#BMC Patrol
1 | phmColl -s tcp:<RTPRIMIARE>:<PORT> -c getReport | sed 's/^[ \t]*//;s/[ \t]*$//' | sed -n '/\(Agents:\)/,/\Agents:/p' |
1 | mquery -q -d -n $MCELL -f CSV -a MAINTENANCE -w "hostname: == $serveur"``` |
1 | ddelete " $1"; END |
1 | echo "$DDA; data_handle=$DEF_ID;hostname=$Hostname; organisation=$Organisation; application=$Appli ; plage_dispo=$Dispo; commentaire=$NNI-$Comment;environnement=$Env ;END"| mposter -q -n $MCELL -d - |
C’est un outil de file system distribué qui se situe au dessus de la couche FS. A ne pas confondre avec les FS partagés tels que GFS2 ou ocfs2 par exemple. Ici un FS distribué serat en XFS, ext3, …
Il permet de faire de la concaténation ou du réplica entre des FS de plusieurs serveurs. Et gére les accés clients concurents.
J’ai mis en place deux VM qui serviront de serveur de fichiers: node1 et node2
1 | yum install glusterfs{-fuse,-server} |
1 | yum install glusterfs-fuse |
1 | # Attacher une machine au pool de stockage (a faire sur les 2) |
ATTENTION: pour que cela marche il faut bien sur désactiver le firewall ou ouvrir les ports utilisés par gluster fs. Sinon “gluster peer probe” retournerat ue impossibilité de se connecter au noeux.
Glusterfs permet trois types de volume (ou une association des 3)
Volumes distribués: Les fichiers sont répartis aléatoirement entre chaque brique de stockage du volume.
Volumes repliqués: Une ou plusieurs copies des fichiers sont disponibles sur plusieurs briques du volume
Volumes agrégés par bande (striped): Les données sont découpées et réparties entre plusieurs briques du volume.
Pour mes besoins, je ne m’interesserait qu’aux volumes repliqués.
1 | pvcreate /dev/vdb |
1 | gluster volume create gvol1 replica 2 transport tcp node1.hedwy.fr:/export/ node2.hedwy.fr:/export/ |
1 | gluster volume set gvol1 auth.allow 192.168.* |
1 | gluster volume info |
1 | mount.glusterfs 192.168.100.191:/gvol1 /mnt/glusterfs |
1 | setfattr -x trusted.glusterfs.volume-id /export |
Plutôt simple à mettre en place et à administrer (malgrés les problèmes liés aux différences de versions entre serveurs et clients). Ce n’est pourtant pas ce que je cherche.
En effet, lorsqu’un serveur est également client on se retrouve avec deux arborescence de montées.
Pour mon test j’ai utilisé ensentiellement deux tuto:
http://www.howtoforge.com/high-availability-storage-with-glusterfs-3.2.x-on-centos-6.3-automatic-file-replication-mirror-across-two-storage-servers
http://petitcodeur.fr/sysadmin/installation-glusterfs-centos.html
Malheureusement je n’ai pas de serveur de sauvegarde. La sauvegarde se fera donc en locale. Puis serat transférée régulièrement vers un DD externe via rsync
rdiff-backup permet de faire des sauvegardes incrémentales via la librsync. Et peut être utilisé en mode client/serveur, à travers un réseau via ssh.
J’ai déjà eut quelques soucis avec cet outil, notamment les différences de versions entre client et serveur. Mais dans le cas d’une sauvegarde locale, ça ne devrait pas poser de problème.
Sur une appli fortement chargée, un snapshot LVM pourrait être utilisé le temps de la sauvegarde.
L’utilisation est assez simple. Il faut juste faire attention à l’ordre des inclusions/exclusions
1 | rdiff-backup --print-statistics --terminal-verbosity 2 \ |
Je ne veux pas faire les sauvegardes avec le compte root mysql. On va donc créer un utilisateur et lui donner les droits nécessaires:
1 | $ mysql -u root -p |
Le reste du script est assez simple:
1 | mysql -u $USER -p$PWD -Bse 'show databases' |
1 | mysqldump -u $USER -p$PWD --quick --add-locks --lock-tables --extended-insert $database 2>>$LOG|gzip > $bckp_dir/${database}.sql.gz |
Voyons ce que donne ApacheBench (package httpd-tools) avec la configuration de base:
1 | root@ks vhost.d$ ab -kc 10 -t 30 https://wiki.hedwy.fr/ |
J’obtient quelque chose de similaire à ma VM de dev … On doit pouvoir faire mieux.
La première chose à faire est de supprimer le “HostnameLookups” et de configurer le KeepAlive
1 | # HostnameLookups: Log the names of clients or just their IP addresses |
La seconde est de configurer le moteur utilisé. Dans mon cas c’est prefork
1 | < IfModule prefork.c > |
Ces modifs sont assez importantes dans le cas d’un serveur dédié à une appli et fortement utilisé. Il faut alors paramèterer ces valeurs en fonction de la quantité de mémoire du serveur, du nombre de requête, et de la mémoire prise par une requête.
C’est la partie “Directory” des virtualhost qui nous interesse.
Ici nous allons supprimer les .htaccess (AllowOverrides None) et supprimer les vérifications sur les liens symboliques (Options FollowSymLinks)
1 | < Directory / > |
L’ensemble des modifications apache seront prises en comptes après un restart.
Dans le cas du wiki les gains seront faibles (le .htaccess était déjà désactivé et pas de liens symboliques). Mais sur d’autres le gain a été appréciable.
Au niveau du sysconfig j’ai suivi les précOS trouvées sur le site d’IBM
1 | root@ks $ cat /etc/sysctl.conf |
Jusqu’à présent les gains n’ont rien de spectaculaires. Et pour cause: le serveur est peu sollicitées, les appli ne sont pas bien lourdes et “ab” montre bien que c’est le traitement PHP qui ralenti les pages.
Je voulais utiliser php-eaccelerator au départ. Mais il y a un problème de dépendances dans le déport REMI. Je suis donc partis sur un des composants de pecl: APC.
1 | root@ks $ yum --enablerepo=remi install php-pecl-apc |
C’est donc un module PHP. Son fichier de conf se trouve dans /etc/php.d/apc.ini, mais je n’y ai pas touché.
Cette fois ci le gain est nettement sensible:
1 | root@ks $ ab -kc 10 -t 30 https://wiki.hedwy.fr/ |
http://blog.monitis.com/index.php/2011/07/05/25-apache-performance-tuning-tips/
http://www.ibm.com/developerworks/library/l-tune-lamp-1/index.html
http://www.ibm.com/developerworks/library/l-tune-lamp-2/index.html
Je ne veux pas que mes utilisateurs FTP soient des utilisateurs systèmes. Pour avoir utiliser proftpd je sais qu’il peut utiliser une base d’utilisateurs externe. Je pensais donc l’utiliser avec un serveur LDAP pour gérer les utilisateurs et les groupes.
En pratique le module LDAP est plus compliqué que prévu. Surtout vu mes besoins. De plus la plupart des tuto partent sur l’utilisation d’un LDAP avec pam et des users également système ….
Je vais donc utiliser VsFTPd avec des utilisateurs virtuels.
Il faut installer vsftpd et db4-utils (pour la bd user)
/etc/vsftpd/vsftpd.conf:
1 |
|
Chaque utilisateur a un fichier dans /etc/vsftpd/vsftpd_user_conf définissant ses droits:
par ex:
1 | cat /etc/vsftpd/vsftpd_user_conf/40k |
Pour que PAM aille cherche les utilisateurs dans un fichier donné il faut utiliser cette conf:
/etc/pam.d/vsftpd
1 | auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/login |
Pour peupler la base login.db, on va utilsier un fichier texte puis db_load login.txt
login.txt
1 | user1 |
1 | db_load -T -t hash -f /etc/vsftpd/login.txt /etc/vsftpd/login.db |
1 | auth sufficient pam_unix.so |
Je ne veux pas utiliser des ports différents pour chaque applis. J’ai un nom de domaine. Autant utiliser des sous domaines
La première étape consiste à déclarer chaque sous domaine dans les DNS. OVH permettant depuis quelques temps les wildcard DNS autant en profiter et ne faire la déclaration qu’une seule fois
C’est le fichier de conf principal d’Apache. Sous CentOs tout se fait quasiment ici…
1 | # on vérifie que l'UTF-8 est utilisé par défaut: |
C’est la directive “ServerName” qui est importante.
Il faut juste faire attention à deux points:
1 | < VirtualHost *:80 > |
Installation classique. Le dépôt remi donne accès à la version 5.5 au lieu de la 5.1
J’ai un peu modifier /etc/my.cnf. Notamment pour modifier le stockage des bases
Une fois l’install terminée deux étapes sont nécessaires:
/usr/bin/mysql_secure_installation1 | chkconfig --levels 235 mysqld on |
Vu l’augmentation de 1&1 et les nouvelles offres kimsufi d’ovh je me suis décidé à passer le pas et à avoir mon propre dédié
Au départ deux KS 2G me semblaient être une bonne idée. Ça fait une puissance correcte pour ce que je veux faire. Et avec deux fois 500G de DD je peux faire du backup (pourquoi pas avec DRBD, vu l’utilisation du dédié ce ne sera pas la bande passante le facteur limittant)
Bon … au momment de passer commande ils passent “sold out”. Et vu le forum de toute façons il m’aurait fallut 2 mois pour être livré. Ce n’était pas prévu, mais un KS 4G fera l’affaire (pour le même tarif que mon mutualisé actuel)
Les spécif du serveur ayant changé depuis ma commande (j’avais 2 cores de garanti, ce qui n’est plus le cas). J’avais un peu peur:
1 | [root@ks ~]$ cat /proc/cpuinfo|grep "core id" |
1 | [root@ks ~]$ cat /proc/cpuinfo|grep "model name" |
1 | root@ks3287966 ~$ hdparm -t /dev/sda1 |
1 | root@ks ~$ ls /boot/|grep bzImage |
J’en avais vaguement entendu parler: ovh utilise son propre noyau. Plus récent que celui de centos. Ce qui explique certains messages d’erreurs, comme lors de la relance d’IPtables.
De plus grub semble être aussi personnalisé. Un “update-grub2” après un “yum update” du kernel me laisse le kernel d’ovh (car plus récent) -> cf ftp d’ovh
De base
1 | root@ks3287966 ~$ df -k |
Je verrais pour l’instance bind chrootée plus tard.
On vois un partitionnement à l’ancienne. Avec 950Go dans /home!!!
C’est vraiment étrange. Tant qu’à avoir ses propres souches avec un kickstart, autant faire quelque chose de plus “pro” avec du LVM.
La première étape consistera donc à supprimer /dev/sda2 pour un faire un pv!
Avant le premier reboot une clés ssh est présents dans .ssh/authorized_keys. Elle a disparue après un reboot.
Le compte root est accessible directement depuis ssh. J’ai donc ajoute le “PermitRootLogin no” dans sshd_config. J’ai créé un utilisateur et je lui ai donné les droits sudo qui vont bien.
J’aurais aussi pu déplacer ssh vers un autre port pour sécuriser le tout. Mais ce n’est pas efficace. Je verrais peut être plus tard pour du port knocking
Une petite particularité: ovh insère une ligne “*/1 * * * * root /usr/local/rtm/bin/rtm” dans /etc/crontab. C’est assez inhabituel de trouver ca à cet endroit. Je trouve cet outil pratique, et je n’ai pas envie de le déplacer en crontab root, je l’ai donc laissé la ou il est.
Le dédié vient avec un hostname définit par ovh. Le changer ne pose pas de difficulté.
RAS c’est ce qu’il y a de plus classique.
J’ai désactivé tous les dépôts en dehors des correctifs de sécurité. Et j’ai ajouté les dépôts EPEL et REMI (pour les maj php et mysql).
Au besoin je les activerais avec un “yum –enablerepos=”
Iptables et SELinux sont présents et actifs. Surtout ne pas les désactiver …
Vu les attaques sur le port 22 quelques heures après la mise en service du serveur, j’ai installé fail2ban.
La configuration est assez simple. Tout se fait depuis /etc/fail2ban/jail.conf.
Certains services sont pré configurés, il suffit de les activer.
De base au bout de 3 échec, l’Ip est ban 10h. Je n’ai pas modifié ces valeurs. E tant mieux, avec une confusion de DNS entre le mutualisé et le dédié, je me suis ban quelques heures aprés l’activation de fail2ban.
Avant de commencer à réellement utiliser le dédié il faut transférer les DNS vers OVH (ce n’est pas obligatoire, mais vu que je veux supprimer tout ce qui est chez mon ancien hébergeur). Utiliser une IP n’est pas ce qu’il y a de plus pratique. Et j’ai besoin de “named virtual host”.
L’opération est assez simple. Il suffit de trouver comment désactiver la protection et trouver le code de transfert chez l’ancien hébergeur.
Ça a été assez simple et rapide pour le .fr. Par contre pour le .net il m’a fallu 2 mails de confirmation et attendre 5jours!
1 | puppet agent --test --waitforcert 60 |
1 | puppet cert --list |
1 | puppet cert --sign nami.hedwy.fr |
C’est un outil permettant de gérer en tant que simple user les différentes versions de ruby, ainsi que les gems. Il est ainsi facile d’utiliser à la fois ruby1,8/rails2.3 et ruby1,9/rails3.0. Il s’occupe entre autre de mettre à jour les différents path et variables d’environnement de ruby (basculer l’emplacement des gems de /usr/lib/ruby/gems/1.8/gems vers ~/.rvm/gems/ruby-1.9.2-p0 par exemple).
Autant dire que sur fedora et en simple user, cet outil facilite la vie
voir https://rvm.io/rvm/install
ne pas oublier de modifier le bashrc après install (suivre les indications du script d’install)
Pour mettre à jour:
1 | rvm update --head |
rvm procède à une compilation, les librairies (paquets -devel) et outils de compilation doivent donc être présent
1 | rvm install 1.9.2 |
1 | $rvm list |
1 | rvm remove 1.9.2 |
1 | rvm gem update --system |
#RedHat
http://docs.fedoraproject.org/
1 | #update de rpm |
1 | livecd linux # zcat /proc/config.gz > /usr/share/genkernel/arch/x86_64/kernel-config |
1 | root@Hades:~$ mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 --chunk=128 --name="data" /dev/sd[cde]1 |
1 | root@Hades:~$ cat /proc/mdstat |
1 | root@Hades:~$ mdadm -S /dev/md0 |
1 | systemctl enable vsftpd.service |
1 | lxc-create -n intranet -f /appli/lxc/containers/intranet/intranet.lxccfg -t debian -- template-options --path=/appli/lxc/containers/intranet |
1 | root@Hades:rootfs$ cat /appli/lxc/containers/intranet/intranet.lxccfg |
Attention:
Malheureusement il ne semble pas possible de convertir une image vmware splittée (image.vmdk, image-s001.vmdk, image-s002.vmdk). La solution est de concaténer l’image en un seul fichier:
1 | vmware-vdiskmanager -r image.vmdk -t 0 image-copy.vmdk |
1 | qemu-img convert image-copy.vmdk -O qcow2 image.qcow2 |
Une image qcow2 se rapproche d’un disque dur (table de partitions et multiples partitions). Ce n’est pas donc pas directement montable. La solution consiste à passer par (nbd):
Charger le module nbd
1 | modprobe nbd |
Rendre l’image joignable joignable via /dev/nbd0:
1 | qemu-nbd --connect=/dev/nbd0 mon_image.qcow2 |
Un fdisk sue /dev/nbd0 devrait alors montrer les différentes partitions, celles ci étant accessibles via /dev/nbd0p1, /dev/nbd0p2, ….
Si les entrées /dev/nbd0p* n’apparaissent pas:
1 | [root@Lufy:~]# kpartx -a -v /dev/nbd0 |
Ce qui permet de récupérer les majeurs et mineurs pour créer les entrées via mknod:
1 | mknod /dev/nbd0p1 b 253 5 |
Après usage, déconnecter l’image
1 | [root:~]# qemu-nbd --disconnect /dev/nbd0 |
Attention: éviter tout accès concurrentiel sur l’image ainsi montée!
1 | yum install rpmdevtools yum-utils |
1 | su - rpmmake |
1 | $ cd rpmbuild/SPECS/ |
1 | rpmbuild -ba fichier.spec |
1 | # setenforce 0 |
Pour le désactiver définitivement, il faut éditer le fichier /etc/selinux/config, et remplacer la ligne commençant par « SELINUX=…… » par « SELINUX=disabled » puis rebooter.
1 | echo -e "new_password\nnew_password" | (passwd --stdin $USER) |
1 | scsi-rescan --forcerescan |
1 | export PS1="\[$(tput setaf 3)\][`whoami`@`uname -n`]\$ \[$(tput sgr0)\]" |
Les tput set les couleurs
Les [ et ] délimitent des zones de “zero-width” ce qui empêche le bug en cas de ligne trop longues.
Le $ met le bon de caractère de fin en fonction de root ou non root
ex: agrandissement du lv “lvtmp”
1 | $lvextend -L 35G /dev/mapper/VgData-lvtmp |
Attention: certains FS (comme XFS) ne supportent pas d’être réduit
Principe: on réduit dabord le FS, puis le LV. Enfin on augmente le FS pour prendre toute la place du LV
1 | [root@Nami:/home/titi/Téléchargements]$ lvs |
1 | lvcreate -L 100M -T vg001/mythinpool |
1 | lvcreate -V1G -T vg001/mythinpool -n thinvolume |
Pour taper ce genre de caractère il faut faire :
CTRL-V, puis CTRL-M
1 | find /chemin/rep -name '*' |xargs grep -l "string" |
1 | du -sk* /mondossier/*| sort -n| awk '{$0; somme+=1} END {print somme}' |
Avec la commande “passwd” et son option “–stdin”, au travers d’un “pipe” :
1 | echo -e "new_password\nnew_password" | (passwd --stdin $USER) |