Know Sharing

Let's Encrypt est une autorité de certification lancée le 3 décembre 2015 (Bêta Version Publique) par l'internet Security Research Group.
Cette autorité fournit des certificats gratuits X.509 pour le protocole cryptographique TLS.
Le projet généralise l'usage des connexions sécurisées sur internet en supprimant la nécessité de paiement, de configuration du serveur web, des mails de validation et de renouvellement des certificats.
Il réduit donc, la complexité de mise en place et de maintenance du chiffrement TLS.
Pour cela, il faut installer un logiciel (certbot) qui va permet la gestion de certificats pour un serveur web, il est écrit en Python et tous cela au travers du protocole ACME, qui permet l'automatisation des échanges entre l'autorité de certification et le propriétaire du serveur web.
Aujourd'hui, il y a plus de 40 millions de certificats actif et plus de 18 millions de domaine enregistré chez let's encrypt.

Donc vous l'aurez compris, je vais donc mettre en place un certificat TLS avec let's encrypt.

Read more…

Rsnapshot est un utilitaire de snapshot de système de fichiers basé sur rsync.
Rsnapshot facilite la réalisation d'instantanés périodiques de machines locales et de machines distantes par ssh.
Les fichiers peuvent être restaurés par les logins qui les possèdent, sans que le login root ne soit impliqué.
Une fois que vos sauvegardes sont configurées, elles peuvent se produire automatiquement sans mains humaines.
Et parce que rsnapshot ne conserve qu'un nombre fixe (mais configurable) d'instantanés, la quantité d'espace disque utilisée n'augmentera pas continuellement.
Il est entièrement écrit en perl sans dépendances de modules (perl, rsync, ssh, logger, cp, rm, logger, du).

Read more…

Rancid (Really Awesome New Cisco confIg Differ) est un gestionnaire de configurations d'équipements réseau.
Principalement destiné aux administrateurs réseau, RANCID surveille la configuration d'un routeur ou plus généralement de périphérique réseau, y compris les logiciels et le matériel (cartes, numéros de série, etc.) et utilise CVS (Concurrent Version System), Subversion (SVN) ou Git pour maintenir l'historique des modifications.

Rancid prend actuellement en charge les équipements suivants :

• switchs Allied Telesis exécutant AW +
• les routeurs Cisco
• les routeurs Juniper
• les commutateurs Catalyst
• les commutateurs Foundry (maintenant Brocade)
• les Redback NAS
• les muxes ADC EZT3
• les commutateurs MRTd (et donc probablement IRRd)
• Alteon
• HP Procurve
• J'ai même ajouté les commutateurs Alcatel-Lucent

Read more…

Secure shell file system (ou SSHFS) permet le partage d'un système de fichiers de manière sécurisée en utilisant le protocole SFTP de SSH.
Il s'agit d'un protocole de transfert de fichiers sécurisé qui fournit des fonctionnalités d'accès aux fichiers, de transfert de fichiers et de gestion de fichiers sur SSH.

SSHFS est un système de fichiers basé sur le protocole de transfert de fichiers SSH.
Il est utilisé sur un système client, c'est-à-dire que vous devez installer le paquet SSHFS sur votre ordinateur/portable local (CentOS/RHEL/Ubuntu/Debian).
Pas besoin d'installer quoi que ce soit sur le serveur.
Vous n'avez besoin que d'un serveur openssh installé côté serveur.

Read more…

Les instructions suivantes vous aideront à fournir à votre serveur Samba une protection contre les vulnérabilités de sécurité.
Même si vous faites les mises à jours, vous pourriez aimer les suggestions suivantes pour vous fournir des niveaux de protection supplémentaires.

Read more…

Le Déni de service (DoS) est une attaque ayant pour but de rendre indisponible un service de la machine ou un réseau pour ses utilisateurs destinés, comme d'interrompre ou de suspendre les services d'un hôte connecté à Internet temporairement ou indéfiniment.
Un déni de service distribué (DDoS) est le faite d'impliquer une multitude de source souvent des PC “zombies” dans l'attaque, donc des milliers de adresses IP unique.

On appelle « attaque par déni de service » toutes les actions ayant pour résultat la mise hors ligne d'un serveur.
Dans les faits, les attaques par déni de service sont opérées en saturant la bande passante d'un serveur défini.
wikipedia.org

Les attaques par déni de service distribuées sont plus difficiles à contrer.
Le principe même de l'attaque par déni de service distribuée est de diminuer les possibilités de stopper l'attaque.

Les attaques par déni de service non distribuées peuvent être contrées en identifiant l'adresse IP de la machine émettant les attaques et en la bannissant au niveau du pare-feu (iptables).

Comment, protéger notre serveur apache pour qu'il remonte ce genre d'attaque ?

Read more…

Parallel-ssh est un utilitaire vous permettant d'exécuter des commandes sur plusieurs serveurs Linux distants en utilisant un terminal, cet outil est une partie de Pssh (ou parallel-ssh), qui fournit des versions parallèles de OpenSSH et d'autres outils similaires, tels que:

• parallel-scp : est utilitaire pour copier des fichiers en parallèle à un certain nombre d'ordinateurs.
• parallel-rsync : est un utilitaire de synchronisation de répertoire sur plusieurs hôtes en parallèle.
• parellel-nuke : il aide à tuer les processus sur plusieurs hôtes distants en parallèle.
• parellel-slurp : il aide à copier des fichiers à partir de plusieurs hôtes distants à un hôte central en parallèle.

Petit lien avec l'article c'est un autres outils) Comment configurer des clés SSH sur un système Linux

Read more…

Dans un environnement multi-utilisateurs Linux, il est une pratique standard pour créer des logins avec un certain mot de passe par défaut.
Oui, mais on manque souvent d'imagination pour les créer, du moins j'en manque souvent.

Dans cet article, nous allons partager quelques trucs et astuces Linux intéressants pour générer des mots de passe aléatoires et aussi comment chiffrer et déchiffrer les mots de passe.

Read more…

Je me suis retrouvé dans des situations ou une machine n'avait pas le comportement habituel ou ces performances n'étaient pas au niveau du service qu'on demande à la machine.

Je vous propose quelques outils Linux qui pourraient vous aider a diagnostiqué des problèmes ou à faire un audit sur un serveur Linux.

Ces commandes m'ont sauvé la vie plusieurs fois et j'espère qu'elles feront pareille pour vous.

Read more…

Dans un environnement multi-utilisateurs Linux, il est une pratique standard pour créer des logins avec un certain mot de passe par défaut.
Puis, après une connexion réussie, un nouvel utilisateur peut changer le mot de passe par défaut.
Pour des raisons de sécurité, il est souvent recommandé de “forcer” les utilisateurs à modifier le mot de passe par défaut après la première connexion pour vous assurer que le mot de passe initial n'est plus utilisé.

Voici comment forcer un utilisateur à changer son mot de passe sur la prochaine connexion.

Read more…

La gestion de la sauvegarde à bien évoluer sur les systèmes Linux.
Des outils qui géraient dans le meilleur des cas un lecteur de bande local, jusqu'aux outils modernes sophistiqués et aux logiciels de sauvegarde commerciaux, l'éventail est large.
L'essentiel est de connaître les moyens disponibles et d'adapter sa stratégie de sauvegarde à ses besoins en fonction du temps et de l'argent qu'on est prêt à investir dans la sauvegarde.

Je vais donc présenter quelques moyens pour effectuer des sauvegardes.

Read more…

Je me retrouve souvent à exécuter la même commande sur plusieurs serveurs en même temps.
Par exemple, je vais parfois avoir besoin de vérifier l'utilisation de la mémoire d'une flotte de serveurs.
D'autres fois, je veux grep rapidement les journaux de plusieurs machines, à des fins de dépannage.
Une fois que vous êtes au-delà de la gestion d'un ou deux serveurs, vous vous surprendrez à perdre 3 heures, si vous ne disposez pas d'un moyen d'exécuter des commandes sur plusieurs machines Linux simultanément.
Je vais vous expliquer comment exécuter rapidement des commandes sur un grand nombre de machines Linux à la fois.
Fait sur Debian Jessie

Read more…

Comme je l'ai déjà abordé, je suis d'un naturel assez pessimiste, même dans les sauvegardes, donc je prévois toujours un plan B.
Je pense que j'ai déjà fait le tour de la question dans de précédents articles (Faire des sauvegardes : Snapshot, Sauvegarde de données sous Linux).

Je n'ai pas abordé la duplication ou la synchronisation de données, mais a quoi ça sert, en effet votre système de sauvegarde est au point, pourquoi donc se prendre la tête là-dedans.

Je répondrai, les problèmes de sauvegarde sont en effet peu fréquents, mais quand il arrive …, de plus je distingue 2 avantages à la synchronisation ou la duplication :

• L'avantage le plus important est la réduction d'espace occupé par les sauvegardes.
• Un avantage indirect, conséquence du précédent est la diminution de la bande passante nécessaire à la sauvegarde dans le cas de la dé-duplication à la source.

Je vois un autre avantage, oui je sais que j'avais dit 2, mais le dernier est la sérénité .

Read more…

Voyons comment fonctionne LXC, qui est un système de virtualisation utilisant l'isolation…

Read more…

J'ai déjà parlé d'outils qui permette de protéger vos données ici, Je voudrai faire un petit complément d'information.

Pourquoi, protéger vos données me rediriez-vous?
On peut mettre des droits particulier, sur nos fichiers et répertoires.
Les permissions standard sur le système de fichiers permettent de se protéger des accès inopportuns.
Un problème demeure toutefois, quiconque a un accès direct au disque dur depuis un système d'exploitation tiers, en remontant le disque dans une nouvelle machine par exemple ou plus simplement en démarrant sur un live-cd, peut accéder aux données en court-circuitant toutes les permissions en place sur les fichiers.

je vais cette fois vous proposez de le faire à différent niveaux fichiers, disque ou partition et filesystem.

Read more…

Un surplus soudain des E/S disque violente peut faire baisser les performances de votre serveur de mail ou de votre serveur Web.
Pour éviter ce genre de problème d'explosion soudaine, exécutez votre script avec une classe de d'ordonnancement et de priorité.

Linux est livré avec divers utilitaires pour gérer ce genre d'incident.

Read more…

Nmap est un scanner de ports libre.
Il est conçu pour détecter les ports ouverts, identifier les services hébergés et obtenir des informations sur le système d'exploitation d'un ordinateur distant.
Ce logiciel est devenu une référence pour les administrateurs réseaux, car l'audit des résultats de Nmap fournit des indications sur la sécurité d'un réseau.
Il est disponible sous Windows, Mac OS X, Linux, BSD et Solaris.

Le code source de Nmap est disponible sous la licence GNU GPL.

Dans cet article, nous allons couvrir quelques exemples pratiques de la commande NMAP sous Linux.
Les principales utilisations de nmap sont:

• Déterminer les ports et les services ouverts en cours d'exécution dans un hôte
• Déterminer le système d'exploitation exécuté sur un hôte
• Usurpé l'adresse IP source (consistera à utiliser l'option -S)

Read more…

La gestion des logins est l'un des emplois les plus critiques des administrateurs système.
En particulier, la sécurité des mots de passe doit être considérée comme la principale préoccupation pour tout système Linux sécurisé.
Je vais décrire comment configurer la politique de mot de passe sur Linux.

Read more…

Si vous voulez exporter des fichiers en SCP, vous avez la fainéantise de saisir le mot de passe d'une machine Linux ou que vous souhaité sécurisé plus l'authentification SSH voici comment générer un certificat RSA pour vous simplifiez la vie.

Read more…

L'éditeur par défaut de Debian est configuré à l'installation.
Si vous êtes comme moi un grand habitué de Vim et que vous vous retrouvez sous nano, ceci peut-être gênant pour éditer, par exemple, le fichier crontab ou faire un visudo.
Heureusement pour nous Debian (ou équivalent, Ubuntu) propose l'outil update-alternatives pour gérer cela.

Read more…

Je suis d'un naturel assez stressé, c'est pour cette raison que je n’hésite pas doubler les services que je met en place, ce qui me laisse du temps pour réparer et surtout je maintient le service en place, ce qui est important dans une logique de haute disponibilité.

On double bien un serveur DNS sur le réseau, mais vous aller me dire, doubler un service DHCP est dangereux sur un réseaux, le risque est d'avoir des doublons d'IP.

Je vous dirai oui, mais c'est parce que vous ne vous êtes jamais servi de certaines options.
Car en effet on peut faire du failover, mais aussi faire en sorte que les serveurs répartisse la plage IP entre les 2 serveurs.

Read more…

ZABBIX est un logiciel libre permettant de surveiller l'état de divers services réseau, serveurs et autres matériels réseau et produisant des graphiques dynamiques de consommation des ressources.

Le système natif de proxy de ZABBIX, permet de répartir la charge ou d'assurer une meilleure disponibilité de service.

Donc, je vais montrer comment installer zabbix-proxy depuis les sources sur zabbix.com.

Fait sur debian Jessie.

Read more…

Qui ne n'a jamais assisté à une discussion avec des pro Windows, vous racontent Linux c'est bien, mais 100% des entreprises ont au moins un serveur Windows et il parle de l'Active Directory de Windows.

Depuis décembre 2012 cela est fini, l'arrivée de samba 4 change tout, en effet, il est ainsi possible de joindre complètement des clients Windows à un domaine et effectuer des opérations d'ouverture de session.

Et la cerise sur le gâteau, pour ceux qui seraient habitués a manipulé cela avec les outils d'administration de serveur distant RSAT de Windows, c'est possible.

Vous l'aurez bien compris, je vais vous montrer comment fabriquer non pas un, mais 2 serveurs samba active directory domain controller, oui parce qu'un réseau avec un serveur DC cela ne n'existe pas, ou sinon c'est que vous avez préparé une petite place sous votre moquette de bureau, le jour ou cela tombe.
Donc je récapitule :

• un Serveur DC samba 4 master
• un Serveur DC samba 4 secondaire

Pour l'installation, regardé Installation d'un serveur SAMBA 4, car l'article est basé dessus.

Read more…

ZABBIX est un logiciel libre permettant de surveiller l'état de divers services réseau, serveurs et autres matériels réseau et produisant des graphiques dynamiques de consommation des ressources.

Zabbix frontend est l'interface web de zabbix écrit en PHP, un serveur web est nécessaire.
Donc, je vais montrer comment installer l'interface web depuis les sources sur zabbix.com.

Fait sur debian Jessie.

Read more…

Après, les quelques tutos de mis en place de la solution zabbix, vous surveillez vos équipements et serveurs, mais sur vos serveurs (sur certains) vous n'avez pas investi dans une carte raid, mais n'ayant pas envie de jouer avec le feu, vous vous dites, je vais faire un raid logiciels pour palier au problème de disque.

Donc, la second réflexion que vous pouvez faire, mais comment surveiller le raid logiciel ?
je vous proposes une solution.

Je vais vous présenter le template que j'utilise pour cela.

Read more…

ZABBIX est un logiciel libre permettant de surveiller l'état de divers services réseau, serveurs et autres matériels réseau et produisant des graphiques dynamiques de consommation des ressources.

Le « serveur ZABBIX » peut être décomposé en trois parties séparées : Le serveur de données, l'interface de gestion et le serveur de traitement.
Chacune d'elles peut être disposée sur une machine différente pour répartir la charge et optimiser les performances.

Donc, je vais montrer comment installer zabbix-server depuis les sources sur zabbix.com.

Fait sur debian Jessie

Read more…

Cette article est ajusté à samba 4.x.
J'ai déjà traité l'installation et rôle active directory domain controller.
Je vais vous parler de la sauvegarde et la restauration de samba dans l'espoir qu'il sera utile.

Read more…

ZABBIX est un logiciel libre permettant de surveiller l'état de divers services réseau, serveurs et autres matériels réseau et produisant des graphiques dynamiques de consommation des ressources.

Un agent ZABBIX peut être installé sur les hôtes Linux, UNIX et Windows afin d'obtenir des statistiques comme la charge CPU, l'utilisation du réseau, l'espace disque,… .

Il y a 2 de types d'agents :

• Un agent passif : Le contrôles passifs est une demande de données simple.
  Zabbix serveur ou proxy demande certaines des données (par exemple, la charge CPU, ..) et l'agent Zabbix renvoie le résultat au serveur.
• Un agent actif : Les contrôles actifs nécessitent un traitement plus complexe.
  L'agent doit d'abord récupérer sur le serveur(s) une liste d'éléments pour un traitement indépendant.

Donc, je vais montrer comment installer zabbix agent depuis les sources sur zabbix.com.

Fait sur debian Jessie.

Read more…

Un des intérêts de LVM, est de pouvoir créer des snapshots de volume sans perturber le fonctionnement de la machine, sans interruption de services.
Parce que celui-ci est intelligent, donc il ne va pas copier l'intégralité du LV (volume logique) original.
Au contraire, il ne va stocker que les différences.
C'est pourquoi il est instantané et commence avec une occupation taille nulle.

A l’aide de simples scripts, l’automatisation des backups en est grandement facilité.

Je vais donc vous montrer comment faire des snapshots.

Read more…

Il y a une idée reçue très répandue parmi les utilisateurs Linux que le système n'a pas besoin d'être défragmenté.
Cette situation découle de la réussite des systèmes de fichiers utilisés par la plupart des distributions, EXT2,3 et 4, JFS, XFS, ZFS, ReiserFS et BTRFS.
Tous ce vante de gérer de façons intelligentes et techniques l'allocation des fichiers dans les disques en minimisant le problème de fragmentation et disent qu'il n'y a pratiquement aucune raison de défragmenter même après de nombreuses années d'installation et désinstallation d'applications dans le même système.
La fragmentation peut être un problème pour les utilisateurs qui utilisent tous l'espace disques et qui ne peuvent pas offrir de nombreuses options d'allocation des fichiers.

Read more…

Je vais vous montrer une des configurations de samba le rôle member server, quand on veut faire un serveur de partage de fichier avec l'authentification dans un domaine windows existant, en gardant la possibilité de créer des logins locaux. Pour l'installation, regardé Installation d'un serveur SAMBA 4, car l'article est basé sur cet article.

Read more…

Samba, permet à des ordinateurs Unix/Linux de mettre à disposition des imprimantes et des fichiers dans des réseaux Windows, en mettant en œuvre le protocole SMB/CIFS de Microsoft Windows et inversement.
Depuis décembre 2012 Samba 4 supporte le côté serveur dans un environnement Active Directory utilisé par Windows 2000.
Il est ainsi possible de joindre complètement des clients Windows à un domaine et effectuer des opérations d'ouverture de session.

Pour cela, il inclut un serveur LDAP et un centre de distribution de clés Kerberos (KDC).
Et tout ça sous licence GNU GPL 3

Donc, je vais montrer comment installer SAMBA 4 depuis les Dépot Git de SAMBA.

Read more…

La réplication MySQL permet :

• d'assurer une redondance sur une ou plusieurs bases de données avec des solutions de Haute disponibilité (ipvsadm, corosync, etc) et donc de ne jamais perdre des données.
• de mettre en place de la répartition de charge sur les requêtes, par exemple vous avez des statistiques générés sur un portail tous les X secondes, une réplication master/slave peut servir a déchargé la base principale qui récoltera les données.
  La base esclave nous servira à faire les statistiques, mais on peut aussi assurer ceci avec des solutions de haute disponibilité.

Donc, je vais vous montrer les 2 types de réplication possible sur MySQL master/slave et master/master

Read more…

Voici les problèmes que j'ai rencontrés sur Asterisk et leurs solutions sur des serveurs en production.

Read more…

Voici, quelques exemples de fichier de configuration de poste SNOM, que vous pouvez mettre dans un serveur TFTP

Read more…

Vous Voulez convertir des MP3 au format ulaw pour :

• mettre une musique d'attente
• mettre un menu vocal
• un répondeur, etc

Bien sûr, en respectant les droits d'auteurs et producteur.

Read more…

Le service TFTP, permet au serveur de contenir les fichiers de configuration de tous les téléphones ou de la gamme de téléphone, pour facilité encore une fois le déploiement.

Read more…

Il peut être pratique d'installer un serveur NTP sur un réseau VOIP, pour par exemple aider les téléphones à récupérer la bonne heure, cela nous simplifie le déploiement

Read more…

Il peut être pratique d'installer un serveur DHCP sur un réseau VOIP, pour par exemple aider les téléphones à prendre leurs fichier de configuration, cela nous simplifie le déploiement

Read more…

est un PBX (Private Branch Exchange) est un système de gestion téléphonique sous double licence GNU GPLv2 et propriétaire.
Il permet, entre autres, la messagerie vocale, les files d'attentes, les agents d'appels, les musiques d'attentes et les mises en garde d'appels, la distribution des appels.
Il est possible également d'ajouter l'utilisation des conférences par le biais de l'installation de modules supplémentaires.

Je vais vous montrer comment j'installe Asterisk à partir des dépôts sur Centos et parce que je ne suis pas expert en VOIP, mais je me débrouille avec l'interface FreePBX, je vous monterai aussi l'installation de FreePBX.

Read more…

Un des intérêts de LVM, est de pouvoir augmenter la taille d'un volume sans perturber le fonctionnement de la machine et sans interruption de services. Si votre groupe de volume n'est pas suffisant, mais que vous venez de rajouter un disque ou de l'espace disque sur une VM pour agrandir votre volume, comment ajouter cette espace à votre partition lvm?

Read more…

Le système n'est pas arrivé à monter les partitions LVM, vous vous retrouvez avec un prompt (initramfs), voici ce qui m'a permis de résoudre le problème.

Read more…

L'agrégation de liens est une notion de réseau informatique, le but étant de regrouper plusieurs ports réseau comme s'il s'agissait d'un seule.
Les avantages étant :

• D'accroitre le débit au-delà des limites d'un seul lien
• Éventuellement de faire en sorte que les autres ports prennent le relai si un lien tombe en panne (redondance).

J'ai pu le dire au-dessus, c'est une notion réseau, mais sur un serveur, cela peut être utile surtout pour assurer une redondance quand il y a un enjeu de haute disponibilité.

Dans Linux, il existe 6 modes d'agrégations de liens.

Read more…