Serveur dédié : réduire les connexions TIME_WAIT des sockets et optimiser TCP photo

Serveur dédié : optimiser la couche TCP

Aujourd’hui, nous allons mettre quelques petites astuces qui permettent d’optimiser un peu le temps de réaction du serveur Apache.

Nous allons commencer par réduire le nombre de connexions TIME_WAIT des sockets TCP et nous verrons ensuite comment optimiser un peu la couche TCP.

Réduire le TIME_WAIT des sockets TCP

De temps à autre, on tombe sur un serveur Apache qui possède des tonnes de connexions TIME_WAIT qui semblent errer dans les limbes. Même si ces connexions ne prennent pas autant de ressources que des connexions ESTABLISHED, il n’est pas vraiment utile de les garder aussi longtemps.

Commençons par faire un petit état des lieux de nos connexions :

netstat -nat | awk '{print $6}' | sort | uniq -c | sort -n

Résultat :

      1 established)
      1 Foreign
      2 ESTABLISHED
      3 FIN_WAIT1
     20 LISTEN
    228 TIME_WAIT

Nous avons donc 228 connexions dans les limbes en TIME_WAIT, qui sont totalement inutiles. Voyons donc comment nous pouvons réduire ce nombre.

Vérifiez ces valeurs:

cat /proc/sys/net/ipv4/tcp_fin_timeout
cat /proc/sys/net/ipv4/tcp_tw_recycle
cat /proc/sys/net/ipv4/tcp_tw_reuse

Vous devriez obtenir, respectivement, les valeurs 60 pour le timeout, 0 pour le reyclage et 0 pour la réutilisation.

Nous allons modifier ces valeurs pour réduire le timeout à 30 secondes, et recycler et réutiliser nos connexions :

echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1 > /proc/sys/net/ipv4/tcp_tw_recycle
echo 1 > /proc/sys/net/ipv4/tcp_tw_reuse

Pour que les changements soient persistants, il faut ajouter ces valeurs au fichier sysctl.conf.

Lire la suite

Serveur dédié : sécuriser Apache avec HTTPS (HTTP avec la couche TLS/SSL) en Perfect Forward Secrecy photo 1

Serveur dédié : sécuriser Apache avec HTTPS (HTTP avec la couche TLS/SSL) en Perfect Forward Secrecy

Cela fait quelques mois que j’en parle mais aujourd’hui je le fais, je passe le site en HTTPS – ou techniquement en HTTP avec la couche TLS.

Après les révélations d’Edward Snowden et les multiples affaires concernant les écoutes et les fuites des données des citoyens, je pense qu’il est temps de reprendre un peu les choses en main et de nous intéresser au chiffrement de nos connexions.

La réalisation de ce tutoriel prend moins de 30 minutes, il y a peu de fichiers à éditer et de lignes à copier mais il faut être assez attentif aux diverses manipulations (notamment lors de la génération du certificat).

SSL ou TLS ?

Secure Sockets Layer (SSL) est un protocole cryptographique qui permet une communication sécurisée sur Internet. SSL a été développée par Netscape. SSL 2.0 date de 1995, SSL 3.0 de 1996. Les navigateurs actuels ne supportent plus SSL 2.0.

Transport Layer Security (TLS) est le successeur de SSL. TLS 1.0 date de 1999, TLS 1.1 de 2006 et TLS 1.2 de 2008.

Depuis septembre 2014, la dernière version de tous les navigateurs majeurs supporte SSL 3.0, TLS 1.0, 1.1, et 1.2 activés par défaut et les mitigations contre les attaques connues ont été implémentées.

Les navigateurs qui posent encore problème :

– support de TLS 1.1 and 1.2 mais désactivés par défaut : Internet Explorer (8–10 for Windows 7 / Server 2008 R2, 10 for Windows 8 / Server 2012, Mobile 10 for Windows Phone 8), Opera 12

– non-support de TLS 1.1 et 1.2: Internet Explorer (6-8 for Windows Server 2003, 7–9 for Windows Vista / Server 2008, Mobile 7 and 9 for Windows Phone 7.x), Safari 6 for Mac OS X 10.7 and 10.8

– mitigations contre les attaques connues non implémentées: Safari 6 for Mac OS X 10.7

HTTPS et TLS

Le protocole HTTPS (“Hypertext Transport Protocol Secure” ou protocole de transfert hypertexte sécurisé) protège l’intégrité et la confidentialité des informations des visiteurs d’un site.

Par exemple, lorsqu’un internaute saisit des informations dans un formulaire en ligne afin de recevoir des notifications ou d’acheter un produit, un site sécurisé protège les informations personnelles de cet internaute et garantit que ce dernier communique bien avec le propriétaire autorisé du site.

Avec le HTTPS, les informations sont sécurisées via le protocole Transport Layer Security (TLS), qui offre trois niveaux clés de protection.

1. le chiffrement : consiste à coder les données échangées pour les protéger des interceptions illicites. Cela signifie que lorsqu’un internaute navigue sur un site Web, personne ne peut “écouter” ses conversations, suivre ses activités sur diverses pages ni voler ses informations.

2. l’intégrité des données : les informations ne peuvent être ni modifiées, ni corrompues durant leur transfert, que ce soit délibérément ou autrement, sans être détectées.

3. l’authentication : prouve que les internautes communiquent avec le bon site Web. Cet élément protège contre les attaques de l’homme du milieu (“Man In The Middle” aka MITM) et instaure un climat de confiance pour l’internaute.

Lire la suite

karmic-clavier

Ubuntu : règler le problème du clavier QWERTY au démarrage

karmic-clavier

Il y a quelques jours, je me suis dit qu’il était temps de mettre à jour mon Ubuntu : je suis donc passé de Jaunty Jackalope (v9.04) à Karmic Koala (v9.10).

Une ombre au tableau : le clavier qui refuse obstinément de se mettre en AZERTY après la mise à jour.

Lire la suite

La loi Hadopi adoptée par l'Assemblée Nationale photo

La loi Hadopi adoptée par l’Assemblée Nationale

Le projet de loi Création et Internet vient d’être adoptée par l’Assemblée avec 53% des voix – 296 voix pour et 233 contre (et une trentaine d’abstentions). 557 députés sur 577 étaient présents, ce qui est plus glorieux que lors du dernier vote. D’ailleurs on se demande bien pourquoi ce projet de loi est revoté !

Le texte doit encore être validé par le Sénat demain, puis examiné une seconde fois, article par article, jeudi. Si la Haute assemblée vote le texte en l’Etat ce sera la fin du cycle législatif. Si un nouvel amendement est déposé, la loi devra repartir une dernière fois à l’Assemblée pour un vote final.

HADOPI bafoue les principes fondamentaux des droits français et européens et notamment : le respect d’un procès équitable, le principe de proportionnalité des délits et des peines et la séparation des pouvoirs. Le Parlement européen vient en outre pour la 4ème fois de rappeler son opposition au texte français en votant à nouveau l’amendement 138/463, rendant l’HADOPI caduque.

Parodie de “Brazil” (1985) par Actualité en VO

Lire la suite

HADOPI : le gouvernement contre-attaque photo 1

HADOPI : le gouvernement contre-attaque

hadopi cadenas

La loi Internet et Libertés a été votée et adoptée le jeudi 2 avril 2009 à l’Assemblée Nationale par 16 députés sur les 577 élus.

Cela nous donne donc une loi votée à main levée par 2.77% des députés que nous avons élus…

La fameuse Commission Mixte Paritaire, composée de sept députés et sept sénateurs, a opéré, en moins de 2h, quelques modifications au projet de loi Création et Internet (HADOPI), afin d’harmoniser la future loi autour des deux versions du texte successivement votées par le Sénat puis par l’Assemblée.

Mais elle n’a pas fait que ça puisqu’elle en a profité pour durcir le texte.

HADOPI

L’HADOPI est l’instance chargée de récupérer auprès des FAI les adresses mails des internautes soupçonnés de piratage pour leur envoyer des avertissements puis, au besoin, les sanctionner.

Le président de la Haute autorité indépendante sera élu par les membres du collège de l’HADOPI, et non nommé par décret.

Lire la suite

Connexion à Free dégroupé sans Freebox photo

Connexion à Free dégroupé sans Freebox

Il est possible de se connecter à Free dégroupé sans Freebox et en utilisant un simple modem ADSL ou, mieux encore, un routeur/firewall.

Connexion à Free dégroupé sans Freebox photo

“Mais pourquoi se passer de la Freebox ?”, vous entends-je demander… tout simplement parce que si vous avez plusieurs PC, vous ne pourrez peut-être pas tous les connecter, à moins d’acheter une panoplie de cartes WiFi.

Voici donc un petit tutoriel pour configurer un routeur (ici un Netgear DG834G) pour accéder à Internet avec Free dégroupé. Cela prend 5 minutes et 5 étapes dans l’interface d’administration du routeur.

Etape 1 : informations de connexion

Commençons par rentrer les informations élémentaires nécessaire à la connexion au réseau de Free. Ces informations (IP, masque…) sont contenues dans le courrier postal que Free vous a envoyé après la signature de votre contrat ADSL.

Vous pouvez également afficher vos informations de connexion en utilisant la page de suivi de votre compte Free : tout y est indiqué (IP, débit, affaiblissement….).

Procédons maintenant pas à pas : si vous avez un routeur Netgear, allez dans l’interface d’administration (tapez dans la barre d’adresse de votre navigateur et loggez-vous). Ensuite, cliquez sur Basic settings.

Si vous possédez un autre modèle de routeur, il vous faut trouver le menu équivalent. Vous devriez obtenir cette page :

Login

Explications :

  • Login : “No”. Tout comme la Freebox, le routeur n’a pas besoin de s’identifier par login/mot de passe ;
  • Account name : mettez le nom de votre routeur ;
  • Domain name : “free.fr” ;

Lire la suite