Astuces

Commande shell
texte à taper ou paramètre à entrer

Afin d'activer le support en ligne d'un type mime, il faut éditer le fichier /home/httpd/html/horde/imp/config/mime_drivers.php.
Il suffit simplement de basculer la valeur 'false' (non actif) en 'true' (actif) du type mime voulu (dans le tableau $mime_drivers)

Remarque :
Tous les types mimes ne sont pas forcément visualisables en ligne, si dans le tableau $mime_drivers il n'y as pas d'élément correspondant au type mime que vous souhaitez afficher en ligne cet élément NE POURRA PAS être visualisable en ligne

Dans notre cas, voici la ligne qu'il faut modifier pour visualiser les mails en HTML :

$mime_drivers['imp']['html']['inline'] = true;

Le but étant simplement de remplacer la valeur par défaut (en_US) par celle désirée (fr_FR) dans un fichier de préférence de Horde...

1) Méthode automatique

Copier-coller ce script dans une fenêtre shell :

echo ""
echo "Messagerie Webmail : Forcer la langue en fr"
export CIBLE=/etc/e-smith/templates-custom/home/httpd/html/horde/imp/config/prefs.php/230userlanguage
mkdir -p /etc/e-smith/templates-custom/home/httpd/html/horde/imp/config/prefs.php
#touch $CIBLE
echo "// user language" > $CIBLE
echo "\$_prefs['language'] = array(" >> $CIBLE
echo " 'value' => 'fr_FR'," >> $CIBLE
echo " 'locked' => true," >> $CIBLE
echo " 'shared' => true," >> $CIBLE
echo " 'type' => 'select'" >> $CIBLE
echo " 'desc' => _(\"Selectionnez votre language:\")" >> $CIBLE
echo ");" >> $CIBLE
/sbin/e-smith/expand-template /home/httpd/html/horde/imp/config/prefs.php
service httpd restart

2) Méthode manuelle (édition du fichier)

mkdir -p /etc/e-smith/templates-custom/home/httpd/html/horde/imp/config/prefs.php
cd /etc/e-smith/templates-custom/home/httpd/html/horde/imp/config/prefs.php
rm -f 230userlanguage
cp /etc/e-smith/templates/home/httpd/html/horde/imp/config/prefs.php/230userlanguage .
mcedit 230userlanguage
#Remplacez le en_US par fr_FR et éventuellement le Locked en true, enfin enregistrez le fichier (F2)
/sbin/e-smith/expand-template /home/httpd/html/horde/imp/config/prefs.php
service httpd restart

Si après avoir activé le webmail (dans le server-manager) en entrant votre login/pwd vous obtenez ce message :

DB Error: connect failed
[ligne 108 de /home/httpd/html/horde/lib/Prefs/sql.php]

la ligne 107 et 108 du sql.php :
if (DB::isError($this->db)) {
Horde::fatal($this->db, __FILE__, __LINE__);

Il faut redéclarer un mot de passe pour horde :

/sbin/e-smith/config setprop horde DbPassword <password>

Où <password> est strictement alphabétique, pas de caractères comme ^, ou[, par exemple.

/sbin/e-smith/signal-event post-upgrade
/sbin/e-smith/signal-event reboot

Et à la fin faire :

/sbin/e-smith/signal-event post-upgrade
/sbin/e-smith/signal-event reboot

Il faut forcer votre serveur pour qu'il n'envoie pas les mails lui même (via qmail) mais au smtp de wanadoo ou de votre FAI...

Préparation des templates :

mkdir -p /etc/e-smith/templates-custom/var/qmail/control/smtproutes

Edition du fichier 50AOLMail :

mcedit /etc/e-smith/templates-custom/var/qmail/control/smtproutes/50AOLMail

et y placer :

.aol.com:smtp.wanadoo.fr
.aol.fr:smtp.wanadoo.fr

(Si vous êtes chez free remplacez bien évidement "smtp.wanadoo.fr" par "smtp.free.fr"...)

Application des templates :

/sbin/e-smith/expand-template /var/qmail/control/smtproutes
/sbin/service qmail restart

Sinon téléchargez ce fichier et executez le en root : mail_aol.sh

Par exemple 10Mo :

/sbin/e-smith/config setprop php MaxExecutionTime 1200
/sbin/e-smith/config setprop php MemoryLimit 100M
/sbin/e-smith/config setprop php PostMaxSize 10M
/sbin/e-smith/config setprop php UploadMaxFilesize 10M
/etc/e-smith/events/actions/conf-php
service httpd-e-smith graceful

par exemple 10Mo :

1-entrant

echo "10000000" > /etc/e-smith/templates-custom/var/qmail/control/databytes
/sbin/e-smith/expand-template /var/qmail/control/databytes
service qmail restart

2-sortant

/sbin/e-smith/config setprop smtpfront-qmail MaxMessageSize 10000000
/sbin/e-smith/signal-event email-update

Equivault à :

echo "10000000" > /etc/e-smith/templates-custom/var/service/smtpfront-qmail/env/DATABYTES
/sbin/e-smith/expand-template /var/qmail/control/databytes
service qmail restart

Vous recevez des mails sur votre nom de domaine, mais ceux-ci sont destinés à des utilisateurs inconnus. Votre serveur mail répond alors que cet utilisateur n'existe pas, jusque là tout va bien.

Le problème survient dans le cas ou l'adresse de réponse est erronée. Votre serveur va envoyer une réponse régulièrement à l'administrateur du site destinataire (dont l'adresse est erronée). Ce qui va provoquer une accumulation de mail sur votre compte administrateur.

Pour stopper ou empêcher cela cela il faut faire la configuration suivante :

echo "| dd of=/dev/null" > ~alias/.qmail-devnull
echo devnull > /var/qmail/control/doublebounceto
/sbin/e-smith/db accounts set devnull system

Parfois, certains providers bloquent le port 25 en entrée :(

D'autres fois, certains providers bloquent le port 25 en sortie, ce qui bloque aussi la récpetion de messages sur le port 25 en entrée !

L'idée : ouvrir (uniquement au niveau du Firewall) le port 2525 et demander au Firewall de rediriger l'ensemble du flux sur le port 25

Ainsi, sur le serveur, le port 25 reste ouvert (pas de modification du serveur de messagerie). Mais, vu de l'extérieur, le port 2525 est également accessible, créant un deuxième listener virtuel.

Les essais ont étés réalisés sur une SME 6.0, en vue d'extensions des possibilités de la contribs MX-Backup.
En attendant cette mise à jour, voici la manip (dans /etc/rc.d/init.d/masq, en fin de parcours) :
/sbin/iptables --table nat --append PREROUTING --protocol tcp \
-i $OUTERIF --destination-port 2525 -j REDIRECT --to-port 25

En templatisant, çà donne ceci :
------------------------------------------
# crée le dossier, si nécessaire
mkdir -p /etc/e-smith/templates-custom/etc/rc.d/init.d/masq
# création du fichier :
vi /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/91SecondSMTPListener
------------- Contenu du fichier ------------------
# Add a second listener entry from the public interface point of vue.
# this is done with iptables, no need to change anything in the mail
# system.

/sbin/iptables --table nat --append PREROUTING --protocol tcp \
-i $OUTERIF --destination-port 2525 -j REDIRECT --to-port 25

------------ Fin de contenu de fichier ---------------
#regénération du fichier /etc/rc.d/init.d/masq
/sbin/e-smith/expand-template /etc/rc.d/init.d/masq
# redemarrage du firewall, pour prise en compte de la modification
service masq restart

# c'est tout !

# optionel, pour visualiser la règle :
iptables -L -t nat | less

A noter que ceci peut s'appliquer pour rediriger n'importe quel port TCP, par exemple le port 8080 sur le port 80.

De nos jours, on reçoit plein de fichiers attachés dont un bon paquet sont des virus destinés à un autre OS...

Il est possible d'utiliser procmail pour les filtrer tous les exécutables et ne plus encombrer votre boite mail !

Il suffit de créer un fichier : ~/.procmailrc contenant :

MAILDIR=$HOME/Mail # vérifiez que le rép ~/Mail existe
:0 H
*^Content-type: (multipart/mixed)
{
:0 B
*^Content-Disposition: (attachment|inline)
*filename=".*\.(ocx|vbs|wsf|shs|exe|com|bat|chm|pif|vbe|hta|scr)"
{
:0
./virus/
}
}

for fl in `ls /var/spool/amavis-ng/quarantine/*.msg` ; do echo $fl;/usr/bin/amavis-inject $fl | /usr/bin/rsmtp && rm -f $fl && echo $fl OK ; done

2) CLAM -> Traitement des mails à problemes avec suppression : (supprime le message .msg pas les journaux .log)

for fl in `ls /var/spool/amavis-ng/problems/*.msg` ; do echo $fl;/usr/bin/amavis-inject $fl | /usr/bin/rsmtp && rm -f $fl && echo $fl OK ; done

#!/bin/bash
mkdir -p /var/spool/amavis-ng/done
ll /var/spool/amavis-ng/problems/*.msg -h
for fichier in /var/spool/amavis-ng/problems/*.msg
{
echo "Traitement de : " $fichier
/usr/bin/amavis-inject -S 127.0.0.1 $fichier
mv $fichier /var/spool/amavis-ng/done/
}
rm -f /var/spool/amavis-ng/problems/*.log

Problème : Tous vos message vont dans le 'problems directory' (notifications via le mail admin)
Symptôme : ClamAntivirus ne fonctionne plus ? (ps -efa | grep clam ne vous renvoie rien, même après l'avoir lancé manuellement via clamd)
(ou vous avez ce genre de log :
[root@sandra clamav]# tail -f /var/log/amavis-ng/amavis-ng.log
Jun 6 00:41:05 sandra amavis[17447]: AMAVIS: Determined 00000000 to be type message/rfc822
Jun 6 00:41:06 sandra amavis[17447]: AMAVIS: Determined 00000001 to be type text/plain
Jun 6 00:41:06 sandra amavis[17447]: Not attempting to unpack 00000001
Jun 6 00:41:06 sandra amavis[17447]: AMAVIS::AV::CLAMD: Cannot connect to /var/lib/clamav/clamd.sock.
Jun 6 00:41:06 sandra amavis[17447]: Error while scanning for viruses with AMAVIS::AV::CLAMD:
Jun 6 00:41:06 sandra amavis[17447]: AMAVIS::MTA::Qmail: Freezing message
Jun 6 00:41:06 sandra amavis[17447]: Quarantining infected message to /var/spool/amavis-ng/problems/40c24c02-4427
Jun 6 00:41:06 sandra amavis[17447]: AMAVIS::MTA::Qmail: /var/qmail/bin/qmail-queue exited: 0
Jun 6 00:41:06 sandra amavis[17447]: AMAVIS: Cleaning up.
Jun 6 00:41:06 sandra amavis[17447]: AMAVIS: Done.)

Solution :

rm -f /var/lib/clamav/clamd.sock
clamd

Maintenant tapez ps -efa | grep clam pour vérifier le fonctionnement de ClamAV, vous devez avoir ceci :

[root@sandra clamav]# ps -efa | grep clam
qmailq 19906 1 0 01:16 ? 00:00:00 clamd
qmailq 19907 19906 0 01:16 ? 00:00:00 clamd
qmailq 19908 19907 0 01:16 ? 00:00:00 clamd
root 19932 10978 0 01:17 pts/1 00:00:00 grep clam

ERROR: LOGGER: Can't open file /var/log/clamav/freshclam.log to write.
ERROR: Problem with internal logger.

Avec un tri par nom d'hôte, en shell tapez :

cd /var/spool/amavis-ng/quarantine/ ; cat *.msg | grep "Received: from" | awk '{print $3}' | sort | uniq -c

Avec un tri par nombre ascendant, en shell tapez :

zcat /var/log/clamav/clamd.log.*.gz | grep "FOUND" | sed -e "s/.*\: //" -e "s/ FOUND//" | sort | uniq -c | sort -g

# Création des templates
mkdir -p /etc/e-smith/templates-custom/etc/php.ini/
cp /etc/e-smith/templates/etc/php.ini/30ErrorHandling /etc/e-smith/templates-custom/etc/php.ini

# Editez le template et remplacez la valeur off de display_error par on
pico /etc/e-smith/templates-custom/etc/php.ini/30ErrorHandling

# ou faites ceci :
export CIBLE=/etc/e-smith/templates-custom/etc/php.ini/30ErrorHandling
echo "error_reporting = E_ALL & ~E_NOTICE" > $CIBLE
echo "display_errors = on" >> $CIBLE
echo "display_startup_errors = Off" >> $CIBLE
echo "log_errors = On" >> $CIBLE
echo "error_log = syslog" >> $CIBLE
echo "track_errors = Off" >> $CIBLE
echo "warn_plus_overloading = Off" >> $CIBLE

Si vous avez des scripts PHP qui s'executent bizarrement, pas du tout ou vous insulte comme suit :

Warning: open_basedir restriction in effect. File is in wrong directory in /home/e-smith/files/ibays/monsite/html/truc.php on line 218

En shell tapez :

/sbin/e-smith/db accounts setprop <NOMIBAY> PHPBaseDir /home/e-smith/files/ibays/<NOMIBAY>/:/proc/
/sbin/e-smith/signal-event ibay-modify <NOMIBAY>

Si pas de changement, essayez un petit : service httpd restart

Pour vérifier la variable : /sbin/e-smith/db accounts getprop <NOMIBAY> PHPBaseDir

Petit script maison pour changer le basedir (syntaxe : sh PHPBaseDir.sh <NomIBAY>)

REMARQUE :

Depuis SME 6.x le contenu du site du domaine principal est stocké dans une ibay nommée Primary donc il se peut que, contrairement aux version précédentes, vous ayez cette correction à faire...

REMARQUE PHP :

La restriction spécifiée par open_basedir est en fait un préfixe et non un dossier. Cela signifie que "open_basedir = /dir/incl" donne accès au dossier "/dir/include" et aussi au dossier "/dir/incls" s'il existe. Lorsque vous souhaitez restreindre l'accès à un dossier spécifique, ajoutez un slash final. Par exemple : open_basedir = /dir/incl/. (source : manuel php)

1 - Regardez quels RPMs de PHP il y a sur votre system Mitel SME :
rpm -qa|grep php-

2. Téléchargez les RPM que vous souhaitez upgrader (Dan Brown's contrib) :
http://www.ibiblio.org/pub/Linux/distributions/e-smith/contrib/DanBrown/RPMS/i386/

3. Installez ;)
rpm -Uvh php-*

Plus d'infos : ici

Plusieurs alternatives :

1) Avec vipw : (plus aisé s'il y a plusieurs utilisateurs que vous devez "chrooter")

2) En une ligne de commande shell (et donc plus rapide s'il n'y as qu'un utilisateur à "chrooter")

Voici ce qu'il faut taper pour autoriser l'utilisateur cege à accéder à la ligne de commande :

chsh -s /bin/bash cege

Remarque : Vous pouvez voir la liste des shells disponibles avec la commande suivante : chsh --list-shells

/sbin/e-smith/db configuration setprop squid Transparent yes
/sbin/e-smith/expand-template /etc/squid/squid.conf
/sbin/e-smith/signal-event remoteaccess-update

Si pas de changement, essayez un petit : service squid restart

Pour désactiver totalement Squid :

/sbin/e-smith/db configuration setprop squid Transparent no
/sbin/e-smith/config setprop squid status disabled
/sbin/e-smith/expand-template /etc/squid/squid.conf
/sbin/e-smith/signal-event remoteaccess-update
/sbin/service squid stop

1) Arrêtez squid
service squid stop

2) Faites le (grand) ménage
Lancez "midnight commander" (mc /var/spool) et supprimez le dossier /var/spool/squid (touche F8) et quittez-le (touche F10)
Ensuite recréez le dossier et chownez-le : mkdir /var/spool/squid ; chown squid:squid -R /var/spool/squid

3) Redémarrez squid
service squid start

Si vous voulez juste remettre à zéro le fichier d'index du cache, à l'étape 2 tapez uniquement echo "" > /var/spool/squid/swap.state mais cela ne vous libèrera pas autant de place qu'un grand ménage...

1) Création des templates

mkdir -p /etc/e-smith/templates-custom/etc/squid/squid.conf
cd /etc/e-smith/templates-custom/etc/squid/squid.conf
touch 76UploadLimit

2) Remplissage :)

Editez le fichier 76UploadLimit (mcedit 76UploadLimit) et tapez :

{
# this sets the HTTP Upload Limit; 0 is unlimted
}
request_body_max_size 0

Sauvez et quittez

3) Application des templates :

/sbin/e-smith/expand-template /etc/squid/squid.conf
service squid restart

Interface de visualisation des téléchargements accomplis (http://[SERVEUR]/mldonkey) :

Si vous avez modifié le lieu de stockage des téléchargements accomplis (par défaut dans /home/mldonkey/incoming) pour différentes raisons (par convenances, ou tout simplement parceque vous avez ajouté un disque-dur dédié à mldonkey...) il vous faudra modifier les lignes 15 et 17 du fichier /home/mldonkey/index.php

Vous voulez pousser plus loin et personnaliser le(s) chemin(s) d'accès pour cette interface (http://[SERVEUR]/mldonkey) :

Tout se passe dans ce répertoire : /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/

Voici ce que contient le fichier 90MldonkeyAlias :

A la fin de vos changements tapez :

/sbin/e-smith/expand-template /etc/httpd/conf/httpd.conf
service httpd restart

Créez un fichier bash (pico /root/mlnet.sh) avec ceci dedans (pensez a remplacer votre @mail) :

#!/bin/bash
export MLPID=$(/sbin/pidof mlnet)

if [ "$MLPID" == "" ]
then
/sbin/service mldonkey start
cat /dev/null | /bin/mail -s "Restarting Mlnet :(" moi@mondomaine.net
echo Mlnet is down
else
echo Mlnet is UP
fi

Enregistrez (ctrl+o) quittez (ctrl+x) et chmodez (chmod +x /root/mlnet.sh) puis mettez cette ligne dans le cron (crontab -e, puis "a") :

*/5 * * * * /root/mlnet.sh 2 > /dev/null

Quittez le cron en appliquant les changement (ctrl+c, puis " :wq ")

Vérifiez que votre ligne y est bien (crontab -l) et si vous n'avez pas trop de DL en cours faites un test en arrêtant mldonkey (/sbin/service mldonkey stop)

Consultez le guide du bash si vous souhaitez comprendre ma légère manip ou y apporter des améliorations et tenez moi au jus :)

Tapez en shell :

man -M /var/qmail/man dot-qmail
man -M /var/qmail/man qmail-command

(cf /etc/man.config, d'où le "-M")

Sachez tout d'abord que dans une sauvegarde partielle seul le contenu des répertoires suivant sont sauvegardés :

/root
/home/e-smith
/etc (partiellement : fichiers de comptes usagers, groupes, et paramètres)

plus précisement (d'après le fichier /usr/lib/perl5/site_perl/esmith/Backup.pm sur SME 6.0)

home/e-smith
etc/e-smith/templates-custom
etc/e-smith/templates-user-custom
etc/ssh
root
etc/passwd
etc/shadow
etc/group
etc/gshadow
etc/samba/smbpasswd
etc/smbpasswd

Préparation des templates :

mkdir -p /etc/e-smith/templates-custom/etc/flexbackup.conf

Création du fichier template :

cp /etc/e-smith/templates/etc/flexbackup.conf/10Exclude_expr00 /etc/e-smith/templates-custom/etc/flexbackup.conf/10Exclude_expr01

Personnalisation :

pico /etc/e-smith/templates-custom/etc/flexbackup.conf/10Exclude_expr01

Examinez le fichier vous comprendrez vite par vous mêmes, voici le contenu du fichier 10Exclude_expr01 :

On vous dit simplement de placer ce que vous souhaitez exclure entre les quotes (') et d'incrémenter chaque expression...
Maintenant afin de le personnaliser proprement, je vous conseille de tout effacer, et de ne taper que des lignes de la forme "$exclude_expr[n] = 'expression';"

Voici le contenu de mon fichier 10Exclude_expr01 :

Application des templates :

/sbin/e-smith/expand-template /etc/flexbackup.conf

Infos :

- Windows Messenger 5.0 in Windows XP: Working With Firewalls and Network Address Translation Devices
- Liste de port (ixus)
- Official ports assignements : INIA (553k)

Deux méthodes, mais quelque soit celle choisie, vous risquez d'avoir en plus recours à squidguard en blacklistant l'url "gateway.msn.com", à condition que les ordinateurs du réseau passent par squid, car MSN cherche aussi se connecter au site distant par le port 80...

1) A la main dans iptables : (un peu plus violent et rapide que Denyport)

Préparation des templates :

mkdir -p /etc/e-smith/templates-custom/etc/rc.d/init.d/masq
cd /etc/e-smith/templates-custom/etc/rc.d/init.d/masq
pico 45DenyMSN

Insérez-y :

/sbin/iptables -A OUTPUT -s 0.0.0.0/0 -d 0.0.0.0/0 -j DENY -p tcp --dport 1863
/sbin/iptables -A OUTPUT -s 0.0.0.0/0 -d 0.0.0.0/0 -j DENY -p udp --dport 1863
/sbin/iptables -A OUTPUT -s 0.0.0.0/0 -d 0.0.0.0/0 -j DENY -p udp --dport 5190
/sbin/iptables -A OUTPUT -s 0.0.0.0/0 -d 0.0.0.0/0 -j DENY -p tcp --dport 6891:6900
/sbin/iptables -A OUTPUT -s 0.0.0.0/0 -d 0.0.0.0/0 -j DENY -p tcp --dport 6901
/sbin/iptables -A OUTPUT -s 0.0.0.0/0 -d 0.0.0.0/0 -j DENY -p udp --dport 6901

Enregistrez (ctrl-O), quittez (ctrl-X) et appliquez les changements :

/sbin/e-smith/expand-template /etc/rc.d/init.d/masq
/sbin/e-smith/signal-event remoteaccess-update

Redémarrez éventuellement le serveur si l'effet n'est pas immédiat...

2) Via le Server-manager :

a. Installez la contrib "Denyport" (description & téléchargement ici)

b. bloquez les ports suivants :

TCP 1863
UDP 1863
UDP 5190
TCP 6891 - 6900
TCP 6901
UDP 6901

Remarques :

- MSN arrive à fonctionner en P2P, donc sur le réseau local vous n'arrivez peut-être à le bloquer (sauf p-être avec la soluce 1)
- America OnLine (AIM) utilisant aussi 5190 il va aussi se trouvé handicapé...
- Voir chez rakerman pour le blocage d'autres applications.
- 1863 est pour la messagerie
- 5190 pour le chat texte
- 6891-6900 pour le transfert de fichier
- 6901 pour le chat vocal
- Enfin, comme je l'évoquai un peu au début, MSN est très malin, il se peu que malgré l'interdiction de port et le blacklistage dans squid il arrive encore à se connecter :-(

Petits liens à consulter au préalable :

- kb278887 : MSN Messenger Service ne parvient pas à effectuer des transferts de fichiers ou des connexions vocales avec NAT
- kb324214 : Impossible d'établir des communications téléphoniques ou de démarrer des conversations en mode vocal ou vidéo avec Windows Messenger
- Article complet sur le Technet M$ (anglais) : Windows Messenger in Windows XP: Working With Firewalls and Network Address Translation Devices

Pour résumer voici les ports à ouvrir ou forwader :

- 1863 pour la messagerie
- 5190 pour le chat texte
- 6891 pour le transfert (ou 6891-6900 pour 10 transferts de fichier simultanés possibles)
- 6901 pour le chat vocal

On parle aussi des ports 1503 (AS & WB : Application Sharing & WhiteBoard), 5060 (SIP : Session Initiation Protocol), des ports UDP de 5004 à 65535 (permettre les communications AV : Audio Vidéo), et en option le 3389 (RDP : Remote Desktop Protocol) :

Non-UPnP Firewalls

Very few options exist for using the advanced features of Windows Messenger with a non-UPnP firewall. Points to consider on this topic include:

• Peers on the same side of the firewall can use all of the features of Windows Messenger.

• IM and Presence information work through most firewall configurations.

• To support AV in both directions through the firewall, all UDP ports between 5004 and 65535 must be opened to allow signaling (SIP) and media streams (RTP) to traverse the firewall. This is required because dynamic ports are used. AS and WB also use dynamic ports for signaling.

• File Transfer can be enabled by opening ports 6891–6900 on the firewall. Remote Assistance can be enabled by opening port 3389.

Administrator/User Action Required

To enable voice and video communications with Windows Messenger through a non-UPnP firewall, configure the firewall to allow incoming traffic on UDP ports 5004 – 65535.

For other purposes, enable the following ports:

• File Transfer: 6891 (to allow 10 simultaneous file transfers, open ports 6891–6900)

• Application and Whiteboard Sharing: 1503

• Remote Assistance: 3389

Extrait de Zdnet :

MySQL intègre des outils de réparation des données en cas d’incident. Voici quelques astuces pour les utiliser au maximum de leurs possibilités.

Le pire cauchemar de tout administrateur de bases de données est l'altération des données. Rien n’est comparable au fait d’arriver un matin au travail en découvrant que l’équivalent de quatre années de données d’entreprise durement acquises viennent d’être corrompues et que toute l’entreprise s’en remet à vous pour les récupérer. C’est le genre d'expérience qui vous réveille plus sûrement que le café! Toutefois, si vous possédez une base de données MySQL, tout espoir n'est pas perdu. Dans cet article, je vous montrerai comment utiliser les outils intégrés de reprise après sinistre de MySQL pour vérifier votre base de données et, avec un peu de chance, récupérer toutes les données que vous venez de perdre.

Outils intégrés

Lorsqu’il s’agit de réparer et de vérifier des tables, MySQL offre deux possibilités.

1. La distribution MySQL est fournie avec un outil appelé "myisamchk", conçu spécifiquement pour vérifier et réparer les tables MyISAM (type de table par défaut utilisé par MySQL). Cet outil permet d’analyser vos bases de données, d’identifier les problèmes, d’optimiser les tables en vue d’une consultation plus rapide et, éventuellement, de réparer des tables corrompues. L’appel de l’outil myisamchk se fait à partir de la ligne de commande.

2. Outre l’outil précédent, MySQL vous permet également de vérifier et de réparer des tables à l’aide de commandes SQL. Les commandes CHECK TABLE, REPAIR TABLE et OPTIMIZE TABLE peuvent être utilisées sur un serveur MySQL en cours d’exécution et doivent être saisies via un client MySQL.

Le plus souvent, il est préférable d’utiliser l’outil myisamchk, car il est beaucoup plus rapide que les commandes SQL

Tout se passe dans /home/e-smith/files/samba/printers

Il faut mettre le(s) pilote(s) dans le(s) bon répertoire(s) :

* W32X86 : pour les pilotes d'imprimantes pour NT/2000, sur Intel
* WIN40 : pour les pilotes d'imprimantes pour Windows 9x ou Me
* W32ALPHA : pour les pilotes d'imprimantes pour NT sur Alpha
* W32MIPS : pour les pilotes d'imprimantes pour NT sur MIPS
* W32PPC : pour les pilotes d'imprimantes pour NT sur PowerPC

Pour la suite voir chez samba.linuxbe.org, ou sur le mirror en français de samba.org : samba.2037.biz

mkdir -p /etc/e-smith/templates-custom/etc/smb.conf
cp /etc/e-smith/templates/etc/smb.conf/11logonScript /etc/e-smith/templates-custom/etc/smb.conf
pico /etc/e-smith/templates-custom/etc/smb.conf/11logonScript

Modifiez comme suit :

{
# if you enable domain logons then you may want a per-machine or
# per user logon script
# run a specific logon batch file per workstation (machine)
# ; logon script = %m.bat\n
# run a specific logon batch file per username
# ; logon script = %U.bat\n\n";

return "" unless (db_get_prop($confref, "smb", "DomainMaster") eq "yes");

'logon script = %U.bat';
}

Mise en application :

/sbin/e-smith/expand-template /etc/smb.conf
service smb reload

Principe : Ajouter les utilisateurs et/ou groupes à la ligne suivante du fichier smb.conf :
domain admin group =

1. Préparation du template :

mkdir -p /etc/e-smith/templates-custom/etc/smb.conf
cd /etc/e-smith/templates-custom/etc/smb.conf
cp /etc/e-smith/templates/etc/smb.conf/11domainAdminGroup .

2. Modifier le template :
mcedit 11domainAdminGroup

et en y mettant :

domain admin group = admin nomuser1 nomuser2
pour autoriser admin, nomuser1 et nomuser2

domain admin group = admin nomuser @pdc
pour autoriser admin, nomuser, et les membres du groupe pdc

A noter que cette ligne sera obsolète en samba 3.0

3. Application des templates

mkdir -p /etc/e-smith/templates-custom/etc/smb.conf/
cd /etc/e-smith/templates-custom/etc/smb.conf/
cp /etc/e-smith/templates/etc/smb.conf/50homes .
mcedit 50homes

Par exemple, pour partager le répertoire /backup sous le nom de partage sauvegardes en lecture/écriture sans restrictions tapez :

[sauvegardes]
comment = Stockage pour backup perso
browseable = yes
read only = no
writable = yes
force directory mode = 0777
create mode = 0777
directory mode = 0777
force create mode = 0777
path = /backup

Enfin :

/sbin/e-smith/expand-template /etc/smb.conf
service smb reload

Il suffit de créer un partage réseau via le fichier de configuration de Samba (smb.conf) en passant par les mécanismes de SME (les templates)

#1) Création du fichier patron :

mkdir -p /etc/e-smith/templates-custom/etc/smb.conf/
pico /etc/e-smith/templates-custom/etc/smb.conf/55adminhomes

#2) Ajoutez-y les lignes suivantes :

[users_bigboss]
comment = Repertoires_Utilisateurs
path = /home/e-smith/files/users/
valid users = admin root *biggboss
admin users = admin root *biggboss
write list = admin root *biggboss
public = no
browsable = yes
writable = yes

* Remplacez évidemment biggboss par le nom de votre utilisateur, ou groupe, vous pouvez mettre autant d'utilisateurs que vous souhaitez en séparant chacun d'entre eux par un espace

#3) Regénérez le fichier de configuration de Samba, et redémarrez-le :

/sbin/e-smith/expand-template /etc/smb.conf
service smb reload

Enfin, vous pourrez accéder à ce nouveau partage via le lien unc \\nomdevotreserveurSME\users_bigboss

#Préparation des templates :

mkdir -p /etc/e-smith/templates-custom/etc/smb.conf/
cd /etc/e-smith/templates-custom/etc/smb.conf/
cp /etc/e-smith/templates/etc/smb.conf/50printers .
mcedit 50printers

#Modifiez le "guest = no" en "guest = yes" et sauvegardez.

#Génération du template et application des paramètres :
/sbin/e-smith/expand-template /etc/smb.conf
service smb reload

Pour plus d'infos visitez samba.linuxbe.org, ou sur le mirror en français de samba.org : samba.2037.biz

Ce script remplace la fonction "net send"et permet d'envoyer un popup a travers le reseau géré par samba l'emulateur de domaine NT.

En mode commande, logué avec les droits suffisants sur SME en root, tapez la commande : perl smb-wall.pl
...suivez les instructions pour mettre le message à diffuser sur le reseau

Téléchargez smb-wall.pl

Etape 1 : Assurez-vous de ne pas avoir de connexions sur le serveur

Vous devez couper toutes les connexions au serveur. Vérifiez tout d'abord que vous n'avez pas de connexion ouverte en tapant net use dans une console windows (Démarrer/Programmes/Accessoires/Invite de commandes). Si des connexions sont répertoriées déconnectez les en tapant net use \\servername /delete. Mais bon par précautions même si net use ne vous renvoie rien tapez cette commande :)

Etape 2 : Démarrez une session en tant qu'Administrateur sur votre PC xp/2k et... :

right-click on My Computer, and select Properties
click on the Network Identification tab, and click the Properties button
set the radio button at the bottom of the window to Domain, and enter the name of your domain (which is the same as the workgroup name you entered in the server-manager). Then select OK.
you will see a window asking for a username and password with permission to add the computer to the domain. Enter root for the username (do not use "admin" or any other username), and use the password you chose above.
After a minute, you should be rewarded with "Welcome to the domain".

--------------------------------------------------------------------------------

Troubleshooting - Common Errors
"The Credentials supplied conflict with an existing set of credentials"
This error is almost always caused by already having an existing connection to the server while trying to join the domain. To check on this, bring up a command prompt on your Windows box and type net use. If it lists any connections to the server, do net use \\servername /delete and try joining the domain again.

"The account supplied is a computer account"
This error may arise if the domain that you're trying to join has the same name as your workgroup. Change the name of the workgroup on your Windows machine, reboot, and then try joining the domain.

--------------------------------------------------------------------------------

Windows 2000 - Local Area Connection Properties
It is suggested to limit your active protocols in use to as few as possible. TCP/IP is the only required protocol. Implement other protocols only if you absolutely must have others active to support your environment. The more you have, the more trouble you may experience. The recommended minimum Local Area Connection Properties are:

[X] Client for Microsoft Networks
[X] File and Printer Sharing for Microsoft Networks
[X] Internet Protocol (TCP/IP)

--------------------------------------------------------------------------------

Windows 2000/XP Registry Settings

It is suggested that you check the following registry entries which should be set to (0). This is the default under W2K (but check to confirm) however under XP the default is (1) and definitely needs changing:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters]
"requirestrongkey"=dword:00000000
"requiresignorseal"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Netlogon\Parameters]
"requirestrongkey"=dword:00000000
"requiresignorseal"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"requirestrongkey"=dword:00000000
"requiresignorseal"=dword:00000000

Astuces supplémentaires :

- Le serveur SME vous fournit déjà ce fichier .reg pour modifier votre registre xp/2k : http://[IP_SME]/server-resources/regedit/

- Si vous avez des difficultés à joindre la machine au domaine rajoutez des options dans les propriétés avancées tcp/ip de votre carte réseau (par défaut "connexion au réseau local") :

<CLIQUEZ POUR VOIR LA CAPTURE D'ECRAN DES PARAMETRES AVANCES TCP/IP>

a) Activez WINS et LMHOSTS :

- Ajoutez l'@IP du serveur SME dans les adresses WINS (via le bouton ajouter)

- Editer le fichier lmhosts (%windir%\notepad.exe %windir%\system32\drivers\etc\lmhosts) et rajoutez la ligne suivante :

192.168.0.1      SME      #PRE #DOM:JURASTICK

(en supposant que l'@Ip du SME soit 192.168.0.1, le nom de votre serveur "SME" et le domaine "MONDOMAINE")

<CLIQUEZ POUR VOIR LA CAPTURE D'ECRAN DU FICHIER LMHOSTS>

b) Si vous êtes configuré en IP fixe que le PC et que le serveur DHCP du SME n'est pas activé, mieux vaut activer netbios over tcp/ip (et non netbios over dhcp par défaut)

Redemarrez le poste après toutes ces modifs sur les paramètres tcp/ip

Un proxy transparent SMTP a été ajouté dans SME 6, pour forcer les connexions SMTP sortantes (autrement dit tous les mails sortant du réseau local) à passer par le serveur SME. Cette caractéristique augmente la securité afin d'éviter la prolifération des virus et des vers qui utilisent la messagerie (smtp donc) pour leur auto-réplication.

Les utilisateurs ayant donc définis dans leur logiciel de messagerie le smtp de leur FAI passent donc forcement par le smtp de SME :

Pour désactiver le proxy smtp transparent, tapez en shell :

/sbin/e-smith/config setprop smtpfront-qmail Proxy disabled
/sbin/e-smith/signal-event remoteaccess-update

Ou alors installer la contrib pour fetchmail

De :Florian (florian@noway.nerim)
Objet :changer Le port du ftp
Seul article de ce fil
View: Original Format
Groupes de discussion :alt.e-smith.fr
Date :2003-08-23 11:27:05 PST

creer un fichier /etc/e-smith/templates-custom/etc/xinetd.conf/30ftp

exemple: mkdir -p /etc/e-smith/templates-custom/etc/xinetd.conf/
cp /etc/e-smith/templates/etc/xinetd.conf/30ftp \
/etc/e-smith/templates-custom/etc/xinetd.conf/30ftp

Et faites les changements suivants
/etc/service -> choisir un port non liste, ajouter un port, ajouter un
protocole, ajouter un type

ex : ftp 81/tcp ftp_bis

et modifier le fichier
/etc/e-smith/templates-custom/etc/xinetd.conf/30ftp
comme suit

{
my $status = db_get_prop($confref, "ftp", "status") || "disabled";
unless ($status eq "enabled")
{
$OUT .= "\n";
$OUT .= "# proftpd is not enabled in the e-smith services database.";
return;
}
my $accessLimits = db_get_prop($confref, "ftp", "accessLimits") || "private"
;
if ($accessLimits eq "off")
{
$OUT .= "\n";
$OUT .= "# ftp access limits has been set to 'disabled entirely'\n";
$OUT .= "# in the e-smith services database.\n";
return;
}

$OUT .= "service proftpd\n";
$OUT .= "{\n";
$OUT .= " protocol = tcp\n";
$OUT .= " port = <mettez le port ici>\n";
$OUT .= " socket_type = stream\n";
$OUT .= " wait = no\n";
$OUT .= " user = root\n";
$OUT .= " server = /usr/sbin/in.proftpd\n";
$OUT .= "}";
}

ie. remplacer "<mettez le port ici>" par le port desire (faire attention a
ce que le port ne soit pas deja utilisé par un autre service en regardant
dans "/etc/services")

"expander" le fichier xinetd.conf
/sbin/e-smith/expand-template /etc/xinetd.conf

et vous devriez avoir quelque chose comme ca :

service proftpd
{
protocol = tcp
port = 81
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.proftpd
}

redemarrez le service xinetd

/etc/rc.d/init.d/xinetd restart

et voila le travail :p

en esperant vous avoir aider

--
A plus
Florian

Cette modification dit à Apache de loguer les Noms (de machine ou de domaine) plutôt que les adresses IP...

#Préparation du template :

mkdir -p /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf cd /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf
cp /etc/e-smith/templates/etc/httpd/conf/httpd.conf/05NoHostLookups .

#Edition et modification du template :

pico 05NoHostLookups
#(Modifiez la ligne 'HostnameLookups off' par 'HostnameLookups on')

#Application des templates :

/sbin/e-smith/expand-template /etc/httpd/conf/httpd.conf

#Sauvegarde de la configuration et redémarrage des services :

/sbin/e-smith/signal-event console-save

Version sans mot de passe :

--> Dans les exemples suivants, remplacez bien entendu jurastick.dyndns.org par votre domaine et srvsme par le nom de votre serveur :)

#Sauvegardez vous anciens certificats :

mkdir -p /root/ssl.bak
cp /home/e-smith/ssl.key/* /root/ssl.bak
cp /home/e-smith/ssl.crt/* /root/ssl.bak

#Maintenant générez vous nouveaux certifs :

/usr/bin/openssl genrsa 1024 > /home/e-smith/ssl.key/srvsme.jurastick.dyndns.org.key
/usr/bin/openssl req -new -key /home/e-smith/ssl.key/srvsme.jurastick.dyndns.org.key -x509 -days 365 -out /home/e-smith/ssl.crt/srvsme.jurastick.dyndns.org.crt

#La deuxième commande vous demandera les infos qui seront contenues dans votre certif :

#Country Name (2 letter code) [GB]:FR
#State or Province Name (full name) [Berkshire]:PDL
#Locality Name (eg, city) [Newbury]:LM
#Organization Name (eg, company) [My Company Ltd]:JURASTICK
#Organizational Unit Name (eg, section) []:TECH
#Common Name (eg, your name or your server's hostname) []:Antoine
#Email Address []:admin-AT-jurastick.dyndns.org

#Pour finir, entrez la série de commandes suivante pour appliquez les nouveaux certifs :

chown root:root /home/e-smith/ssl.key/srvsme.jurastick.dyndns.org.key
chown root:root /home/e-smith/ssl.crt/srvsme.jurastick.dyndns.org.crt
chmod 400 /home/e-smith/ssl.key/srvsme.jurastick.dyndns.org.key
chmod 644 /home/e-smith/ssl.crt/srvsme.jurastick.dyndns.org.crt
service httpd restart
service httpd-admin restart

Rendre invisible :

/sbin/e-smith/db accounts setprop Primary PublicAccess lobal
/sbin/e-smith/signal-event ibay-modify Primary

Inverser la vapeur :

/sbin/e-smith/db accounts setprop Primary PublicAccess global
/sbin/e-smith/signal-event ibay-modify Primary

Si vous avez un message qui vous dit que la page demandée est réservée aux abonnés.
Sur le PC avec lequel vous voulez voir la facture, il faut mettre votre PC client et IP fixe en y configurant les DNS de Wanadoo (propriétés TCP/IP de la carte réseau du le PC)

et/ou désactiver le dns du sme et donc forcer les requêtes vers celui de wanadoo :

#Copier le modèle suivant : /etc/e-smith/templates/etc/resolv.conf/20nameserver
mkdir -p /etc/e-smith/templates-custom/etc/resolv.conf
cp /etc/e-smith/templates/etc/resolv.conf/20nameserver /etc/e-smith/templates-custom/etc/resolv.conf/20nameserver

#Editez :
mcedit /etc/e-smith/templates-custom/etc/resolv.conf/20nameserver

#Modifiez ainsi...
nameserver 193.252.19.3
nameserver 193.252.19.4

#Sauvez et appliquez le modèle :
/sbin/e-smith/expand-template /etc/resolv.conf

1) La solution la plus feignasse est d'installer l'interface kivabien dans le s-manager : DDClient

2) Sinon vous avez la solution en ligne de commande :

Ouvrir le fichier suivant : /sbin/e-smith/dynamic-dns/dyndns.org

mcedit /sbin/e-smith/dynamic-dns/dyndns.org

Et sur la ligne suivante, rajoutez autant de domaine que vous avez besoin, avec une virgule (,) entre chaque domaine :

DOMAIN=$4

(ex : DOMAIN=$4,jurastick.dyndns.org,domaine2.dyndns.org

Cela permet aux domaines juratick.dyndns.org... et domaine2.dyndns.org... d'être mis a jour en meme temps que le domaine principal :)

Lors de l'installe de sme, en mode passerelle vous pouvez spécifier les caractéristiques de votre compte DynDNS, mais plus si vous passez le SME en mode Serveur seulement (car il est derrière un routeur par exemple)

Donc si vous préférez avoir recours à la contrib ddclient pour gérer votre compte DynDNS il faut faire 2/3 manipulations pour mettre à jour votre IP correctement, pour cela une petite recette :

1) Vérifiez la présence de cette ligne dans ddclient.conf :

use=web, web=checkip.dyndns.org:80/, web-skip='Current IP Address: '

2a) Désactivez la gestion du DynDNS intégrée à SME (pour éviter de faire double emploi) :

/sbin/e-smith/db configuration setprop DynDNS status disabled
/sbin/e-smith/signal-event post-upgrade
/sbin/e-smith/signal-event reboot

2b) Supprimez ou déplacez le script UpdateDNS qui se trouve dans le cron.weekly

Pour avoir un script perl qui fonctionne dans une I-Bay :

Si l'ibay s'appelle toto, en tant que root :

cd ~toto/../cgi-bin
vi t.pl
-------------- contenu de t.pl ------------------------
#!/usr/bin/perl -w
use strict ;
print "Content-Type: text/html; charset=iso-8859-1\n" ;
print "\n" ;
print "<HTML>\n" ;
print "<HEADER>\n" ;
print "<TITLE>Test</TITLE>\n" ;
print "</HEADER>\n" ;
print "<BODY>\n" ;
print "<H1>Bonjour !!!</H1>\n" ;
for ( my $i = 1 ; $i <= 6 ; $i++ ) {
print "<H$i>Titre de taille $i</H$i>\n" ;
}
print "<BODY>\n" ;
print "</HTML>\n" ;
--------------- /contenu de t.pl -----------------------
chmod 755 t.pl

après, connexion depuis un navigateur web à : http://{IP de SME}/toto/cgi-bin/t.pl

Par défaut, syslog tourne en mode local seulement sur SME. Le daemon n'ouvre donc pas le port 514 sur le réseau.
Si vous souhaitez pouvoir decevoir des infos depuis la patte externe (pour les logs d'un modem/routeur, par exemple), il faut faire deux actions :

1) Par défaut, syslog n'est pas démarré dans un mode 'écoute du réseau', il faut changer çà.
copie du fichier /etc/e-smith/templates/etc/sysconfig/syslog/10NoMARKs dans templates-custom

mkdir -p /etc/e-smith/templates-custom/etc/sysconfig/syslog
cp /etc/e-smith/templates/etc/sysconfig/syslog/10NoMARKs /etc/e-smith/templates-custom/etc/sysconfig/syslog/10NoMARKs
vi /etc/e-smith/templates-custom/etc/sysconfig/syslog/10NoMARKs
--------------------------------10NoMARKS ---------------------------------
# we don't want the MARK ticks
#PS 17 Nov 2003 : activation du mode ecoute du reseau
#SYSLOGD_OPTIONS="-m 0"
SYSLOGD_OPTIONS="-m 0 -r"
--------------------------------------------------------------------------------

Pour que le fichier de conf réel soit modifié :
/sbin/e-smith/expand-template /etc/sysconfig/syslog

Pour que syslog prenne la modification en compte
service syslog restart

2) Il faut ouvrir le port ad hoc dans IPTABLES.

mkdir -p /etc/e-smith/templates-custom/etc/rc.d/init.d/masq
vi /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/45AllowSYSLOG
------------------------------------ 45AllowSYSLOG ----------------------------
# Autorisation du port UDP 514 pour informations Syslog
{
$OUT = allow_udp_in(514, 1);
}
-------------------------------------------------------------------------------------

Pour mettre le fichier de conf à jour:
/sbin/e-smith/expand-template /etc/rc.d/init.d/masq

Pour que iptables prenne les changements en compte :
service masq restart

Si vous souhaitez 'écouter' uniquement le réseau interne, l'étape 1 devrait être suffisante.