Majorxtrem's Blogs

Si vous devez installer certain packets dans leur version la plus récent sur debian sans pour autant mettre à jour tous votre système cette manip est pour vous.

La première étape est de configurer vos dépots en ajoutant les différentes version.

vi /etc/apt/sources.list

Et le configurer comme ci-dessous :

################################################
## lenny
deb http://ftp.be.debian.org/debian/ lenny main contrib non-free
deb-src http://ftp.be.debian.org/debian/ lenny main contrib non-free
# lenny security
deb http://security.debian.org/ lenny/updates main contrib non-free
deb-src http://security.debian.org/ lenny/updates main contrib non-free
# volatile
deb http://volatile.debian.org/debian-volatile lenny/volatile main contrib non-free
deb-src http://volatile.debian.org/debian-volatile lenny/volatile main contrib non-free
################################################
## squeeze
deb http://ftp.be.debian.org/debian/ squeeze main contrib non-free
deb-src http://ftp.be.debian.org/debian/ squeeze main contrib non-free
## squeeze security
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free
################################################
## sid
deb http://ftp.be.debian.org/debian/ sid main contrib non-free
deb-src http://ftp.be.debian.org/debian/ sid main contrib non-free
## sid security
deb http://security.debian.org/ sid/updates main contrib non-free
deb-src http://security.debian.org/ sid/updates main contrib non-free

On va maintenant configurer la priorité des dépôts, cela se configure dans le fichier/etc/apt/preferences

vi /etc/apt/preferences

Et le remplir de cette façon :

Package: *
Pin: release o=apt-build
Pin-Priority: 989
Package: *
Pin: release o=volatile.debian.org,a=stable,l=debian-volatile
Pin-Priority: 988
Package: *
Pin: release o=Debian,a=stable,l=Debian-Security
Pin-Priority: 987
Package: *
Pin: release o=Unofficial Multimedia Packages,a=stable,l=Unofficial Multimedia Packages
Pin-Priority: 986
Package: *
Pin: release o=Debian,a=stable,l=Debian
Pin-Priority: 985
Package: *
Pin: release o=Debian,a=testing,l=Debian-Security
Pin-Priority: 99
Package: *
Pin: release o=Unofficial Multimedia Packages,a=testing,l=Unofficial Multimedia Packages
Pin-Priority: 98
Package: *
Pin: release o=Debian,a=testing,l=Debian
Pin-Priority: 97
Package: *
Pin: release o=Unofficial Multimedia Packages,a=unstable,l=Unofficial Multimedia Packages
Pin-Priority: 96
Package: *
Pin: release o=Debian,a=unstable,l=Debian
Pin-Priority: 95
Package: *
Pin: release o=Unofficial Multimedia Packages,a=experimental,l=Unofficial Multimedia Packages
Pin-Priority: 94
Package: *
Pin: release o=Debian,a=experimental,l=Debian
Pin-Priority: 93

Ensuite vous faites une mise à jour de la liste des packets disponible dans les dépôts

aptitude update

Voilà vous pouvez mnt installer vos packets dans la version que vous voulez, par défaut il utilisera la version stable. Pour utiliser une autre version il faut procéder de la façon suivante

aptitude install apache2 php5/testing

Aptitude installera apache en version stable et php5 en version testing, aptitude se chargera de régler le problème de dépendance mais également de version entre les dépendances

Introduction

Cacti est un logiciel libre de supervision serveur basé sur la puissance de stockage de données de RRDTool. Il fonctionne grâce à un serveur web équipé d’une base de données et du langage PHP. Il peut-être considéré comme le successeur de MRTG et également comme une interface d’utilisation de RRDTool.

Il permet de représenter graphiquement divers statuts de périphériques réseau utilisant SNMP ou encore grâce à des scripts (Bash, PHP, Perl, VBs…) pour avoir par exemple l’espace disque restant ou bien la mémoire utilisée, la charge processeur ou le ping d’un élément actif. Les données sont récoltées auprès des différents agents SNMP (ou auprès des scripts locaux) grâce à un script php.

L’intérêt de ce logiciel réside principalement dans son principe de modèles (Templates) qui permet de créer de manière générique les graphiques afin de pouvoir les réutiliser. De manière générale, tout est modèle sous Cacti. Cela est avantageux lorsque de nombreuses données identiques doivent être observées, mais cela peut se révéler fastidieux à configurer lorsque les données sont hétérogènes.

Version des logiciels utilisés

Debian : Net Install Squeeze
Cacti : 0.8.7e-1.1
Plugin Architecture : 2.6

Installation du server LAMP

Une fois la distribution installée et la configuration réseau faites, on met à jour les dépôts et on met tous a jour, même si normalement tous doit être déjà à jour

aptitude update && aptitude full-upgrade

On installe maintenant le server apache2 avec php5 et mysql-server, plus d’autre outil nécessaire a cacti

aptitude install apache2 mysql-server php5 php5-cli snmp rrdtool phpmyadmin php-pear

Réponse aux questions durant l’installation :
Nouveau mot de passe du superutilisateur de MySQL : superpass
Confirmation du mot de passe du superutilisateur de MySQL : superpass
Serveur web à reconfigurer automatiquement: Apache2
Faut-il configurer la base de données de phpmyadmin avec dbconfig-common : oui
Mot de passe de l’administrateur de la base de données : superpass
Mot de passe de connexion MySQL pour phpmyadmin : laisser vide, il sera générer aléatoirement

Votre server web est fonctionnel, vous pouvez tester en allant sur http://ip-du-server/phpmyadmin

Installation de Cacti

aptitude install cacti cacti-spine

Réponse aux questions durant l’installation :
Faut-il configurer la base de données de cacti avec dbconfig-common : oui
Mot de passe de l’administrateur de la base de données : superpass
Mot de passe de connexion MySQL pour cacti : laisser vide, il sera générer aléatoirement
Type de serveur web: Apache2

Si tous c’est bien dérouler vous devriez avoir accès à l’interface de Cacti via cette adresse http://ip-du-server/cacti
Le login:password par défaut est admin:admin, il vous sera demandé de le changer immédiatement au premier login.
C’est terminer pour la partie installation de cacti

Installation du Plugin Architecture

Une grande force de Cacti est sa faculté d’utiliser des autres outils dans des plugins intégrés à son interface. L’avantage sera alors de pouvoir gérer plusieurs logiciels avec une seule plate-forme.

On le trouve sur le site http://cactiusers.org/downloads/

On commence par installer de quoi dézip et ensuite on télécharge l’archive

aptitude install unzip
cd /tmp
wget  http://mirror.cactiusers.org/downloads/plugins/cacti-plugin-0.8.7e-PA-v2.6.zip
unzip cacti-plugin-0.8.7e-PA-v2.6.zip

On copie les fichiers pré modifié dans cacti

cd /tmp/cacti-plugin-arch/files-0.8.7e
cp -r * /usr/share/cacti/site/

On met à jour la base de données

mysql -u root -p cacti < pa.sql

On va maintenant configurer et corriger quelque bug dans la configuration

cd /usr/share/cacti/site/
vi include/global.php

À la ligne 56 remplacer

$config['url_path'] = '/';

Par

$config['url_path'] = '/cacti/';

À la ligne 202 remplacer

include($config["library_path"] . "/adodb/adodb.inc.php");

Par

include("/usr/share/php/adodb/adodb.inc.php");

Le Plugin Architecture est installé et configuré, vous pouvez l’activé dans les permissions des utilisateurs
utilites -> user management -> admin -> Realm Permissions
Cochez Plugin Management

Ajout de plugins

On se place dans le dossier plugins de Cacti

cd  /usr/share/cacti/site/plugins

Network Weathermap

PHP Weathermap est un outil particulièrement utile qui génère des cartes graphiques pour mesurer les bandes passantes (en pourcentage ou en absolu) de vos liens réseaux.
Les cartes vont vous montrer s’il existe des goulots d’étranglements (bottlenecks) sur votre réseau et ainsi vous permettre de mettre à jour le bon lien réseau au lieu de les mettre à jour au hasard et à grand frais.

wget http://www.network-weathermap.com/files/php-weathermap-0.96a.zip
unzip php-weathermap-0.96a.zip
rm php-weathermap-0.96a.zip

Petite correction d’un bug connu

vi /usr/share/cacti/site/plugins/weathermap/setup.php

À la ligne 146 remplacer

if($_REQUEST["action"] == 'viewmapcycle')

Par

if (isset( $_REQUEST["action"] ) && $_REQUEST["action"] == 'viewmapcycle')

Discovery

Ce plugin ajoute la possibilité de découvrir automatiquement tous les périphériques d’un sous-réseau qui ne sont pas surveillées par Cacti et vous indique si SNMP est activé.
Disponible sur cactiusers.org

mkdir discovery
cd discovery/
wget http://cactiusers.org/downloads/discovery.zip
unzip discovery-0.8.5.zip
rm discovery-0.8.5.zip

Activation des plugins

Pour activer les plugins il suffit de remplir un tableau dans le fichier de configuration global

cd  /usr/share/cacti/site/
vi include/global.php

À la ligne 44 on remplace

$plugins = array();
//$plugins[] = 'thold';

Par

$plugins = array(
	'weathermap',
	'disco’
	) ;

Et enfin dans utilites -> user management -> admin -> Realm Permissions
Cochez:
Plugin -> Weathermap: Configure/Manage
Plugin -> Weathermap: View
View Host Auto-Discovery

Finalisation

On termine l’installation par créer le dossier rra si il n’a pas été créé automatiquement et on change le propriétaire des fichiers pour que tous fonctionne bien

mkdir  /usr/share/cacti/site/rra
chown www-data: -R usr/share/cacti/site

C’est fini, il ne vous reste plus cas ajouter vos devices et créer votre carte réseau.

Liens additionnels

• Documentation
  
  • http://docs.cacti.net/manual:087
  • http://cactiusers.org/wiki/Homepage
• Plugins
  • http://cactiusers.org/downloads/
  • http://docs.cacti.net/plugins
  • http://www.debianhelp.co.uk/cactiplugins.htm
• Templates
  • http://www.debianhelp.co.uk/cactitemplates.htm
  • http://docs.cacti.net/templates

Petit mémo pour installer une Debian Lenny dans une VM Xenserver

Installation

Tous d’abord, il faut installer une debian etch à partir des templates disponibles dans XenCenter.
Une fois l’installation terminée, on remplace etch par lenny dans les fichier source.list

vi /etc/apt/sources.list
vi /etc/apt/sources.list.d/citrix.list

On Install ensuite les nouvelles clés gpg des dépôts

wget -q http://updates.vmd.citrix.com/XenServer/5.5.0/GPG-KEY -O- | apt-key add -
gpg --keyserver wwwkeys.eu.pgp.net --recv-keys 9AA38DCD55BE302B
gpg --keyserver wwwkeys.eu.pgp.net --recv-keys 4D270D06F42584E6
apt-key add .gnupg/pubring.gpg

On met à jour la liste des paquets et on install les paquets suivant. On termine enfin par une mise à jour des clefs

aptitude update
aptitude install debian-keyring debian-archive-keyring
apt-key update

Mise à jour vers Lenny

On lance un apt-get dist-upgrade pour mettre à jour la ditribution

aptitude dist-upgrade

Une fois la mise à jour vers Lenny faites, on install les tools Xen et le dernier kernel disponible pour Xen, si durant l’installation des paquets il demande d’annuler, il faut ignorer ce message et continuer.

aptitude install linux-doc-2.6.29-xs5.5.0.14 linux-headers-2.6.29-xs5.5.0.14 linux-image-2.6.29-xs5.5.0.14 linux-manual-2.6.29-xs5.5.0.14 linux-source-2.6.29-xs5.5.0.14 xe-guest-utilities

Avant de rebooter il est trés important de faire ce qui suit, sans quoi votre VM ne démarrera plus.
On ajoute les modules suivant au initramfs

vi /etc/initramfs-tools/modules

Et on ajoute

xenblk
xennet

On met à jour les changements en faisant

update-initramfs -u

On va maintenant changer le le kernel par défaut dans grub

vi /boot/grub/menu.lst

On remplace

default 0

Par

default 2

On termine par une mise à jour de grub

update-grub

Dernière étape, il faut changer l’interface de sortie de la console, pour ce faire on édite /etc/inittab

vi /etc/inittab

On remplace

1:2345:respawn:/sbin/getty 38400 tty1

Par

1:2345:respawn:/sbin/getty 38400 hvc0

On reboot finalement le système

reboot

Vous avez à présent une Debian Lenny fonctionnel dans votre VM XenServer

Le module mod_deflate est un module du serveur web Apache qui fournit les filtres DEFLATE permettant à la sortie du serveur d’être compressée avant d’être envoyée au navigateur sur le réseau. Ce qui apporte une économie de bande passante pouvant aller parfois jusqu’à 80%, une légère consommation en plus du processeur ainsi que de la mémoire est à prévoir.

Quelques informations en plus ce module :

• http://fr.wikipedia.org/wiki/Deflate
• http://httpd.apache.org/docs/2.2/fr/mod/mod_deflate.html

Installation

Deflate est installé par défaut avec Apache mais il n’est pas lancé, de plus même une fois lancé il sera nécessaire de le configurer.

Paramétrage

Dans /etc/apache2/conf.d/mod_deflate, ajoutez :

# Mod Deflate
<IfModule mod_deflate.c>
 DeflateCompressionLevel 3
</IfModule>
<Location />
 AddOutputFilterByType DEFLATE text/plain
 AddOutputFilterByType DEFLATE text/xml
 AddOutputFilterByType DEFLATE text/html
 AddOutputFilterByType DEFLATE text/css
 AddOutputFilterByType DEFLATE image/svg+xml
 AddOutputFilterByType DEFLATE application/xhtml+xml
 AddOutputFilterByType DEFLATE application/xml
 AddOutputFilterByType DEFLATE application/rss+xml
 AddOutputFilterByType DEFLATE application/atom_xml
 AddOutputFilterByType DEFLATE application/x-javascript
 AddOutputFilterByType DEFLATE application/x-httpd-php
 AddOutputFilterByType DEFLATE application/x-httpd-fastphp
 AddOutputFilterByType DEFLATE application/x-httpd-eruby
 SetOutputFilter DEFLATE
 SetEnvIfNoCase Request_URI \.(?:gif|jpe?g|png)$ no-gzip dont-vary
 SetEnvIfNoCase Request_URI \.(?:exe|t?gz|zip|bz2|sit|rar)$ no-gzip dont-vary
 SetEnvIfNoCase Request_URI \.pdf$ no-gzip dont-vary
 SetEnvIfNoCase Request_URI \.avi$ no-gzip dont-vary
 SetEnvIfNoCase Request_URI \.mov$ no-gzip dont-vary
 SetEnvIfNoCase Request_URI \.mp3$ no-gzip dont-vary
 SetEnvIfNoCase Request_URI \.mp4$ no-gzip dont-vary
 SetEnvIfNoCase Request_URI \.rm$ no-gzip dont-vary
 BrowserMatch ^Mozilla/4 gzip-only-text/html
 BrowserMatch ^Mozilla/4\.0[678] no-gzip
 BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
 BrowserMatch \bMSI[E] !no-gzip !gzip-only-text/html
 # Make sure proxies don't deliver the wrong content
 Header append Vary User-Agent env=!dont-vary
</Location>

Explications

DeflateCompressionLevel 3
Détermine le niveau de compression, les valeurs vont de 1 à 9, de base le choix est à 1.

AddOutputFilterByType DEFLATE text/html
Indique que les pages .html seront compressées.

SetOutputFilter DEFLATE
Active la compression.

SetEnvIfNoCase Request_URI \.(?:gif|jpe?g|png)$ no-gzip dont-vary
Ne compresse pas les fichiers de type .gif .jpg .jpeg .png car ils possèdent déjà une compression.

BrowserMatch ^Mozilla/4 gzip-only-text/html
Active que la compression des pages HTML pour Netscape 4.

Header append Vary User-Agent env=!dont-vary
Assurez-vous que les proxy ne livrent pas les mauvais contenus

Mise en production

Activez les deux modules suivants :

a2enmod headers
a2enmod deflate

Relancez Apache

/etc/init.d/apache2 restart

Pour vérifier que la compression soit fonctionnelle, vous pouvez aller sur ce site : www.gidnetwork.com

Jusqu’ici les noms de code des distribution Debian proviennent des personnages du film « Toy Story » par Pixar.

• buzz (Buzz Lightyear) est le cosmonaute,

• rex est le tyrannosaure,

• bo (Bo Peep) est la bergère,

• hamm est la tirelire en forme de cochon,

• slink (Slinky Dog ®) est le chien,

• potato est bien sûr, Mr. Patate ®,

• woody est le cowboy,

• sarge est le sergent de l’armée de plastique vert,

• etch est l’ardoise magique (Etch-a-Sketch ®),

• lenny est la paire de jumelles.

• sid est le garçon des voisins qui détruit les jouets

Le module Security est une sorte de firewall pour Apache qui apporte une solution aux problèmes de sécurité et d’attaques applicatives web. En effet, malgrés le déploiement de mesures de sécurité élevées sur un serveur web, il est toujours possible qu’une simple erreur de programmation dans un script « cgi » ou « php » mette en péril l’intégrité et la confidentialité des données stockées.
Pour faire simple ce module bloque les requêtes pouvant être dangereuses.
Exemple en image :

Installation.

Ce module n’est pas installé de base avec Apache, je vais vous proposer deux méthodes à vous de choisir la votre :
L’installation par la commande dpkg est très simple, wget doit être installé sur votre système.

wget http://etc.inittab.org/~agi/debian/libapache-mod-security2/mod-security-common_2.5.9-1_all.deb
wget http://etc.inittab.org/~agi/debian/libapache-mod-security2/libapache-mod-security_2.5.9-1_i386.deb

Installation du paquet :

dpkg -i mod-security-common_2.5.9-1_all.deb libapache-mod-security_2.5.9-1_i386.deb

Voila le module est installé. Maintenant on active ce dernier auprès d’Apache.

 a2enmod mod-security

L’installation du module Security est terminée

Configuration

La configuration du module Security consiste dans sa plus grande partie à ajouter des règles “de filtrage”.
Ces règles sont séparées en plusieurs fichiers (blacklist, proxy, règles de bases, rootkits, etc…).
On créé un répertoire modsecurity2 dans le répertoire /etc/apache2/, on se place dedans et on télécharge les règles.

mkdir /etc/apache2/modsecurity2/
cd /etc/apache2/modsecurity2/
wget http://www.gotroot.com/downloads/ftp/mod_security/2.0/apache2/apache2-gotrootrules-modsec2.0-latest.tar.gz

Une fois le téléchargement terminé nous allons décompresser l’archive contenant les règles.

tar zxvf apache2-gotrootrules-modsec2.0-latest.tar.gz

Puis créez un fichiers nommé mod_security pour y ajouter les lignes suivantes :

vi /etc/apache2/conf.d/mod_security

# A adapter en fonction de la version du module qui est utilisé.
<IfModule mod_security.c>
# Analyse uniquement les requêtes dynamiques.
#SecFilterEngine DynamicOnly
# Active le filtrage.
SecFilterEngine On
# Rejette les requêtes ayant le status 500.
SecFilterDefaultAction "deny,log,status:500"
# Quelques règles de bases.
SecFilterScanPOST On
SecFilterCheckURLEncoding On
SecFilterCheckCookieFormat On
SecFilterCheckUnicodeEncoding Off
SecFilterNormalizeCookies On
# Active la version 1 (RFC 2965) cookies
SecFilterCookieFormat 1
# Ne donne aucune précision sur le serveur web.
SecServerResponseToken Off
# Scanner le flux de sortie.
#SecFilterScanOutput On
#SecFilterOutputMimeTypes "(null) text/html text/plain"
# Autorise presques toutes les valeurs de bytes.
SecFilterForceByteRange 1 255
# Masquer le serveur.
#fake server banner - NOYB used - no one needs to know what we are using
SecServerSignature "NOYB"
#SecUploadDir /tmp
#SecUploadKeepFiles Off
# Only record the interesting stuff
SecAuditEngine RelevantOnly
SecAuditLog logs/audit_log
# Configuration du module de debuggage.
SecFilterDebugLevel 0
SecFilterDebugLog /var/logs/apache2/modsec_debug_log
# Règles d'exlusion.
# Cette ligne doit rester devant les autres.
Include /etc/apache2/modsecurity2/exclude.conf
# Règles de protections.
Include /etc/apache2/modsecurity2/rules.conf
# Règles dédiées au spam.
Include /etc/apache2/modsecurity2/blacklist.conf
# Règles de filtrage des hotes, proxy, etc...
Include /etc/apache2/modsecurity2/blacklist2.conf
# Règles interdisant certains client, robots, etc...
Include /etc/apache2/modsecurity2/useragents.conf
# Protection contre les rootkits.
Include /etc/apache2/modsecurity2/rootkits.conf
# Règle empéchant l'utilisation du serveur comme proxy.
# A utiliser seulement si le serveur n'est pas en mod proxy.
Include /etc/apache2/modsecurity2/proxy.conf
# Quelques règles de plus, uniquement pour Apache2.
Include /etc/apache2/modsecurity2/apache2-rules.conf
</IfModule>

La configuration du module est terminé, il ne reste plus qu’a relancer Apache.

/etc/init.d/apache2 restart

Mise à jour des règles.

Un script a été conçu pour permettre le téléchargement des nouvelles règles automatiquement.
Cette méthode nécessite l’ajout d’une tâche dans votre crontab.

Dans le répertoire /etc/cron.d/ nous allons créer un fichier modsecurity contenant ceci :

vi /etc/cron.d/modsecurity

# Tout les jours à 5h30 du matin.
30 5 * * * /etc/apache2/modsecurity2/modsec.sh

Ce script bash a été adapté pour une distribution Debian, il aura pour nom modsec.sh et sera placé dans /etc/apache2/modsecurity2/

vi /etc/apache2/modsecurity2/modsec.sh

#!/bin/sh
# Autoupdater for modsec rulesets.
 #
 # This script will attempt to update your rulefiles, and restart apache.
 # If it apache does not start after changing rules, it will roll back to
 # the old ruleset and restart apache again.
 #
 # Version: $Id: modsec.sh,v 1.1 2005/06/29 18:07:53 olei Exp $
 # URL: http://cs.evilnetwork.org/cycro
 # Copyright 2005, All Rights Reserved
APACHESTART="/usr/sbin/apache2ctl start"
 MODSECPATH="/etc/apache2/modsecurity2 "
 APACHEPID="/var/run/apache2.pid"
##########################################################################
 ######### you probably don't need to change anything below here ##########
 ##########################################################################
# urls
 BLACKLIST="http://www.gotroot.com/downloads/ftp/mod_security/blacklist.conf"
 RULES="http://www.gotroot.com/downloads/ftp/mod_security/rules.conf"
 APACHE2="http://www.gotroot.com/downloads/ftp/mod_security/apache2-rules.conf"
# internal
 PID=`cat ${APACHEPID}`
 UPDATED=0
echo -n "Changing PWD: "
 cd ${MODSECPATH}
 echo `pwd`
# blacklist
 echo -n "Updating blacklist.conf: "
 /usr/bin/wget -t 30 -O blacklist.conf.1 -q ${BLACKLIST}
 if [ `md5sum blacklist.conf | cut -d " " -f1` != `md5sum blacklist.conf.1 | cut -d " " -f1` ] ; then
 /bin/mv blacklist.conf blacklist.conf.bak
 /bin/mv blacklist.conf.1 blacklist.conf
 UPDATED=`expr $UPDATED + 1`
 echo "ok."
 else
 echo "allready up to date."
 /bin/rm -f blacklist.conf.1
 fi
# rules
 echo -n "Updating rules.conf: "
 /usr/bin/wget -t 30 -O rules.conf.1 -q ${RULES}
 if [ `md5sum rules.conf | cut -d " " -f1` != `md5sum rules.conf.1 | cut -d " " -f1` ] ; then
 /bin/mv rules.conf rules.conf.bak
 /bin/mv rules.conf.1 rules.conf
 UPDATED=`expr $UPDATED + 1`
 echo "ok."
 else
 echo "allready up to date."
 /bin/rm -f rules.conf.1
 fi
# apache2 rules
 echo -n "Updating apache2-rules.conf: "
 /usr/bin/wget -t 30 -O apache2-rules.conf.1 -q ${APACHE2}
 if [ `md5sum apache2-rules.conf | cut -d " " -f1` != `md5sum apache2-rules.conf.1 | cut -d " " -f1` ] ; then
 /bin/mv apache2-rules.conf apache2-rules.conf.bak
 /bin/mv apache2-rules.conf.1 apache2-rules.conf
 UPDATED=`expr $UPDATED + 1`
 echo "ok."
 else
 echo "allready up to date."
 /bin/rm -f apache2-rules.conf.1
 fi
# try restart
 if [ "$UPDATED" -gt "0" ]; then
 echo -n "Restarting apache: "
 /bin/kill -HUP ${PID} 2>/dev/null
 # did it work?
 if `/bin/kill -CHLD ${PID} >/dev/null 2>&1`; then
 echo "ok."
 exit 0
 fi
 echo "error. Apache not running."
# blacklist
 echo -n "Rolling back blacklist.conf: "
 /bin/mv blacklist.conf blacklist.conf.new
 /bin/mv blacklist.conf.bak blacklist.conf
 echo "ok."
# rules
 echo -n "Rolling back rules.conf: "
 /bin/mv rules.conf rules.conf.new
 /bin/mv rules.conf.bak rules.conf
 echo "ok."
# apache2 rules
 echo -n "Rolling back apache2-rules.conf: "
 /bin/mv apache2-rules.conf apache2-rules.conf.new
 /bin/mv apache2-rules.conf.bak apache2-rules.conf
 echo "ok."
# try starting httpd again
 `${APACHESTART}`
 PID=`cat ${APACHEPID}`
# did that fix the problem?
 if `/bin/kill -CHLD ${PID} >/dev/null 2>&1`; then
 echo "That did the trick."
 exit 0
 fi
echo "Fatal: Apache still not running! Run apache2ctl -t to find the error."
 exit 999
 fi

Il faut rendre ce script exécutable.

chmod +x /etc/apache2/modsecurity2/modsec.sh

OpenLDAP est une implémentation libre du protocole LDAP développée par The OpenLDAP Project.
Lightweight Directory Access Protocol (LDAP) est à l’origine un protocole permettant l’interrogation et la modification des services d’annuaire.

Nous allons utiliser le serveur LDAP afin de centraliser les informations utilisateurs des sites et services du serveur. En effet la plus par des services telles que les serveur web, ftp, proxy peuvent s’authentifier sur un serveur LDAP, mais également les CMS les plus populaires.

Avant de commencer l’installation on va vérifier le hostname de la machine

# hostname -f
server.majorxtrem.be

Vous devez obtenir quelque chose de similaire, si ce n’était pas le cas éditer le fichier /etc/hostname afin d’avoir :  nomdelamchine.domaine.com

On commence l’installation par le traditionnel apt-get

apt-get install slapd ldap-utils

Durant l’installation on vous demande simplement le password admin du serveur .

Vous tapez ensuite la commande slappasswd, elle va vous permettre de générer un password SSHA

# slappasswd
New password: toto
Re-enter new password: toto
{SSHA}gHus2hriMC95mCcmPtXbK8Nv/oh2hZy5

Copiez-le on va en avoir besoin dans le fichier de configuration de slapd, il se trouve ici :

vi /etc/ldap/slapd.conf

Vous vérifiez que suffix est égale à :

suffix          "dc=majorxtrem,dc=be"

Et ajouter les lignes :

rootdn          "cn=admin,dc=majorxtrem,dc=be"
rootpw          {SSHA}gHus2hriMC95mCcmPtXbK8Nv/oh2hZy5

On édite également afin que l’annuaire ne soit pas lisible en anonyme

access to attrs=userPassword,shadowLastChange
        by dn="cn=admin,dc=majorxtrem,dc=be" write
        by anonymous auth
        by self write
        by * none
access to *
        by dn="cn=admin,dc=majorxtrem,dc=be" write
        by dn="uid=read_user,cn=Managers,dc=majorxtrem,dc=be" read

On redémarre slpad

/etc/init.d/slapd restart

On va maintenant créer la base de l’annuaire

vi racine.ldif

Et on ajoute les lignes suivantes dedans

# Racine
dn: dc=majorxtrem,dc=be
objectClass: top
objectClass: dcObject
objectClass: organization
o: majorxtrem.be
dc: majorxtrem
# OU Manager
dn: cn=Managers,dc=majorxtrem,dc=be
objectClass: organizationalRole
objectClass: top
cn: Managers
# OU Groups
dn: ou=Groups,dc=majorxtrem,dc=be
objectClass: organizationalUnit
objectClass: top
ou: Groups
# OU Users
dn: ou=Users,dc=majorxtrem,dc=be
objectClass: organizationalUnit
objectClass: top
ou: Users

Ensuite on l’ajoute au LDAP :

ldapadd -f racine.ldif -D "cn=admin,dc=majorxtrem,dc=be" -w toto

À ce stade votre serveur est fonctionnel, on va tous de même installer une interface de gestion en PHP
apt-get install phpldapadmin

L’interface sera accessible via l’url http://ipduserver/phpldapadmin

Loguez vous et ajoutez un utilisateur read_user dans le groupe Manager
Le login est cn=admin,dc=majorxtrem,dc=be, le pass est celui que vous avez généré tous à l’heure

Cliquez sur manager et ensuite sur Create a child

Choisissez : Simple Security Object

Ensuite remplissez le username, le password et spécifiez SSHA pour l’encryption

Ce user servira pour authentifier apache, phpbb & cie pour vérifier le login de vos utilisateurs

Dans un prochain article, on verra comment restrientre via apache l’accés à un dossier via authentification LDAP

Avant-propos

OpenVPN est un logiciel permettant de créer des réseaux privés virtuels sans utiliser des technologies telles que PPtP (Microsoft) ou IPSec. Il est de plus disponibles sur de nombreux systèmes d’exploitation (Microsoft Windows, GNU / Linux, MacOS X, …). C’est une solution simple pour gérer un réseau privé virtuel composé de machines hétéroclites dans un environnement n’autorisant pas IPSec.

Dans notre cas nous allons utiliser OpenVPN over HTTPS afin de contourner les éventuels restrictions que l’on trouve à l’école ou au boulot.

Voici un schéma du réseaux que nous allons mettre en place

Le server dispose de deux ips, l’une public et une autre privée pour le réseau VPN
Eth0 : 91.121.95.122
Tun0 : 172.16.0.1

Le client dispose également de deux ips, l’ip de l’interface normal donnant accès au net et l’ip du l’interface virtuel d’OpenVPN
Réseau local : 10.1.6.30
Interface virtuel 172.16.0.6

Voyons maintenant en détail l’installation et la configuration du server

Server OpenVPN

L’installation d’OpenVPN se fait simplement par la ligne de commande :

apt-get install openvpn openssl

Création du certificat de l’autorité de certification

La partie la plus compliquée et la plus fastidieuse dans la mise en place d’un serveur OpenVPN concerne la génération des clés et des certificats. OpenVPN est livré avec plusieurs scripts permettant de générer plus facilement les clés et les certificats pour OpenSSL. Ces scripts sont enregistrés dans le dossier « easy-rsa » :

cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/

On maintenant configuré les variable du script, pour ce faire on édite le fichier vars :

Vi /usr/share/doc/openvpn/examples/easy-rsa/2.0/vars

Tous en bas on trouve :

export KEY_COUNTRY="BE"
export KEY_PROVINCE="Belgium"
export KEY_CITY="Namur"
export KEY_ORG="MajorXtrem"
export KEY_EMAIL="admin@majorxtrem.be"

Une fois le fichier modifié, la ligne suivante permet d’initialiser les variables pour les scripts :

source ./vars

Le script suivant, permet de créer ou de réinitialiser le sous-dossier « keys » :

./clean-all

Le script suivant permet de créer le certificat principal du serveur « ca.crt » et la clé correspondante « ca.key » :

./build-ca

Pour le « Common Name » il faut le renseigner manuellement, exemple le FQDN de la machine

Création du certificat et de la clé pour le serveur OpenVPN

Le script suivant permet de créer le certificat et la pour le serveur VPN

/build-key-server server

ATTENTION : Pour les questions, la plupart des champs sont renseignés par défaut sauf le « Common Name » qu’il faut renseigner manuellement. Exemple le FQDN de la machine

Pour les questions, tous les champs sont renseignés par défaut sauf le « Common Name » qu’il faut renseigner manuellement.
Je n’ai pas renseigné le champ « password »

Création du certificat et de la clé pour un client OpenVPN

Le script suivant permet de créer le certificat et la clé pour le client VPN.

./build-key johann-laptop

Lorsque le script vous pose des questions, utilisez les valeurs par défaut, mais faites bien attention de répondre y aux questions :
Pour le « Common Name » il faut le renseigner manuellement, exemple le FQDN de la machine
Sign the certificate? [y/n]: y
1 out of 1 certificate requests certified, commit? [y/n] y

Création du paramètre Diffie Hellman

Le script suivant permet de créer dans « keys » le fichier « dh1024.pem » :

./build-dh

Mise en place des certificats et des clés

concernant le serveur OpenVPN, le plus simple est de copier les 4 fichiers dans le dossier « /etc/openvpn » :

cp ./keys/ca.crt /etc/openvpn/
cp ./keys/ca.key /etc/openvpn/
cp ./keys/server.crt /etc/openvpn/
cp ./keys/server.key /etc/openvpn/
cp ./keys/dh1024.pem /etc/openvpn/

Création d’un utilisateur avec des droits limités pour OpenVPN

Pour limiter les risques d’attaques sur OpenVPN, il est important que le processus d’OpenVPN fonctionne sur un utilisateur n’ayant aucun droit sur le système.

Souvent, l’utilisateur « nobody » est utilisé par défaut, mais il est encore plus sécurisant de faire tourner chaque processus avec un utilisateur différent. Donc, pour le processus OpenVPN, nous allons créer l’utilisateur « openvpn » :

groupadd openvpn
useradd -d /dev/null -g openvpn -s /bin/false openvpn
chown openvpn:openvpn -R /etc/openvpn/

Génération d’une clef TLS

Nous allons maintenant générer une clef qui nous protègera de certains types d’attaques. Elle va nous permettre de créer un pare-feu HSA :

openvpn --genkey --secret /etc/openvpn/ta.key

Configuration d’OpenVPN

On va partir d’une configuration vierge

Mv /etc/openvpn/server.conf /etc/openvpn/server.conf_old
Vi /etc/openvpn/server.conf

Ensuite on copie la config suivante :

# Server configuration
mode server
dev tun
max-clients 4
port 443
port-share 91.121.95.122 4443
server 172.16.0.0 255.255.255.0
proto tcp
keepalive 10 120
persist-key
persist-tun
comp-lzo
# SSL parameters
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth ta.key 0
tls-server
# VPN Gateway offer DNS parameters
push "dhcp-option DOMAIN majorxtrem.be"
push "dhcp-option DNS 172.16.0.1"
push "dhcp-option NTP 172.16.0.1"
# VPN Gateway offer this routes to clients
push "redirect-gateway"
push "route 172.16.0.0 255.255.255.0"
ifconfig-pool-persist ipp.txt
# Fix MTU problems
mssfix 1300
# Drop root privileges
chroot /etc/openvpn
user openvpn
group openvpn
#  Gestion des clients
client-to-client
client-config-dir ccd
# Logging configuration
status /var/log/openvpn-status.log
verb 1

Les paramètres port et port-share sont extrêmes important et requière une petite explication.

Le server OpenVPN tournera sur le port 443 pour pouvoir passer à travers d’éventuel proxy dans le cas ou l’accès direct au net n’est pas possible là ou vous vous trouvez. Ce pendant apache écoute aussi sur le port 443, on va donc dire a OpenVPN de transmettre les requêtes qui ne lui sont pas attribuer sur le port 4443. Il faut évidement configurer vos vhosts ssl apache sur le port 4443 et ne plus le mettre à l’écoute du port 443 mais 4443.

cat /etc/apache2/ports.conf
Listen 80
Listen 4443

cat /etc/apache2/sites-available/ssl
NameVirtualHost 91.121.95.122:4443
<VirtualHost 91.121.95.122:4443>
    …
    …

Pour le reste des option je vous invite a voir leur signification sur la doc d’OpenVPN (http://openvpn.net/index.php/documentation/manuals/openvpn-21.html)

Ne pas oublier de redémarrer apache et OpenVPN

/etc/init.d/apache2 restart
/etc/init.d/openvpn restart

Ne pas hésiter à regarder dans les logs que tout c’est bien passé :

tail -n 100 /var/log/syslog

Bien vérifier également que le processus tourne sous l’utilisateur « openvpn »

ps aux | grep openvpn

Pour finir, si tout c’est bien passé l’interface « tun0 » doit apparaître dans la configuration du réseau :

ifconfig tun0
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet adr:172.16.0.1  P-t-P:172.16.0.2  Masque:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:22 errors:0 dropped:0 overruns:0 frame:0
          TX packets:22 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:100
          RX bytes:1436 (1.4 KiB)  TX bytes:1436 (1.4 KiB)

Et il doit être possible de la pinguer :

ping 172.16.0.1

Configuration du NAT

L’objectif du VPN étant d’outre passé les limite du réseau dans le quel on se trouve, il serait peut-être utile d’activé le forward des paquet sur le server

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -o eth0 -j MASQUERADE

Voilà pour la partie serveur On va maintenant installer et configurer la partie client

Client OpenVPN sous Windows Seven

On télécharge la dernier version en date à savoir la 2.1_rc15 à partir du site d’OpenVPN ( http://openvpn.net/release/ ).
L’installateur ne fonctionne pas sous seven, il suffit de faire clic droit compatibilité et de choisir Windows XP SP3

Récupérer les key et certificats sur le serveur, ils se trouvent dans le dossier :
/usr/share/doc/openvpn/examples/easy-rsa/2.0/key/

Vous avez besoin de la clef et du certificat du client, du certificat racine ainsi que de la clef
○ johann-laptop.crt
○ johann-laptop.key
○ ca.crt

Vous avez également besoin de la clef TSL, elle se trouve dans le repertoire /etc/openvpn/
○ ta.key

Copiez ces 4 fichiers dans le répertoire conf C:\Program Files\OpenVPN\config du client

Lancer ensuite le GUI d’OpenVPN, et dans la zone de notification faites un clic droit dessus et sélectionner « edit config »

# Client configuration
client
dev tun
remote 91.121.95.122 443
proto tcp
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
# SSL parameters
ca ca.crt
cert johann-laptop.crt
key johann-laptop.key
tls-auth ta.key 1
# Route and Network
route-method exe
route-delay 2
shaper 100000000
# Log
verb 3

Sur l’icône dans la zone de notification faites connect

Si tous fonctionne bien, vous devriez être capable de pinguer le serveur via le tunnel

Ping 172.16.0.1

Démarrer une console et tappez route print

Network Destination	Netmask		Gateway		Interface	Metric
0.0.0.0		0.0.0.0		172.16.0.5	172.16.0.6	31
91.121.95.122		255.255.255.255	192.168.3.1	192.168.3.9	21

Vous devez avoir quelque chose de la sorte, a savoir que la passerelle par défaut est maintenant 172.16.0.5
Et que pour joindre le server VPN la route a prendre est l’ancienne passerelle par défaut

1 Préparation du server

Une fois que la machine est installée, ou que vous venez de recevoir les accès du serveur que vous louez, il y a une série de petites choses à faire pour un fonctionnement optimal du serveur.

1.1 Mise à jour

Sur Debian il est très facile de mettre à jour son système, il faut être en root (su)

# apt-get update && apt-get upgrade

1.2 Installation des outils essentiel

Pour que votre server fonctionne correctement il faut ajouter certain programme et services. Nous allons les installer tous d’un coup et au fur et à mesure du tutorial les configurer.

# apt-get install vsftpd ssh vim ntpdate bzip2 htop md5tools build-essential screen libstdc++6-dbg

1.3 Configuration du server FTP : vsftpd

La configuration de vsftpd est assez simple et ce toruve dans le fichier /etc/vsftpd.conf

# vim /etc/vsftpd.conf

Une fois dans l’éditeur vim il faut faire insert pour passer en mode insertion, vous ne devez avoir dans votre configuration uniquement les lignes suivantes active, les autre doivent être commentées en utilisant un #

listen=YES
local_enable=YES
write_enable=YES
local_umask=001
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
chown_uploads=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/certs/vsftpd.pem

Pour sauvegarder et quitter, vous faites escape et ensuite :wq

Vous redémarre maintenant votre server FTP

# /etc/init.d/vsftpd restart

1.4 Ajout de l’utilisateur COD4

Jusqu’à présent vous travailliez en root, c’est le super-admin de la machine. Il est très dangereux de faire tourner des services directement en root. Il convient donc de créer un simple utilisateur pour lancer les serveurs.

# adduser cod4
Ajout de l'utilisateur « cod4 »...
Ajout du nouveau groupe « cod44 » (1001)...
Ajout du nouvel utilisateur « cod44 » (1001) avec le groupe « cod44 »...
Création du répertoire personnel « /home/cod4 »...
Copie des fichiers depuis « /etc/skel »...
Enter new UNIX password:
Retype new UNIX password:
passwd : le mot de passe a été mis à jour avec succès
Modification des informations relatives à l'utilisateur cod4
Entrez la nouvelle valeur ou « Entrée » pour conserver la valeur proposée
Nom complet []: COD4_user
N° de bureau []:
Téléphone professionnel []:
Téléphone personnel []:
Autre []:
Ces informations sont-elles correctes ? [o/N] o

Vous venez de créer un utilisateur cod4 avec comme répertoire personnel /home/cod4 et le mot de passe ce que vous avez entrez.

Il est temps de tester votre serveur FTP en vous logant avec le user cod4. Vous arrivez dans un répertoire vide, c’est votre dossier personnel /home/cod4.

Nous allons maintenant installer cod4 de façon professionnel et propre, les GSP utilisent en effet la même technique pour déployer un grand nombre de serveur d’un coup.

2.1 Copie des fichiers du jeu

2.1.1 Via le lecteur DVD

Si vous êtes à coté du serveur et que celui-ci dispose d’un cd-rom au tant en profiter.

Tous d’abord, on va crée le dossier master dans le dossier personnel du user cod4

# mkdir /home/cod4/master

Insérez le DVD dans le lecteur, le lecteur se trouve dans /media/cdrom. On va copier les fichier qui nous intéressent vers le dossier /home/cod4/master/

# cp -r /media/cdrom/Setup/Data/* /home/cod4/master/ 

Il a copié prés de plus de 1 GO de vidéo complètement inutile, on les supprime de la manière suivante

# rm -r /home/cod/master/main/video

2.1.2 Via le réseau

Si la première méthode ne vous plaie pas ou que vous n’avez pas moyen de le faire, connectez vous au server ftp avec le user cod4.

Ensuite créez un dossier master et dans ce dossier vous copier les fichiers et dossiers se trouvant dans le dossier \Setup\Data\ du DVD.

Ici aussi inutile d’uploader sur le serveur les vidéos du dossier \Setup\Data\main\video

2.1.3 Vérification

Une fois copier vous devez avoir quelque choses de similaire dans votre dossier /home/cod4/master

# ls /home/cod4/master
binkw32.dll cod4.ico cod.bmp codlogo.bmp iw3mp.exe iw3sp.exe localization.txt main miles Mods mss32.dll zone

2.2 Téléchargement et installation des binaires linux

Les binaires linux sont produits par une ICCULUS, c’est donc sur leur site qu’il faut allé récupérer les deniers binaires en date => http://icculus.org/news/news.php

# mkdir /home/cod4/temp
# cd /home/cod4/temp
# wget wget http://www.shrapnet.com/downloads/cod4-linux-server-06282008.tar.bz2
# tar xvfj cod4-linux-server-06282008.tar.bz2

Avant de continuer il est important de savoir si les données que vous avez copiées proviennent dans DVD français ou anglais. Pour le savoir rien de plus simple

# ls /home/cod4/master/zone

Les binaires ne sont disponible quand anlgais, si vous avez une version française pas de panique, vous aurez juste une manipulation supplémentaire à faire.

# cd cod4-linux-server/cod4-linux-server
# cp -r ./* /home/cod4/master/

Pour la version française il faut faire en plus

# cp -r zone/english/* /home/cod4/master/zone/french/

2.3 Test du server

On va vérifier si tous fonctionne correctement, pour ce test on utilise aucune config, mods ou quoi que ce soit. On va d’abord par définir le propriétaire des fichiers et ensuite on va se loguer en temps que l’utilisateur cod4.

# chown -R cod4 /home/cod4
# chgrp -R cod4 /home/cod4
# su cod4
$ cd ~/master
$ ./cod4_lnxded

Là vous devriez vous le serveur démarrer une fois fait, vous devez lancer une map.

map mp_backlot

Vous pouvez maintenant vous connectez au server en utilisant son ip et le port par défaut 28960.

C’est juste un test pourvoir si le serveur se lance correctement et que le patch est installé, il n’est pas du tous jouable notamment à cause du PB pas à jour.

Coupez le server.

quit

On va maintenant s’occuper de configurer le serveur a proprement parler

2.4 Mise à jour et installation de Punkbuster

On va exécuter pbsetup, il fonctionne de la même façon que la version windows à la différence qu’il est en ligne de commande. On l’initialise, ensuite on ajoute le master install et le met à jour.

$ cd ~/master
$ ./pbsetup.run –e
$ ./pbsetup.run -ag cod4 -ap /home/cod4/master/ --i-accept-the-pb-eula
$ ./pbsetup.run -u --i-accept-the-pb-eula

La base de votre serveur est maintenant opérationnel, on va maintenant s’occuper de lancer une voir plusieurs instance du serveur, en effet il est tous à fait possible de lancer plusieurs serveur cod4 sur la même machine à condition qu’ils ne soient pas sur le même port.

A fin de vous facilité la vie, voici un script qui vous permettra de gérer le Start-Stop-Reboot de votre serveur, il est même compatible avec une interface web de gestion spécialement.

3.1 Screen fonctionne-il ?

On commence par tester si on peut ouvrir un screen, en effet on en a besoin pour lancer les serveurs cod dedans car on peut les lancer en arrière plant. Si vous lancer un serveur directement depuis votre Shell, celui-ci devra rester en permance ouvert

$ screen
Cannot open your terminal '/dev/pts/0' - please check.

Si vous avez ce message faites

$ exit
# chmod 777 /dev/pts/0
# su cod4

Taper exit pour quitter le screen que vous venez d’ouvrir

exit

3.2 Installation du script de gestion des serveurs

Uploader avec le ftp le script server_cod4 à la racine, c’est-à-dire à coté du dossier master.

Il va vous permettre de gérer tous vos serveur cod4 sur cette machine.

Une fois uploadé il faut lui donner des droits d’exécution

$ chmod 775 ~/server_cod4

Il fonctionne de la manière suivante server_cod4 <action> <port> <mods>

Les actions a votre disposition sont : start, stop, restart, list et check.

3.2.1 < action >

- start <port> <mods>: démarre le serveur sur le port <port> avec le mod <mods>
- stop <port> : arrête le serveur sur le port <port>
- restart <port> <mods> : reboot le serveur sur le port <port> avec le mod <mods>
- list permet de voir quel serveur tourne actuellement

$ ./server_cod4 list
6155.cod4_28960 (Detached)
1 Socket in /var/run/screen/S-cod4.

check <port> : retourne 0 ou 1 si le serveur est lancé ou non, cette fonction sert uniquement avec l’interface web

3.2.2 <Port>

Vous avez le choix entre un port de 20000 à 40000

3.2.3 <mods>

C’est le nom du répertoire contenant le mod. Dans le cas ou vous ne le spécifiez pas le serveur démarre en Ranked.

3.3 Premier démarrage du serveur

On va lancer de nouveau le serveur à vide sans config à fin qu’il créer les fichiers et dossier de votre serveur.

./server_cod4 start 28960 promod
Server cod4 successfully on 28960
$ ./server_cod4 list
6155.cod4_28960 (Detached)
1 Socket in /var/run/screen/S-cod4.

Vous devriez obtenir quelque chose de semblable. On va couper le server pour configurer punkbuster, installer le promod et la cfg.

$ ./server_cod4 stop 28960
Stopping server cod4 on 28960

On va faire un petit état des lieux avant de continuer pour bien comprendre ce qu’on à fait jusqu’a présent.

$ cd ~
$ ls
cod4_28960 master server_cod4

Le dossier master contient la base de votre serveur
Le dossier cod4_28960 contient les fichiers de configuration du serveur tournant sur le port 28960

server_cod4 c’est le script de lancement

3.4 Config de punkbuster

$ cd ~/master
$ ./pbsetup.run -ag cod4 -ap /home/cod4/cod4_28960/ --i-accept-the-pb-eula
$ ./pbsetup.run -u --i-accept-the-pb-eula

3.5 Ajout de la CFG

Via le FTP uploader votre CFG dans le dossier /cod4_28960/mods/promod/ sous le nom server.cfg

L’emplacement est très important, vous ne devez pas installer de CFG dans le dossier master, elle serait en effet active sur tous les autres serveurs que vous lanceriez.

3.6 Ajout du mod

Toujours dans le dossier /cod4_28960/mods/promod/ uploader tous les fichiers du mods

Mais ce n’est pas tous, et cette partie est extrêmement importante, chaque mod sur cod4 à un fichier mod.ff, vous devez le également uploader dans le master install ce fichier exactement au même endroit.

~/cod4_28960/mods/promod/mod.ff

~/master/mods/promod/mod.ff

Vous l’aurez compris, si vous installer un mod < mon_mods > vous devez avoir dans l’install du server et dans le master install le même fichier au même endroit

~/cod4_<port>/mods/< mon_mods > /mod.ff

~/master/mods/< mon_mods > /mod.ff

3.6.1 / !\ Piège à éviter / !\

Vous ne pouvez pas mettre dans le serveur cod4_28960 une version du promod dans le dossier mods/promod et une autre dans le dossier mods/promod du serveur cod4_29960.

Vous devez ABSOMUMENT mettre un nom différent si les mods ne sont pas identique et de même version.

3.7 Installation des scripts Punkbuster pour le streaming

Les éventuels scripts Punkbuster sont à uploader via le FTP dans le dossier /cod4_<port>/pb

Bref mémo pour compiler son propre noyau sur Debian

On install les paquets nécessaire

apt-get install kernel-package ncurses-dev bzip2

On va dans le dossier /usr/src/

cd /usr/src

On télécharge le dernier noyau en date

wget kernel.org/pub/linux/kernel/v2.6/linux-2.6.28.tar.bz2

On le décompresse

tar xjvf linux-2.6.28.tar.bz2

On rentre dans le dossier fraichement d écompressé

cd linux-2.6.28/

On lance le menu de configuration

make menuconfig

On compile les éventuels d épendances

make dep

On nettoie tous avant le combat

make-kpkg clean

On lance la compilation et on va faire un pti tour, ça prend pas mal de temps (+- 25 min avec un P4 3.0Ghz)

make-kpkg --initrd --append-to-version="-250hz" --revision=lantiv0.1 kernel-image

une fois le .deb construis dans /usr/src/ on l’installe

dpkg -i kernel-image-2.6.28-250hz_lantiv0.1.deb

Et pour finir on reboot

reboot