Voilà un très bon article qui explique l’origine du bug 2010 de spamassassin et comment le résoudre en attendant une mise à jour prochaine.

Pour résumer, la ligne suivante dans votre fichier local.cf devrait résoudre le problème:

score FH_DATE_PAST_20XX 0.0

Quoique 1 faille en 10 ans, c’est quand même pas beaucoup…

A voir ici.

Les spammeurs ont en effet la fâcheuse habitude d’attaquer en premier les serveurs MX secondaires, souvent moins bien protégés. Ils se retrouveront alors en face de votre serveur mail principal.

Merci Julien.

Disposant d’un vieux serveur P4 n’ayant pas les facultés de virtualisation, j’ai essayé VirtualBox de Sun pour déployer des machines virtuelles de test.

Il existe un très bon howto à cet endroit. Je n’ai pas de serveur X installé sur cette machine, et je ne veux pas en installer. L’avantage de Virtualbox, c’est qu’il permet de démarrer une machine virtuelle et de s’y connecter en Remote Desktop. Vous pouvez très bien mettre en place cette solution sur un serveur hébergé à Paris et faire tourner vous y connecter depuis chez vous (à voir niveau latence ce que ça vaut …)


xen ~ # emerge -av virtualbox-bin

These are the packages that would be merged, in order:

Calculating dependencies… done!
[ebuild N ] x11-misc/util-macros-1.1.5 47 kB
[ebuild N ] media-libs/libmng-1.0.10 USE= »-lcms » 1,068 kB
[ebuild N ] media-libs/libsdl-1.2.13 USE= »-X -aalib -alsa -arts -custom-cflags -dga -directfb -esd -fbcon -ggi -libcaca -nas -noaudio -nojoystick -novideo -opengl -oss -pulseaudio -svga -xinerama -xv » 3,295 kB
[ebuild N ] virtual/libstdc++-3.3 0 kB
[ebuild N ] sys-apps/usermode-utilities-20040406-r1 59 kB
[ebuild N ] net-misc/bridge-utils-1.4 32 kB
[ebuild N ] app-emulation/virtualbox-modules-1.6.4 193 kB
[ebuild N ] x11-proto/xproto-7.0.10 140 kB
[ebuild N ] x11-proto/inputproto-1.4.2.1 47 kB
[ebuild N ] x11-libs/xtrans-1.0.3 USE= »-debug » 101 kB
[ebuild N ] x11-proto/kbproto-1.0.3 57 kB
[ebuild N ] x11-proto/renderproto-0.9.2 40 kB
[ebuild N ] x11-proto/xf86bigfontproto-1.1.2 37 kB
[ebuild N ] x11-proto/bigreqsproto-1.0.2 36 kB
[ebuild N ] x11-proto/xcmiscproto-1.1.2 36 kB
[ebuild N ] x11-proto/fixesproto-4.0 38 kB
[ebuild N ] x11-proto/xineramaproto-1.1.2 38 kB
[ebuild N ] x11-proto/randrproto-1.2.1 54 kB
[ebuild N ] x11-proto/xextproto-7.0.2 67 kB
[ebuild N ] x11-libs/libICE-1.0.4 USE= »-debug -ipv6″ 247 kB
[ebuild N ] x11-libs/libXau-1.0.3 USE= »-debug » 225 kB
[ebuild N ] x11-libs/libXdmcp-1.0.2 USE= »-debug » 216 kB
[ebuild N ] x11-libs/libX11-1.1.4 USE= »-debug -ipv6 -xcb » 1,540 kB
[ebuild N ] x11-libs/libSM-1.0.3 USE= »-debug -ipv6″ 219 kB
[ebuild N ] x11-libs/libXext-1.0.3 USE= »-debug » 256 kB
[ebuild N ] x11-libs/libXrender-0.9.2 USE= »-debug » 241 kB
[ebuild N ] x11-libs/libXfixes-4.0.3 USE= »-debug » 210 kB
[ebuild N ] x11-libs/libXt-1.0.5 USE= »-debug » 489 kB
[ebuild N ] x11-libs/libXft-2.1.12 USE= »-debug » 255 kB
[ebuild N ] x11-libs/libXcursor-1.1.9 USE= »-debug » 230 kB
[ebuild N ] x11-libs/libXrandr-1.2.1 USE= »-debug » 216 kB
[ebuild N ] x11-libs/libXi-1.1.3 USE= »-debug » 243 kB
[ebuild N ] x11-libs/libXinerama-1.0.2 USE= »-debug » 210 kB
[ebuild N ] virtual/xft-7.0 0 kB
[ebuild N ] x11-libs/qt-3.3.8-r4 USE= »mysql -cups -debug -doc -examples -firebird -gif -immqt -immqt-bc -ipv6 -nas -nis -odbc -opengl -postgres -sqlite -xinerama » 16,986 kB
[ebuild N F ] app-emulation/virtualbox-bin-1.6.4 USE= »additions vboxwebsrv headless -sdk » 21,029 kB

Total: 36 packages (36 new), Size of downloads: 48,180 kB
Fetch Restriction: 1 package (1 unsatisfied)

A la fin de la compilation, il nous est demandé de télécharger le binaire d’installation directement sur le site de VirtualBox:


* Please download the package from:
*
* http://download.virtualbox.org/virtualbox/1.6.4/VirtualBox-1.6.4-Linux_x86.run
*
* and then put it in /usr/portage/distfiles
* Fetch failed for 'app-emulation/virtualbox-bin-1.6.4'
* GNU info directory index is up-to-date.
* IMPORTANT: 4 config files in '/etc' need updating.
* See the CONFIGURATION FILES section of the emerge
* man page to learn how to update config files.
xen ~ # cd /usr/local/src/
xen src # wget http://download.virtualbox.org/virtualbox/1.6.4/VirtualBox-1.6.4-Linux_x86.run
xen src # chmod +x VirtualBox-1.6.4-Linux_x86.run
xen src # ./VirtualBox-1.6.4-Linux_x86.run
Verifying archive integrity... All good.
Uncompressing VirtualBox for Linux installation........
VirtualBox Version 1.6.4 (Tue Jul 29 20:45:09 CEST 2008) installation
Installing VirtualBox to /opt/VirtualBox-1.6.4
Building the VirtualBox kernel module

VirtualBox has been installed successfully.

You will find useful information about using VirtualBox in the user manual
/opt/VirtualBox-1.6.4/UserManual.pdf
and in the user FAQ

http://www.virtualbox.org/wiki/User_FAQ

We hope that you enjoy using VirtualBox.

Il suffit ensuite de suivre ce tutorial pour créer une Machine virtuelle à partir d’une ISO d’ubuntu server par exemple (256M de mémoire et 10G d’espace disque)


xen ~ # modprobe vboxdrv
xen ~ # VBoxManage createvm -name "Ubuntu 8.10 Server" -register
xen ~ # VBoxManage modifyvm "Ubuntu 8.10 Server" -memory "256MB" -acpi on -boot1 dvd -nic1 nat
xen ~ # VBoxManage createvdi -filename "Ubuntu_8_10_Server.vdi" -size 10000 -register
xen ~ # VBoxManage modifyvm "Ubuntu 8.10 Server" -hda "Ubuntu_8_10_Server.vdi"
xen ~ # VBoxManage registerimage dvd /home/ubuntu-8.10-server-i386.iso
xen ~ # VBoxManage modifyvm "Ubuntu 8.10 Server" -dvd /home/ubuntu-8.10-server-i386.iso
xen ~ # VBoxHeadless -startvm "Ubuntu 8.10 Server"
xen ~ # VirtualBox Headless Interface 1.6.4
(C) 2008 Sun Microsystems, Inc.
All rights reserved

Listening on port 3389

J’ai été confronté à un plantage de VBoxHeadless avec les sécurités PAX activées dans le kernel. Je les ai donc enlevées du noyau, il faut dans ce cas relancer le script d’installation de VirtualBox pour qu’il régénère un module pour le nouveau noyau.

Pour se connecter à la Machine Virtuelle, le RDC de Microsoft pour macosx ne semble pas fonctionner (les logs de connexions se trouvent dans /root/.VirtualBox/Machines/Ubuntu 8.10 Server/Logs si vous avez utilisé le compte root jusqu’à présent).


00:02:46.807 VRDP: Logoff: () build 0. User: [] Domain: [] Reason 0xFFFFFFFF.
00:02:48.627 VRDP: New connection:
00:02:48.685 VRDP: Flags 0x0000001b
00:02:48.685 VRDP: Channel: [rdpdr] [1004]. Not supported.
00:02:48.685 VRDP: Channel: [rdpsnd] [1005]. Accepted.
00:02:48.685 VRDP: Channel: [cliprdr] [1006]. Accepted.
00:02:48.756 VRDP: Failed to process incoming RDP packet: VERR_VRDP_PROTOCOL_ERROR!!!
00:02:48.756 VRDP: The RDP packet content (read):


En utilisant le Remote Desktop de la version Windows, aucun problème. J’avoue ne pas avoir cherché beaucoup pour résoudre ce problème, peut-être ce message vous y aidera.

D’après mes premiers tests, je trouve cette solution très rapide à la fois à mettre en place, et également durant son fonctionnement. Lors de la mise à jour du système client, le cpu hôte n’est utilisé qu’à 1%, la mémoire à 20-30%. Pas mal du tout, reste à créer une Machine Virtuelle sous Gentoo pour voir.

Et vous, c’est lequel votre préféré ? Xen ? VMWare ? VirtualBox ?

PS: oui ma machine VirtualBox s’appelle Xen, et alors ?

Edit: pour que Ubuntu Server accepte de booter sous VirtualBox, il faut demander à ce dernier d’activer le support PAE:


xen ~ # VBoxManage modifyvm "Ubuntu 8.04 Server" -pae on


Edit 2 : aussitôt dit, aussitôt fait, pour installer Gentoo 2008 comme système client, il suffit d’utiliser les mêmes lignes que précédemment en modifiant juste celle-ci:


xen Logs # VBoxManage modifyvm "Gentoo 2008" -memory "256MB" -acpi on -boot1 dvd -nic1 nat -ioapic off


puis de démarrer une deuxième instance de VirtualBox sur un autre port:


xen Logs # VBoxHeadless -startvm "Gentoo 2008" -p 3390
xen Logs # VirtualBox Headless Interface 1.6.4
(C) 2008 Sun Microsystems, Inc.
All rights reserved

Listening on port 3390

Il y a un très bon guide ici pour notamment les options du kernel à choisir.

Ce script analyse vos fichiers de logs et ajoute des règles dans votre firewall applicatif iptables pour bloquer les tentatives d’accès par ssh, apache, les requêtes DNS trop nombreuses, etc…

Voici un exemple de pollution récurrente:
Dec 9 10:03:28 server sshd[27836]: Invalid user ishihara from 121.134.8.168
Dec 9 10:03:30 server sshd[27842]: Invalid user hfujioka from 121.134.8.168
Dec 9 10:03:33 server sshd[27848]: Invalid user minami from 121.134.8.168
Dec 9 10:03:35 server sshd[27856]: Invalid user togashi from 121.134.8.168
Dec 9 10:03:37 server sshd[27865]: Invalid user nshino from 121.134.8.168
Dec 9 10:03:40 server sshd[27870]: Invalid user wataru from 121.134.8.168
Dec 9 10:03:42 server sshd[27875]: Invalid user yhashi from 121.134.8.168
Dec 9 10:03:44 server sshd[27883]: Invalid user gai from 121.134.8.168
Dec 9 10:03:46 server sshd[27888]: Invalid user sudomine from 121.134.8.168
Dec 9 10:03:49 server sshd[27893]: Invalid user tsutomu from 121.134.8.168
Dec 9 10:03:51 server sshd[27898]: Invalid user naoto from 121.134.8.168
Dec 9 10:03:53 server sshd[27903]: Invalid user shimizu from 121.134.8.168
Dec 9 10:03:56 server sshd[27908]: Invalid user yokoyama from 121.134.8.168
Dec 9 10:03:58 server sshd[27913]: Invalid user koki from 121.134.8.168
Dec 9 10:04:00 server sshd[27918]: Invalid user masashi from 121.134.8.168
Dec 9 10:04:02 server sshd[27923]: Invalid user tomonari from 121.134.8.168
Dec 9 10:04:05 server sshd[27933]: Invalid user higashi from 121.134.8.168
Dec 9 10:04:07 server sshd[27938]: Invalid user ryotaro from 121.134.8.168
Dec 9 10:04:09 server sshd[27943]: Invalid user mashima from 121.134.8.168
Dec 9 10:04:12 server sshd[27948]: Invalid user shuu from 121.134.8.168
Dec 9 10:04:14 server sshd[27953]: Invalid user oono from 121.134.8.168
Dec 9 10:04:16 server sshd[27958]: Invalid user oliver from 121.134.8.168
Dec 9 10:04:18 server sshd[27963]: Invalid user toyoc from 121.134.8.168 

Il faut bien sur avoir au préalable installé iptables et le module dans le kernel qui va bien.

Après la traditionnelle phase de compilation du soft, il suffit de modifier les fichiers de configuration fournis qui par défaut ne font rien, ou du moins pas grand chose.

Commencez par whitelister votre(vos) ip(s) dans le fichier /etc/fail2ban/jail.conf histoire de ne passe retrouver bêtement coincé suite à une mauvaise configuration:

ignoreip = 127.0.0.1 xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy

Réglez ensuite les 3 paramètres qui permettent de définir qu’une tentative de connexion doit être détectée comme malveillante:
# "bantime" is the number of seconds that a host is banned.
bantime = 6000
# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600
# "maxretry" is the number of failures before a host get banned.
maxretry = 3


Puis vous pourrez utiliser les modules de détection déjà fournis, les modifier ou créer les vôtres. Par défaut sous Gentoo, les tentatives d’accès SSH sont loggés dans /var/log/messages, j’ai donc modifile le logpath correspondant:
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=olivier@oxeron.com, sender=fail2ban-server@oxeron.com]
logpath = /var/log/messages
maxretry = 3


Et voilà, en 2 heures, environ 50 ips bloquées sur l’ensemble de mes machines.


server bin # ./tw_cli info c0 u0

Unit UnitType Status %RCmpl %V/I/M Port Stripe Size(GB)
------------------------------------------------------------------------
u0 RAID-1 REBUILDING 6 - - - 232.885
u0-0 DISK DEGRADED - - p0 - 232.885
u0-1 DISK OK - - p1 - 232.885


Les disques sont pour le moment limités à 80Go mais ce n’est qu’un début.

Voici les deux premières offres de cette nouvelle gamme:

EG SSD

——
- 1 Intel Xeon X3360, 4×2.83GHz, 12Mo L2, FSB 1333MHz, 45nm
- 8Go de RAM
- disques SSD 2x80Go en RAID-1 Hard X25-M
- le réseau de 1Gbps
- avec 24 IP fail-over
à 199Euro HT/mois
En savoir plus: http://www.ovh.com/fr/particulier/produits/eg_ssd.xml

MG SSD
——
- 2 Intel Xeon E5405, 2x 4×2.00GHz, 12Mo L2 FSB 1333MHz, 45nm
- 8Go de RAM
- disques SSD 2x80Go en RAID-1 Hard X25-M
- le réseau de 1Gbps
- avec 40 IP fail-over
à 249Euro HT/mois
En savoir plus: http://www.ovh.com/fr/particulier/produits/mg_ssd.xml

Y-aurait-il un généreux donateur dans la salle pour faire des tests de ces machines ?

cli>
advanced Modify settings in the advanced menu
apply Apply the current changes to the running system. Does not save the settings to flash
discard Discards any pending changes to the system
enable Change privilege level
exit Quit the CLI
help CLI usage help
lan Modify settings in the Lan menu
logoff Quit the CLI
product-info Product information
quit Quit the CLI
shell Go to the system shell
show Show current information
stats List modem stats
system Modify settings in the system menu
wan Modify settings in the Wan menu

en utilisant la commande shell, on obtient un shell busybox

cli> shell

#


Il suffit alors d’utiliser iptables pour router tous les ports entrant


# iptables -D FORWARD -i ppp0 -j DROP
# iptables -t nat -I PREROUTING -i ppp0 -j DNAT --to-destination 192.168.3.2
# iptables -L -t nat

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT all -- anywhere anywhere to:192.168.3.2

 
emerge -av apache-tools

Calculating dependencies... done!
[blocks B ] <www-servers/apache-2.2.4 (is blocking app-admin/apache-tools-2.2.9)
[ebuild U ] sys-devel/autoconf-wrapper-4-r3 [3.2] 0 kB
[ebuild N ] app-arch/lzma-utils-4.32.6 USE="-nocxx" 467 kB
[ebuild U ] sys-devel/m4-1.4.11 [1.4.4] USE="nls -examples%" 683 kB
[ebuild U ] sys-devel/autoconf-2.61-r2 [2.59-r7] USE="-emacs" 1,364 kB
[ebuild U ] sys-devel/automake-wrapper-3-r1 [1-r1] 0 kB
[ebuild NS ] sys-devel/automake-1.10.1 896 kB
[ebuild NS ] dev-libs/apr-1.2.11 USE="-debug -doc -ipv6 -urandom" 1,087 kB
[ebuild N ] dev-libs/libpcre-7.4 USE="unicode -doc" 764 kB
[ebuild N ] virtual/mysql-5.0 0 kB
[ebuild NS ] dev-libs/apr-util-1.2.10 USE="berkdb gdbm mysql -doc -ldap -postgres -sqlite -sqlite3" 686 kB
[ebuild N ] app-admin/apache-tools-2.2.9 USE="ssl" 4,827 kB

Une situation improbable où apache-2.2.4 bloque l’installation de apache-tools-2.2.9 alors que la version installé est une 2.0 qui va êtr emise à jour en 2.2.9

Bref, portage a un petit coup dans l’aile que je vais rectifier de ce pas doigt

emerge -av portage

!!! Error: The above package list contains packages which cannot be installed
!!! at the same time on the same system.

Un ptit coup de emerge -pv "=sys-apps/util-linux-2.13.1.1" pour résoudre le premier blocage, puis un emerge =app-shells/bash-3.2_p17-r1 pour résoudre le deuxième, et portage se met à jour gentiment sans protester en 2.1.4.4

Il n’y a plus qu’à relancer l’installation d’apache et plus aucun blocage n’apparaît.
 

Le fautif: le module Perl Net::DNS

Ca peut toujours servir… ou pas.

- http://rackerhacker.com/mysqltuner/

Ce script produit des recommandations après avoir analysé la configuration du serveur


ovh ~ # ./mysqltuner.pl

-------- Recommendations -----------------------------------------------------
General recommendations:
Add skip-innodb to MySQL configuration to disable InnoDB
Add skip-bdb to MySQL configuration to disable BDB
Run OPTIMIZE TABLE to defragment tables for better performance
Enable the slow query log to troubleshoot bad queries
Set thread_cache_size to 4 as a starting value
Increase table_cache gradually to avoid file descriptor limits
Variables to adjust:
query_cache_size (>= 8M)
thread_cache_size (start at 4)
table_cache (> 64)


- http://www.day32.com/MySQL/

Cette page regroupe plusieurs scripts dont certains surveillent une réplication MySQL. Voici un exemple de résultat sur le même serveur que précédemment


-- MYSQL PERFORMANCE TUNING PRIMER --
- By: Matthew Montgomery -

TABLE LOCKING
Current Lock Wait ratio = 1 : 5629
Your table locking seems to be fine


- http://hackmysql.com/mysqlreport

Ce script dispose d’un guide comple disponible ici http://hackmysql.com/mysqlreportguide qui permet d’approfondir les résultats obtenus.


MySQL 5.0.44-log uptime 5 20:52:50 Wed Jun 25 14:51:12 2008

Rows
Deleted 0 0/s
Inserted 0 0/s
Read 0 0/s
Updated 0 0/s


J’ai découvert aujourd’hui la présence de deux patchs qui m’ont permis de résoudre mon problème sans rien modifier à ma configuration actuelle, vous les trouverez ici : http://www.shorewall.net/shorewall_index.htm#Notice

A la base, j’avais trouvé ce post sur une mailing list qui correspondait exactement à mon problème.

bash-3.00$ whoami
olivier
bash-3.00$ ./exploit
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7f63000 .. 0xb7f95000
[+] root
bash-3.00# whoami
root
bash-3.00#

La faille impacte tous les noyaux du 2.6.17 au 2.6.24. Le 2.6.24.1 est corrigé pour la faille sauf si vous l’avez patché avec vserver.Si vous utilisez grsec avec PaX la faille ne passe pas. Debian fournit un patch.

phpize && configure --with-ssh2

Modifiez alors le fichier config.h et ajoutez en haut du fichier:

#define LIBSSH2_APINO 200412301450

puis

make et make install

Plus qu’à ajouter l’extension dans /etc/php/cli-php4/php.ini et /etc/php/apache2-php4/php.ini

extension=ssh2.so 

et

/etc/init.d/apache2 restart
ssh2-0.10 # php --info | grep ssh2
Registered PHP Streams => php, http, ftp, https, ftps, compress.bzip2, compress.zlib, ssh2.shell, ssh2.exec, ssh2.tunnel, ssh2.scp, ssh2.sftp
ssh2
libssh2 version => 0.18
banner => SSH-2.0-libssh2_0.18
PWD => /usr/local/src/ssh2-0.10
_SERVER["PWD"] => /usr/local/src/ssh2-0.10
_ENV["PWD"] => /usr/local/src/ssh2-0.10 

/var/tmp/portage/sys-apps/mindi-busybox-1.2.2/work/mindi-busybox-1.2.2/ util-linux/mkswap.c:44:59: error: asm/page.h: No such file or directory make: *** /var/tmp/portage/sys-apps/mindi-busybox-1.2.2/work/mindi-busybox-1.2.2/ util-linux/mkswap.o Error 1

Il suffit de modifier l’ebuild de cette façon:

# Copyright 1999-2006 Gentoo Foundation
# Distributed under the terms of the GNU General Public License v2
# $Id$

inherit eutils flag-o-matic

DESCRIPTION="The rescue part of a program that creates emergency boot disks/CDs using your kernel, tools and modules."
HOMEPAGE="http://www.mondorescue.org"
SRC_URI="ftp://ftp.mondorescue.org/src/${P}.tar.gz"
LICENSE="GPL-2"
SLOT="0"
KEYWORDS="~x86 ia64 -*"
DEPEND="virtual/libc"
RDEPEND=">=app-arch/bzip2-0.9
sys-devel/binutils"

src_unpack() {
unpack ${A} || die "Failed to unpack ${A}"
cd ${P}
#    create a link to page.h in kernel dir
mkdir include/asm
mkdir include/asm-generic
mkdir include/linux

ln -s /usr/src/linux/include/asm/page.h include/asm/page.h
ln -s /usr/src/linux/include/asm-generic/page.h include/asm-generic/page.h
ln -s /usr/src/linux/include/linux/const.h include/linux/const.h
make oldconfig
}

src_compile() {
# work around broken ass powerpc compilers
emake EXTRA_CFLAGS="${CFLAGS}" busybox || die "build failed"
}

src_install() {
# bundle up the symlink files for use later
emake PREFIX="${D}/usr/lib/mindi/rootfs" install || die
}

puis

aloyse mindi-busybox # ebuild mindi-busybox-1.2.2.ebuild digest
<div>&gt;&gt;&gt; Creating Manifest for /usr/local/portage/sys-apps/mindi-busybox

et enfin:

emerge =mindi-busybox-1.2.2

et vous pouvez continuer avec l’installation de mindi puis mondoarchive.

Dec  9 00:00:01 aloyse cron[8986]: PAM unable to dlopen(/lib/security/pam_unix.so) <div>Dec  9 00:00:01 aloyse cron[8986]: PAM [dlerror: /lib/security/pam_unix.so: symbol pam_modutil_getlogin, version LIBPAM_MODUTIL_1.0 not defined in file libpam.so.0 with link time reference]</div><div>Dec  9 00:00:01 aloyse cron[8986]: PAM adding faulty module: /lib/security/pam_unix.so</div><div>Dec  9 00:00:01 aloyse cron[8986]: PAM unable to dlopen(/lib/security/pam_limits.so)</div><div>Dec  9 00:00:01 aloyse cron[8986]: PAM [dlerror: /lib/security/pam_limits.so: symbol pam_syslog, version LIBPAM_EXTENSION_1.0 not defined in file libpam.so.0 with link time reference]</div><div>Dec  9 00:00:01 aloyse cron[8986]: PAM adding faulty module: /lib/security/pam_limits.so</div>Dec  9 00:00:01 aloyse cron[8986]: Module is unknown

Utilisez qdepends pour trouver les packages à ré-émerger :

aloyse ~ # qdepends -Q pam<div>app-misc/screen-4.0.3</div><div>sys-process/vixie-cron-4.1-r9</div><div>sys-apps/shadow-4.0.18.1-r1</div><div>net-misc/openssh-4.7_p1-r1</div><div>net-dialup/ppp-2.4.4-r13</div><div>

emerge -av python -/bin/bash: /usr/bin/emerge: /usr/bin/python: bad interpreter: No such file or directory

La solution, réinstaller Python à la main.

cd /root
wget http://distfiles.gentoo.org/distfiles/Python-2.5.1.tar.bz2
tar xjf Python-2.5.1.tar.bz2
cd Python-2.5.1
./configure --prefix=/usr --host=i686-pc-linux-gnu --mandir=/usr/share/man --infodir=/usr/share/info --datadir=/usr/share --sysconfdir=/etc --localstatedir=/var/lib --with-fpectl --enable-shared --infodir=${prefix}/share/info --mandir=${prefix}/share/man --with-libc= --enable-unicode=ucs4 --with-threads --build=i686-pc-linux-gnu
make
make install

et voilà ! Merci à Human Bomb pour m’avoir donné l’opportunité de trouver cette solution