ma part, je ne descends pas en dessous de 3000-3500. Je ne vois pas d'autres paramètres sur lesquels jouer en video mpeg2 ; tu peux effectivement passer l'audio à 96 et plutôt en mp2 qu'en ac3 mais ça change pas grand chose. Sinon tu peux aussi acheter une platine divx... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]