Historiser (logguer) toutes les commandes shell avec snoopy dans un fichier log

Article publié le 31 Mars 2016

L’un de mes premiers tuto a été de proposer une solution pour « historiser qui a tapé telle commande et quand »  dans une base Mysql en patchant et recompilant le bash.

(http://journaldunadminlinux.fr/loggue-toutes-les-commandes-executees-dans-une-base-mysql/).

Depuis j’ai découvert une autre solution certes moins aboutie mais beaucoup plus facile à mettre en place: snoopy.

Snoopy va logger chaque commande tapée par un utilisateur dans un fichier de log (par défaut /var/log/auth.log).

 

Téléchargez les sources de snoopy ici: http://source.a2o.si/download/snoopy/

Décompressez-les ensuite avec un tar -xvf <nom de votre archive>

Nous allons procéder à la compilation (assurez vous que gcc et make soient bien installées)

./configure && make && make install && make enable

(il est possible que la compilation plante à cause d’un prérequis manquant: socat. Si c’est le cas, installez-le: apt-get install socat (Sous Debian/Ubuntu)  ou yum install socat (Sous Redhat/Centos)

Ouvrez la log (vi /var/log/auth.log) et vous pourrez voir les entrées Snoopy loguant les commandes tapées par les utilisateurs connectés sur votre machine:

 

Enjoy 🙂

 




Tutoriel | Installation d’Oracle 12c et configuration d’une instance

Article publiée le 13 Mars 2016

Ce tutoriel vous expliquera comment installer Oracle 12c et créer une instance Oracle.

Oracle ne supporte son produit que pour les distributions de la famille RedHat (Centos, Oracle Linux Server) c’est pourquoi mon tutoriel ne sera pas adapté pour les distributions de la famille Debian (Ubuntu Server etc…)

Ce tutoriel a été testé via une RedHat 7 mais peut être utilisé sur une version antérieure de RedHat ou de CentOS

Si vous vous connectez sur votre machine depuis un poste Windows via Putty, la configuration d’un X11 Forwarding (Export Display) est nécessaire.

Un tutoriel sur le sujet est disponible ici: http://journaldunadminlinux.fr/activer-x11-forwarding-pour-ssh/

SELinux doit également être désactivé: http://journaldunadminlinux.fr/activer-ou-desactiver-selinux/

Désactivez le firewall : service iptables stop

1) Prérequis

 

Les sources d’Oracle sont disponibles sur le site officiel. Il vous suffit de vous créer un compte afin de télécharger les sources:

Créez le user oracle:

useradd oracle

Créez les groupes oracles:

groupadd  oinstall

groupadd  dba

groupadd  oper

Affectez votre user oracle aux groupe créés ci-dessous:

usermod -a -G oinstall oracle && usermod -a -G dba oracle && usermod -a -G oper oracle

Créez un mot de passe pour votre user oracle

passwd oracle

Donnez les bon droits au répertoire cible oracle:

chown -R oracle:oinstall <repertoire> && chmod -R 775  <repertoire>

 

2) Installation

Loguez vous avec votre user oracle (sans oublier le X11 Forwarding)

Décompressez les deux archives zip:

unzip -e linuxamd64_12102_database_1of2.zip && unzip -e linuxamd64_12102_database_2of2.zip

La décompression a créé le répertoire database, placez vous sur ce répertoire et exécutez le fichier « runInstaller »:

./runInstaller

– La fenêtre suivante apparaîtra:

Renseignez, si vous le désirez, votre adresse mail sinon décochez « Je souhaite recevoir les mises à jour de sécurité via My Oracle Support et cliquez sur le bouton « Suivant ».

– Cliquez sur « Créer et configurer une base de données » puis cliquez sur le bouton « Suivant »

– Cochez « Classe serveur » puis cliquez sur le bouton « Suivant »

 

– Cochez « Installation d’une base de données mono-instance » puis cliquez sur le bouton « Suivant »:

– Sélectionnez « Installation standard » puis cliquez sur le bouton « Suivant »:

– Spécifiez les répertoires d’installations ainsi que le mot de passe d’administration et cliquez sur le bouton « Suivant »:

– Indiquez le répertoire d’inventaire puis cliquez sur le bouton « Suivant »:

L’assistant d’installation va vérifier que tous les prérequis sont comblés.

Vous allez voir que beaucoup de ces prérequis manquent!

– Cliquez sur le bouton « Corriger et vérifier une nouvelle fois »:

– Une fenêtre d’avertissement va alors apparaître vous demandant d’exécuter un script en root.

Ce script va faire le paramétrage kernel approprié pour vous!

Une fois le script exécuté sur votre machine cliquez sur le bouton « OK »

– La fenêtre de départ va réapparaître vous affichant l’état d’exécution du script. Cliquez sur l’onglet « Résultat de la vérification » pour installer les paquets manquants.

Installez via yum les paquets indiqués:

Pour vous aider 😉 : yum install compat-libcap1* libstdc++-devel* gcc-c++ ksh libaio-devel*

Cliquez sur « Vérifiez à nouveau ». Normalement, la liste des prérequis manquants sera vide. Vous pouvez alors cliquez sur le bouton « Suivant ».

Si un prérequis vous gêne et que vous désirez continuer l’installation sans le combler cochez « Ignorer tout » et cliquez sur le bouton « Suivant ».

– Vérifiez les paramètres d’installation et cliquez sur le bouton « Installer »

– L’installation d’Oracle démarre (c’est le moment d’aller prendre votre café ;-)):

– Vers la fin de l’installation une fenêtre vous demandant d’exécuter deux scripts va apparaître.

Exécutez les puis cliquez sur le bouton « OK »

-Durant l’installation, Oracle va paramétrer pour vous l’instance par défaut:

– Il ne vous reste plus qu’à attendre la fin de l’installation

– Nous allons ensuite  paramétrer les variables d’environnements via le .bashrc. Rajoutez les lignes suivantes dans votre fichier .bashrc (à la racine du répertoire home de votre user dans notre cas /home/oracle/bashrc)!

ORACLE_BASE=/oracle
ORACLE_HOME=$ORACLE_BASE/product/12.1.0/dbhome_1
ORACLE_SID=orcl
export ORACLE_SID
PATH=$ORACLE_HOME/bin:$PATH
export PATH
export ORACLE_BASE ORACLE_HOME ORACLE_SID
LD_LIBRARY_PATH=$LD_LIBRARY_PATH:$ORACLE_HOME/lib
export LD_LIBRARY_PATH

Bien entendu, il faut que vous l’adaptiez en fonction du répertoire d’installation que vous avez choisi durant l’installation.

 

3) Managez votre instance Oracle

– Se connecter à votre instance:

sqlplus /nolog

connect system

– Stopper votre instance:

sqlplus /nolog

connect sys as sysdba

shutdown immediate

– Démarrez votre instance:

sqlplus /nolog

connect sys as sysdba

startup

 

4) Créer une nouvelle base de données

– Paramétrez votre export display (X11 Forwarding).

– Lancer l’assistant de création de base de données : cd $ORACLE_HOME/bin/dbca

Quand la fenêtre ci-dessous apparaîtra, cochez « Créer une base de données » puis cliquez sur le bouton « Suivant »:

Renseignez les champs « Nom global de base de données » ainsi que les champs concernant le mot de passe d’administration puis cliquez sur le bouton « Suivant »:

– Faites un check de la page récapitulative puis cliquez sur le bouton « Fin »:

L’assistant va créer pour vous votre nouvelle base de données

Une fois terminée la fenêtre suivante apparaît:

Cliquez sur le bouton « Fermer »

Une fois que votre base sera créée, n’oubliez pas de changer la variable $ORACLE_SID avant de tenter de vous y connecter avec le client sqlplus.

Votre base est désormais opérationnelle!




Tuto | Installer et configurer IBM DB2 10.5

Article publiée le 21 Février 2016

Ce tutoriel vous expliquera la marche à suivre complète pour installer le système de base de donnée  IBM DB2 V10.5.

IBM ne supporte DB2 que pour RedHat c’est pourquoi ce tutoriel ne sera adapté que pour les distributions RedHat/Centos.

 

1) Installation

 

Connectez-vous sur votre machine en paramétrant correctement votre EXPORT DISPLAY  car l’installation de DB2 se fait via une interface graphique.

(tuto X11 Forwarding dispo ici: http://journaldunadminlinux.fr/activer-x11-forwarding-pour-ssh/).

Après avoir téléchargé les sources de DB2 V10.5 sur le site d’IBM, décompressez l’archive avec la commande tar -xvf <le nom de votre archive>.

Normalement vous devriez avoir le contenu suivant :

Dans un premier temps, nous allons exécuter le script db2prereqcheck afin de vérifier que les prérequis soient comblés avant de lancer l’installation:

./db2prereqcheck

Erreurs possibles qui peuvent être remontées par le script db2prereqcheck:

Désactivation de SElinux: il est nécessaire de désactiver SElinux pour installer DB2.
Un tuto est disponible ici :http://journaldunadminlinux.fr/activer-ou-desactiver-selinux/

Erreur avec OpenIB: yum install rdma*

Erreur avec PAM: yum install pam*

 

Une fois les prérequis remplis, il ne reste plus qu’à lancer l’installation en exécutant le fichier db2setup:
./db2setup

Cliquez sur « Installation d’un produit » et sélectionnez la version de DB2 que vous désirez en cliquant sur le bouton « installez une nouvelle version ».

 

Cliquez sur suivant:

Acceptez les conditions et cliquez sur suivant:

Sélectionnez l’installation standard et cliquez sur suivant:

Cliquez sur suivant:

Sélectionnez votre répertoire d’installation et cliquez sur suivant:

Indiquez le mot de passe du user que l’install de DB2 va créez et cliquez sur suivant:

Cochez « créez une instance dB2 » et cliquez sur suivant:

Cochez « instance Monopartition » et cliquez sur suivant:

Indiquez le mot de passe pour le user db2inst1 et cliquez sur suivant:

Même chose pour db2fenc1:

Ce paramétrage est facultatif mais utile, je vous conseille de renseigner un serveur SMTP afin de recevoir les notifications de DB2 (l’état de santé de DB2, etc…):

Faites un check du récapitulatif et lancez l’installation en cliquant sur terminer:

L’installation se lance :

Une fois l’installation terminée la fenêtre suivante apparaitra:

2) Administration en ligne de commande

Pour administrer DB2 connectez vous avec le user db2inst1:

su – db2inst1

Ci-dessous tout les binaires d’administration de DB2.

 

Ci-dessous une liste des commandes DB2  basiques et leurs fonctions:

db2: Lance un client DB2 en ligne de commande:

db2stop: arrêt de l’instance DB2

db2start : démarre l’instance DB2

db2licm -l : affiche la licence DB2

 

db2 get dbm cfg: Affiche les informations de configurations:

 

db2mtrk -i -d -v -r 10: Affiche les informations mémoires.

db2 list db directory: Affiche les bases disponibles

db2ls: Affiche la version de DB2

 

Vous pouvez trouver l’intégralité des commandes DB2 et leurs fonctions sur le site d’IBM.

 

Vous avez maintenant une base de donnée IBM DB2 installée. Il ne vous reste plus qu’à installer votre client préféré pour commencer à créer vos bases et à les administrer (client officiel DB2, TOAD etc…).

 




Activer X11 forwarding en SSH avec putty

Article publiée le 20 Février 2016

 

Petit article pour rappeler comment activer le X11 Forwarding (déportation d’affichage) via votre putty. En effet, en écumant les forums, j’ai pu voir pas mal d’utilisateurs galérer sur ce sujet.

La procédure est simple et très importante à connaitre car beaucoup de produits nécessite un X11 Forwarding pour procéder à leurs installations (Oracle, SAP etc…)

 

1. Prérequis:

Sous Debian/Ubuntu: apt-get install x11-auth

Sous  RedHat/Centos: yum -y install xorg-x11-xauth

 

2. Xming:

 

Sur votre poste Windows installez l’outil XMING (Téléchargeable ici: https://sourceforge.net/projects/xming)

Une fois XMING installé lancez le et vérifiez que l’icone de XMING apparaisse bien dans votre bar de notification:

 3.  Test:

Pour tester votre X11 Forwading installez x11-apps sur votre machine:

Debian/Ubuntu : apt-get install x11-apps

RedHat/Centos: yum install xorg-x11-apps

Ouvrez Putty sur votre machine Windows et paramétrez le comme sur la capture d’écran ci-dessous:

Connectez vous ensuite sur votre machine et tapez xclock.

Si votre X11 Forwarding fonctionne bien vous devriez voir une petite horloge apparaître:

Enjoy!



Retrouver la commande ifconfig | « ifconfig command not found for RedHat & Centos 7 »

Article publiée le 2 Février 2016

Je pense que tout le monde l’a remarqué:  sous Centos7 / RedHat 7 la commande « ifconfig » n’existe plus!  Eh oui hélas, celle ci est considéré comme obsolète par la communauté… Quelle chamboulement dans nos habitudes!

Désormais vous devez utiliser la commande « ip addr » pour afficher vos interfaces:

Pour voir les statistiques utilisez la commande « ip link »

 

Bon si vous n’arrivez vraiment pas à vous y faire il est toujours possible de réinstaller la commande « ifconfig »!

Il vous suffit pour cela d’installer le package « net-tools »:

yum install net-tools:

La commande ifconfig sera de nouveau disponible:




Astuces | Améliorez l’historique de votre shell avec .inputrc

Article publiée le 23 Décembre 2015

Ci-dessous une petite astuce fort sympatique afin d’améliorer considérablement votre terminal:

  • Créez ou éditez le fichier /home/<votre user>/.inputrc.
  • Ajoutez y les lignes suivantes:

« \e[A »: history-search-backward
« \e[B »: history-search-forward
set show-all-if-ambiguous on
set completion-ignore-case on

 

 

  • bind -f /home/<votre user>/.inputrc

Relancez votre terminal (ou établissez une nouvelle connexion SSH) et vous pourrez désormais effectuer des rechercher par commande dans votre historique en tapant le nom de la commande + flèche haut/flèche bas.

 

Votre autocomplétion ne sera plus case sensitive (ignore la majuscule/minuscule)

 

 




Tuto | Protection contre les rootkits avec RKHunter

Article publiée le 7 Décembre 2015

Rkhunter ou RootKit Hunter est un outil absolument génial permettant de détecter sur votre serveur les rootkit, portes dérobées, exploit.

Pour l’installer sous debian : apt-get install rkhunter

Pour l’installer sous Centos/RedHat: yum install rkhunter

 

Une fois  rkhunter installé,  nous allons le mettre à jour:

rkhunter –update

Vous pouvez maintenant lancer un scan manuel avec la commande rkhunter -c.

RKhunter va alors faire un scan très complet de votre système:

 

 

Si vos serveurs sont considérées comme sensible (serveurs à risque), je vous conseille de planifier des checks  automatiques (via Cron).

enjoy 🙂




Tutoriel | Sécurisez son accès SSH

Article publiée le 6 Décembre 2015

Cela m’arrive très souvent d’être horrifié en voyant des serveurs « publiques » dont l’accès SSH n’est pas du tout sécurisé.

Pourtant quelques actions très simple permettent d’éviter tout désagréments!

Ci-dessous un petit tuto très simple expliquant comment sécuriser l’accès SSH d’un serveur:

1) Changer le port SSH

Tout le monde sait que le port SSH par défaut est le port 22, même les hackers… Le fait de juste changer le numéro du port SSH peut mettre à mal un très grand nom de script automatique de hacking…

Pour changer le port il suffit d’éditer le fichier /etc/ssh/sshd_config et de changer le numéro de port (sans oublier de redémarrer le service SSH):

 

2) Privilégiez impérativement l’authentification par clé

  • Procédez à la génération des clés: ssh-keygen

  • Éditez le fichier /root/.ssh/authorized_keys (ou /home/votreuserquiseconnecteenssh/.ssh/authorized_keys) et ajoutez y les clés publiques des users ayant le droit de se connecter en root  sur votre machine (clé publique contenue dans le fichier ayant l’extension .pub ou qui peut-être générer depuis l’outil puttygen sous Windows)

 

 Cette manipulation est à faire pour chaque user qui aura les accès SSH sur votre serveur (si le nom du user est toto votre arborescence ssh sera /home/toto/.ssh)

  • Paramétrez SSH pour qu’il n’accepte que des authentifications par clé SSH, pour cela éditez le fichier /etc/ssh/ssd_config et modifiez les paramètres comme indiqués ci-dessous (dé-commentez les lignes si elles le sont) :

PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keysPermitEmptyPasswords no
ChallengeResponseAuthentication no
PasswordAuthentication no
KerberosAuthentication no
KerberosGetAFSToken no

KerberosOrLocalPasswd no
KerberosTicketCleanup no

GSSAPI options
GSSAPIAuthentication no

  • Je vous conseille également d’interdire la connexion avec le user root (autorisation de vous connecter uniquement avec les autres users):

PermitRootLogin no

  • Redémarrez le service SSH: /etc/init.d/sshd restart

 

3) Alertes Mails

Et si l’on veut être encore plus parano on peut configurer un alerting mail à chaque connexion d’un user:

  • Editez votre fichier .bashrc : vi /root/.bashrc ou /home/<user>/.bashrc
  • Ajoutez la ligne suivante dans votre fichier: echo ‘Connexion détecté ‘ `date` `who` | mail -s `hostname` Connexion du USer `who | cut -d« («  -f2 | cut -d« ) » -f1` [email protected]

3) Protégez votre serveur contre les DOS (déni de service) avec Fail2ban

Et enfin, pour finir en beauté, je vous propose de sécuriser votre serveur avec fail2ban qui protégera votre machine contre les attaques DOS (déni de service) ou brutforce

Tuto disponible via ce lien:

http://journaldunadminlinux.fr/tutoriel-protegez-votre-serveur-avec-fail2ban

 

Je pense qu’après ça votre accès SSH sera beaucoup mieux protégé! 🙂




Tutoriel | Protégez votre serveur avec fail2ban

Article publiée le 6 Décembre 2015

Fail2ban est un outil développé en Python.Cette outil vous permettra de parser vos logs à la recherche de tentatives d’attaques brut force ou DOS et de bloquer au bout d’un certain nombre d’essais l’IP concernée. Fail2ban fonctionne avec tout les services courants: ssh, apache, etc…

1)  Installation

Sous Debian :apt-get install fail2ban

Sous RedHat/Centos: Fail2ban n’est pas disponible via les dépôts officiels. Vous devez ajouter les dépots EPEL pour pouvoir l’installer via yum:

wget https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm && rpm -ivh epel-release-7*.rpm && yum install fail2ban

 

2) Configuration

Pour notre exemple de configuration nous allons sécuriser notre service SSH avec fail2ban:

  • Éditez le fichier /etc/fail2ban/jail.conf:

Ce fichier permet de paramétrer le comportement de fail2ban par rapport à un service donnée.

Dans notre cas nous allons bloquer au bout de 3 essais les tentatives de connexions infructueuses via SSH à notre machine:

Explications:

enabled: active ou non la protection

port: Le protocole concerné

filter: indique le nom du filtre qui va parser (mots ou suite de mots qui seront recherché) les logs

logpath: indique le chemin de la log à parser:

maxretry: le nombre maximums d’essais.

 

Il ne reste plus qu’à redémarrer le service fail2ban: service fail2ban restart

 

3) Autre configurations

Pour ignorer une IP (non soumis aux blocages de fail2ban):

  • Editez le fichier jail.conf et ajouter les IP ou les plages d’adresses IP dans la partie « ignoreip = »

Pour paramétrer le temps de bannissement

  • Éditez le fichier jail.conf et indiquez le temps de bannissement avec le paramètre « bantime »

Pour ajouter ou configurer des parsers de logs (filter):

 

  • Vous pouvez ajouter ou modifier des parsers de logs grâce aux fichiers de configuration situés dans le répertoire /etc/fail2ban/filter.d

Si nous ouvrons sshd.conf nous pourrons voir la configuration du parser:

Enjoy 🙂




Debian 8: Connexion root impossible en ssh (connection refused)

Article publiée le 29 Novembre 2015

Depuis la sortie de Debian 8 il est impossible de se loguer en root en SSH via l’authentification par mot de passe

Pour moi c’est une best practice . Je recommande fortement de garder cette configuration est de privilégier l’utilisation de clé publie/clé privée pour vous loguer en root via SSH.

 

Cependant, je sais que cela peut en rebuter plus d’un c’est pourquoi je vous donne ci-dessous la marche à suivre pour réactiver l’authentification par mot de passe:

Éditez le fichier de configuration: /etc/ssh/sshd_config et remplacez la ligne contenant « PermitRootLogin without-password » par « PermitRootLogin yes »

Redémarrez ssh:

/etc/init.d/sshd restart




Tutoriel | Gérez votre système de fichier grâce à LVM (Logical Volume Management)

Article publiée le 29 Novembre 2015

 

Après une très longue période d’absence  je reprend enfin ma plume afin d’écrire un nouvel article sur les LVM.

Malgré de nombreux tutos disponible sur Internet, il reste à mon plus grand regret, beaucoup d’admin sys qui n’utilise toujours pas ce système malgré tous les avantages que cela représente

1) Schéma explicatif

 

Petites explications:

Physical Volume ou PV: Représente en quelque sorte vos disques Physiques

Volume Groupe ou VG: Représente vos disques logiques qui peut être composé de un ou plusieurs disques physiques

Logical Volume ou LV: Représente un emplacement où seront stockées les FS.

 

L’avantage du système LVM est que vous pouvez redimensionner à souhait vos VG ou vos LV se qui vous donne une énorme flexibilité dans la gestion de votre stockage.

Bien entendu vous ne pouvez pas redimensionner vos PV (Physical Volume) étant donnée qu’ils représentent vos disque physique 🙂

Nous allons voir ci-dessous comment manipuler les LVM de manière simple et précise:

2) Création d’un PV

Pour ce tuto je viens de créer une VM contenant 2 disques durs. Un disque contenant mes partitions systèmes avec le système LVM et un disque vierge que nous allons configurer:

Petit fdisk -l afin de lister:

 

 

Ma machine contient un disque /dev/sdb qui est vierge.

Nous allons créer un PV pour cela rien de plus simple:

pvcreate <votre disque>

pvcreate /dev/sdb

On vérifie avec pvdisplay:

Ci-dessus on voit bien notre nouveau PV /dev/sdb de créé!

 

3) Création d’un VG

Nous allons maintenant créer notre VG:

vgcreate <nom de votre VG> <votre PV>

vgreate VG00 /dev/sdb

On vérifie avec vgdisplay:

On peut bien voir que notre VG (VG00) a bien été créé.

4) Création des LV

Nous allons créer un LV de 5 g0 dans notre VG fraichement créé!

lvcreate -n <nom du LV> -L <taille> <nom du VG>

lvcreate -n LVTest -L 5go VG00

5) Création de notre partition

Il ne reste plus qu’à créer notre partition:

mkfs -t <système de fichiers> <chemin>

mkfs -t ext4 /dev/mapper/VG00-LVTest

On monte la partition pour cela on crée le point de montage:

mkdir <repertoire point de montage>

Puis on monte le volume:

mount /dev/mapper/VG00-LVTest /Test

Ca y’est notre partition a été créée!

6) Redimensionnement

6.1 Augmenter votre VG et un LV

Admettons que vous ajoutez un nouveau disque et que vous voulez augmenter la taille de votre VG:

  • On crée notre nouveau PV

pvcreate <nouveau disque>

 

  • Ensuite on aggrandi notre VG:

vgextend <nom de votre VG> <nom de votre nouveau disque>

exemple : vgextend VG00 /dev/sdc

 

  • Avant d’aggrandir notre LV on fait une vérification de l’état de notre LV:

e2fsck -f <chemin de votre lv>

exemple e2fsck -f /dev/mapper/VG00-LVTest

  • Ensuite on redimensionne le LV

lvresize -L <nouvelletaille> <chemin de votre LV>

lvresize -L 2go /dev/mapper/VG00-LVTest

  • Ensuite on redimensionne notre partition:

resize2fs <chemin du LV>

resize2fs /dev/mapper/VG00-LVTest

 

7) Diminution d’un LV

 Faites très attention, la diminution d’un LV est la manipulation la plus délicate à faire! Si vous diminuez votre LV avant la partition contenu à l’intérieur vous pouvez la détruire!

  • On démonte notre partition:

umount <votre partition>

  • On vérifie l’état de votre partition

e2fsck <chemin>

  • On réduit la taille de la partition (AVANT DE REDUIRE LA TAILLE DU LV 😉 ):

resize2fs <chemin de votre partition> <la taille voulue>

  • Ensuite on réduit le LV

lvreduce -L <la taille voulue> <le chemin>

Reste plus qu’à remonter notre volume (avec mount) et à checker:

8) Déplacer un VG vers un autre système (dans le cas ou votre VG est sur une baie de stockage):

Je vous invite à aller sur cet article que j’ai rédigé il y a quelques temps:

http://journaldunadminlinux.fr/tuto-deplacer-un-groupe-de-volume-vg-vers-un-autre-systeme/

 

 

 




Tutoriel | Sécurisez votre Kernel avec grsecurity

Article publiée le 12 Juin 2014

 

Je viens de découvrir récemment grâce à un collègue, un projet open-source  du nom de GRSEC (GRSecurity) qui est un patch kernel permettant d’apporter une grosse couche de sécurité à votre noyau Linux.

En plus de sécuriser votre kernel, GRSec vous apporte de nouvelles fonctionnalités.

 

La marche à suivre pour installer GRSEC a été testé sur une Debian 7 mais est applicable sur la plupart des distributions Linux connues.

Dans la foulée cette procédure explique également comment compiler un noyau Linux.

 

Vous pouvez télécharger la dernière version de GRSEC via ce lien:

http://grsecurity.net/download.php

 

Une fois le fichier téléchargé sur votre serveur procédons au patch du kernel, pour cela nous allons devoir compiler un nouveau noyau en y intégrant le module Kernel GRSec.

 

– Installez les prérequis:

– TéléchargeZ les sources du kernel Linux sur le site officiel de la fondation Linux:

Lien du site : https://www.kernel.org/

– Installez les prérequis:

apt-get install patch bin86 kernel-package build-essential libncurses5-dev

– Telechargez la dernière version du  patch grsec

Lien du site : http://grsecurity.net/download.php

– Décompressez l’archive contenant le Kernel Linux:

tar -xvf <nom de l’archive>

– Déplacez le fichier .patch dans le répertoire contenant les sources du Kernel avec la commande mv

– Placez vous dans le répertoire contenant les sources du kernel ainsi que  votre fichier .patch et lancez la commande suivante pour patcher le noyau:

patch -p1 < fichier grsec>.patch

– Si tout ce passe bien vous devriez avoir le résultat suivant:

– Tapez la commande make menuconfig afin de définir les paramètres de compilations.

 

– Rendez vous dans security option puis cocher avec la barre d’espace grsecurity:

 

– Sélectionnez « Automatic »  à « Configuration method »

 

J’ai choisis la méthode automatique afin de faciliter  la compréhension de ce tutoriel, mais rien ne vous empêche de bidouiller un peu afin de découvrir plus en détail les fonctionnalités incroyables de GRSec!

– Sélectionnez Exit une fois le module GRSec activé et enregistrez le modifications lorsque l’assistant vous le demandera.

 

– Compilons le kernel:

Pour les distributions autre que Debian:

make clean
make
make modules_install
mkinitramfs
make install

 

La procédure est terminée il ne reste plus qu’à rebooter votre machine!

 

Pour Debian/Ubuntu Server:

– Installez le prérequis suivant:

apt-get install gcc-<version>-plugin-dev

 

– Compilons:

make-kpkg clean

make-kpkg –initrd –append-to-version « grsec » kernel_image

 

– Installons le nouveau noyau:

A la fin de la compilation un fichier .deb sera généré.

Revenez un cran en arrière avec la commande « cd .. » puis installez le package en faisant un « dpkg -i <nom du fichier>.deb »

 

 

Vérification :

Une fois l’installation terminée redémarrez avec la commande « reboot »

Premier signe positif, le GRUB doit vous indiquer le nom de votre noyau fraîchement compilé avec le module GRSec

Une fois votre machine démarrée faites un petit uname -a  pour checker le noyau chargé.

La capture d’écran ci-dessous indique que tout c’est passé à merveille!

 

 

Enjoy!!

 

 

 

 

 

 

 




tutoriel | installer un hyperviseur VMware ESXi 5.5

Article publiée le 29 Avril 2014

Article mis à jour le  03 Mars 2016

Vmware est pour moi la meilleur solution de Virtualisation.

Je profite justement d’une install d’un Hyperviseur Vmware Esxi 5.5 pour vous rédiger un petit tutoriel sur son installation.

 

1) Installation d’un hyperviseur ESXI

 

-Tous d’abord inscrivez vous sur le site de Vmware est téléchargez gratuitement l’ISO

-Bootez sur l’ISO

Attention vérifiez l’activation de INTEL VT dans les paramètres CPU du BIOS de votre serveur

Durant le chargement vous devriez avoir les écrans de chargement suivants:

 

Puis celui ci :

 

Appuyez sur entrée quand l’écran suivant apparait:

– Appuyez sur F11 :

 

– Sélectionnez le volume qui servira à installer ESXi.

 Si votre baie de stockage est connecté à votre hyperviseur durant l’installation je vous conseille de faire très attention lors de la sélection de votre volume. Il serait dommage que vous formatiez par accident un volume de prod 😉

 

 

– Confirmez avec la touche entrée:

– Sélectionnez la disposition de votre clavier:

 

– Indiquez le mot de passe root:

– Validez l’écran de confirmation en appuyant sur F11

– Esxi est en cours d’installation:

– Une fois l’installation terminée appuyez sur « Enter »:

– Si tout s’est bien passé votre hyperviseur devrait booter:

– A l’écran suivant appuyez sur F2 et entrez votre mot de passe root puis appuyez de nouveau  sur F2:

– Nous allons configurer la première interface réseau. Pour cela sélectionnez « Configure Management Network »

– Paramétrez vos interface et appuyez sur entrée pour valider

– Paramétrez ensuite votre DNS en sélectionnant « DNS Configuration »

– Appuyez sur la touche Echap pour quitter l’écran de configuration. Appuyez sur Y pour valider les modifications.

2) Installation Client Vsphere client

 

– Via votre navigateur connectez sur votre hyperviseur (en indiquant  l’IP ou le nom DNS de votre hyperviseur).

– Une interface Web devrait s’afficher:

– Cliquez sur Download Vsphere Client

– Installez le client sur votre machine.

– Une fois le client installé connectez vous sur votre hyperviseur

– Une fois connecté l’écran l’interface de management de votre hyperviseur apparait :

 3)  Schéma avec Vsphere Vcenter

 

 

4) Installation VMware vCenter

Une fois vos ESXi installés et configurés, l’étape suivante sera de mettre en place un vCenter Server.

Il vous donnera accès à une centralisation de l’administration de vos ESXi ainsi qu’aux fonctionnalités avancées de VMware.

Pour un déploiement rapide vous pouvez installer VCSA (vCenter Server Appliance)

Un tuto est disponible ici : http://www.oameri.com/vmware-installer-vcenter-server-appliance-5-5/

 

 

 

 




tutoriel | sécuriser son réseau avec IPCOP

Article publiée le 26 Avril 2014

Sommaire de ce tutoriel:

1) Présentation d’IPCOP

2) Installation d’IPCOP

3) Présentation des fonctionnalités

4) Exemple d’une topologie réseau simplifié.

 

 

 

1) Présentation

Depuis l’ouverture de mon blog il y a un an je viens de m’apercevoir que je n’ai jamais parlé de sécurité.

Je connais 2 gros produits opensource qui vous propose une solution de sécurité complète (Firewall etc…) : PfSense et  IPCOP.

Pour ma part je retiens IPCOP qui est pour moi facile d’installation et d’administration (toujours partisan de la simplicité ;-)).

IPCOP est tout simplement basé sur un Linux avec netfilter tout cela administrable depuis une belle interface WEB comme vous pouvez le constater avec la capture d’écran ci-dessous:

 

Pour moi cette solution est adapté pour les petites entreprises.

2) Installation

– Téléchargez la dernière version d’IPCOP sur le site officielle:  http://www.ipcop.org/download.php (Latest installation cd)

– Bootez sur l’image et appuyez sur entrée quand vous apercevrez le bel écran de boot :

 

– Sélectionnez la langue :

– Sélectionnez OK et appuyez sur la touche entrée:

– Sélectionnez la bonne version de votre clavier:

– Sélectionnez le bon fuseau horaire:

– Vérifiez la date et l’heure (qui devrait être correct si votre BIOS est à l’heure)

– Après avoir détecté votre matériel, l’assistant d’installation va vous demander quelle volume utiliser pour installer IPCOP:

– L’assistant vous demandera confirmation, validez en sélectionnant OK:

– Sélectionnez ensuite le type de volume que vous possédez

Si votre volume est un RAID ou un disque, sélectionnez « Disque dur »

Si votre volume est une carte SD, sélectionnez « Flash »

– La prochaine étape vous demandera si vous possédez une sauvegarde de config IPCOP. Etant donné que c’est votre première installation sélectionnez « Passer »

– Une fois l’installation terminée appuyez sur Entrée

– Nous allons maintenant commencer à configurer IPCOP. Au prochain écran indiquez le nom d’hote de votre futur Firewall:

– Entrez le nom de domaine de votre réseau (si vous en avez pas laisser localdomain par défaut):

– Nous allons maintenant paramétrer les interfaces. La sélection dépend de la topologie de votre réseau ainsi que le positionnement de votre Firewall.

La couleur de l’interface correspond à un rôle bien défini:

Interface réseau ROUGE

Ce réseau correspond à l’Internet ou tout autre réseau considéré non sûr. Le but premier d’IPCop est de protéger les autres réseaux (VERT, BLEU et ORANGE) et les ordinateurs qui leurs sont rattachés du trafic provenant de ce réseau ROUGE. Votre méthode de connexion et votre matériel actuel serviront à la connexion à ce réseau.

 Interface réseau VERTE

Cette interface est reliée aux ordinateurs qu’IPCop doit protéger. Il s’agit en règle générale d’un réseau local. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

Interface réseau BLEUE

Ce réseau optionnel vous permet de regrouper vos périphériques sans fil sur un réseau séparé. Les ordinateurs de ce réseau ne peuvent accèder au réseau VERT sauf par le biais d’oeilletons volontairement établis, ou par le biais d’un VPN. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

Interface réseau ORANGE

Ce réseau optionnel vous permet d’isoler sur un réseau séparé vos serveurs accessibles au public. Les ordinateurs reliés à ce réseau ne peuvent accéder au réseaux VERT ou BLEU, à moins que vous n’établissiez volontairement un oeilleton. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

 

– Après avoir paramétré vos cartes, l’assistant de configuration vous demandera si vous avez besoin qu’IPCOP soit un serveur DCHP. Pour ma part je trouve cela totalement hors de propos. Je vous conseille de le désactiver et de passer à l’écran suivant.

– Indiquez votre mot de passe root et validez en appuyant sur entrée

– Indiquez le mot de passe de la webinterface:

 

– Indiquez le mot de passe de la clé de cryptage des sauvegardes de configuration:

– Une fois la configuration terminée l’assistant va faire redémarrer votre serveur.

 

Si tout s’est  passé bien vous devriez avoir ceci:

Comme IPCOP est basé sur un noyau Linux il est possible en cas d’erreur de configuration durant le processus d’installation de modifier vous même des élément, comme l’IP des cartes réseaux.

 

– Connectez vous sur l’interface Web via l’url suivante : https://<IP ou DNS de la machine>:8443. Indiquez les identifiant de la webinterface que vous avez indiqué lors de l’installation (login pas défaut : admin)

 

3) Présentation des fonctionnalités

 

– IPcop est un outil extrêmement complet. Je ne peux malheureusement pas faire un tuto sur chaque fonctionnalité, cependant vous allez vite vous apercevoir que cette solution est extrêmement intuitive.

Je vais vous présenter les fonctionnalités qui sont pour moi importantes:

 

 Le monitoring

 

 

Paramètre SSH et messagerie

Je vous conseille dans un premier temps de configurer votre accés SSH ( qui sera disponible uniquement via l’interface GREEN) ainsi que les paramètre de messagerie pour recevoir les alertes de votre firewall

Filtrage URL et Proxy

Et bien sur la configuration du Firewall:

Si cette solution vous plait, vous pourrez trouver plus d’information sur le site officiel: http://ipcop.org/

 

4) Exemple de topologie réseau simplifié

 

Ci dessous un petit schéma réseau simplifié.

Même si IPCOP est un outil qui peut tout faire, je vous conseille fortement d’utiliser une machine par rôle. Cela veut dire qu’il est plus que déconseillé de mettre un proxy sur la même machine que votre Firewall.

Il est préférable de monter un serveur proxy indépendant et de lui autoriser une sortie vers le net via une règle de Firewall adapté. Votre Firewall devra également interdire les pc utilisateurs de sortir directement pour les forcer à passer par le proxy.

 

 

 

 

 

 




Comprendre les commandes SHELL avec explainshell

Article publiée le 24 Avril 2014

 

Toujours dans ma foulé des outils de scripting SHELL je vous  propose aujourd’hui un super outil qui s’appelle ExplainShell.

Ce site accessible depuis une interface web via l’url : http://explainshell.com/  vous explique la signification des commandes shell les plus complexes.

Finit les longs moment de solitudes devant un script SHELL conçu par un de vos collègue utilisant des commandes incompréhensible !!! 🙂

 

 

 

Enjoy!

 

 

 

 

 

 




Vérifier vos scripts Shell avec ShellCheck

Article publiée le 16 Avril 2014

 

Une petite découverte forte sympathique!

Un collègue vient de me montrer un outil absolument génial qui permet de vérifier vos scripts shell (Variable non initialisée, erreur de synthaxe etc…) et je dois dire que cet outil s’est montré très performant voir bleuffant!

Cette outil s’appelle ShellCheck.

Vous avez la version online ici disponible sur ce site: http://www.shellcheck.net/

De plus il est également possible de télécharger une version local installé sur un de vos serveurs. Vous pourrez donc en une commande checker vos scripts!

Pour cela allez sur le site pour récupérer les sources: https://github.com/koalaman/shellcheck

 

– Dézipper l’archive zip

unzip -e <nom de l’archive>

– Aller dans le répertoire contenant les sources

– Installez ensuite les dépendances nécessaires:

 

Sous Debian:

– apt-get install ghc libghc-parsec3-dev lightghc-json-dev lightghc-regex-compat-dev libghc-quickcheck2-dev pandoc

 

Sous Centos/RedHat

– Installez les dépots EPEL. (tutoriel disponible ici)

– yum install ghc ghc-parsec-devel ghc-QuickCheck-devel ghc-json-devel ghc-regex-compat-devel pandoc

Le package pandoc n’est pas indiqué dans la documentation officielle, il est cependant nécessaire de l’installer!

 

– Il ne reste plus qu’à compiler:

make

– Copier le binaire dans /usr/bin

La commande shellcheck est maintenant disponible.

 

Faisons un petit test  avec un script contenant une erreur (par de fermeture de la condition if avec fi).

Contenu du script

– Vérifions avec shellcheck le script:

– Nous allons maintenant tester shellcheck avec une erreur un peu plus subtile (variable initialisé mais non utilisée):

Contenu du script

Résultat avec shellcheck:

Shellcheck  relève l’erreur!(en rouge les erreurs critiques, en vert les erreurs non critiques)

Enjoy! 🙂

 

 

 

 

 

 

 

 

 

 

 




Présentation de glances l’outil de supervision ultime!

Article publiée le 10 Avril 2014

Glances est un outil de monitoring extrêmement connu et utilisé dans le monde HP UX (j’ai rédigé un article dessus il y a quelque temps).

Mais il existe également un projet Glance sous Linux développé par NicoLargo. Pour moi c’est l’outil de monitoring en ligne de commande le plus puissant qui existe pour les systèmes Linux.

Ci dessous un petit screenshot:

 

 

Installation sous Debian/Ubuntu:

– Installez glances via apt depuis les dépôts officiels de votre distribution

apt-get install glances

Installation sous RedHat/Centos/:

– Installez glances depuis les dépôts EPEL. Pour ceux qui le désire une procédure d’installation des dépôts EPEL est disponible sur mon blog ici

– Ensuite il ne vous reste plus qu’à installez glances:

yum install glances

 

 

 

 

 

 




Tuto | Tutoriel d’installation EPEL Repo

Article publiée le 10 Avril 2014

Mise à jour le 6 Decembre 2015

EPEL ou encore (Extra Package for Entreprise Linux) est un repo qui founit des package additionnels pour les distibution type RedHat, Centos etc…(maintenu par la communauté FEDORA)

Souvent j’ai reproché au dépôt officiel de ces distribution d’être moins garnis que les dépôts des distributions type Debian/Ubuntu Server.

En installant EPEL vous aurez un nombre de packages disponibles via votre gestionnaire de paquets yum beaucoup plus importants!

Pour installer le dépot EPEL vous devez procéder de la manière suivante:

Pour Redhat 7 /Centos 7:

RHEL/Cento 7 : wget https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm && rpm -ivh epel-release-7*.rpm

Pour Redhat 6 /Centos 6:

RHEL/CentOS 6 32-Bit: wget http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm && rpm -ivh epel-release-6-8.noarch.rpm  RHEL/CentOS 6 64-Bit: wget http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm && rpm -ivh epel-release-6-8.noarch.rpm

Pour Redhat 5 /Centos 5:

RHEL/CentOS 5 32-Bit: wget http://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm && rpm -ivh epel-release-5-4.noarch.rpm RHEL/CentOS 5 64-Bit: wget http://download.fedoraproject.org/pub/epel/5/x86_64/epel-release-5-4.noarch.rpm && rpm -ivh epel-release-5-4.noarch.rpm

 

Il ne reste plus qu’à checker que le repo soit correct :

Vous avez maintenant la possibilité d’installer beaucoup plus de paquet via yum qu’avant!

 

Enjoy 😉




tutoriel | Installation et configuration de Tomcat 8

Article publiée le 7 Avril 2014

Article mis à jour le 08 Novembre 2016

1) Présentation

Tomcat 8 est enfin sortie en version final et forcément je ne peux résister à l’idée de rédiger un petit tutoriel dessus.

Tous d’abord faisons un point sur les nouveautés:

– Implémentation des spécification de JAVA7

– Implémentation de Java Servlet  3.1,

– Implémentation de de JavaServer Page2.3

J’ai également eu des retours comme quoi Tomcat 8 serait plus performant que son prédécesseur!

Ci dessous un petit tuto rappel de comment installer un serveur tomcat (version 8):

Cette article reprend le tutoriel que j’ai rédigé pour tomcat 7 en étant adapté pour cette nouvelle version. Il n’y aura pas de gros changement pour les personnes ayant lu le tutoriel sur tomcat 7 🙂

 

 

Prérequis: Java

yum install java* pour (RedHat/Centos) ou apt-get install openjdk* (Sous debian/Ubuntu)

 

– Créez proprement votre répertoire d’installation de tomcat, dans mon cas cela sera /apps/tomcat

mkdir /apps/tomcat

– Décompressez l’archive dans le répertoire de destination:

mv <votre archive>.tar.gz <repertoire d’installation>  &&  tar -xvf  <repertoire d’installation>/<votre archive>.tar.gz

exemple: mv apache-tomcat-8.0.3.tar.gz && tar -xvf /apps/tomcat/apache-tomcat-8.0.3.tar.gz

Quelques petites explications:

– Le répertoire bin contient tous les scripts de tomcat notamment ceux de démarrage et d’arrêt.

– Le répertoire conf contient tous les fichiers de configuration de tomcat

– Le répertoire webapps contient toutes les webapps (vos servlets java)

2) Configuration

– Allez dans le répertoire conf:

cd conf

– Si vous désirez changer le port d’écoute éditez le fichier server.xml et éditez cette ligne en remplaçant le port par défaut 8080 par celui que vous désirez:

<Connector port= »8080″ protocol= »HTTP/1.1″
connectionTimeout= »20000″
redirectPort= »8443″ />
<!– A « Connector » using the shared thread pool–>

 

– Editons ensuite le fichier tomcat-user afin de définir le mot de passe de l’interface d’administration de tomcat:

Le dernier « paragraphe »  du fichier de configuration est commenté. Pour le dé-commentez enlevez :

<!– et  –>

Ajoutez ensuite les balises rolename:

<role rolename= »manager »/>

<role rolename= »manager-gui »/>

Créons ensuite le user qui aura les droits d’admin de votre serveur tomcat:

<user username= »tomcat-admin » password= »tomcat » roles= »manager,manager-gui »/>

Sans oublier de modifier le password !

-Il ne reste plus qu’ à redémarrer Tomcat :

rendez vous dans le répertoire bin (de tomcat) et exécutez ces scripts:

./shutdown.sh (pour arréter tomcat)

./startup.sh (pour démarrer tomcat)

 

– Connectez  vous à l’interface d’administration de votre serveur tomcat via votre navigateur depuis cette URL: <ip ou DNS de votre machine>:8080

Ici vous trouverez la liste des Webapp déployées.

-Il existe 2 méthodes pour déployer une Webapp (fichier .war):

La première (la plus simple) consiste à cliquer sur le bouton déployer et de selectionnez votre fichier war.

Tomcat se chargera de la déployer pour vous. Une fois le déploiement terminé vous pourrez voir apparaître une nouvelle ligne avec le nom de votre Webapp.

La deuxième plus longue mais très utile si vous voulez scripter des déploiements automatiques consiste à arrêter votre serveur tomcat, déposez votre fichier war dans le répertoire webapps et redémarrer le service tomcat.

Votre Webapp sera automatiquement déployée.

Petite nouveauté! :

Avec la version 8 de tomcat l’interface d’administration a légèrement changé. Il est maintenant possible d’avoir facilement une vue concernant la consommation mémoire java:

 

3) Tunning : 

Il est possible, si vous déployez des applications lourdes ou en grand nombre, que vous ayez des problèmes mémoires.

Dans ce cas vous pourrez avoir des messages d’erreur ou de grosses lenteurs lors de l’exécution de vos webapps.

Pour cela éditez le fichier startup.sh et ajoutez à la ligne export JAVA_OPTS= -server -Xms<mémoire minimal alloué> -Xmx <mémoire maximum alloué>

Exemple:

export JAVA_OPTS= »-server -Xms2048m -Xmx2048m »

Redémarrez votre serveur Tomcat afin que les modifications soient prises en comptes.

 

Si vous rencontrez d’autres problèmes mémoire vous pouvez vous rendre sur cette page :

http://journaldunadminlinux.fr/tomcat-severe-failed-to-initialize-java-lang-outofmemoryerror-permgen-space/

Cette article traite d’un problème Tomcat et pourra peut-être vous aider.

 

4) Script de démarrage

Afin de vous faciliter la vie, je vous livre ci-dessous le script de démarrage de tomcat à déposer dans le répertoire init.d:

#!/bin/sh
CATALINA_HOME=<repertoire tomcat>; export CATALINA_HOME
JAVA_HOME=<repertoire java>; export JAVA_HOME
TOMCAT_OWNER=<votre user tomcat>; export TOMCAT_OWNER

start() {
echo -n « Starting Tomcat:  »
su $TOMCAT_OWNER -c $CATALINA_HOME/bin/startup.sh
sleep 2
}
stop() {
echo -n « Stopping Tomcat:  »
su $TOMCAT_OWNER -c $CATALINA_HOME/bin/shutdown.sh
}

# See how we were called.
case « $1″ in
start)
start
;;
stop)
stop
;;
restart)
stop
start
;;
*)
echo $ »Usage: tomcat {start|stop|restart} »
exit
esac

5) Best Pratice

– Si votre application doit-être accessible depuis le monde extérieur je vous conseille de procéder à un couplage (Apache/Tomcat) avec les règles firewall qui vont bien

– Utilisez toujours un serveur apache en front en mode revese proxy. Vos clients ne doivent pas se connecter en direct sur le Tomcat. Un tuto est disponible: http://journaldunadminlinux.fr/tutoriel-mettre-en-place-un-reverse-proxy-sur-apache-via-mod_proxy/

 

 

 




Tuto | Déplacer un groupe de volume (VG) vers un autre système

Article publiée le 5 Avril 2014

 

Après un mois d’inactivité je me permet de poster un nouveau petit tuto.

On m’a demandé récemment de migrer un volume groupe (VG) situé sur une baie d’un système vers un autre. Cela peut paraître bête mais c’est une manipulation que je n’avais jamais faites. Avant de procéder j’ai testé la manipulation sur 2 VMs de test et je me permet de vous partager la procédure. Ceci est une manipulation simple mais mieux vaut pas se rater! 😉

 

– Tous d’abord démontez le FS que vous voulez déplacer:

umount <point de montage>

Exemple : umount /mount/test/

 Si vous obtenez un message d’erreur du type « device is busy » cela veut dire que votre FS est en cours d’utilisations. Utilisez la commande lsof afin de savoir quelles processus utilisent votre fs et killez les si nécessaire

– On va rendre ensuite votre VG totalement inactif par rapport au noyau Linux

vgchange -an <votre VG>

Exemple: : vgchange -an vgtest

– Nous allons préparer notre VG à être exporté:

vgexport  vgtest

Exemple: vgexport vgtest

 

 * Vous pouvez maintenant procéder à vos manipulations sur votre stockage afin de faire le transfert vers votre nouveau serveur.

 

– Sur votre nouveau système faites un « pvscan » afin de détecter votre nouveau PV et VG.

Exemple:

– Nous allons maintenant importer le nouveau VG:

vgimport <nom du VG>

Exemple

vgimport vgtest

– Activez le vg nouvellement importé

vgchange -ay <nom du vg>

Exemple:

vgchange -ay vgtest

– Il reste plus qu’à monter le FS!!

mount /dev/<VG>/<LV> <votre point de montage>

Exemple: mount /dev/vgtest/lvtest /mount/test

 

Enjoy!!!