chavers – Page 7 – doctor-citrix

Découverte d’une faille de sécurité critique dans OpenSSL de Debian

Source: Newsletter DEDIBOX.

Une faille critique dans la distribution Debian depuis le 17/09/2006
et Ubuntu 7.04, 7.10 et 8.04, concernant la génération des clefs SSH
à été découverte Mardi dernier.
Nous avons prévenu immédiatement nos abonnés Mardi dans nos newsgroups.
Au cas ou vous n’êtes pas abonné à nos newsgroups, voici quelques
consignes pour vous protéger de cette faille sans délais.

Cette faille est exploitable à distance et permet d'obtenir une connexion
administrateur sur votre serveur. Dedibox recommande fortement la mise
à jour de votre serveur.
Pour plus de détails :
- http://www.ubuntu.com/usn/usn-612-2
- http://lists.debian.org/debian-security-announce/2008/msg00152.html
En francais :
- http://www.linuxfr.org/2008/05/15/24092.html
Pour corriger la faille, exécutez les commandes suivantes :
root@madedibox:~# apt-get update
root@madedibox:~# apt-get upgrade openssh-client openssh-server openssl
root@madedibox:~# rm -f /root/.ssh/authorized_keys /home/*/.ssh/authorized_keys
Dans tous les cas, dans le doute, effacez et regénérez l'intégralité de vos
clefs SSH, OpenVPN etc... même si vous n'utilisez pas Debian ou Ubuntu, elles
peuvent avoir été initialement générées sur une Debian !
Les clefs Dedibox installées sur les serveurs ne sont pas impactées.
Effectuez cette mise à jour sans délais, les serveurs hackés n'auront
pas d'autres choix que de tout réinstaller  ...

Une solution simple et a mon sens obligatoire, que l’on soit impacté par cette faille ou non:

Éditer les fichiers /etc/hosts.allow et /etc/hosts.deny, pour ne permettre les connections que depuis IP. Uniquement en IP fix bien sur.

/etc/hosts.allow

sshd: ww.xx.yy.zz/32
sshd: ww.xx.yy.zz/24

/etc/hosts.deny

sshd: ALL

Troisièmes Rencontre du Forum-Citrix

Le 20 Mai 2008 à 18h, au pub Saint John’s a eu lieu la 3ème Rencontre du Forum Citrix Francophone, afin de fédérer un peu plus cette jeune, mais grandissante communauté d’IT

Nous remercions toutes les personnes sont venues pour leur bonne humeur !

On espère que vous viendrez encore plus nombreux à la 4ème !

PS : attention, en sortant du M° Pont de Neuilly, faut remonter vers la Défense, trottoir de droite…

xen enterprise vers xenexpress

Comment enlever la licence Enterprise et repasser en xenexpress après la période d’évaluation?

Très simple, depuis le shell du serveur xen, donc le Dom. supprimer le fichier de licence et recharger la configuration:

sur le Dom0
# rm
													/etc/xensource/license
 #
													xe-toolstack-restart
										

La console XenCenter perd la connection, après un reconnecte votre serveur n’est plus en vertion Enterprise.

Xensever 4.1 est la

La version 4.1 de Xenserver est sortie.

Xenserver

Forcer la replication des drivers d’imprimante sur les metaframe.

Sur les serveurs metaframe > 2.0, quand vous demander une replication de driver dans la CMC, il est recurent que le pilote se propage correctement, mais qu’il ne soit pas vu par Metaframe. Nous allons voir comment forcer cette réplication.

Recreation du cache local du datastore (LHC).

sous dos
net stop /y imaservice 
 dsmaint recreatelhc 
 net start
												imaservice 
 net start “Citrix WMI Service” 
 net
												start “Citrix SMA Service”
										

Mise à jour du cache local du datastore (LHC).

Vous pouvez demander la mise à jour du LHC sans arrêt du service IMA, avec la commande DSMAINT REFRESHLHC :

sous dos
M:>dsmaint 
 Perform various configuration tasks for the IMA
												data store.
 DSMAINT  [ CONFIG | BACKUP |
												FAILOVER | COMPACTDB | COMPARE | MIGRATE |
 PUBLISHSQLDS | RECOVER
												| RECREATELHC | VERIFYLHC ]
 M:>dsmaint
												refreshlhc
 M:>
										

Intervale de la mise ajour du LHC.

{rokbox title=|DCNChangePollingInterval| size=|522 338|}images/stories/dcnchangepollinginterval.png{/rokbox}

Maintenant que vos drivers sont visible dans la CMC et que je déteste revenir sur le même probleme deux foix, nous allons faire en sorte que le LHC se réplique toute les 30″. Pour cela ajouter le DWORD DCNChangePollingInterval dans HKEY_LOCAL_MACHINESOFTWARECitrixIMA sa valeur est en miliseconde. Donc 30″ = 1000 X 60 X 30 = 1800000. Attention une valeur trop petite risque de dégrader vos performances.

PNAgent, Server Application Unavailable

Le client PNAgent refuse de se conneter au serveur WI.
L’event viewer affiche le message: 1.1.4322.0[error] 1000 aspnet_wp.exe (PID: 4484) stopped unexpectedly .
Et si vous allez sur la page: http://Serveur_WI/CITRIX/PNAgent/config.xml et que vous avez ce message:

server application unavailable

Réinstaller le client .NET depuis le CD1 de Metaframe.
Sur le serveur WI aller dans le dossier %systemroot%Microsoft.NETFrameworkv1.1.4322
sous dos:
- Aspnet_regiis.exe -ua
- Aspnet_regiis.exe -i
- iisreset

context switches, Préemption et commutation de contexte.

Dans un système multitâche préemptif comme Windows NT/2k/2k3/2k8 ou Unix, l’ordonnanceur peut interrompre une tâche.

Dans ces systèmes, chaque tâche (processus) est décomposée en thread (processus léger ou tâche légère), ces threads sont des portions de programme exécutant des fonctions. Chaque thread est caractérisé par un contexte local contenant la priorité du tread, ses variables locales ou l’état de ses registres.

Le passage d’un tread à un autre se nomme « changement de contexte ». Seul l’ordonnanceur peut interrompre un thread pour exécuter un autre tread de priorité plus haute.

Nous pouvons en conclure que si les contexte switches s’envolent sur RM, cela proviens d’applications qui se tirent la couette pour repasser en haut de la pile processeur.

Comme nous le dit le guide avancé Metaframe, les valeurs par défaut dans RM, sont des valeurs de base. J’ai personnellement pu constater sur une grosse batterie (450 serveurs / 12000 utilisateurs), que le seuil de 15000 CS/s par pile (double coeur = 2 piles) est la limite où les utilisateurs sont ralentis dans leur session.

Donc sur un serveur bi-processeur à double coeur, la limite est à 60000 alors que la configuration RM est bien en dessous par défaut.

Sources: Linux embarqué, Pierre Ficheux ISBN:2-212-11674-8 C’est la meilleur définition que j’ai pu lire sur le sujet. Je vous engage tous a acheter et lire ce superbe ouvrage.

Ports réseaux CITRIX

Voici la liste des ports TCP et UDP que Citrix utilise a ce jour:

ICA (Default)	TCP:	1494
IMA	TCP:	2512
CMC	TCP:	2513
SSL	TCP:	443
STA (IIS)	TCP:	80
TCP Browsing	UDP:	1604
XML (Default)	TCP:	80
Citrix License Management Console	TCP:	8082
Presentation Server Licensing	TCP:	27000
ICA session w/ Session Reliability enabled	TCP:	2598
Access Gateway Standard and Advanced Editions	TCP:	9001, 9002, 9005
Manager service daemon server	TCP:	2897
Network Manager SNMP	UDP:	161,162

du monde sur le forum.

Le forum vient d’accueillir son 201° membres. Donc en 5 ans 200 utilisateurs et bientôt 2000 messages. A vos plumes!

déménagement

Bonjour a tous. Je déménage donc le temps du déplacement de ma connections Internet, il risque fort d’y avoir des arrêts de ce site. PAS DE PANIC !!! Les femmes et les octets devant ;o)