Ni hao ma ?

Aller au contenu | Aller au menu | Aller à la recherche

mardi 2 septembre 2014

RHEL 7 - Désactiver l'IPv6

Pour désactiver la gestion de l'IPv6 pour vos interfaces en RHEL7 :

  1. Créer un fichier /etc/systcl.d/ipv6.conf

    # Desactive la gestion de l'IPv6 pour toutes les cartes
    net.ipv6.conf.all.disable_ipv6 = 1

    # Desactive la gestion de l'IPv6 pour une carte particulière :
    #net.ipv6.conf.<nom_de_l_interface>.disable_ipv6 = 1

  2. Recharger la configuration

    # sysctl -p

Et voilà ;)

jeudi 30 janvier 2014

RHEL - Comment lister et appliquer les patchs de sécurité

Pour ceux qui se demandent comment lister les mises à jour de sécurité sur un système RedHat, il suffit d'installer le plugin yum-security si celui-ci n'est pas déjà installé.

Installation du plugin :

yum install -y yum-security

Pour lister les mises à jour de sécurité disponibles :

yum list-security
ELSA-2013-0245 Critical/Sec.  java-1.6.0-openjdk-1:1.6.0.0-1.54.1.11.6.el6_3.x86_64
ELSA-2013-0273 Critical/Sec.  java-1.6.0-openjdk-1:1.6.0.0-1.56.1.11.8.el6_3.x86_64
ELSA-2013-0605 Critical/Sec.  java-1.6.0-openjdk-1:1.6.0.0-1.57.1.11.9.el6_4.x86_64
ELSA-2013-0770 Important/Sec. java-1.6.0-openjdk-1:1.6.0.0-1.61.1.11.11.el6_4.x86_64
ELSA-2013-1014 Important/Sec. java-1.6.0-openjdk-1:1.6.0.0-1.62.1.11.11.90.el6_4.x86_64
ELBA-2013-1414 bugfix         java-1.6.0-openjdk-1:1.6.0.0-1.65.1.11.13.el6_4.x86_64
ELSA-2013-1505 Important/Sec. java-1.6.0-openjdk-1:1.6.0.0-1.65.1.11.14.el6_4.x86_64
ELBA-2013-1741 bugfix         java-1.6.0-openjdk-1:1.6.0.0-1.66.1.13.0.el6.x86_64
ELSA-2014-0097 Important/Sec. java-1.6.0-openjdk-1:1.6.0.0-3.1.13.1.el6_5.x86_64
ELSA-2013-0247 Important/Sec. java-1.7.0-openjdk-1:1.7.0.9-2.3.5.3.0.1.el6_3.x86_64
ELSA-2013-0275 Important/Sec. java-1.7.0-openjdk-1:1.7.0.9-2.3.7.1.0.2.el6_3.x86_64
ELSA-2013-0602 Critical/Sec.  java-1.7.0-openjdk-1:1.7.0.9-2.3.8.0.0.1.el6_4.x86_64
ELSA-2013-0751 Critical/Sec.  java-1.7.0-openjdk-1:1.7.0.19-2.3.9.1.0.1.el6_4.x86_64
ELSA-2013-0957 Critical/Sec.  java-1.7.0-openjdk-1:1.7.0.25-2.3.10.3.0.1.el6_4.x86_64
ELBA-2013-1004 bugfix         java-1.7.0-openjdk-1:1.7.0.25-2.3.10.4.0.1.el6_4.x86_64
ELSA-2013-1451 Critical/Sec.  java-1.7.0-openjdk-1:1.7.0.45-2.4.3.2.0.1.el6_4.x86_64
ELBA-2013-1611 bugfix         java-1.7.0-openjdk-1:1.7.0.45-2.4.3.3.0.1.el6.x86_64
ELBA-2013-1810 bugfix         java-1.7.0-openjdk-1:1.7.0.45-2.4.3.4.0.1.el6_5.x86_64
ELSA-2014-0026 Critical/Sec.  java-1.7.0-openjdk-1:1.7.0.51-2.4.4.1.0.1.el6_5.x86_64

Pour avoir plus d'information sur un "advisory" :

yum info-security ELSA-2013-1806

===============================================================================
   java-1.7.0-openjdk security update
===============================================================================
  Update ID : ELSA-2013-0602
    Release : Oracle Linux 6
       Type : security
     Status : final
     Issued : 2013-03-06
       CVEs : CVE-2013-0809
        : CVE-2013-1493
Description : [1.7.0.9-2.3.8.0.0.1.el6_4]
            : - Update DISTRO_NAME in specfile
            :
            : [1.7.0.9-2.3.8.0el6]
            : - Revert to rhel 6.3 version of spec file
            : - Revert to icedtea7 2.3.8 forest
            : - Resolves: rhbz#917183
            :
            : [1.7.0.11-2.4.0.pre5.el6]
            : - Update to latest snapshot of icedtea7 2.4 forest
            : - Resolves: rhbz#917183
            :
            : [1.7.0.9-2.4.0.pre4.3.el6]
            : - Updated  to icedtea 2.4.0.pre4,
            : - Rewritten (again) patch3
            :   java-1.7.0-openjdk-java-access-bridge-security.patch
            : - Resolves: rhbz#911530
            :
            : [1.7.0.9-2.4.0.pre3.3.el6]
            : - Updated  to icedtea 2.4.0.pre3, updated!
            : - Rewritten patch3
            :   java-1.7.0-openjdk-java-access-bridge-security.patch
            : - Resolves: rhbz#911530
            :
            : [1.7.0.9-2.4.0.pre2.3.el6]
            : - Removed testing
            :  - mauve was outdated and
            :  - jtreg was icedtea relict
            : - Updated  to icedtea 2.4.0.pre2, updated?
            : - Added java -Xshare:dump to post (see 513605) fo
            :   jitarchs
            : - Resolves: rhbz#911530
            :
            : [1.7.0.11-2.4.0.2.el6]
            : - Unapplied but kept (for 2.3revert) patch110,
            :   java-1.7.0-openjdk-nss-icedtea-e9c857dcb964.patch
            : - Added and applied patch113:
            :   java-1.7.0-openjdk-aes-update_reset.patch
            : - Added and applied patch114:
            :   java-1.7.0-openjdk-nss-tck.patch
            : - Added and applied patch115:
            :   java-1.7.0-openjdk-nss-split_results.patch
            : - NSS enabled by default - enable_nss set to 1
            : - rewritten patch109 -
            :   java-1.7.0-openjdk-nss-config-1.patch
            : - rewritten patch111 -
            :   java-1.7.0-openjdk-nss-config-2.patch
            : - Resolves: rhbz#831734
            :
            : [1.7.0.11-2.4.0.1.el6]
            : - Rewritten patch105:
            :   java-1.7.0-openjdk-disable-system-lcms.patch
            : - Added jxmd and idlj to alternatives
            : - make executed with   DISABLE_INTREE_EC=true and
            :   UNLIMITED_CRYPTO=true
            : - Unapplied patch302 and deleted systemtap.patch
            : - buildver increased to 11
            : - icedtea_version set to 2.4.0
            : - Added and applied patch112
            :   java-1.7.openjdk-doNotUseDisabledEcc.patch
            : - removed tmp-patches source tarball
            : - Added /lib/security/US_export_policy.jar and
            :   lib/security/local_policy.jar
            : - Disabled nss - enable_nss set to 0
            : - Resolves: rhbz#895034
   Severity : Critical
updateinfo info done

Pour vérifier quels packages peuvent être mis à jour :

yum --security check-update
Loaded plugins: rhnplugin, security
This system is receiving updates from ULN.
Limiting package lists to security relevant ones
No packages needed for security; 294 packages available

Enfin pour appliquer un patch précis :

yum --advisory=ELSA-2013-1806 update

Et voilà ;o)

vendredi 7 octobre 2011

RHEL - Désactiver SELinux depuis le prompt d'installation

Pour désactiver SELinux depuis le prompt d'installation, il suffit d'utiliser l'option

selinux=0

Il est possible de désactiver la fonction une fois le système installé en modifiant le fichier
/etc/selinux/config

et en mettant le mode selinux à  'DISABLED'

et voilà ;-)

jeudi 3 mars 2011

Linux - Installation KVM sur Redhat 6

KVM est une solution de virtualisation plus souple que xen car elle ne nécessite pas de kernel dédié, de plus elle a l'avantage d'être opensource.

Voici comment installer KVM sur une Redhat 6 et comment configurer une VM.

Prérequis :

Vérifier que le processeur supporte les instructions de virtualisation :

[root@serveur ~]# egrep '^flags.*(vmx|svm)' /proc/cpuinfo

Si la commande ne vous retourne rien, alors le processeur n'est pas compatible.

Vérifier dans le BIOS de la machine, que les options de virtualisation sont activées pour le ou les processeurs.

Installer les packages :

[root@serveur ~]# yum install kvm virt-manager libvirt virt-viewer gnome-python2-gnome

Vérifier que les modules kernel sont chargés :

# lsmod | grep kvm
kvm_intel              45674  0
kvm                   291811  1 kvm_intel


Lancer le service libvirtd :

[root@serveur ~]# service libvirtd status
libvirtd est arrêté
[root@serveur ~]# service libvirtd start
Démarrage du démon libvirtd :                              [  OK  ]


Création d'un Pont Réseau :

Le pont réseau va être utilisé par les machines virtuelles.
Vérification du package bridge-utils :

[root@serveur ~]# rpm -q bridge-utils
bridge-utils-1.2-9.el6.x86_64

Si aucun package n'est remonté, l'installer :

[root@serveur ~]# yum install -y bridge-utils

Configuration de la carte réseau eth0 :

[root@serveur ~]# vi/etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE="eth0"
BOOTPROTO="static"
BROADCAST="10.1.255.255"
DNS1="10.1.6.10"
GATEWAY="10.1.1.1"
HWADDR="D4:85:64:5B:DD:80"
IPADDR="10.1.5.182"
NETMASK="255.255.0.0"
NM_CONTROLLED="yes"
ONBOOT="yes"
BRIDGE="bridge0"

[root@serveur ~]# vi/etc/sysconfig/network-scripts/ifcfg-bridge0
DEVICE="bridge0"
BOOTPROTO="static"
BROADCAST="10.1.255.255"
DNS1="10.1.6.10"
GATEWAY="10.1.1.1"
IPADDR="10.1.5.182"
NETMASK="255.255.0.0"
NM_CONTROLLED="yes"
ONBOOT="yes"
DELAY="0"
TYPE="Bridge"

Configuration du firewall :
par défaut les règles du firewall doivent être les suivantes :

[root@serveur network-scripts]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            PHYSDEV match --physdev-is-bridged
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Ajouter les règles pour le périphérique bridge0

[root@serveur ~]# echo" -A INPUT -i bridge0 -j ACCEPT" >> /etc/sysconfig/iptables

Redémarrer iptables :

[root@serveur ~]# service iptables restart


Redémarrer le réseau :

[root@serveur ~]# service network restart

bridge bridge0 does not exist! 
Arrêt de l'interface eth0 :                                [  OK  ]
Arrêt de l'interface loopback :                            [  OK  ]
Activation de l'interface loopback :                       [  OK  ]
Activation de l'interface eth0 :                           [  OK  ]
Activation de l'interface bridge0 :                        [  OK  ]

Vérification :

[root@serveur network-scripts]# ifconfig
bridge0   Link encap:Ethernet  HWaddr D4:85:64:5B:DD:80 
          inet adr:10.1.5.182  Bcast:10.1.255.255  Masque:255.255.0.0
          adr inet6: fe80::d685:64ff:fe5b:dd80/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:542 errors:0 dropped:0 overruns:0 frame:0
          TX packets:22 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:89563 (87.4 KiB)  TX bytes:2552 (2.4 KiB)

eth0      Link encap:Ethernet  HWaddr D4:85:64:5B:DD:80 
          adr inet6: fe80::d685:64ff:fe5b:dd80/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:463 errors:0 dropped:0 overruns:0 frame:0
          TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:90004 (87.8 KiB)  TX bytes:1940 (1.8 KiB)
          Interruption:28 Mémoire:fa800000-faffffff

lo        Link encap:Boucle locale 
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

virbr0    Link encap:Ethernet  HWaddr 36:EE:40:5A:A2:C2 
          inet adr:192.168.122.1  Bcast:192.168.122.255  Masque:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)


Configuration du répertoire de travail par défaut :

Editer le fichier /etc/libvirt/storage/default.xml

[root@serveur ~]# vi /etc/libvirt/storage/default.xml
<pool type='dir'>
  <name>default</name>
  <uuid>18fecb4b-b93d-6637-52c7-753148faff5c</uuid>
  <capacity>0</capacity>
  <allocation>0</allocation>
  <available>0</available>
  <source>
  </source>
  <target>
    <path>/virtual-machine/ </path>
    <permissions>
      <mode>0700</mode>
      <owner>-1</owner>
      <group>-1</group>
    </permissions>
  </target>
</pool>


Lancement du manager :

export DISPLAY=10.66.1.36:0.0
virt-manager


Le reste se fait en interface graphique, pour utiliser le bridge, il suffit de sélectionner l'interface bridge0 dans les configurations réseaux de la machine virtuelle.

et Voilà :)