Le blog de NicoLargo

Nagios 3.2.2 est disponible, les scripts Nicolargo aussi !

2010-09-02T08:38:02Z

C’est la rentrée des classes dans le mini-monde de la supervision: en bon élève Nagios sort une nouvelle version de son coeur (Nagios Core 3.2.2). Pour une liste complète des nouveautés et corrections de bugs, je vous conseille la lecture de cette page.

En parallèle j’ai modifié les scripts d’installation et de mise à jour de Nagios pour qu’il prenne en compte cette nouvelle version.

Si vous avez suivi mon tutoriel d’installation de Nagios (ou que vous avez utilisé le script), il suffit de saisir les commande suivantes pour effectuer une mise à jour de votre serveur:

wget http://svn.nicolargo.com/nagiosautoinstall/trunk/nagiosautoupdate-ubuntu.sh
chmod a+x nagiosautoupdate-ubuntu.sh
sudo ./nagiosautoupdate-ubuntu.sh

Attention: cette méthode de mise à jour ne fonctionnera pas si vous avez installé Nagios à partir des dépôts officiels de votre distribution.

Et hop !

Le bug de rafraîchissement de Gwibber résolu

2010-09-01T11:11:52Z

J’avais laissé tombé il y a quelque temps le client de micro blogging Gwibber pour passer à Pino car je rencontrais de manière récurrente un bug de mise à jour de la time-line Twitter.

Ce bug (#533017), clairement identifié par les développeurs, vient d’être corrigé dans la dernière version de dev (2.31.91).

Pour tester sur votre configuration Ubuntu:

On quitte Gwibber.

Puis on installe les dépôts de la dernière version:

sudo add-apt-repository ppa:gwibber-daily/ppa
sudo apt-get update
sudo apt-get upgrade

Puis on tue les processus *couch*:

killall -r couch

On relance ensuite Gwibber (Applications > Internet > Client de microblogage Gwibber).

Attention: dans mon cas, le compte Twitter n’existait plus quand j’ai relancé Gwibber (alors que le compte Identica oui…). J’ai donc du le reconfigurer. Update: ceci est du à une nouvelle méthode d’authentification pour accéder à Twitter.

Je pense donc donner une chance a ce logiciel vu que Pino n’a toujours pas intégré une fonction de mixage des time-line (par exemple Twitter + Identica).

Et vous quel est votre client de micro blogging favori sous GNU/Linux ?

De l’utilité de gérer des serials DNS standards

2010-09-02T07:17:17Z

Depuis la migration de mon nom de domaine vers les serveurs Gandi (suite au hack du site), le blog de Nicolargo est injoignable depuis certains FAI (notamment les Freenautes ce qui le coupe de plus d’un tiers du trafic Français)…

Après des échanges ping pong entre le support de Gandi et celui de Free, j’ai décidé de prendre les choses en main, du moins en ce qui concerne l’identification du problème.

Le comportement est le suivant: sur le réseau Free, certains lecteurs voient normalement le blog tandis que d’autre sont redirigé vers l’ancienne adresse du serveur (aujourd’hui un compte iWeb8 suspendu). J’arrive parfaitement à reproduire ce comportement depuis chez moi (et oui je suis chez Free ).

nicolargo@nicolargo-laptop:~$ dig +nocmd nicolargo.com any +multiline +noall +answer
nicolargo.com. 85644 IN SOA ns1.panelboxmanager.com. logs.logs.privatedns.com. (
2010072800 ; serial
86400 ; refresh (1 day)
7200 ; retry (2 hours)
3600000 ; expire (5 weeks 6 days 16 hours)
86400 ; minimum (1 day)
)
nicolargo.com. 13644 IN A 72.55.186.68
nicolargo.com. 85644 IN NS ns1.panelboxmanager.com.
nicolargo.com. 85644 IN NS ns2.panelboxmanager.com.
nicolargo.com. 13644 IN MX 0 nicolargo.com.
—
nicolargo@nicolargo-laptop:~$ dig +nocmd nicolargo.com any +multiline +noall +answer
nicolargo.com. 10080 IN MX 10 spool.mail.gandi.net.
nicolargo.com. 10080 IN MX 50 fb.mail.gandi.net.
nicolargo.com. 10080 IN A 217.70.184.38
nicolargo.com. 10080 IN SOA a.dns.gandi.net. hostmaster.gandi.net. (
1282917455 ; serial
10800 ; refresh (3 hours)
3600 ; retry (1 hour)
604800 ; expire (1 week)
10800 ; minimum (3 hours)
)
nicolargo.com. 10080 IN NS a.dns.gandi.net.
nicolargo.com. 10080 IN NS b.dns.gandi.net.
nicolargo.com. 10080 IN NS c.dns.gandi.net.

Une fois la résolution de nom se fait normalement (c’est à dire avec les NS pointant chez Gandi: dns.gandi.net), une fois non (les DNS pointent encore sur panelboxmanager.com, les serveurs DNS de iWeb8).

En regardant de plus près la réponse on peut voir les deux lignes suivantes:

Réponse venant de iWeb8: “2010072800 ; serial”
Réponse venant de Gandi: “1282917455 ; serial”

Je commence alors à comprendre d’ou vient le problème: quand le domaine était géré par iWeb8, ces derniers utilisait une gestion standard des numéro de série au format ANNEE-MOIS-JOUR-ID (2010072800), ce qui n’est pas le cas de Gandi qui doit générer dynamiquement ce numéro avec un algorithme interne (1282917455). Dans mon grand malheur, le numéro de série Gandi de la zone DNS nicolargo.com est inférieur à celui chez iWeb8. Il est donc normal que les serveurs DNS ne soit pas mis à jour…

Un petit tour du coté d’un site de validation de zone DNS:

Je viens d’envoyer un mail au support Gandi pour qu’il me change le numéro de série SOA à une valeur > à 2010072800…

Sinon il ne me reste plus qu’a attendre l’expiration de la zone DNS, c’est à dire presque… 6 semaines !!! Heureusement que je ne vie pas de ce blog . Une autre solution serait de gérer moi même mon propre serveur DNS (c’est possible en mode expert sur les VPS Gandi), mais je n’ai pas vraiment le couple temps/envie de m’en occuper.

L’erreur que j’ai faite est de ne pas avoir modifier la zone DNS chez iWeb avant de clôturer mon compte… Cette aventure est quand même une bonne leçon à retenir pour les administrateurs de domaines DNS (par exemple pour ceux qui doivent installer un BIND): respecter les standards de numérotation des serials SOA !

Update (j+9): Comme le signale Pascal dans son commentaire le serial SOA n’est utile que pour la réplication des zones entre le serveur primaire et le/les serveurs secondaires. Ce sont les TTL des RR qui fixent le temps de rafraîchissement des caches DNS (hébergé chez les FAI). Manifestement les serveurs de caches DNS de Free ne tiennent pas compte de ces TTL (fixés à 48h pour le domaine nicolargo.com) ou sont tout simplement bugués…

Update (j+10): Je n’arrive malheureusement pas à avoir une réaction de la part du support de Free, il me dise que la mise à jour des caches se fait de manière automatique (je veux bien les croire sur ce point…) et qu’ils ne peuvent pas intervenir. Bref 10 jours après la migration, certain utilisateur ne peuvent toujours pas accéder au blog. Si quelqu’un connait un administrateur réseau chez Free je suis preneur !!!!

Nouveau thème pour le blog !

2010-08-29T20:18:14Z

Après 3 ans de bons et loyaux services, le thème Largo v1 prend sa retraite bien méritée. Il laisse sa place à Largo v2 (oui je sais, ce n’est pas très original…).

Pourquoi un nouveau thème ?

Tout simplement parce que je commençais à me lasser du précédent. De plus comme Largo v1 était le premier thème WordPress que j’avais développé “from scratch” (merci encore aux tutos de Francis), il était assez difficile à administrer et à faire évoluer.

Une fois la décision de changement de thème prise, j’ai commencé à regarder ce qu’il existait sur le marché, que ce soit au niveau des thèmes gratuits et payants. Je n’ai malheureusement jamais trouvé un thème qui réponde totalement à mes besoins. N’ayant pas les moyens de le faire développer par des professionnels du Webdesign (peut être la prochaine version…), j’ai mis la main dans le clavier et la souris.

Petit tour du propriétaire

Le haut et le base du blog…

On retrouve en haut à gauche une liste de liens vers les pages statiques du blog qui évoluera selon… mes envies. Pour l’instant des liens vers:

la home page
la catégorie Open-source (le fond de commerce du blog;))
la “famous” page Nagios & Co avec tous les billets sur la supervision système et réseau
la “nouvelle” page GStreamer avec tous les billets sur ce framework multimedia
la page Publicité pour les annonceurs (coucou)
la page A propos
la Contact

En haut à droite, on a la liste des liens pour s’abonner au blog (c’est à dire recevoir les nouveaux billets sans forcement venir tout les jours sur le blog). Plusieurs solutions: par mail, via Facebook, par Twitter et enfin par RSS.

En bas du blog, on a le pas très original footer:

La home page (index)

On retrouve sur la page principale la liste des derniers billets avec quelques informations:

Les billets

C’est le coeur du blog, vu que ces pages représentent 95% des visites… A gauche du billet, j’ai mis en place une sidebar avec quelques informations et liens utiles aux lecteurs pour approfondir le sujet.

Au bas du billet, un menu permet de partager ou lire plus d’articles sur le sujet:

Il suffit de cliquer sur le bandeau vert pour accéder aux différents sous menus…

Enfin les commentaires se trouve après tout celà:

Conclusion

Bien que j’ai testé en interne (et avec l’aide de Nicolas aka Ritchy) le thème, il doit sûrement y avoir quelques coquilles restantes. Je compte sur vous pour me les signaler. De plus si vous avez des questions ou des remarques sur ce nouveau thème je suis également preneur !

Ce blog est fait pour vous !

PS: suite au hack du blog et à mon changement d’hébergeur, il semble que certains utilisateurs du réseau Free utilisent des DNS pointant encore sur mon ancien serveur. J’ai envoyé un mail au support de Free en espérant que le problème soit vite résolu…

Sauvegarde automatique de son serveur SVN

2010-08-27T13:17:22Z

Dans la série “sauvegarde tes données sinon tu le regretteras un jour ou l’autre”, je voudrais le serveur SVN.

J’utilise un serveur SVN (pas encore eu le temps ni le courage de passer à GIT) pour gérer en version mes configurations, mes scripts shell et mes petits développements personnels. Une erreur de manipulation étant vite arrivée, j’ai automatisé l’archivage journalier (avec une mémoire d’une semaine) de la base de donnée utilisée par SVN.

Sauvegarde

J’utilise pour cela la commande svnadmin qui permet à l’aide de l’option dump de copier dans un simple fichier le contenu de la base de donnée.

Par exemple pour sauvegarder le projet dont la racine SVN se trouve dans le répertoire /var/svn/monbeauprojet, il faut saisir la commande suivante:

svnadmin -q /var/svn/monbeauprojet > /backup/svn/monbeauprojet.svndump

Il est bien sûr conseillé d’avoir une sauvegarde sur un disque différent de celui montée par /var/svn ou encore mieux d’uploader la sauvegarde sur un autre serveur.

Script pour sauvegarder l’ensemble des projets

Si votre serveur SVN comporte plusieurs projets, il faut passer par un shell script:

# Backup SVN (local)
day=`LANG=C date +%A | tr A-Z a-z`
svnrepo=”/var/svn/”
backupdir=”/backup/svn”
for i in `ls $svnrepo`
do
svnadmin -q dump $svnrepo/$i > $backupdir/$i-$day.svndump
gzip $backupdir/$i-$day.svndump
rm $backupdir/$i-$day.svndump
done

Ce script va produire dans le sous répertoire /backup/svn une liste de fichiers compressés (format gzip). Chaque projet aura 7 sauvegardes correspondant aux 7 derniers jours. Par exemple, le fichier nommé monbeauprojet-sunday.svndump.gz sera la sauvegarde de la base de données SVN de dimanche dernier.

Pour lancer automatiquement la sauvegarde il suffit d’ajouter ce script dans la crontab système.

Restauration

En cas de problème sur un projet, il suffit de saisir les commandes suivantes pour restaurer la base de données. On utilise également la commande svnadmin mais cette fois ci avec l’option load:

gzip -d /backup/svn/monbeauprojet-sunday.svndump.gz
svnadmin load /var/svn/monbeauprojet < /backup/svn/monbeauprojet-sunday.svndump

Il faut bien vérifier que les droits des sous répertoires sont bons (svn:svn pour mon Ubuntu Server).

Si la restauration se fait sur un nouveau serveur SVN, il faut penser à créer le répertoire avec la commande:

svnadmin create /var/svn/monbeauprojet

Conclusion

Il y a surement d’autres solutions techniques (par exemple faire une copie sur un deuxième serveur SVN avec la commande svnadmin hotcopy) mais je trouve cette solution plutôt simple et flexible.

Un page fan Facebook pour le blog

2010-08-30T09:14:37Z

Pas mal de lecteurs me demandent comme “ami” dans Facebook… J’utilise principalement mon compte Facebook à des fins personnelles, il n’est donc pas possible pour moi d’accepter ces demandes.

En contre partie, je viens de créer une “fan page” pour Le blog de Nicolargo.

Elle va reprendre les articles publiés sur le blog et les news de ma timeline twitter. Pour devenir “fan” du blog, il suffit de cliquer sur le bouton ‘J’aime’…

La page Facebook du Blog de Nicolargo se trouve à l’adresse suivante:

http://www.facebook.com/pages/Le-blog-de-Nicolargo/151534574873311

A bientôt sur Facebook ou ailleurs !

Installation d’un blog WordPress sur un VPS Gandi

2010-08-25T08:55:48Z

Comme vous le savez, je me suis fait hacké mon site pendant les “grandes vacances”. Cette petite contrariété m’a fait faire dans l’urgence une chose que j’avais planifier depuis un certain moment: la migration du Blog de Nicolargo sur un serveur privé virtuel de Gandi.

Nous allons donc voir dans ce billet comment installer, sécuriser et optimiser une blog WordPress sur une serveur privé virtuel !

Commencons par le commencement

Il faut d’abord choisir les performances initiales du serveur virtuel. J’ai utilisé le serveur que j’avais créé il y a quelques mois. C’est l’entrée de gamme, c’est à dire 1 part correspondant aux spécifications suivantes:

1/64^ème des capacités globales du serveur, soit environ 1 GHz
1/64^ème des 16 Go de mémoire du serveur, soit 256 Mo de RAM garantie avec un burst possible à 2 Go (+512 Mo de Swap)
1/64^ème des capacités réseau, soit 5 Mbits dédiés
1/64^ème du disque réservé au serveur, soit 5 Go de disque data (+3 Go pour le système)

Comme nous allons le voir plus tard cette configuration n’est pas adapté pour un blog avec un trafic relativement important (environ 1 00 000 pages vues par mois) . Je suis donc rapidement passé à la configuration suivante:

Nous disposons donc d’un accès SSH (root) sur le serveur,. Après une mise à jour du système d’ecploitation (Ubuntu Server 9.04) nous pouvons enfin commencer les choses sérieuses…

Installation du serveur Web Apache

On commence par installer le serveur:

sudo aptitude install apache2

Puis on active les modules qui vont nous permettre d’optimiser les performances de WordPress:

sudo a2enmod deflate
sudo a2enmod headers
sudo a2enmod rewrite
sudo a2enmod expires

Il est également possible d’adapter la configuration des processus Apache (nombre de process, nombre maximal de client par process..) en modifiant le fichier /etc/apache2/apache2.conf:

<IfModule mpm_prefork_module>
StartServers 5
MinSpareServers 5
MaxSpareServers 10
MaxClients 40
MaxRequestsPerChild 2000
</IfModule>

StartServers permet de configurer le nombre de processus Apache lancés au démarrage.

MinSpareServers et MaxSpareServers donnent respectivement le nombre minimum et maximum de processus Apache selon les besoins.

MaxClients permet de configurer le nombre de clients (au sens session TCP) pouvant se connecter simultanément à un processus Apache. Pour des sites dynamiques (comme WordPress) il est plutôt conseillé de ne pas avoir une valeur trop élevée afin d’éviter les swap mémoire sur disque.

Une solution proposée sur ce blog pour calculer la valeur MaxClients est la suivantes: Il faut d’abord regarder combien de mémoire prend un processus apache2 (par exemple avec la commande top), puis diviser la mémoire système disponible par cette valeur. Par exemple, pour un serveur disposant de 1 Go de RAM (1000 Mo) et dont chaque processus Apache occupe 25 Mo, on a le calcul suivant:

MaxClients = 1000 / 25 = 40

Enfin MaxRequestsPerChild permet de définir le nombre maximal de requête qu’un processus peut prendre en charge avant d’être tué. Il est conseillé de mettre une valeur différente de 0 (le processus n’est alors jamais tué) pour éviter qu’une processus ne consomme trop de mémoire si un problème arrive.

On passe ensuite aux directives KeepAlive qui permette de configurer finement le temps de vie des sessions TCP. Pour un site dynamique comportant un nombre important d’images et de JS (comme mon blog), les valeurs suivants sont un bon point de départ:

# KeepAlive: Whether or not to allow persistent connections
KeepAlive On
# MaxKeepAliveRequests: The maximum number of requests to allow
MaxKeepAliveRequests 200
# KeepAliveTimeout: Number of seconds to wait for the next request
KeepAliveTimeout 5
# Timeout: The number of seconds before receives and sends time out.
Timeout 50

Enfin on relance le serveur pour que la configuration soit prise en compte:

sudo /etc/init.d/apache2 restart

Installation de MySQL

On commence par installer le serveur MySQL:

sudo aptitude install mysql-server

Puis on créé une base de donnée et un compte utilisateur associé qui va servir pour WordPress:

mysql -u adminusername -p
mysql> CREATE DATABASE databasename;
Query OK, 1 row affected (0.00 sec)
mysql> GRANT ALL PRIVILEGES ON databasename.* TO “wordpressusername”@”hostname”
-> IDENTIFIED BY “password”;
Query OK, 0 rows affected (0.00 sec)
mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.01 sec)
mysql> EXIT

On peut optimiser la base de donnée en éditant le fichier /etc/mysql/my.cnf:

query_cache_type = 1
query_cache_limit = 2M
query_cache_size = 32M

Ne pas oublier de relancer le serveur MySQL pour prendre en compte les modifications.

Installation de WordPress

Depuis le hack de mon blog, j’ai décidé de travailler directement avec la version SVN de WordPress afin de disposer au plus vite des patchs de sécurité. Une fois de le répertoire racine de votre site Web (/home/nicolargo/web/blog dans mon cas), il faut saisir la commande suivante:

svn co http://core.svn.wordpress.org/trunk/ .

On ajoute ensuite la ligne suivante dans le fichier .htaccess afin de rendre invisible les sous répertoires .svn:

RewriteRule ^(.*/)?\.svn/ – [F,L]

Puis on finalise l’installation en suivant la fameuse installation de WordPress en 5 minutes.

Il est ensuite conseillé de supprimer le fichier wp-admin/install.php (qui ne servira plus une fois l’installation faite):

rm wp-admin/install.php

Sécurisation de WordPress

Cette sécurisation passe par deux étapes. Une première est de protéger le blog à l’aide du fichier .htaccess. La seconde est d’installer des plugins de sécurité qui vont nous permettre de faire régulièrement des audits sur notre serveur.

Pour le fichier .htaccess, j’utilise la base suivante:

# MAIN
RewriteEngine On
ServerSignature Off
Options All -Indexes
Options +FollowSymLinks

# SVN protect
RewriteRule ^(.*/)?\.svn/ – [F,L]

# Secure .htaccess
<Files .htaccess>
Order Allow,Deny
Deny from all
</Files>

# Secure wp-config.php
<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>

# FILTER REQUEST
<IfModule mod_rewrite.c>
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# BEGIN Expire Header
<FilesMatch “\.(ico|jpg|jpeg|png|gif|js|css|swf)$”>
ExpiresDefault “access plus 2 hours”
</FilesMatch>

# BLACKLIST CANDIDATES
<Limit GET POST PUT>
Order Allow,Deny
Allow from all
Deny from 75.126.85.215 “# blacklist candidate 2008-01-02 = admin-ajax.php attack “
Deny from 128.111.48.138 “# blacklist candidate 2008-02-10 = cryptic character strings “
Deny from 87.248.163.54 “# blacklist candidate 2008-03-09 = block administrative attacks “
Deny from 84.122.143.99 “# blacklist candidate 2008-04-27 = block clam store loser “
Deny from 210.210.119.145 “# blacklist candidate 2008-05-31 = block _vpi.xml attacks “
Deny from 66.74.199.125 “# blacklist candidate 2008-10-19 = block mindless spider running “
Deny from 203.55.231.100 “# 1048 attacks in 60 minutes”
Deny from 24.19.202.10 “# 1629 attacks in 90 minutes”
</Limit>

# QUERY STRING EXPLOITS
<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR]
RewriteCond %{QUERY_STRING} boot\.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag\= [NC,OR]
RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{QUERY_STRING} https\: [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(\[|\]|$|$|<|>|’|”|;|\?|\*).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%22|%27|%3C|%3E|%5C|%7B|%7C).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|config|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare|drop).* [NC]
RewriteRule ^(.*)$ – [F,L]
</IfModule>

# CHARACTER STRINGS
<IfModule mod_alias.c>
# BASIC CHARACTERS
RedirectMatch 403 \,
RedirectMatch 403 \:
RedirectMatch 403 \;
RedirectMatch 403 \=
RedirectMatch 403 \@
RedirectMatch 403 \[
RedirectMatch 403 \]
RedirectMatch 403 \^
RedirectMatch 403 \`
RedirectMatch 403 \{
RedirectMatch 403 \}
RedirectMatch 403 \~
RedirectMatch 403 \”
RedirectMatch 403 \$
RedirectMatch 403 \<
RedirectMatch 403 \>
RedirectMatch 403 \|
RedirectMatch 403 \.\.
RedirectMatch 403 \/\/
RedirectMatch 403 \%0
RedirectMatch 403 \%A
RedirectMatch 403 \%B
RedirectMatch 403 \%C
RedirectMatch 403 \%D
RedirectMatch 403 \%E
RedirectMatch 403 \%F
RedirectMatch 403 \%22
RedirectMatch 403 \%27
RedirectMatch 403 \%28
RedirectMatch 403 \%29
RedirectMatch 403 \%3C
RedirectMatch 403 \%3E
RedirectMatch 403 \%3F
RedirectMatch 403 \%5B
RedirectMatch 403 \%5C
RedirectMatch 403 \%5D
RedirectMatch 403 \%7B
RedirectMatch 403 \%7C
RedirectMatch 403 \%7D
# COMMON PATTERNS
Redirectmatch 403 \_vpi
RedirectMatch 403 \.inc
Redirectmatch 403 xAou6
Redirectmatch 403 db\_name
Redirectmatch 403 select$
Redirectmatch 403 convert\(
Redirectmatch 403 \/query\/
RedirectMatch 403 ImpEvData
Redirectmatch 403 \.XMLHTTP
Redirectmatch 403 proxydeny
RedirectMatch 403 function\.
Redirectmatch 403 remoteFile
Redirectmatch 403 servername
Redirectmatch 403 \&rptmode\=
Redirectmatch 403 sys\_cpanel
RedirectMatch 403 db\_connect
RedirectMatch 403 doeditconfig
RedirectMatch 403 check\_proxy
Redirectmatch 403 system\_user
Redirectmatch 403 \/\(null$\/
Redirectmatch 403 clientrequest
Redirectmatch 403 option\_value
RedirectMatch 403 ref\.outcontrol
# SPECIFIC EXPLOITS
RedirectMatch 403 errors\.
RedirectMatch 403 config\.
RedirectMatch 403 include\.
RedirectMatch 403 display\.
RedirectMatch 403 register\.
Redirectmatch 403 password\.
RedirectMatch 403 maincore\.
RedirectMatch 403 authorize\.
Redirectmatch 403 macromates\.
RedirectMatch 403 head\_auth\.
RedirectMatch 403 submit\_links\.
RedirectMatch 403 change\_action\.
Redirectmatch 403 com\_facileforms\/
RedirectMatch 403 admin\_db\_utilities\.
RedirectMatch 403 admin\.webring\.docs\.
Redirectmatch 403 Table\/Latest\/index\.
</IfModule>

On passe ensuite à l’installation des plugins de sécurité suivants:

Le premier (Secure WordPress) permet d’effectuer simplement et automatiquement une liste d’actions essentielle à la sécurité de votre site:

Le second (WP Security Scan) effectue régulièrement un scan de l’arborescence de votre site et remonte dans l’interface d’administration de WordPress les fichiers modifiés.

Optimisation de WordPress

Pour l’optimisation des performance du blog, je me base sur l’indispensable plugin W3 Total Cache. Bien qu’il ne se limite pas qu’a cela, il permet de mettre facilement en place un système de cache ou les pages sont directement gérées en mémoire RAM plutôt qu’en lecture sur le disque dur. J’ai choisi de coupler W3 Total Cache avec Memcached (un cache mémoire sous licence libre).

L’installation de Memcached est des plus simple:

sudo aptitude install libcache-memcached-perl memcached

Si votre serveur est protégé par un Firewall (ce que je conseille évidemment…), il ne faut pas oublier d’ajouter la règle suivante:

iptables -A OUTPUT -p tcp –destination 127.0.0.1 –dport 11211 -j ACCEPT

La configuration de W3 Total Cache se fait via l’onglet Performance / General settings:

Une dernière optimisation consiste à installer le plugin WP-DBManager et de suivre régulièrement (tout les mois environ) les procédures d’optimisation (onglet Database).

Test et validation

Pour tester les performances de votre serveur, vous pouvez utiliser la commande suivante:

ab -t 30 -c 5 http://votreblog.com/

L’information intéressante se trouve sur la ligne:

Requests per second: 159.46 [#/sec] (mean)

Il est également important de surveiller les paramètres suivant: charge CPU, mémoire RAM disponible, accès disque et réseau. Gandi propose pour cela une interface d’administration Web avec un système de sonde permettant de remonter des alertes par mail ou même d’augmenter dynamiquement le nombre de part lors d’un pic de trafic.

Personnellement, je surveille mon serveur via Nagios mais cela sera le sujet d’un prochain billet…

Nicolargo is back…

2010-08-24T08:35:12Z

Voilà, après deux semaines de coupure le blog de Nicolargo est de nouveau en ligne…

Retour en arrière le mercredi 11 août 2010. En congés depuis 2 semaines et comme tout les jours je profite de ma superbe connexion “Edge super bas débit” pour consulter mes mails depuis mon smartphone. J’apprend alors que mon blog a été hacké pendant la nuit (au passage, merci à tout les lecteurs pour vos message d’alertes, vous êtes encore plus rapide que Nagios ).

Je me retrouve dans la pire situation pour une webmaster: ne rien pouvoir faire… Pas de PC, pas de connexion Internet…

Le lendemain matin, iWeb (mon hébergeur au moment du hack) bloque mon compte pour d’évidentes raisons de sécurités… Le blog de Nicolargo n’existe plus sur la toile…

Je décide alors de laisser tomber l’affaire et d’attendre mon retour de congés pour intervenir. Pas envies de gâcher mes vacances à cause d’un hacker pré-pubère qui cible de manière aléatoire ses cibles. A l’heure actuelle, je ne sais pas si le hack vient de WordPress (j’ai pu laisser passer une mise à jour quand j’étais en congés) ou d’un plugin…

A mon retour (hier), voici les actions que j’ai menées:

Récupération des sauvegardes datant du 1 août (fichiers + base de donnée)
Modification du DNS du domaine nicolargo.com pour faire pointer sur un Gandi Serveur
Installation Apache + MySQL sur le serveur
Installation de la dernière version de WordPress (depuis le SVN)
Restauration des fichiers et de la base de donnée
Sécurisation du blog en suivant ce tutoriel
Tests et validations internes
Mise en ligne

Il me reste a surveiller la montée en charge du serveur en adaptant le nombre de part pour le blog si nécessaire (je suis pour l’instant sur 1 part avec 512 Mo de RAM).

Les impacts du hack ne sont pas négligeables, outre le stress et la perte de temps, je ne suis pour l’instant plus référencé dans Google (sic…), je perd donc 80% de mon trafic…

Mea culpa pour ma coupable négligence qui a surement pénaliser des lecteurs voulant trouver des informations sur le blog et encore merci à toute la communauté qui n’a pas hésité à proposer son aide via mon compte twitter.

A bientôt sur le blog pour de nouveaux billets !

PS: le nouveau thème est presque finalisé… Il devrait être disponible début septembre.

Blog en pause

2010-07-30T14:16:27Z

Comme chaque année, une petite pause de 3 semaines pour le mois d’août.

Au menu de la rentrée, une nouvelle version pour le blog (et oui enfin): design et navigation ont été repensés. Et bien entendu de nouveaux billet sur les logiciels libres et le Web !

Retour vers le 23 août !

Mes marques ta-pages de la semaine

2010-07-30T08:39:21Z