Article publié le 10 Octobre 2016

Petit tuto très simplifié sur comment chiffrer/dechiffrer des fichiers avec GnuPG.

– Démarrez l’agent gnugpg:

gpg-agent –daemon –use-standard-socket

– Authentifiez vous sans utiliser sudo mais en vous connectant directement avec le compte UNIX souhaité.
– Générez votre clé privée (de préférence sur une machine sûre):

gpg -gen-key

– Renseignez les informations demandées par l’invite de commande. Si la génération de votre clé prend trop de temps, utilisez la commande ci-dessous

rngd -r /dev/urandom

– Générez votre clé de révocation (au cas ou)

gpg –output revoke.asc –gen <id de votre clé>

– Vérifiez que votre clé a bien été généré

gpg –list-keys

– Exportez votre clé publique qui sera nécessaire pour chiffrer / déchiffrer (la clé public devra être envoyé au destinataire afin qu’il puisse
déchiffrer le contenu).

gpg –output mykey.asc –armor –export <id de la clé>

– Une fois la clé reçu par le destinataire celui ci devra signer la clé

gpg –sign-key <id de la clé>Chiffrement / Déchiffrement

– Procédez au chiffrement de votre fichier

gpg –recipient « <identifiant de votre clé  » –encrypt –cipher-algo AES256 <votre fichier>

– Le destinataire pourra alors déchiffrer votre fichier avec la clé publique précédemment envoyée

gpg –decrypt <fichier>.gpg

Article publié le 23 Juin 2016

Un petit tuto sur le firewall Shorewall qui simplifie grandement la configuration d’IPTABLES. En effet avec Shorewall vous pouvez configurer de manière très efficace IPTABLE juste avec une  petite poignée de fichiers de configuration (très utile pour de nombreux  serveurs dédiés piratés…)

1) Installation

Sous Debian/ Ubuntu:

apt-get install shorewall shorewall-core

(sans oublier shorewall6 si vous avez une interface réseau avec une adresse IPV6)

Sous RedHat/Centos

Shorewall n’est pas dans les dépots officiels de ces distributions. Pour cela il est nécessaire de rajouter les dépôts de shorewall:

Créez le fichier /etc/yum.repos.d/shorewall.repo et rajouter les lignes suivantes:

[shorewall]
name = RHEL $releasever – Shorewall – sysadminguide.net
baseurl = http://mirror.sysadminguide.net/shorewall
enabled = 1
protect = 0
gpgcheck = 0

Puis installez shorewall:

yum install shorewall, shorewall-core

(Sans oublier shorewall6 si vous avez une interface réseau avec une adresse IPV6;-))

2) Configuration

2.1) Sous Debian:

Copiez les fichiers de configurations depuis le répertoire /usr/share/doc/shorewall/examples/one-interface vers  /etc/shorewall

cd /usr/share/doc/shorewall/examples/one-interface && cp {interfaces, policy, shorewall.conf.gz, zones} /etc/shorewall && gunzip /etc/shorewall/shorewall.conf.gz

cd /usr/share/doc/shorewall6/examples/one-interface && cp {interfaces, policy, shorewall.conf.gz, zones} /etc/shorewall6 && gunzip /etc/shorewall6/shorewall.cong.gz (si vous avez une adresse IPv6)

Créez le fichier /etc/shorewall/rules  (également pour /etc/shorewall6/rules le cas échéant) et ajoutez y les lignes suivantes:

?SECTION NEW
SHELL cat /etc/shorewall/rules.d/*.rules 2> /dev/null || true

Puis créez le répertoire /etc/shorewall/rules

mkdir /etc/shorewall/rules.d

(mkdir /etc/shorewall6/rules.d)

 

2.2) RedHat

La procédure est presque identique à celle de Debian.

Copier les fichiers disponibles ICI  dans le répertoire /etc/shorewall/ et /etc/shorewall6 (si vous avec une adresse IPv6).

Créer les répertoire /etc/shorewall/rules.d et /etc/shorewall6/rules.d

mkdir /etc/shorewall/rules.d   (mkdir /etc/shorewall6/rules.d).

3) Paramétrage du Firewall

La politique appliquée ici (étant une best practice) est de tout bloquer et d’ouvrir uniquement les ports utilisés.

Pour cela il suffit de créer des fichiers contenant les règles dans le répertoires /etc/shorewall/rules.d

Exemple pour rendre accessible le port SSH que pour certaines IP:

vi /etc/shorewall/rules.d/ssh.rules

ACCEPT net:<ip autorisée> $FW tcp 22
ACCEPT net:<deuxième ip autorisée> $FW tcp 22

Il est également possible d’autoriser une plage d’IP:

vi /etc/shorewall/rules.d/votreservice.rules

ACCEPT net:<ip autorisée> $FW tcp 7896,9800:9809
ACCEPT net:<deuxième ip autorisée> $FW tcp 7896,9800:9809

# UDP

ACCEPT net:<ip autorisée> $FW udp 7896,9800:9809
ACCEPT net:<deuxième ip autorisée> $FW udp 7896,9800:9809

Une fois votre configuration effectuée nous allons activer shorewall.

• Editez le fichier /etc/shorewall/shorewall.conf et modifier la ligne « STARTUP_ENABLED=No » par « STARTUP_ENABLED=Yes »
• Editez le fichier /etc/default/shorewall et remplacez « startup=0 » par « startup=1 »
• Lancez shorewall avec la commande service shorewall start

Il ne reste plus qu’à vérifier que votre firewall contient toutes les règles que vous avez paramétré avec la commande iptables -L

Certains serveurs dédiés (notamment chez OVH) possèdent une adresse IPv4 et IPv6 sur 2 interfaces. Je tiens à souligner l’importance du paramétrage du firewall sur l’interface IPv6 avec shorewall6 (répertoire de configuration /etc/shorewall6). Un oubli pourrait transformer votre machine en passoire.

Article publié le 25 Mai 2013

Mis à jour publié le 24 Mai 2016

Ce tutoriel a été mis à jour pour la sortie de la  version 3.x

Nagios/Centreon est pour moi le meilleur système de supervision qui existe. Il est puissant, gratuit avec une énorme communauté qui le maintient.

Maintenant sa mise en place est plus ou moins fastidieuse.

J’ai découvert par hasard que Centreon proposait une édition Entreprise.

La version standard est entièrement gratuite est présente de nombreux avantage

– Téléchargeable sous forme d’ISO centreon Entreprise standard est livré sous forme d’OS complet (basé sur CENTOS) avec tout le  système de monitoring préinstallé. Vous installez l’ISO comme un OS Linux et il ne vous restera plus qu’à vous connecter dessus via l’interface web

– Possibilité de souscrire à un support, ce qui est très utile si votre supervision est un élément critique dans votre entreprise

– Des add ons payant comme un système de rapport poussé avec des indicateurs de qualités etc, très utile pour remettre à votre DSI des rapports complets sur la santé de votre SI 😉

En gros Centreon Entreprise Standard vous offre gratuitement une solution de monitoring Centreon clé en main!

I) Installation

Télécharger l’ISO depuis le site :

http://www.centreon.com/Content-Download/download-centreon-enterprise-server

En bootant sur l’image cette interface apparait:

Appuyez sur ENTRER pour une installation par défaut et suivez la procédure normal pour installer un OS linux.

• Petit détail avec la version 3.3 vous pouvez choisir quelle type de serveur installer:

•  Si c’est votre première installation, choisissez « Central server with database ».
• « Central server without database » installera Centreon sans la base de données.
• « Poller Server » correspond à un relais Centreon au cas ou votre infrastructure est tellement grande qu’un seul serveur de monitoring ne suffirait pas en terme de ressources.
• « Database Server » correspond à l’installation de la base de donnée uniquement.

Une fois l’installation terminée connectez vous sur l’interface web  (http://<ip_du_serveur>/centreon).

Un assistant de configuration va alors s’afficher:

Cliquez sur suivant:

L’écran ci-dessous affiche comme quoi la timezone n’est pas initialisé dans le fichier php.ini (un classique)

Connectez vous sur votre machine et éditez le fichier /etc/php.ini. Modifier la ligne « ;date.timezone = » par « date.timezone = « Europe/Paris » » puis redémarrez http (service https restart).

Cliquez ensuite sur le bouton refresh pour que tout soit au vert puis, cliquez sur le bouton « Next »

Cliquez sur « Next »:

Cliquez sur « Next »:

Renseignez les identifiants qui vont vous permettre de vous connectez à l’interface Web ainsi que les informations demandées:

Cliquez sur « Next » après avoir renseigné les mots de passe de base de données

Attendez que l’installation termine puis cliquez sur next:

Connectez vous sur l’interface WEB avec les identifiants renseignés précédemment:

Je vais vous expliquer ci-dessous la logique  de Centreon. Rassurez vous il n’y a aucune différence avec les autres outils de monitoring disponible sur le marché!

ETAPE 1: Ajout des hosts (machines)

Ceci est la 1er étape, il faut que vous ajoutiez toutes les machines que vous voulez monitorer.

Pour cela connectez vous sur votre interface centreon via l’interface web (http://<ip_du_serveur>/centreon) puis, une fois l’authentification effectuée, cliquez sur « Configuration » et « hosts » comme vous le montre les captures d’écrans ci-dessous:

Une fois sur la section des gestion des hosts cliquez sur le bouton  « add »

La page suivante apparaît alors:

Renseignez les différents champs renseignant votre machines et validez en cliquant sur « save » en bas de la page.

ETAPE 2: Commandes.

Les commandes sont les scripts qui vont checker les hosts (Charge cpu,mémoire etc). Ces scripts sont situées dans /usr/lib64/nagios/plugins.

Si vous décidez de développer vos propres scripts de supervision, vous devrez les placer dans ce répertoire afin qu’il soit visible sur la page « command » de Centreon.

ETAPE 3: Services

Les services représentent ce qui va superviser votre machine. Un service contient une commande. C’est le service qui va exécuter votre script de supervision sur le ou les machines et vous renvoyer le résultat.

Pour configurer un service cliquez sur « configuration » puis « service ».

Une fois sur la page cliquez sur « add » pour créer un nouveau service:

Explication de quelques champs:

« Linked with Hosts »: Afin d’associer votre services aux hosts

« Description »: le nom du service tel qu’il apparaîtra sur votre interface de monitoring

« Check Period »: La période ou le service sera actif.

« Check Command »: La command (le script) qui sera effectuée.

« Args »: si le script contient des arguments des champs apparaîtront. Généralement les arguments correspondent aux seuils d’alerte

« Max Check Attempts »: le nombre de check que va faire le service en cas de problème avant de se mettre en alerte (nombre d’essai). (status autre que « OK »)

« Normal Check Interval »: le temps séparant 2 checks. Par exemple si vous spécifier « 1 », le script sera exécuté toutes les minutes. L’avantage d’avoir un interval minimum est que vous serez alerté très vite en cas de problème. Cependant cela demandera plus de ressources réseau et machine.

« Retry Check Interval »: le temps que met le service à rechercker une machine ayant un statut autre que « OK ».

 » Notification Type »: Le type de notification qui sera afficheée par le service.

Cliquez sur « save » une fois votre sélection terminée.

ETAPE 4: Commiter la configuration

Il ne reste plus qu’à faire en sorte que votre configuration soit pris en compte (écriture sur les fichiers de configuration NAGIOS).

Pour cela cliquez sur « configuration » et « pollers »:

Cliquez ensuite sur l’icône d’engrenage en dessous de « Action »:

Cochez « Generate Configuration Files », « Restart Monitoring Engine » et « Move Export Files ».

La « méthod » correspond à l’action effectué pour la prise en compte de votre nouvelle configuration: « reload » ou « restart » le service.

Il ne vous reste plus qu’à cliquez sur export pour que la configuration soit écrite en dur sur les fichiers de configuration Nagios.

Cliquez ensuite sur l’onglet « monitoring » en haut de la page puis sur « host » ou « service » en fonction de la vue que vous voulez avoir.

Il ne reste plus qu’à admirer l’état de vos machines!!

Ce tutoriel reprend juste les grandes lignes de l’administration de Centreon. Le nombre de fonctionnalité possible sur Centreon est énorme (liste de contact, notification SMS, etc…) .

L’interface étant assez intuitive, je trouve que la prise en main est rapide.

Comme je l’ai expliqué plus haut Centreon Entreprise Server Standard et la version « gratuite » (très complète). Des éditions payantes  contenant des extensions propriétaires sont disponibles sur le site. Ces extensions vous permettent par exemple de générer des rapport pointues,  des vues plus poussées, etc…

Je vous conseil également ce site:  http://nagios.manubulon.com/

Ce site contient une multitude de scripts de supervision (command) que vous pourrez rajouter.

Article publiée le 6 Mai 2016

Article mise à jour le 23 Juin 2017

Un petit tuto sur le système (et gestionnaire de volume) ZFS. En travaillant sur des serveurs ayant ce système de fichiers, j’ai pu voir son incroyable potentiel !

IL est courant que ZFS fasse peur à tort étant donnée que la corruption de données n’existe pas avec ce système de fichiers…En effet, avec ZFS, aurevoir fsck et compagnie!

ZFS est un système de fichiers développé à l’origine par SUN. Les caractéristiques de ZFS sont quasiment illimités:

• 2⁴⁸ : le nombre d’instantanés maximal ;
• 2⁴⁸ : le nombre de fichiers dans chaque système de fichiers ;
• 16 exbioctets : la taille maximum du système de fichiers ;
• 16 exbioctets : la taille maximum d’un seul fichier ;
• 2⁵⁶ : le nombre maximal théorique de fichiers par répertoire (en réalité limité à 2⁴⁸ par le nombre maximal de fichiers dans un système de fichiers).

De plus ZFS possède un système de snapshots incroyablement puissant!

Ci-dessous un petit tuto expliquant comment utiliser ZFS.

1) Installation

1.1) Sous Debian/Ubuntu

ZFS est disponible dans les dépots backport.

Ajouter les dépots Backport puis installez ZFS

Installez maintenant ZFS: apt-get update && apt-get install zfs-dkms zfsutils-linux zfsutils-linux

1.2) Sous RedHat/Centos (Redhat7 / Centos7 ou supérieu)

Installez ZFS : yum install zfs-dracut

Activer le module ZFS: modprobe zfs

2) Création d’un volume ZFS (ZPOOL)

2.1) Création d’un ZPOOL simple

Nous allons pour cela créer un zpool. Un zpool est comparable à un VG dans LVM sauf que l’on peut directement le monter en tant que volume étant donnée qu’il est nativement en ZFS:

zpool create -f <nom de votre zpool> <votre disque>

Exemple: zpool create -f zfspool sdb

2.2) Création d’un RAID

zpool create -f mypool <type de raid> <vos disques>

Exemple: zpool create -f zfspool raidz sdb sdc sdd sde sdf

Vous devez renseigner l’argument <type de raid> par le RAID que vous souhaitez créer :

MIRROR: RAID1

RAIDZ: Equivalent RAID5 amélioré

RAIDZ-1: Avec un disque de parité supplémentaire.

RAIDZ-2: Avec deux disques de parité supplémentaire.

RAIDZ-3: Avec trois disques de parité supplémentaire.

2.3) Lister les ZPOOL

Nous allons maintenant lister notre ZPOOL fraîchement crée:

zpool list

Vous devriez obtenir ceci:

Vous pouvez également avoir un statut global de votre ZPOOL:

zpool status

2.4) Supprimer un ZPOOL

zfs destroy <zpool>

Exemple:

zfs destroy zfspool

2.5) démonter un ZPOOL

Vous pouvez monter votre ZPOOL avec la commande:

zfs umount <nom de votre zpool>

Exemple:

zfs umount zfspool

2.6) Agrandir un ZPOOL

Admettons que vous ayez besoin d’espace supplémentaire.

Après avoir rajouté votre disque où volume il suffit d’utiliser la commande suivante:

zpool add <nom de votre zpool> <nom de votre volume>

Exemple:

zpool add zfspool  sdc

2.6) Modifier les paramètres d’un ZPOOL

2.6.1 Changer le point de montage d’un ZPOOL

Par défaut les points de montage ZFS sont créés à la racine.

Vous pouvez modifier le point de montage avec la commande :  zfs set mountpoint= <le chemin de votre point de montage> <nom de votre zpool>

Exemple:

zfs set mountpoint=/mnt/zfs zfspool

3) Gestion des partitions ZFS

3.1) Créer une partition 

zfs create <nom de votre zpool><nom de votre nouvelle partition>

Exemple:

zfs create zfspool/partition1

3.2) Renommer une partition

zfs rename <zpool><votre partition> <zpool><nom de votre nouvelle partition>

Exemple:

zfs rename zfspool/partition1 zfspool/partitionnew

 

3.3) Supprimer une partition

zfs destroy <zpool><votre partition>

Exemple:

zfs destroy zfspool/partition1

4) Monter un ZPOOL

Vous pouvez monter votre ZPOOL avec la commande:

zfs mount <nom de votre zpool>

Exemple:

zfs mount zfspool

5) Snapshot

5.1 Créer un snapshot 

zfs snapshot <zpool ou partition>@<nom de votre snapshot>

Exemple:

zfs snapshot zfspool@07052016

5.2 Lister les snapshot

zfs list -t snapshot

5.3 Utiliser un snapshot

Commande: zfs rollback <nom de votre snapshot>

Exemple:

Nous allons créer un fichier:

Nous allons créer un snapshot:

Nous allons maintenant supprimer le fichier:

Nous allons utiliser notre snapshot pour le restaurer:

(enjoy ;))

5.4 Supprimer un snapshot

zfs destroy <nom de votre snapshot>

Exemple:

zfs destroy zfspool/partition2@aujourdhui

Autres tutoriels sur les systèmes de fichiers:

LVM: http://journaldunadminlinux.fr/tutoriel-gerez-votre-systeme-de-fichier-grace-a-lvm-logical-volume-management/

BTRFS: http://journaldunadminlinux.fr/presentation-de-btrfs-et-comment-migrer/

Article publiée le 13 Mars 2016

Ce tutoriel vous expliquera comment installer Oracle 12c et créer une instance Oracle.

Oracle ne supporte son produit que pour les distributions de la famille RedHat (Centos, Oracle Linux Server) c’est pourquoi mon tutoriel ne sera pas adapté pour les distributions de la famille Debian (Ubuntu Server etc…)

Ce tutoriel a été testé via une RedHat 7 mais peut être utilisé sur une version antérieure de RedHat ou de CentOS

Si vous vous connectez sur votre machine depuis un poste Windows via Putty, la configuration d’un X11 Forwarding (Export Display) est nécessaire.

Un tutoriel sur le sujet est disponible ici: http://journaldunadminlinux.fr/activer-x11-forwarding-pour-ssh/

SELinux doit également être désactivé: http://journaldunadminlinux.fr/activer-ou-desactiver-selinux/

Désactivez le firewall : service iptables stop

1) Prérequis

Les sources d’Oracle sont disponibles sur le site officiel. Il vous suffit de vous créer un compte afin de télécharger les sources:

Créez le user oracle:

useradd oracle

Créez les groupes oracles:

groupadd  oinstall

groupadd  dba

groupadd  oper

Affectez votre user oracle aux groupe créés ci-dessous:

usermod -a -G oinstall oracle && usermod -a -G dba oracle && usermod -a -G oper oracle

Créez un mot de passe pour votre user oracle

passwd oracle

Donnez les bon droits au répertoire cible oracle:

chown -R oracle:oinstall <repertoire> && chmod -R 775  <repertoire>

2) Installation

Loguez vous avec votre user oracle (sans oublier le X11 Forwarding)

Décompressez les deux archives zip:

unzip -e linuxamd64_12102_database_1of2.zip && unzip -e linuxamd64_12102_database_2of2.zip

La décompression a créé le répertoire database, placez vous sur ce répertoire et exécutez le fichier « runInstaller »:

./runInstaller

– La fenêtre suivante apparaîtra:

Renseignez, si vous le désirez, votre adresse mail sinon décochez « Je souhaite recevoir les mises à jour de sécurité via My Oracle Support et cliquez sur le bouton « Suivant ».

– Cliquez sur « Créer et configurer une base de données » puis cliquez sur le bouton « Suivant »

– Cochez « Classe serveur » puis cliquez sur le bouton « Suivant »

– Cochez « Installation d’une base de données mono-instance » puis cliquez sur le bouton « Suivant »:

– Sélectionnez « Installation standard » puis cliquez sur le bouton « Suivant »:

– Spécifiez les répertoires d’installations ainsi que le mot de passe d’administration et cliquez sur le bouton « Suivant »:

– Indiquez le répertoire d’inventaire puis cliquez sur le bouton « Suivant »:

L’assistant d’installation va vérifier que tous les prérequis sont comblés.

Vous allez voir que beaucoup de ces prérequis manquent!

– Cliquez sur le bouton « Corriger et vérifier une nouvelle fois »:

– Une fenêtre d’avertissement va alors apparaître vous demandant d’exécuter un script en root.

Ce script va faire le paramétrage kernel approprié pour vous!

Une fois le script exécuté sur votre machine cliquez sur le bouton « OK »

– La fenêtre de départ va réapparaître vous affichant l’état d’exécution du script. Cliquez sur l’onglet « Résultat de la vérification » pour installer les paquets manquants.

Installez via yum les paquets indiqués:

Pour vous aider 😉 : yum install compat-libcap1* libstdc++-devel* gcc-c++ ksh libaio-devel*

Cliquez sur « Vérifiez à nouveau ». Normalement, la liste des prérequis manquants sera vide. Vous pouvez alors cliquez sur le bouton « Suivant ».

Si un prérequis vous gêne et que vous désirez continuer l’installation sans le combler cochez « Ignorer tout » et cliquez sur le bouton « Suivant ».

– Vérifiez les paramètres d’installation et cliquez sur le bouton « Installer »

– L’installation d’Oracle démarre (c’est le moment d’aller prendre votre café ;-)):

– Vers la fin de l’installation une fenêtre vous demandant d’exécuter deux scripts va apparaître.

Exécutez les puis cliquez sur le bouton « OK »

-Durant l’installation, Oracle va paramétrer pour vous l’instance par défaut:

– Il ne vous reste plus qu’à attendre la fin de l’installation

– Nous allons ensuite  paramétrer les variables d’environnements via le .bashrc. Rajoutez les lignes suivantes dans votre fichier .bashrc (à la racine du répertoire home de votre user dans notre cas /home/oracle/bashrc)!

ORACLE_BASE=/oracle
ORACLE_HOME=$ORACLE_BASE/product/12.1.0/dbhome_1
ORACLE_SID=orcl
export ORACLE_SID
PATH=$ORACLE_HOME/bin:$PATH
export PATH
export ORACLE_BASE ORACLE_HOME ORACLE_SID
LD_LIBRARY_PATH=$LD_LIBRARY_PATH:$ORACLE_HOME/lib
export LD_LIBRARY_PATH

Bien entendu, il faut que vous l’adaptiez en fonction du répertoire d’installation que vous avez choisi durant l’installation.

3) Managez votre instance Oracle

– Se connecter à votre instance:

sqlplus /nolog

connect system

– Stopper votre instance:

sqlplus /nolog

connect sys as sysdba

shutdown immediate

– Démarrez votre instance:

sqlplus /nolog

connect sys as sysdba

startup

4) Créer une nouvelle base de données

– Paramétrez votre export display (X11 Forwarding).

– Lancer l’assistant de création de base de données : cd $ORACLE_HOME/bin/dbca

Quand la fenêtre ci-dessous apparaîtra, cochez « Créer une base de données » puis cliquez sur le bouton « Suivant »:

Renseignez les champs « Nom global de base de données » ainsi que les champs concernant le mot de passe d’administration puis cliquez sur le bouton « Suivant »:

– Faites un check de la page récapitulative puis cliquez sur le bouton « Fin »:

L’assistant va créer pour vous votre nouvelle base de données

Une fois terminée la fenêtre suivante apparaît:

Cliquez sur le bouton « Fermer »

Une fois que votre base sera créée, n’oubliez pas de changer la variable $ORACLE_SID avant de tenter de vous y connecter avec le client sqlplus.

Votre base est désormais opérationnelle!

Article publiée le 21 Février 2016

Ce tutoriel vous expliquera la marche à suivre complète pour installer le système de base de donnée  IBM DB2 V10.5.

IBM ne supporte DB2 que pour RedHat c’est pourquoi ce tutoriel ne sera adapté que pour les distributions RedHat/Centos.

1) Installation

Connectez-vous sur votre machine en paramétrant correctement votre EXPORT DISPLAY  car l’installation de DB2 se fait via une interface graphique.

(tuto X11 Forwarding dispo ici: http://journaldunadminlinux.fr/activer-x11-forwarding-pour-ssh/).

Après avoir téléchargé les sources de DB2 V10.5 sur le site d’IBM, décompressez l’archive avec la commande tar -xvf <le nom de votre archive>.

Normalement vous devriez avoir le contenu suivant :

Dans un premier temps, nous allons exécuter le script db2prereqcheck afin de vérifier que les prérequis soient comblés avant de lancer l’installation:

./db2prereqcheck

Erreurs possibles qui peuvent être remontées par le script db2prereqcheck:

Désactivation de SElinux: il est nécessaire de désactiver SElinux pour installer DB2.
Un tuto est disponible ici :http://journaldunadminlinux.fr/activer-ou-desactiver-selinux/

Erreur avec OpenIB: yum install rdma*

Erreur avec PAM: yum install pam*

Une fois les prérequis remplis, il ne reste plus qu’à lancer l’installation en exécutant le fichier db2setup:
./db2setup

Cliquez sur « Installation d’un produit » et sélectionnez la version de DB2 que vous désirez en cliquant sur le bouton « installez une nouvelle version ».

Cliquez sur suivant:

Acceptez les conditions et cliquez sur suivant:

Sélectionnez l’installation standard et cliquez sur suivant:

Cliquez sur suivant:

Sélectionnez votre répertoire d’installation et cliquez sur suivant:

Indiquez le mot de passe du user que l’install de DB2 va créez et cliquez sur suivant:

Cochez « créez une instance dB2 » et cliquez sur suivant:

Cochez « instance Monopartition » et cliquez sur suivant:

Indiquez le mot de passe pour le user db2inst1 et cliquez sur suivant:

Même chose pour db2fenc1:

Ce paramétrage est facultatif mais utile, je vous conseille de renseigner un serveur SMTP afin de recevoir les notifications de DB2 (l’état de santé de DB2, etc…):

Faites un check du récapitulatif et lancez l’installation en cliquant sur terminer:

L’installation se lance :

Une fois l’installation terminée la fenêtre suivante apparaitra:

2) Administration en ligne de commande

Pour administrer DB2 connectez vous avec le user db2inst1:

su – db2inst1

Ci-dessous tout les binaires d’administration de DB2.

Ci-dessous une liste des commandes DB2  basiques et leurs fonctions:

db2: Lance un client DB2 en ligne de commande:

db2stop: arrêt de l’instance DB2

db2start : démarre l’instance DB2

db2licm -l : affiche la licence DB2

db2 get dbm cfg: Affiche les informations de configurations:

db2mtrk -i -d -v -r 10: Affiche les informations mémoires.

db2 list db directory: Affiche les bases disponibles

db2ls: Affiche la version de DB2

Vous pouvez trouver l’intégralité des commandes DB2 et leurs fonctions sur le site d’IBM.

Vous avez maintenant une base de donnée IBM DB2 installée. Il ne vous reste plus qu’à installer votre client préféré pour commencer à créer vos bases et à les administrer (client officiel DB2, TOAD etc…).

Article publiée le 20 Février 2016

Petit article pour rappeler comment activer le X11 Forwarding (déportation d’affichage) via votre putty. En effet, en écumant les forums, j’ai pu voir pas mal d’utilisateurs galérer sur ce sujet.

La procédure est simple et très importante à connaitre car beaucoup de produits nécessite un X11 Forwarding pour procéder à leurs installations (Oracle, SAP etc…)

1. Prérequis:

Sous Debian/Ubuntu: apt-get install x11-auth

Sous  RedHat/Centos: yum -y install xorg-x11-xauth

2. Xming:

Sur votre poste Windows installez l’outil XMING (Téléchargeable ici: https://sourceforge.net/projects/xming)

Une fois XMING installé lancez le et vérifiez que l’icone de XMING apparaisse bien dans votre bar de notification:

 3.  Test:

Pour tester votre X11 Forwading installez x11-apps sur votre machine:

Debian/Ubuntu : apt-get install x11-apps

RedHat/Centos: yum install xorg-x11-apps

Ouvrez Putty sur votre machine Windows et paramétrez le comme sur la capture d’écran ci-dessous:

Connectez vous ensuite sur votre machine et tapez xclock.

Si votre X11 Forwarding fonctionne bien vous devriez voir une petite horloge apparaître:

Enjoy!

Article publiée le 6 Décembre 2015

Cela m’arrive très souvent d’être horrifié en voyant des serveurs « publiques » dont l’accès SSH n’est pas du tout sécurisé.

Pourtant quelques actions très simple permettent d’éviter tout désagréments!

Ci-dessous un petit tuto très simple expliquant comment sécuriser l’accès SSH d’un serveur:

1) Changer le port SSH

Tout le monde sait que le port SSH par défaut est le port 22, même les hackers… Le fait de juste changer le numéro du port SSH peut mettre à mal un très grand nom de script automatique de hacking…

Pour changer le port il suffit d’éditer le fichier /etc/ssh/sshd_config et de changer le numéro de port (sans oublier de redémarrer le service SSH):

2) Privilégiez impérativement l’authentification par clé

• Procédez à la génération des clés: ssh-keygen

• Éditez le fichier /root/.ssh/authorized_keys (ou /home/votreuserquiseconnecteenssh/.ssh/authorized_keys) et ajoutez y les clés publiques des users ayant le droit de se connecter en root  sur votre machine (clé publique contenue dans le fichier ayant l’extension .pub ou qui peut-être générer depuis l’outil puttygen sous Windows)

 Cette manipulation est à faire pour chaque user qui aura les accès SSH sur votre serveur (si le nom du user est toto votre arborescence ssh sera /home/toto/.ssh)

• Paramétrez SSH pour qu’il n’accepte que des authentifications par clé SSH, pour cela éditez le fichier /etc/ssh/ssd_config et modifiez les paramètres comme indiqués ci-dessous (dé-commentez les lignes si elles le sont) :

PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keysPermitEmptyPasswords no
ChallengeResponseAuthentication no
PasswordAuthentication no
KerberosAuthentication no
KerberosGetAFSToken no

KerberosOrLocalPasswd no
KerberosTicketCleanup no

GSSAPI options
GSSAPIAuthentication no

• Je vous conseille également d’interdire la connexion avec le user root (autorisation de vous connecter uniquement avec les autres users):

PermitRootLogin no

• Redémarrez le service SSH: /etc/init.d/sshd restart

3) Alertes Mails

Et si l’on veut être encore plus parano on peut configurer un alerting mail à chaque connexion d’un user:

• Editez votre fichier .bashrc : vi /root/.bashrc ou /home/<user>/.bashrc
• Ajoutez la ligne suivante dans votre fichier: echo ‘Connexion détecté ‘ `date` `who` | mail -s `hostname` Connexion du USer `who | cut -d« («  -f2 | cut -d« ) » -f1` [email protected]

3) Protégez votre serveur contre les DOS (déni de service) avec Fail2ban

Et enfin, pour finir en beauté, je vous propose de sécuriser votre serveur avec fail2ban qui protégera votre machine contre les attaques DOS (déni de service) ou brutforce

Tuto disponible via ce lien:

http://journaldunadminlinux.fr/tutoriel-protegez-votre-serveur-avec-fail2ban

Je pense qu’après ça votre accès SSH sera beaucoup mieux protégé! 🙂

Article publiée le 6 Décembre 2015

Fail2ban est un outil développé en Python.Cette outil vous permettra de parser vos logs à la recherche de tentatives d’attaques brut force ou DOS et de bloquer au bout d’un certain nombre d’essais l’IP concernée. Fail2ban fonctionne avec tout les services courants: ssh, apache, etc…

1)  Installation

Sous Debian :apt-get install fail2ban

Sous RedHat/Centos: Fail2ban n’est pas disponible via les dépôts officiels. Vous devez ajouter les dépots EPEL pour pouvoir l’installer via yum:

wget https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm && rpm -ivh epel-release-7*.rpm && yum install fail2ban

2) Configuration

Pour notre exemple de configuration nous allons sécuriser notre service SSH avec fail2ban:

• Éditez le fichier /etc/fail2ban/jail.conf:

Ce fichier permet de paramétrer le comportement de fail2ban par rapport à un service donnée.

Dans notre cas nous allons bloquer au bout de 3 essais les tentatives de connexions infructueuses via SSH à notre machine:

Explications:

enabled: active ou non la protection

port: Le protocole concerné

filter: indique le nom du filtre qui va parser (mots ou suite de mots qui seront recherché) les logs

logpath: indique le chemin de la log à parser:

maxretry: le nombre maximums d’essais.

Il ne reste plus qu’à redémarrer le service fail2ban: service fail2ban restart

3) Autre configurations

Pour ignorer une IP (non soumis aux blocages de fail2ban):

• Editez le fichier jail.conf et ajouter les IP ou les plages d’adresses IP dans la partie « ignoreip = »

Pour paramétrer le temps de bannissement

• Éditez le fichier jail.conf et indiquez le temps de bannissement avec le paramètre « bantime »

Pour ajouter ou configurer des parsers de logs (filter):

• Vous pouvez ajouter ou modifier des parsers de logs grâce aux fichiers de configuration situés dans le répertoire /etc/fail2ban/filter.d

Si nous ouvrons sshd.conf nous pourrons voir la configuration du parser:

Enjoy 🙂

Article publiée le 12 Juin 2014

Je viens de découvrir récemment grâce à un collègue, un projet open-source  du nom de GRSEC (GRSecurity) qui est un patch kernel permettant d’apporter une grosse couche de sécurité à votre noyau Linux.

En plus de sécuriser votre kernel, GRSec vous apporte de nouvelles fonctionnalités.

La marche à suivre pour installer GRSEC a été testé sur une Debian 7 mais est applicable sur la plupart des distributions Linux connues.

Dans la foulée cette procédure explique également comment compiler un noyau Linux.

Vous pouvez télécharger la dernière version de GRSEC via ce lien:

http://grsecurity.net/download.php

Une fois le fichier téléchargé sur votre serveur procédons au patch du kernel, pour cela nous allons devoir compiler un nouveau noyau en y intégrant le module Kernel GRSec.

– Installez les prérequis:

– TéléchargeZ les sources du kernel Linux sur le site officiel de la fondation Linux:

Lien du site : https://www.kernel.org/

– Installez les prérequis:

apt-get install patch bin86 kernel-package build-essential libncurses5-dev

– Telechargez la dernière version du  patch grsec

Lien du site : http://grsecurity.net/download.php

– Décompressez l’archive contenant le Kernel Linux:

tar -xvf <nom de l’archive>

– Déplacez le fichier .patch dans le répertoire contenant les sources du Kernel avec la commande mv

– Placez vous dans le répertoire contenant les sources du kernel ainsi que  votre fichier .patch et lancez la commande suivante pour patcher le noyau:

patch -p1 < fichier grsec>.patch

– Si tout ce passe bien vous devriez avoir le résultat suivant:

– Tapez la commande make menuconfig afin de définir les paramètres de compilations.

– Rendez vous dans security option puis cocher avec la barre d’espace grsecurity:

– Sélectionnez « Automatic »  à « Configuration method »

J’ai choisis la méthode automatique afin de faciliter  la compréhension de ce tutoriel, mais rien ne vous empêche de bidouiller un peu afin de découvrir plus en détail les fonctionnalités incroyables de GRSec!

– Sélectionnez Exit une fois le module GRSec activé et enregistrez le modifications lorsque l’assistant vous le demandera.

– Compilons le kernel:

Pour les distributions autre que Debian:

make clean
make
make modules_install
mkinitramfs
make install

La procédure est terminée il ne reste plus qu’à rebooter votre machine!

Pour Debian/Ubuntu Server:

– Installez le prérequis suivant:

apt-get install gcc-<version>-plugin-dev

– Compilons:

make-kpkg clean

make-kpkg –initrd –append-to-version « grsec » kernel_image

– Installons le nouveau noyau:

A la fin de la compilation un fichier .deb sera généré.

Revenez un cran en arrière avec la commande « cd .. » puis installez le package en faisant un « dpkg -i <nom du fichier>.deb »

Vérification :

Une fois l’installation terminée redémarrez avec la commande « reboot »

Premier signe positif, le GRUB doit vous indiquer le nom de votre noyau fraîchement compilé avec le module GRSec

Une fois votre machine démarrée faites un petit uname -a  pour checker le noyau chargé.

La capture d’écran ci-dessous indique que tout c’est passé à merveille!

Enjoy!!

Article publiée le 29 Avril 2014

Article mis à jour le  03 Mars 2016

Vmware est pour moi la meilleur solution de Virtualisation.

Je profite justement d’une install d’un Hyperviseur Vmware Esxi 5.5 pour vous rédiger un petit tutoriel sur son installation.

1) Installation d’un hyperviseur ESXI

-Tous d’abord inscrivez vous sur le site de Vmware est téléchargez gratuitement l’ISO

-Bootez sur l’ISO

Attention vérifiez l’activation de INTEL VT dans les paramètres CPU du BIOS de votre serveur

Durant le chargement vous devriez avoir les écrans de chargement suivants:

Puis celui ci :

Appuyez sur entrée quand l’écran suivant apparait:

– Appuyez sur F11 :

– Sélectionnez le volume qui servira à installer ESXi.

 Si votre baie de stockage est connecté à votre hyperviseur durant l’installation je vous conseille de faire très attention lors de la sélection de votre volume. Il serait dommage que vous formatiez par accident un volume de prod 😉

– Confirmez avec la touche entrée:

– Sélectionnez la disposition de votre clavier:

– Indiquez le mot de passe root:

– Validez l’écran de confirmation en appuyant sur F11

– Esxi est en cours d’installation:

– Une fois l’installation terminée appuyez sur « Enter »:

– Si tout s’est bien passé votre hyperviseur devrait booter:

– A l’écran suivant appuyez sur F2 et entrez votre mot de passe root puis appuyez de nouveau  sur F2:

– Nous allons configurer la première interface réseau. Pour cela sélectionnez « Configure Management Network »

– Paramétrez vos interface et appuyez sur entrée pour valider

– Paramétrez ensuite votre DNS en sélectionnant « DNS Configuration »

– Appuyez sur la touche Echap pour quitter l’écran de configuration. Appuyez sur Y pour valider les modifications.

2) Installation Client Vsphere client

– Via votre navigateur connectez sur votre hyperviseur (en indiquant  l’IP ou le nom DNS de votre hyperviseur).

– Une interface Web devrait s’afficher:

– Cliquez sur Download Vsphere Client

– Installez le client sur votre machine.

– Une fois le client installé connectez vous sur votre hyperviseur

– Une fois connecté l’écran l’interface de management de votre hyperviseur apparait :

 3)  Schéma avec Vsphere Vcenter

4) Installation VMware vCenter

Une fois vos ESXi installés et configurés, l’étape suivante sera de mettre en place un vCenter Server.

Il vous donnera accès à une centralisation de l’administration de vos ESXi ainsi qu’aux fonctionnalités avancées de VMware.

Pour un déploiement rapide vous pouvez installer VCSA (vCenter Server Appliance)

Un tuto est disponible ici : http://www.oameri.com/vmware-installer-vcenter-server-appliance-5-5/

Article publiée le 26 Avril 2014

Sommaire de ce tutoriel:

1) Présentation d’IPCOP

2) Installation d’IPCOP

3) Présentation des fonctionnalités

4) Exemple d’une topologie réseau simplifié.

1) Présentation

Depuis l’ouverture de mon blog il y a un an je viens de m’apercevoir que je n’ai jamais parlé de sécurité.

Je connais 2 gros produits opensource qui vous propose une solution de sécurité complète (Firewall etc…) : PfSense et  IPCOP.

Pour ma part je retiens IPCOP qui est pour moi facile d’installation et d’administration (toujours partisan de la simplicité ;-)).

IPCOP est tout simplement basé sur un Linux avec netfilter tout cela administrable depuis une belle interface WEB comme vous pouvez le constater avec la capture d’écran ci-dessous:

Pour moi cette solution est adapté pour les petites entreprises.

2) Installation

– Téléchargez la dernière version d’IPCOP sur le site officielle:  http://www.ipcop.org/download.php (Latest installation cd)

– Bootez sur l’image et appuyez sur entrée quand vous apercevrez le bel écran de boot :

– Sélectionnez la langue :

– Sélectionnez OK et appuyez sur la touche entrée:

– Sélectionnez la bonne version de votre clavier:

– Sélectionnez le bon fuseau horaire:

– Vérifiez la date et l’heure (qui devrait être correct si votre BIOS est à l’heure)

– Après avoir détecté votre matériel, l’assistant d’installation va vous demander quelle volume utiliser pour installer IPCOP:

– L’assistant vous demandera confirmation, validez en sélectionnant OK:

– Sélectionnez ensuite le type de volume que vous possédez

Si votre volume est un RAID ou un disque, sélectionnez « Disque dur »

Si votre volume est une carte SD, sélectionnez « Flash »

– La prochaine étape vous demandera si vous possédez une sauvegarde de config IPCOP. Etant donné que c’est votre première installation sélectionnez « Passer »

– Une fois l’installation terminée appuyez sur Entrée

– Nous allons maintenant commencer à configurer IPCOP. Au prochain écran indiquez le nom d’hote de votre futur Firewall:

– Entrez le nom de domaine de votre réseau (si vous en avez pas laisser localdomain par défaut):

– Nous allons maintenant paramétrer les interfaces. La sélection dépend de la topologie de votre réseau ainsi que le positionnement de votre Firewall.

La couleur de l’interface correspond à un rôle bien défini:

Interface réseau ROUGE

– Après avoir paramétré vos cartes, l’assistant de configuration vous demandera si vous avez besoin qu’IPCOP soit un serveur DCHP. Pour ma part je trouve cela totalement hors de propos. Je vous conseille de le désactiver et de passer à l’écran suivant.

– Indiquez votre mot de passe root et validez en appuyant sur entrée

– Indiquez le mot de passe de la webinterface:

– Indiquez le mot de passe de la clé de cryptage des sauvegardes de configuration:

– Une fois la configuration terminée l’assistant va faire redémarrer votre serveur.

Si tout s’est  passé bien vous devriez avoir ceci:

Comme IPCOP est basé sur un noyau Linux il est possible en cas d’erreur de configuration durant le processus d’installation de modifier vous même des élément, comme l’IP des cartes réseaux.

– Connectez vous sur l’interface Web via l’url suivante : https://<IP ou DNS de la machine>:8443. Indiquez les identifiant de la webinterface que vous avez indiqué lors de l’installation (login pas défaut : admin)

3) Présentation des fonctionnalités

– IPcop est un outil extrêmement complet. Je ne peux malheureusement pas faire un tuto sur chaque fonctionnalité, cependant vous allez vite vous apercevoir que cette solution est extrêmement intuitive.

Je vais vous présenter les fonctionnalités qui sont pour moi importantes:

 Le monitoring

Paramètre SSH et messagerie

Je vous conseille dans un premier temps de configurer votre accés SSH ( qui sera disponible uniquement via l’interface GREEN) ainsi que les paramètre de messagerie pour recevoir les alertes de votre firewall

Filtrage URL et Proxy

Et bien sur la configuration du Firewall:

Si cette solution vous plait, vous pourrez trouver plus d’information sur le site officiel: http://ipcop.org/

4) Exemple de topologie réseau simplifié

Ci dessous un petit schéma réseau simplifié.

Même si IPCOP est un outil qui peut tout faire, je vous conseille fortement d’utiliser une machine par rôle. Cela veut dire qu’il est plus que déconseillé de mettre un proxy sur la même machine que votre Firewall.

Il est préférable de monter un serveur proxy indépendant et de lui autoriser une sortie vers le net via une règle de Firewall adapté. Votre Firewall devra également interdire les pc utilisateurs de sortir directement pour les forcer à passer par le proxy.

Article publiée le 10 Avril 2014

Mise à jour le 6 Decembre 2015

EPEL ou encore (Extra Package for Entreprise Linux) est un repo qui founit des package additionnels pour les distibution type RedHat, Centos etc…(maintenu par la communauté FEDORA)

Souvent j’ai reproché au dépôt officiel de ces distribution d’être moins garnis que les dépôts des distributions type Debian/Ubuntu Server.

En installant EPEL vous aurez un nombre de packages disponibles via votre gestionnaire de paquets yum beaucoup plus importants!

Pour installer le dépot EPEL vous devez procéder de la manière suivante:

Pour Redhat 7 /Centos 7:

RHEL/Cento 7 : wget https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm && rpm -ivh epel-release-7*.rpm

Pour Redhat 6 /Centos 6:

RHEL/CentOS 6 32-Bit: wget http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm && rpm -ivh epel-release-6-8.noarch.rpm  RHEL/CentOS 6 64-Bit: wget http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm && rpm -ivh epel-release-6-8.noarch.rpm

Pour Redhat 5 /Centos 5:

RHEL/CentOS 5 32-Bit: wget http://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm && rpm -ivh epel-release-5-4.noarch.rpm RHEL/CentOS 5 64-Bit: wget http://download.fedoraproject.org/pub/epel/5/x86_64/epel-release-5-4.noarch.rpm && rpm -ivh epel-release-5-4.noarch.rpm

Il ne reste plus qu’à checker que le repo soit correct :

Vous avez maintenant la possibilité d’installer beaucoup plus de paquet via yum qu’avant!

Enjoy 😉

Article publiée le 7 Avril 2014

Article mis à jour le 08 Novembre 2016

1) Présentation

Tomcat 8 est enfin sortie en version final et forcément je ne peux résister à l’idée de rédiger un petit tutoriel dessus.

Tous d’abord faisons un point sur les nouveautés:

– Implémentation des spécification de JAVA7

– Implémentation de Java Servlet  3.1,

– Implémentation de de JavaServer Page2.3

J’ai également eu des retours comme quoi Tomcat 8 serait plus performant que son prédécesseur!

Ci dessous un petit tuto rappel de comment installer un serveur tomcat (version 8):

Cette article reprend le tutoriel que j’ai rédigé pour tomcat 7 en étant adapté pour cette nouvelle version. Il n’y aura pas de gros changement pour les personnes ayant lu le tutoriel sur tomcat 7 🙂

Prérequis: Java

yum install java* pour (RedHat/Centos) ou apt-get install openjdk* (Sous debian/Ubuntu)

– Créez proprement votre répertoire d’installation de tomcat, dans mon cas cela sera /apps/tomcat

mkdir /apps/tomcat

– Décompressez l’archive dans le répertoire de destination:

mv <votre archive>.tar.gz <repertoire d’installation>  &&  tar -xvf  <repertoire d’installation>/<votre archive>.tar.gz

exemple: mv apache-tomcat-8.0.3.tar.gz && tar -xvf /apps/tomcat/apache-tomcat-8.0.3.tar.gz

Quelques petites explications:

– Le répertoire bin contient tous les scripts de tomcat notamment ceux de démarrage et d’arrêt.

– Le répertoire conf contient tous les fichiers de configuration de tomcat

– Le répertoire webapps contient toutes les webapps (vos servlets java)

2) Configuration

– Allez dans le répertoire conf:

cd conf

– Si vous désirez changer le port d’écoute éditez le fichier server.xml et éditez cette ligne en remplaçant le port par défaut 8080 par celui que vous désirez:

<Connector port= »8080″ protocol= »HTTP/1.1″
connectionTimeout= »20000″
redirectPort= »8443″ />
<!– A « Connector » using the shared thread pool–>

– Editons ensuite le fichier tomcat-user afin de définir le mot de passe de l’interface d’administration de tomcat:

Le dernier « paragraphe »  du fichier de configuration est commenté. Pour le dé-commentez enlevez :

<!– et  –>

Ajoutez ensuite les balises rolename:

<role rolename= »manager »/>

<role rolename= »manager-gui »/>

Créons ensuite le user qui aura les droits d’admin de votre serveur tomcat:

<user username= »tomcat-admin » password= »tomcat » roles= »manager,manager-gui »/>

Sans oublier de modifier le password !

-Il ne reste plus qu’ à redémarrer Tomcat :

rendez vous dans le répertoire bin (de tomcat) et exécutez ces scripts:

./shutdown.sh (pour arréter tomcat)

./startup.sh (pour démarrer tomcat)

– Connectez  vous à l’interface d’administration de votre serveur tomcat via votre navigateur depuis cette URL: <ip ou DNS de votre machine>:8080

Ici vous trouverez la liste des Webapp déployées.

-Il existe 2 méthodes pour déployer une Webapp (fichier .war):

La première (la plus simple) consiste à cliquer sur le bouton déployer et de selectionnez votre fichier war.

Tomcat se chargera de la déployer pour vous. Une fois le déploiement terminé vous pourrez voir apparaître une nouvelle ligne avec le nom de votre Webapp.

La deuxième plus longue mais très utile si vous voulez scripter des déploiements automatiques consiste à arrêter votre serveur tomcat, déposez votre fichier war dans le répertoire webapps et redémarrer le service tomcat.

Votre Webapp sera automatiquement déployée.

Petite nouveauté! :

Avec la version 8 de tomcat l’interface d’administration a légèrement changé. Il est maintenant possible d’avoir facilement une vue concernant la consommation mémoire java:

3) Tunning : 

Il est possible, si vous déployez des applications lourdes ou en grand nombre, que vous ayez des problèmes mémoires.

Dans ce cas vous pourrez avoir des messages d’erreur ou de grosses lenteurs lors de l’exécution de vos webapps.

Pour cela éditez le fichier startup.sh et ajoutez à la ligne export JAVA_OPTS= -server -Xms<mémoire minimal alloué> -Xmx <mémoire maximum alloué>

Exemple:

export JAVA_OPTS= »-server -Xms2048m -Xmx2048m »

Redémarrez votre serveur Tomcat afin que les modifications soient prises en comptes.

Si vous rencontrez d’autres problèmes mémoire vous pouvez vous rendre sur cette page :

http://journaldunadminlinux.fr/tomcat-severe-failed-to-initialize-java-lang-outofmemoryerror-permgen-space/

Cette article traite d’un problème Tomcat et pourra peut-être vous aider.

4) Script de démarrage

Afin de vous faciliter la vie, je vous livre ci-dessous le script de démarrage de tomcat à déposer dans le répertoire init.d:

#!/bin/sh
CATALINA_HOME=<repertoire tomcat>; export CATALINA_HOME
JAVA_HOME=<repertoire java>; export JAVA_HOME
TOMCAT_OWNER=<votre user tomcat>; export TOMCAT_OWNER

start() {
echo -n « Starting Tomcat:  »
su $TOMCAT_OWNER -c $CATALINA_HOME/bin/startup.sh
sleep 2
}
stop() {
echo -n « Stopping Tomcat:  »
su $TOMCAT_OWNER -c $CATALINA_HOME/bin/shutdown.sh
}

# See how we were called.
case « $1″ in
start)
start
;;
stop)
stop
;;
restart)
stop
start
;;
*)
echo $ »Usage: tomcat {start|stop|restart} »
exit
esac

5) Best Pratice

– Si votre application doit-être accessible depuis le monde extérieur je vous conseille de procéder à un couplage (Apache/Tomcat) avec les règles firewall qui vont bien

– Utilisez toujours un serveur apache en front en mode revese proxy. Vos clients ne doivent pas se connecter en direct sur le Tomcat. Un tuto est disponible: http://journaldunadminlinux.fr/tutoriel-mettre-en-place-un-reverse-proxy-sur-apache-via-mod_proxy/

Article publiée le 5 Avril 2014

Après un mois d’inactivité je me permet de poster un nouveau petit tuto.

On m’a demandé récemment de migrer un volume groupe (VG) situé sur une baie d’un système vers un autre. Cela peut paraître bête mais c’est une manipulation que je n’avais jamais faites. Avant de procéder j’ai testé la manipulation sur 2 VMs de test et je me permet de vous partager la procédure. Ceci est une manipulation simple mais mieux vaut pas se rater! 😉

– Tous d’abord démontez le FS que vous voulez déplacer:

umount <point de montage>

Exemple : umount /mount/test/

 Si vous obtenez un message d’erreur du type « device is busy » cela veut dire que votre FS est en cours d’utilisations. Utilisez la commande lsof afin de savoir quelles processus utilisent votre fs et killez les si nécessaire

– On va rendre ensuite votre VG totalement inactif par rapport au noyau Linux

vgchange -an <votre VG>

Exemple: : vgchange -an vgtest

– Nous allons préparer notre VG à être exporté:

vgexport  vgtest

Exemple: vgexport vgtest

 * Vous pouvez maintenant procéder à vos manipulations sur votre stockage afin de faire le transfert vers votre nouveau serveur.

– Sur votre nouveau système faites un « pvscan » afin de détecter votre nouveau PV et VG.

Exemple:

– Nous allons maintenant importer le nouveau VG:

vgimport <nom du VG>

Exemple

vgimport vgtest

– Activez le vg nouvellement importé

vgchange -ay <nom du vg>

Exemple:

vgchange -ay vgtest

– Il reste plus qu’à monter le FS!!

mount /dev/<VG>/<LV> <votre point de montage>

Exemple: mount /dev/vgtest/lvtest /mount/test

Enjoy!!!

Article publiée le 2 Février 2014

J’ai remarqué que la sauvegarde est un élément particulièrement négligé. Et pourtant il n’y a rien de plus important.

Outre le fait de faire des sauvegardes de vos fichiers, je trouve qu’il est d’autant plus vital de faire des sauvegardes de votre système. Que se passerait-il si demain, vous ou l’un de vos collègues commettait une erreur critique sur l’un de vos serveurs?

C’est pourquoi je vais vous présenter aujourd’hui un outil nommé MONDO.

Cette outil permet de créer une image ISO à chaud de l’intégralité de votre système (comme un ghost) et vous permettra de le restaurer rapidement si un événement critique se produit!

1) Installation

1.1) Sous Debian/Ubuntu :

– Rendez vous via votre navigateur sur le lien: ftp://ftp.mondorescue.org/debian/

– Sélectionnez la version de votre distribution ainsi que l’architecture (32/64bits) en naviguant dans l’arborescence.

– Ouvrez le fichier mondorescue.sources.list et copier le contenu dans votre fichier /etc/apt/sources.list

– Installez mondo : apt-get update && apt-get install mondo

 2.2) Sous RedHat/Centos/Fedora

– Rendez vous via votre navigateur sur le lien: ftp://ftp.mondorescue.org/rhel/

– Sélectionnez la version de votre distribution ainsi que l’architecture (32/64bits) en naviguant dans l’arborescence.

– Récupérer le fichier mondo.repo et copiez le dans le répertoire /etc/yum.repos.d/

– Installez mondo: yum install mondo

2) Fonctionnement

2-) Sauvegarde

– Lancez la commande « mondoarchive »

– L’écran ci-dessous vous permet de sélectionner le support de sauvegarde

–  Entrez le répertoire qui stockera votre image ISO

– Sélectionnez le type de compression désiré:

– Sélectionnez le taux de compression (plus la configuration de la machine est modeste plus le taux de compression doit-être bas)

– Sélectionnez la taille maximum que l’image ISO devra faire (taille de découpage)

– Entrez le prefixe du nom de l’iso

– Entrez le chemin du répertoire que vous voulez sauvegarder (si vous laissez / le système entier sera sauvegardé)

– Entrez ici les répertoires à exclure de la sauvegarde

– Entrez ici le chemin de votre répertoire temporaire:

– Entrez le chemin du répertoire scratch

– L’écran ci dessous vous permet de conserver les attributs des fichiers et répertoires sauvegardés (droits et propriétaires). Pour ma part je vous conseille de sélectionner « yes »

– Permet de procéder à la vérification de l’ISO une fois la sauvegarde terminée

– L’écran suivant vous demande de répondre en fonction de la version du kernel que vous possédez

– Au prochaine écran confirmez la mise en route de la sauvegarde

– C’est parti!

 2.2) Restauration

Si vous avez choisis  la méthode de restauration par CD ou DVD vous devez juste booter dessus et suivre les instructions à l’écran.

Si votre méthode de sauvegarde est plus traditionnelle je vous invite à suivre la méthode suivante:

– Avec le user root tapez la commande « mondorestore »

Un écran vous demande d’insérer un cd ou un média USB si c’est le  cas échéant. Appuyez sur entrée.

– A l’écran suivant sélectionnez la méthode par laquelle vous êtes passé pour effectuer vos sauvegardes

Vous n’aurez plus qu’à indiquer le chemin du répertoire où sont stocké vos sauvegardes!

2.3) Ligne de commande

Bien entendu les méthodes expliquées lors de mon tutoriel sont extrêmement contraignantes. Le mode interactif n’est pas la méthode préféré de l’administrateur.

Mais heuresement Mondo peut également être utilisé en ligne de commande!

Exemple de commande pour sauvegarder:

mondoarchive -O -p sauvegarde -i -d  /save

(la commande ci dessus sauvegardera l’intégralité de votre système  dans le répertoire /save en utilisant le préfixe « sauvegarde » pour nommer le fichier ISO)

Exemple de commande pour restaurer:

mondorestore <prefixe de votre ISO>

L’administration en ligne de commande de mondo est extrêmement vaste et je ne peux malheureusement pas tout détailler dans ce tutoriel. C’est pourquoi je vous met ci-dessous une copie du man en français  en espérant que cela puisse vous aider!

• mondoarchive -O [ options ] : sauvegarde du PC.
• mondoarchive -V [ options ] : vérification des sauvegardes.

• -c speed: permet de forcer la vitesse de gravure quand on backup sur CD-R.
• -w speed: permet de forcer la vitesse de gravure quand on backup sur CD-RW.
• -p prefix: permet de fixer un préfixe pour le nom de nos fichiers de backup (dans le cas où la sauvegarde tient sur plusieurs CD par exemple, les noms seront du type <prefix><n° du media>.iso).
• -i: force l’utilisation du format ISO pour la sauvegarde (à remplacer par -n ou -t si on souhaite utiliser un montage NFS ou un lecteur de bande).
• -D: permet un backup différentiel. Utile si on souhaite faire des sauvegardes incrémentales quotidiennes.
• -E path1 …pathN: permet d’exclure des répertoires du système de la sauvegarde. Il est à noter que mondoarchive exclu déjà par défaut les médias amovibles (/mnt/floppy, /mnt/cdrom, /proc, /sys, /tmp). Attention de ne pas mettre de / en fin de path à exclure.
• -I path1 …pathN: permet d’inclure de force des dossiers à embarquer dans la sauvegarde, sachant que les dossiers par défaut sont /, /home et /etc.
• -N: permet d’exclure explicitement tous les montages réseau quel que soit leur type.
• -d dev|dir: permet de désigner le périphérique de sauvegarde, ou le chemin de stockage des images générées.
• -s size: permet de préciser la taille maximale de chaque fichier image généré.
• -x: permet de pointer des partitions non-linux à backuper (notamment NTFS).

Enjoy 🙂

Article publiée le 14 Novembre 2013

Munin est un outil de monitoring, simple léger et très facile à mettre en place.

En plus de ça Munin est un outil de monitoring extrêmement précis concernant les graphes.

Un client Munin est installé sur chaque machine à surveiller. Les informations sont directement envoyées sur le serveur qui restitue les infos via une interface WEB.

Capture d’écran de l’interface de Munin

Ce tutoriel explique comment mettre en place MUNIN sous Debian/Ubuntu

Prérequis: Un serveur apache (apt-get install apache2)

 1) Installation

Partie serveur

apt-get install munin

Editez le fichier /etc/munin/munin.conf

Nous allons ensuite ajouter un nouveau client. Pour cela trouvez les lignes suivantes:

[localhost.localdomain]    # Correspond au nom de la machine qui sera afficher sur l’interface Web

address 127.0.0.1                # Son adresse IP
use_node_name yes          # Munin utilisera le nom du noeud plutôt que l’adresse IP

Il suffit de copier les lignes ci-dessus et d’adapter en fonction de la machine à monitorer:

[machinevince.localdomain] 

address 192.168.2.50
use_node_name yes

Il ne reste plus qu’à créer un lien symbolique du répertoire contenant l’interface Web de Munin vers le répertoire par défaut d’apache2 afin que l’interface de Munin soit disponible:

ln -s /var/cache/munin/www /var/www/munin

Partie cliente

apt-get install munin-node

Editez le fichier /etc/munin/munin-node.conf

Chercher la ligne allow ^127\.0\.0\.1$ et remplacez la par l’ip de votre machine ^192\.168\.0\.38$

Redémarrer munin: /etc/munin-node restart

Enfin connectez vous à l’interface web via l’URL: http://<ip ou DNS>/munin

Enjoy 🙂

Article publiée le 3 Novembre

Un proxy ou serveur mandataire permet entre autre une maîtrise de  votre sortie internet.

Les avantages sont:

– Mise en cache pour réduire l’utilisation de votre bande passante

– Trace de l’activité de vos utilisations sur le net

– filtrage de contenu

– Renforcement de la sécurité.

Ci dessous un tutoriel complet sur l’installation et la configuration d’un proxy SQUID avec Webmin. (Comme d’habitude ce tutoriel sera adapté aussi bien pour les distributions Debian/ Ubuntu Server et Centos/RedHat)

Si vous ne connaissez pas webmin un article présentant cette solution est disponible:

http://journaldunadminlinux.fr/webmin-une-plateforme-web-pour-gerer-votre-machine-linux/

Webmin vous permettra de paramétrer très facilement votre Proxy et d’effectuer les tâches quotidiennes d’administration de manière rapide (création user etc).

1/ Installation

– Installez Squid:

apt-get install squid (sous debian/ubuntu)

yum install squid (sous Centos/RedHat)

-Installez Webmin

Pour récupérer les packages rendez vous sur le site (suivant la distribution que vous utilisez):

http://www.webmin.com/download.html

Puis installez les:

dpkg -i <package Webmin> (sous debian/ubuntu)

rpm -i <package Webmin>  (sous Centos/RedHat)

– Connectez vous à l’interface Web de Webmin via l’url <IP ou DNS de votre machine>:9000

– Une fois connectez utilisez les identifiants root pour vous connecter.

– A gauche de votre écran cliquez sur le menu « server » puis « Squid Proxy Server »

2/ Configuration de SQUID

– Initialisez le cache de Squid en cliquant sur le bouton « Initialize Cache »

Etape 1: Mettons maintenant en place le système d’authentification (chaque user devra saisir son login et son mot de passe pour accéder à internet)

Cliquez sur « Access Control

Sélectionnez « External Auth » via le menu déroulant situé en dessous du tableau puis cliquez sur « Create New ACL »

Renseignez le nom de votre ACL dans le champs « ACL Name » puis cliquez sur save.

De retour dans le menu des ACL, cliquez sur l’onglet Proxy Restriction:

Cliquez sur Add proxy restriction

Sélectionnez le nom de l’ACL que vous venez de créer puis cliquez sur Save. (Assurez vous que l’action soit bien sur « Deny »)

Cliquez sur la flèche pointant vers le haut pour remonter votre ACL au dessus de « All »

Retournez ensuite au menu principal puis sélectionnez « Authentification Programs »

Cochez « Webmin default » puis cliquez sur « save »

Ci tout c’est bien passez une icone « Proxy Authentification » vient d’apparaître.

Cliquez sur ce bouton puis cliquez sur le lien Add a new proxy user:

Créez votre utilisateur puis cliquez sur « create »

Etape 2: Il ne reste plus qu’à autorisez votre sous réseau (ou sous réseau) à  se connecter sur votre proxy.

Pour cela créons une nouvelle ACL:

Via le menu déroulant en bas du tableau selectionnez « Client Address » puis cliquez sur « Create new ACL »:

Une fois les informations sur votre sous réseau cliquez sur « save »

Cliquez ensuite sur l’onglet « proxy restriction » puis sur add proxy restriction

Sélectionnez votre ACL puis cochez « allow » et cliquez sur Save.

Remontez votre ACL au dessus de ALL via la flèche.

Etape 3 : Il ne vous reste plus qu’à redémarrer le service squid.

/etc/init.d/squid restart ou service squid restart

Il ne vous reste plus qu’à tester!! (sans oublier de paramétrer votre navigateur pour qu’il utilise votre proxy)

Enjoy!

Article publiée le 2 Novembre 2013

WAS est un serveur d’application IBM (similaire à Oracle Weblogic ou RedHat Jboss).

Il y a quelque mois on m’a demandé d’installer ce produit  sur une machine de test en vue de procéder à une éventuelle migration.

Ayant eu du mal à trouver des tutos fiables je me suis permis d’en rédiger un sur l’installation de Websphère.

Pour vous procurer les sources de Websphere vous devez vous rendre sur le site d’IBM est posséder un IBM ID (pour cela il suffit de vous inscrire).

http://www.ibm.com/developerworks/downloads/ws/wasnetwork/index.html

Je vous rappelle que WAS est une solution propriétaire. Il est nécessaire que vous soyez en règle coté licence. Cependant IBM propose une version d’évaluation limitée à 30 jours.

RedHat 5 ou 6 (pi CentOS) est nécessaire pour l’installation de WebSphère avec de préférence un environnement de bureau type Gnome d’installé.

Tutoriel d’installation

–  Dans un premier temps téléchargez  le manager d’installation de IBM (Installation Manager) ainsi que les packages was.repo.8500.expresstrial

– Décompresser l’archive zip avec un petit unzip

unzip -e <nom de l’archive>

– Lancer le script install

./install

L’écran suivant devrait apparaitre:

Cliquez sur next

Cochez « I accept the terms in the license agreement » puis cliquez sur le bouton next

Sélectionnez votre répertoire d’installation puis cliquez sur next

Cliquez sur « install »

Cliquez sur « Restart Installation Manager »

Cliquez sur install

Cliquez sur le lien « Repositories »

(Procéder à la décompression de vos 3 archives was.repo.8500.expresstrial)

Cliquez sur « add Repositories » et sélectionnez le fichier repository.config de la 1er archive que vous venez de décompresser (dans disk1).

Cliquez sur OK.

– Sélectionnez « IBM WebSphere Application Server – Express Trial » puis cliquez sur next

– Acceptez les accords de licence en cochant la case « I accept the terms in the license agreement » puis cliquez sur « next »

Laissez le répertoire par défaut et cliquez sur « next »

Créer votre répertoire d’installation de WAS puis sélectionnez le avant de cliquez sur « next »

Cochez la langue puis cliquez sur « next »

Cliquez sur next

Sélectionnez le répertoire disk2 (il doit être à l’endroit où vous avez décompressé les archives des sources d’installation tout à l’heure)

Faites de même lorsqu’il vous demander pour le disk3

Cliquez sur « install »

Cliquez sur finish

Cliquez sur le bouton « create »

Cliquez sur next

Cochez « Advanced profile creation » puis cliquez sur « next »

Laissez tout coché puis cliquez sur « next »

Sélectionnez le menu déroulant et cliquez sur « Development » puis cliquez sur Next

Renseignez les champs en spécifiant bien le hostname dans le champs « Host Name » puis cliquez sur next

Vérifiez que votre machine possède un DNS correctement configuré (ou fichier hosts)

Indiquez le login et le mot de passe qui vous permettra de vous connecter à l’interface d’administration de WebSphere puis cliquez sur Next

Cliquez sur next

Cliquez sur next

Cliquez sur next

Cliquez sur next

Cliquez sur next

Cliquez sur « create »

Cliquez sur Finish

Cliquez sur « Installation verification ».

Une fois la vérification terminée il ne vous reste plus qu’à vous connecter sur l’interface d’administration via l’URL:

http://<ip serveur>:9061/

Article publiée le 23 Octobre 2013

Ayant beaucoup travaillé dans sur des environnements Web (LAMP) je me suis vite aperçu que soulager le plus possible les serveurs Web était ma principal préoccupation.

J’entends de plus en plus parler d’un projet du nom de Varnish qui est un reverse Proxy HTTP. Grâce à ça vous pourrez faire de la mise en cache pour soulager vos serveurs Web.

Voici un petit schéma explicatif:

Ce qui m’a le plus attiré dans cette outil est sa simplicité d’installation et son efficacité.

Les gens qui suivent mon blog ou me connaissent savent que je suis partisan des solution les plus simples à mettre en place.

Ci-dessous un tuto sur l’installation et la configuration de Varnish.

Votre environnement Lamp est déjà installé et configuré. Si vous avez besoin d’un tutoriel sur l’installation d’un tel environnement rendez vous ici:

http://journaldunadminlinux.fr/tutoriel-installation-dun-environnement-lamp-apache-php-mysql/

Installation sur une Debian/Ubuntu Server:

– Installez Varnish

apt-get install varnish

– Modifiez le port d’écoute de votre service apache

vi /etc/apache2/ports.conf (Et remplacez la ligne NameVirtualHost *:80  et Listen 80 par NameVirtualHost *:8080 et  Listen 8080)

– Editez le fichier /etc/varnish/default.vcl et checker:

backend default {
.host = « 127.0.0.1 »;
.port = « 8080 »;
}

– Editez le fichier de configuration /etc/default/varnish puis modifiez les lignes suivantes:

DAEMON_OPTS= »-a :6081 \
             -T localhost:6082 \
             -f /etc/varnish/default.vcl \
             -u varnish -g varnish \
             -S /etc/varnish/secret \
             -s file,/var/lib/varnish/varnish_storage.bin,1G »

par

DAEMON_OPTS= »-a :80 \
             -T localhost:8000 \
             -f /etc/varnish/default.vcl \
             -u varnish -g varnish \
             -S /etc/varnish/secret \
             -s file,/var/lib/varnish/varnish_storage.bin,1G »

(Situé au niveau du commentaire « Alternative 2 »)

puis modifiez VARNISH_LISTEN_PORT=6081 par VARNISH_LISTEN_PORT=80 et VARNISH_ADMIN_LISTEN_PORT=6082 par VARNISH_ADMIN_LISTEN_PORT=8000

Installation sur une Centos/RedHat:

– Installez Varnish

yum install varnish

– Modifiez le port d’écoute de votre service apache

vi /etc/httpd/conf/httpd.conf (Et remplacez la ligne Listen 80 par Listen 8080)

– Éditez le fichier /etc/varnish/default.vcl et checker:

backend default {
.host = « 127.0.0.1 »;
.port = « 8080 »;
}

– Éditez le fichier de configuration /etc/sysconfig/varnish puis modifiez les lignes suivantes:

DAEMON_OPTS= »-a :6081 \
             -T localhost:6082 \
             -f /etc/varnish/default.vcl \
             -u varnish -g varnish \
             -S /etc/varnish/secret \
             -s file,/var/lib/varnish/varnish_storage.bin,1G »

par

DAEMON_OPTS= »-a :80 \
             -T localhost:8000 \
             -f /etc/varnish/default.vcl \
             -u varnish -g varnish \
             -S /etc/varnish/secret \
             -s file,/var/lib/varnish/varnish_storage.bin,1G »

(Situé au niveau du commentaire « Alternative 2 »)

puis modifiez VARNISH_LISTEN_PORT=6081 par VARNISH_LISTEN_PORT=80 et VARNISH_ADMIN_LISTEN_PORT=6082 par VARNISH_ADMIN_LISTEN_PORT=8000

 Enjoy 😉