août 13, 2020
Debian serveur zombie

L’archive des dépôts Debian, pour les serveurs zombies 2019

 

Debian serveur zombie congo hacking

vulnérabilités dans le noyau Linux de Debian

Ça fait pourtant des années que j’utilise Debian, mais pour être honnête j’ai toujours travaillé avec des versions supportées. Mais quand on débarque sur des serveurs non maintenus, genre un Debian 7 (Wheezy) ou pire, Debian 6 (Squeeze), s’il manque des outils ont est pas rendus parce que les dépôts ont disparus des écrans habituels. C’est ce qui m’est arrivé récemment, et voici comment je m’en suis sorti.

Au départ je voulais mettre ça dans une astuce diverse, et j’ai eu à faire beaucoup de bidouilles autour de versions non supportées de Debian et j’en ai ressorti suffisamment de choses pour que ça finisse dans un article à part.

Il s’avère que Debian conserve malgré tout une partie des dépôts de la distribution sur le site archive.debian.org. Très pratique, et on constate que ça remonte à super loin, pratiquement aux origines de la distribution, puisqu’on voit des fichiers datant de 1998.

Pour les utiliser, il suffit dès lors de modifier le fichier /etc/apt/sources.list :

Et on pense à virer tout le reste (pensez à vérifier le dossier sources.list.d). Je conseille plus que fortement de ne pas oublier le debian-security, car plusieurs paquets peuvent échouer en raison de dépendances non résolues (c’est le cas d’Apache par exemple, mais aussi de dépendances comme perl).

A lire Aussi  Conseiller : Emotet Malware

Les problématiques supplémentaires de Docker

C’est surtout cette partie qui m’a poussé à déporter le sujet. En effet, je n’avais pas eu le souci sur Debian Wheezy, mais sur Squeeze, les problèmes sont plus nombreux, sans parler du fait de devoir construire une image Docker en Squeeze. Déjà, il faut modifier le sources.list de l’image de base, je conseille de passer par un fichier préparé pour et une commande COPY. Ça, c’est simple.

Mais on attaque le dur, avec les signatures de paquets qui ont expiré. Rien que pour faire valider l’update des données repo, il faut ajouter une option :

On se retrouve alors face à des alertes de clés GPG elles aussi expirées. Dans un contexte docker en mode non-interactif, il faut ajouter une autre option lors du install pour passer outre l’alerte associée à ces clés (en mode interactif il nous demande confirmation d’installer des paquets non vérifiables) :

Plus spécifique à l’exécution d’Apache, sous Debian Squeeze le script d’init se charge de créer le dosser /var/run/apache2, pour y placer un fichier « mutex ». Hors dans un container docker, on démarre le process directement en FOREGROUND, donc pas de dossier, il faudra penser à l’ajouter à un moment, dans mon cas, c’est dans le même run que le apt-get, à la fin :

A lire Aussi  Écrire, enregistrer et exécuter ses programmes Python 2019

Et oui, c’est se faire beaucoup de mal pour rien, mais quand vous avez une application à transférer d’un vieux serveur sur un cluster Kubernetes, et que le code ne peut pas être revu, ben vous cherchez des solutions. Et au moins une des parties de cet article reste valable pour toute machine, y compris hors Docker. C’est ce qu’on appelle le monde réel, celui où les mises à jour majeures de serveurs tous les trois ans ne sont pas une norme, mais une exception, parce que les priorités sont ailleurs.

A lire Aussi  Cybersécurité : la gamification au service de la formation 2019
[ad_2]

Source link

harware

Je m'appelle Hardware, j'ai créé ce blog en 2019. Je suis passionné de High-Tech et de Réseau. Survivant de l'ère préhistogeek, j'ai survécu à l'adolescence sans Twitter et Facebook.

Voir tous les articles de harware →

Une réflexion sur « L’archive des dépôts Debian, pour les serveurs zombies 2019 »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

%d blogueurs aiment cette page :