Menu principal

Statut de la page

Logger l’ensemble des commandes shell lancées par les utilisateurs

Un pré-requis à une bonne politique de sécurité consiste à tracer l’ensemble des commandes des utilisateurs. De nombreuses solutions passent par la modification de la variable d’environnement PROMPT_COMMAND dans le /etc/bash.bashrc. Problème évident, c’est pour bash uniquement entre autres défauts. Un meilleur moyen de journaliser les commandes shell lancées par les utilisateurs consiste à procéder à la surveillance au niveau kernel et surveiller les appels systèmes execve. Pour cela, il suffit d’installer le package Ubuntu auditd ou audit sous RHEL/CentOS et de définir ces règles attendues dans le fichier /etc/audit/audit.rules : -a exit,always -F arch=b64 -S execve -a exit,always -F arch=b32 -S execve Un redémarrage de service plus tard via systemctl restart [...]
Lire la suite
Vus : 455
Publié par Morot : 27

Un système de fichiers Haute Disponibilité avec GlusterFS ! (Paru dans GLMF 144)

GlusterFS est un système de fichiers réseau client/serveur permettant d’agréger différents nœuds de stockage afin de fournir un environnement NAS hautement disponible. 1. Présentation 1.1 Pour quoi faire ? Admettons que j’ai une application Web lambda, je vais pouvoir déployer plusieurs instances Apache ou Nginx qui se trouveront derrière un équilibreur de charge, lui-même hautement disponible. Sur chaque instance de serveur Web, il me sera facile de déployer l’application. Toutefois chaque instance aura besoin d’accéder à des fichiers communs, générés ou non par l’application. Bien souvent, je vais rencontrer dans ce cas un serveur NFS qui va donc lui-même constituer un point de faiblesse dans l’architecture. Gluster permet de mettre en cluster plusieurs nœuds de stockage (à minima deux), ce qui permet de [...]
Lire la suite
Vus : 141
Publié par Morot : 27

SSLH : Faire cohabiter un serveur Web et SSH sur le même port

SSLH est un outil qui permet de multiplexer le port 443 afin notamment de contourner certains firewalls qui bloquent le port SSH. Typiquement, en HTTP c’est le client qui communique en premier quand pour le protocole SSH c’est le serveur qui envoie le premier message. SSLH utilise ces différences de fonctionnement via des sondes (pour XMPP, OpenVPN…) afin de fournir cette fonctionnalité de multiplexage. Dans mon cas, je veux partager le port 443 avec un serveur Apache. Dans un premier temps, il faut indiquer à Apache de ne plus écouter sur le port 443 mais le 1443. Il faut changer tous les VirtualHost dans les fichiers /etc/apache2/sites-enabled en remplaçant : en Et adapter de la même façon le fichiers /etc/apache2/ports.conf : Listen 80 Listen [...]
Lire la suite
Vus : 187
Publié par Morot : 27

Ansible : Automatisation du déploiement d’un cluster multi master pour MariaDB (et MySQL…) avec Galera

Cet article est la suite de mon précédent article sur le sujet dans le but de pousser le concept un peu plus loin. C’est mon premier role Ansible donc je suis à peu près certain qu’il est possible de mieux faire. Dans un premier temps, paramétrons le fichier /etc/ansible/hosts pour y lister nos serveurs. [galera] db1.morot.test db2.morot.test db3.morot.test On créé notre rôle avec ansible-galaxy pour se faciliter le travail : cd /etc/ansible/ mkdir roles ansible-galaxy init galera - galera was created successfully On pousse notre template de configuration MariaDB dans /etc/ansible/roles/galera/templates/my.cnf.j2 : [client] port = 3306 socket = /var/run/mysqld/mysqld.sock [mysqld_safe] socket = [...]
Lire la suite
Vus : 174
Publié par Morot : 27

Cluster multi master pour MariaDB (et MySQL…) avec Galera

Petite présentation Galera est une surcouche de MariaDB permettant de mettre en œuvre un cluster au dessus du moteur de stockage InnoDB pour permettre un environnement hautement disponible : Réplication multi master Réplication synchrone Chaque nœud du cluster est utilisable pour un accès lecture/écriture La réplication est supportée au travers d’un lien WAN et de la latence que ce type de lien peut comporter Contrôle d’admission au cluster intégré Dans une architecture Galera, les clients SQL vont donc attaquer le cluster via un Load Balancer comme HAProxy qui sera lui-même hautement disponible :  [...]
Lire la suite
Vus : 145
Publié par Morot : 27

Intégration d’un poste GNU/Linux dans un domaine Windows

Il y a quelques années, j’avais administré un petit parc de 100 postes dans une PME industrielle. Pour être tranquille avec les virus, ne plus avoir à ré-installer 1 à 2 postes Windows par mois et ne plus avoir la moitié des fichiers vérolés par des vers dans les dossiers partagés en réseau, j’avais remplacé 80% des postes Windows par des postes GNU/Linux. C’était facile, tous ces postes utilisaient Mozilla Firefox, Mozilla Thunderbird, LibreOffice et se connectaient à un serveur Windows TSE pour accéder aux logiciels de gestion. Rien d’autre de particulier. Par précaution, j’avais ré-installé tous les postes Windows restants : CAO, anciennes applications DOS/Windows sans contrat de support [...]
Lire la suite
Vus : 333
Publié par NumOpen : 14

Cheminement d'un power user : De Windows à GNU/Linux

La première fois que j’ai croisé le mot power user, c’était chez Sebsauvage il y a plus de 10 ans. La définition en Français « Utilisateur intensif » étant trop pauvre, je vais citer la version Anglaise de Power user : « A power user or experienced user is a computer user who uses advanced features of computer hardware, operating systems, programs, or web sites which are not used by the average user. A power user may not have extensive technical knowledge of the systems they use and is not capable of computer programming or system administration, but is rather characterised by the competence or desire to make the most [...]
Lire la suite
Vus : 303
Publié par blog-libre : 54

Installation de la Debian 9 sur un LENOVO Thinkcentre m700.

Après avoir eu une alerte sur mon PC équipé d’Ubuntu que ma partition / était presque pleine, je me suis mis dans l’idée de redimensionner les partitions avec GPARTED. Bon ça a échoué … Heureusement j’avais fait quelques backups :). Pour faire simple, j’ai tout réinstallé. [...]
Lire la suite
Vus : 314
Publié par Littlewing : 294

Puppet : déployer automatiquement une applications Web avec les services Apache/PHP/MySQL

Dans ce court article, je vous propose de découvrir comment avec Puppet, il est simple de déployer un serveur Web complet prêt à accueillir une application web depuis son dépôt GIT. Je vais prendre pour exemple le célèbre CMS WordPress. Premièrement, on installe les modules dont on aura besoin : puppet module install puppetlabs-apache --version 2.3.0 puppet module install puppetlabs-mysql --version 5.1.0 puppet module install puppetlabs-vcsrepo Partons sur une simple définition de node dans le fichier /etc/puppetlabs/code/environments/production/manifests/site.pp contenant notre serveur web. On installe Apache avec le moteur prefork et non pas worker fourni par défaut car on souhaite installer mod_php. Enfin on créé un VirtualHost www.morot.test dont les fichiers seront dans le répertoire /srv/www : node 'www' { class { 'apache': default_vhost => false, mpm_module [...]
Lire la suite
Vus : 152
Publié par Morot : 27

OpenLDAP : corriger les ldif_read_file: checksum error

Si comme moi il vous arrive de modifier les fichiers de configuration ldif d’openldap à la main plutôt que de les modifier en injectant un LDIF, cela génère des jolies erreurs non bloquantes comme ceci :

ldif_read_file: checksum error on "/etc/ldap/slapd.d/cn=config/olcDatabase={1}hdb.ldif"

Pour corriger, rien de plus simple, on installe un utilitaire et on génère le nouveau CRC :

apt-get install libarchive-zip-perl
crc32 

Il ne reste plus qu'à modifier l'en-tête du fichier en erreur, ici /etc/ldap/slapd.d/cn=config/olcDatabase={1}hdb.ldif avec vim (c'est autorisé cette fois!) et à indiquer le checksum obtenu.

Vus : 203
Publié par Morot : 27
Powered by BilboPlanet