Actualités de phare.normalesup.org
Annonces liées au fonctionnement de phare. Version sécurisée.
En vue d'une migration, une nouvelle interface webmail est proposée : Roundcube. Merci de signaler tout problème éventuel aux gardiens.
Le système d'exploitation de Phare est maintenant Debian 9 (Stretch). Merci de signaler tout problème résiduel aux gardiens.
La liaison Internet de l'ENS, et donc de phare, a été très perturbée de dimanche à lundi matin, puis de lundi soir à mardi matin. Voici l'information officielle que nous avons reçue à ce sujet.
Sujet : [tous] [tous] Panne informatique Date : Tue, 24 Feb 2015 09:26:05 +0100 (MET) Emetteur : Centre des ressources informatiques Mesdames, Messieurs, Un équipement Renater est tombé en panne hier soir. Nous sommes dans l'attente de leur intervention pour son remplacement. Bien cordialement, Direction Générale des Services
Un nouveau serveur (financé par l'A-Ulm) a été mis en place et le système d'exploitation a été mis à jour à l'occasion. Merci de signaler tout problème résiduel aux gardiens.
Caractéristiques du nouveau serveur : Dell PowerEdge R520, biprocesseur Intel Xeon E5-2407v2 (2,4 GHz, 4 coeurs chacun), 32 Go de RAM (2*16), 4 disques de 2 To (SATA, 7200 tr/mn) en RAID 10, système d'exploitation Debian Jessie 64 bits.
L'ENS a subi une attaque informatique de type déni de service (DDoS). Tous les services normalesup.org ont donc été fortement perturbés. Voici les informations que nous avons reçues à ce sujet.
Sujet : [tous] [tous] Information cyber-attaque Date : Wed, 21 Jan 2015 09:14:06 +0100 (MET) Mesdames, Messieurs, L’ENS subit depuis hier soir une cyber-attaque en déni de service. Des perturbations en résultent. En conséquence, ce matin, nous allons stopper les flux hors du réseau enseignement recherche RENATER et ce durant quelques heures. Nous mettons tout en oeuvre pour résoudre cette situation. Bien cordialement, École Normale Supérieure Direction Générale des Services ------------------------------------------------------------------------ Sujet : [tous] [tous] Cyber-attaque (suite) Date : Wed, 21 Jan 2015 19:57:57 +0100 (MET) Bonsoir à tous, La cyber-attaque commencée hier soir continue. Il n'est pas possible de rétablir le lien vers l'extérieur de l'école en ce moment. Les communications internes fonctionnent normalement, mais celles avec l'extérieur sont impossibles. Tout est mis en oeuvre pour rétablir le service le plus rapidement possible. Les RSSI, le CRI et les informaticiens des départements travaillent à rétablir la situation. Merci de votre compréhension. ------------------------------------------------------------------------ Sujet : [tous] [tous] Retour d’information : cyber-attaque du 20 au 22 janvier Date : Thu, 29 Jan 2015 13:40:31 +0100 (MET) Emetteur : Responsables sécurité des systèmes d'information Mesdames, Messieurs, L’établissement a subi une cyber-attaque de type "déni de service" la semaine dernière. Cela a provoqué la coupure de la liaison réseau avec l’extérieur durant deux jours. L’intrusion sur un serveur de l’Ecole a également contribué à amplifier les perturbations. A ce jour, nous ne connaissons pas encore l’origine de l’attaque. Nous vous remercions de veiller au respect des règles d’usage des systèmes d’information. Comptant sur votre vigilance, Bien cordialement, École Normale Supérieure Direction Générale des Services
ERDF a annoncé tardivement (vendredi en fin d'après-midi) des travaux pouvant occasionner des coupures de courant non maîtrisées dans toute l'ENS à partir de 6h30. À titre conservatoire, Phare a été éteint vers 6h30 puis rallumé à la fin des travaux durant l'après-midi. Le serveur pc-aa3, hébergeant la redirection de courrier électronique normalesup.org, n'a pas été éteint.
Une panne de courant généralisée a eu lieu à l'ENS à 13h48, causant un arrêt brutal des machines. Phare a redémarré sans dommage au retour du courant. À noter que le serveur pc-aa3, hébergeant la redirection de courrier électronique normalesup.org, est resté éteint plus longtemps, aussi les mails y transitant ont été bloqués quelque temps, mais sont arrivés à destination dès le retour à la normale.
Phare a connu une longue indisponibilité du lundi 8 juillet au soir au mercredi 10 juillet au matin.
Pour une raison encore indéterminée, des erreurs sont apparues sur un système de fichiers (partition /var) lundi soir. Cette partition a été automatiquement passée en lecture seule par le noyau Linux, bloquant notamment la réception et l'émission de mails ainsi que la connexion au webmail. Le SPI a tenté un premier redémarrage mardi matin, cependant celui-ci n'a pu aboutir en raison d'un trop grand nombre d'erreurs résiduelles, nécessitant l'intervention d'un gardien. Cette seconde intervention n'a pu avoir lieu que mercredi matin, en raison des faibles effectifs disponibles en cette période estivale. Nous recherchons activement la cause initiale du problème, et nous nous tenons prêts à remplacer le serveur au cas où celle-ci serait matérielle.
Les données des utilisateurs n'ont pas été affectées. La plupart des mails qui vous ont été adressés pendant la panne ont été stockés sur des serveurs intermédiaires, et ont fini par être livrés avec un peu de retard. Il semblerait toutefois que certains messages aient été rejetés à l'entrée de l'ENS, et l'expéditeur en a alors été dûment averti. Veuillez nous excuser pour la gêne occasionnée.
Le système d'exploitation de phare (distribution Debian GNU/Linux) a été mis à jour de squeeze (devenue oldstable) à wheezy (stable depuis le 5 mai) le 20 mai. Merci de signaler tout problème résiduel aux gardiens.
De nouveaux certificats SSL ont été mis en place sur le serveur web et le serveur de messagerie. Ils devraient être acceptés par la plupart des navigateurs et logiciels de courrier électronique sans message d'avertissement.
En raison d'une coupure d'électricité au 45 rue d'Ulm, phare sera arrêté pour la journée.
En raison de l'arrêt d'un autre matériel du SPI pour maintenance (clipper), phare sera inaccessible (mais toujours en fonctionnement) de 12h à 15h.
Suite à la découverte de corruptions dans la partition-racine, phare a été redémarré pour une vérification du système de fichiers, et les fichiers corrompus ont été restaurés à partir des sauvegardes. Les données des utilisateurs, qui sont stockées dans une autre partition, n'ont pas été affectées.
Des travaux électriques auront lieu dans la salle hébergeant phare. Le courant sera coupé de 8h à 9h, puis de 16h à 17h, voire à d'autres moments. Prévoir des perturbations de 7h30 à 18h.
Le système d'exploitation de phare a été mis à jour. Merci de signaler tout problème résiduel aux gardiens.
Un des deux disques durs de phare est tombé en panne le mardi 24 août peu avant 5 heures du matin. Il n'y a pas eu de pertes de données, mais une intervention de réparation du disque, sous garantie, était nécessaire. En conséquence, un premier arrêt de phare a eu lieu entre 14h30 et 15h15 le lundi 30 août 2010, pour diagnostic, puis un arrêt pour le remplacement du disque a eu lieu le 31 août 2010 entre 12h25 et 12h45 environ.
Suite à une alerte de sécurité, une importante mise à jour logicielle a été effectuée. Certains services ont été indisponibles pendant l'opération, veuillez nous excuser pour la gêne occasionnée. Merci de signaler tout problème résiduel aux gardiens.
Par ailleurs, la charte des moyens informatiques de l'École normale supérieure a été mise à jour le 7 juillet 2009 (modifications depuis 2008).
Suite à l'installation du nouveau serveur disposant de plus d'espace-disque, les quotas ont été augmentés. Chaque utilisateur bénéficie désormais de 1 Go par défaut, et de 10 Go s'il est membre de l'AAEENSA-Ulm.
Le nouveau serveur (financé par l'AAEENSA-Ulm) a été installé. Seul le matériel a été remplacé, l'installation logicielle a été conservée. Merci de signaler tout problème aux gardiens.
Nouvelle configuration matérielle : processeur Intel X3220 2,4 GHz quadri-coeur, mémoire 4 Go ECC, disque 2*750 Go en RAID 1.
La version 2008 de la charte des moyens informatiques de l'École normale supérieure est en ligne. Une unique modification par rapport à la version antérieure : à l'article 4.11, un pointeur vers les recommandations CNRS du 17 avril 2008 pour l'usage des services gratuits sur Internet (en résumé, utiliser Gmail, Yahoo, Skype, etc, pose souci dans un cadre professionnel). Le nouveau site www.ssi.ens.fr reprend également un certain nombre de textes réglementaires relatifs à l'informatique.
Cette annonce concerne uniquement les utilisateurs de l'accès SSH (ssh/scp/sftp). La consultation du courrier électronique par le webmail et IMAP/POP n'est pas affectée.
Suite à une alerte de sécurité, les clés SSH du serveur phare ont été remplacées le 18 mai 2008. Les empreintes (fingerprints) des nouvelles clés sont les suivantes :
34:a1:b6:95:a5:20:dd:1d:eb:b4:2c:7f:8f:3a:82:cb (RSA) 34:6e:6d:14:fd:3c:86:fb:66:53:a4:c5:6e:b6:63:00 (DSA)
Concrètement, cela signifie que, lorsque vous vous connecterez pour la première fois après le changement de clé, vous devriez recevoir un message d'alerte (qui, en temps normal, ne devrait jamais apparaître) :
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that the RSA host key has just been changed. The fingerprint for the RSA key sent by the remote host is 34:a1:b6:95:a5:20:dd:1d:eb:b4:2c:7f:8f:3a:82:cb. Please contact your system administrator. Add correct host key in /home/tartempion/.ssh/known_hosts to get rid of this message. Offending key in /home/tartempion/.ssh/known_hosts:8 RSA host key for localhost has changed and you have requested strict checking. Host key verification failed.Vérifiez l'empreinte indiquée, puis éditez le fichier (caché) ~/.ssh/known_hosts sur votre machine locale pour enlever la ligne correspondant à l'ancienne clé (8ème ligne dans l'exemple ci-dessus). Connectez-vous à nouveau, et confirmez pour enregistrer la nouvelle clé. NB : selon la version de ssh installée, vous pourriez aussi avoir à enlever la ligne correspondant à l'adresse IP de phare. N'effacez pas tout votre fichier known_hosts !
Par ailleurs, si vous vous connectez en utilisant une clé privée (au lieu du mot de passe) qui a été créée (voire simplement utilisée) sur un système Debian ou dérivé (Ubuntu, etc), celle-ci a toutes les chances d'être faible, c'est-à-dire qu'un pirate pourrait facilement la deviner et accéder à votre compte. Le serveur SSH mis à jour refuse les clés jugées «suspectes». Cependant pensez à vérifier toutes vos clés (~/.ssh/authorized_keys, etc.) et supprimez-les si vous avez le moindre doute, avant d'en recréer de nouvelles sur un système sûr (mis à jour).
Contactez les gardiens pour toute question.
Suite à des problèmes matériels, le serveur a été remplacé. Le changement doit être transparent pour les utilisateurs.
