Maintenir Debian GNU/Linux à jour

Maintenir Debian GNU/Linux à jour
Ce troisième document présente dans un premier temps comment maintenir son système à
jour de façon automatisée. Il est en effet indispensable d'installer de manière parfaitement régulière
les mises à jour système afin de combler les failles de sécurité découvertes dans les logiciels. Cela
permet de garder un système sécurisé et protégé des tentatives de piratage.
La méthode proposée ici n'est pas spécifique à Debian, elle peut s'appliquer à tous les
systèmes *nix pour peu que l'on adapte les commandes de mise à jour à la distribution voulue.
Dans un second temps, nous détaillerons comment créer une image du système à l'aide du
logiciel Oscar. Cela permettra, en cas de crash serveur par exemple, de réinstaller tout le système
configuré en quelques minutes.
Sommaire:
1. Reconfiguration du système
2. Création d'une image avec OSCAR
a) Préparation de la partition de sauvegarde
b) création d'une sauvegarde avec OSCAR
c) Restauration de la partition racine
d) Quand sauvegarder une image de la partition racine
e) Méthode de sauvegarde pour une sécurité maximale
Maintenir Debian GNU/Linux à jour
1/9
1. Reconfiguration du système
Sous Debian les mises à jour se téléchargent grâce à la commande apt-get update et
s'installent grâce à apt-get upgrade. La première chose à faire est de rendre ces deux commandes
automatiques, pour cela se connecter en tant que root (commande « su ») puis :
crontab -e
Insérer les lignes suivantes :
0 3 * * * /usr/bin/apt-get update
0 4 * * * /usr/bin/apt-get upgrade
Quitter en enregistrant (CTRL+X).
Les mises à jour seront ainsi téléchargées tous les jours à 3h et, théoriquement, installées
tous les jours à 4h. Cependant l'installation des mises à jour requiert nécessairement une
confirmation, donc en l'état actuel elles ne seront pas installées.
Nous trouvons préférable de ne pas automatiser complètement l'installation car en cas de
problème il vaut mieux être en face du serveur pour suivre en direct ce qui se passe et pouvoir y
remédier.
La commande apt-get upgrade étant lancée par le démon cron un e-mail est envoyé
automatiquement pour prévenir que celle-ci a été exécutée. Avec les réglages actuels les mails sont
consultables dans /var/mail/gepuser (gepuser est ici le destinataire des courriers root et postmaster
que l'on a défini lors de l'installation ; voir
http://gepi.mutualibre.org/download/install_sarge_et_install_gepi.pdf page 20). Il convient donc de
modifier les réglages de notre agent de transfert de courrier (MTA) pour qu'il envoie ces e-mails
directement dans une boîte aux lettres de notre choix.
Sous Debian, le MTA par défaut est exim4 en tant que root (par su):
dpkg-reconfigure exim4-config
Laisser la configuration en un seul fichier :
Maintenir Debian GNU/Linux à jour
2/9
Choisir la première proposition : distribution directe par SMTP
Indiquer le nom de domaine que nous souhaitons voir apparaître lors de l'envoi des e-mails.
La seule chose qui nous intéresse est de relayer les messages du démon cron, indiquer donc
127.0.0.1 pour désactiver les connexions entrantes.
Maintenir Debian GNU/Linux à jour
3/9
Laisser les trois champs suivants vides :
Maintenir Debian GNU/Linux à jour
4/9
Nous supposons que tout le monde dispose d'une connexion internet permanente (ADSL ou
autre). Il est donc inutile de minimiser les requêtes DNS :
Maintenir Debian GNU/Linux à jour
5/9
Exim4 va maintenant se reconfigurer seul en prenant en compte nos modifications.
Nous devons cependant encore indiquer au système à quel adresse nous souhaitons qu'il
envoie le courrier. Éditer le fichier des alias :
nano /etc/aliases
Ajouter une dernière ligne à ce fichier du type « login:adresse_email » :
Quitter en enregistrant (CTRL+X).
Pour finir indiquer au système que de nouveaux alias viennent d'être créés :
Maintenir Debian GNU/Linux à jour
6/9
newaliases
Maintenant tous les e-mails envoyés par le système arriveront dans la boîte aux lettres que
nous avons indiquée, ici [email protected] :
Ci-dessous un exemple de mail reçu lorsqu'une mise à jour doit être effectuée :
Le mail est envoyé par root ce qui est normal car nous utilisons son crontab (indispensable
pour pouvoir utiliser apt-get update et upgrade).
Le mail se termine par « Annulation » ce qui est normal car nous n'avons pas automatisé la
confirmation d'installation. Il suffit maintenant de se connecter au serveur pour effectuer la mise à
jour.
Il est facile de créer un filtre avec un client mail (thunderbird par exemple) pour que les mails
de cron soient automatiquement dirigés vers un dossier spécifique, ce qui facilite la gestion.
2. Création d'une image avec OSCAR
OSCAR est un live-CD qui permet de faire des sauvegardes et des restaurations de partitions.
L'utilisation que nous en ferons restera très basique par rapport à ses possibilités. Il permet en effet
aussi la diffusion par multicast de l'image de sa copie, la sauvegarde sur d'autres supports (comme
un disque dur externe ou un DVD).
Maintenir Debian GNU/Linux à jour
7/9
Pour obtenir OSCAR, allez à l'adresse suivante et suivez le lien de téléchargement :
http://www2.ac-lyon.fr/enseigne/electronique/oscar/oscar.html (Il vous faudra faire une demande à
l'auteur).
La version d' OSCAR qui fonctionne pour nous est 0.2.15 (nous n'avons pas réussi à faire
fonctionner les versions 1.x sur des partitions linux).
a) Préparation de la partition de sauvegarde
La partition que l'on utilisera est celle montée en /sav (voir document « Installation d'un
serveur sarge pour gepi »)
Booter sur le CD d' OSCAR, si vous avez moins de 512 Mo de Ram, saisir :
fb800 (sinon appuyer simplement sur entrée)
S'il y a des problèmes d'ordre graphique choisir l'option par défaut (de toute façon cela n'a pas
d'importance).
Attention la manipulation suivante est potentiellement dangereuse
i. Après vous être connecté, choisir le menu disque, puis formater
ii. Normalement la partition montée en tant que « /sav » est la partition hda3, pour en être sur: c'est
la partition qui a la même taille que celle de la partition active (repérée par un * et qui a
normalement le label hda1)
iii. Sélectionner cette partition puis choisir formater
iv. Choisir le même format qu'à l'installation du serveur srvgepi (ext3) puis accepter
v. Après le formatage, vous devez redémarrer le serveur srvgepi (penser à retirer le CD d' OSCAR du
lecteur).
À la prochaine utilisation d' OSCAR, la partition /sav sera prête à recevoir la sauvegarde.
Remarque importante: Il est possible d'installer OSCAR sur le disque dur, mais vu l'utilisation
que nous faisons de notre serveur et vu le fait qu'il pourrait y avoir un soucis dans la gestion du
chargeur de démarrage nous le déconseillons fortement. De plus en cas de crash disque il est
beaucoup plus sûr d'avoir le CD à portée de main pour toute sauvegarde ou restauration.
Nous vous conseillons fortement de bien lire les documents du site d' OSCAR
b) Création d'une sauvegarde avec OSCAR
Lancer OSCAR, choisir le menu sauvegarde, puis la sauvegarde vérifiée, puis la partition
active (normalement hda1) sur votre partition /sav (normalement hda3), lancer la sauvegarde.
Attendre, voilà c'est fini.
c) Restauration de la partition racine
Pour la restauration, la méthode est plus rapide, car après le boot, à la fenêtre d'accueil d'
OSCAR, vous avez un lien direct pour la restauration.
Quand sauvegarder une image de la partition racine:
●
●
A chaque fois que vous modifiez GEPI, autrement dit à chaque nouvelle version
Une à deux fois par an, pour avoir les mises à jour du système sur la sauvegarde
Maintenir Debian GNU/Linux à jour
8/9
e) Méthode de sauvegarde pour une sécurité maximale
●
Effectuer une sauvegarde de la base de données GEPI, et des répertoires documents (si vous
utilisez le cahier de texte en ligne) et photos (si vous utilisez le trombinoscope) en tant qu'
utilisateur sauveur :
mysqldump -u mgepuser -pmdp3 -x -e -B gepi > /home/sauveur/backup/gepioscar.sql
tar cvfz /home/sauveur/backup/documentsoscar.tar.gz /var/www/gepi/documents
tar cvfz /home/sauveur/backup/photososcar.tar.gz /var/www/gepi/photos
●
●
●
●
●
●
●
Sauvegarder ses données sur un poste distant (par sftp par exemple)
Avec OSCAR, lancer la restauration du serveur
Redémarrer le serveur et effectuer la restauration de la base gepi et des dossiers documents
et photos (voir document: « sauvegarde automatique des données de gepi »
Effectuer les modifications ( nouvelles version de gepi, patchs etc ...)
Lancer, en tant que root (par su):
apt-get update
apt-get upgrade
exit
Tester que gepi fonctionne bien
Avec OSCAR effectuer la sauvegarde vérifiée de la partition racine.
Rappel des identifiants:
Description
Identifiants de la doc
Partition active (racine)
hda1
Partition OSCAR
hda3
Serveur gepi
srvgepi
Adresse du serveur gepi
adresseIP
Mot de passe root
mdp0
Utilisateur du serveurgepi
gepuser
Mot de passe de gepuser
mdp1
Mot de passe du root de Mysql
mdp2
Utilisateur Mysql administrateur de gepi
mgepuser
Mot de passe de mgepuser
mdp3
Utilisateur de sauvegarde
sauveur
Mot de passe de sauveur
mdp4
Vos identifiants
D.Pailler
B.Castagnetto
Document placé sous licence GFDL
Maintenir Debian GNU/Linux à jour
9/9