Installation de Redmine 3.0.3 sous debian 7 avec passenger

logo redmine

13 juin 2015 | Posted in Logiciel | By

On ne présente plus redmine, le soft open-source de gestion de projet développé en Ruby sur la base du framework Ruby on Rails.

Pré requis

Un serveur sous debian 7 64 bit vierge.

Introduction

Je vais vous montrer comment installer redmine en version 3 sur une debian 7 avec :

  • mysql 5.5
  • ruby 2.2
  • rails 4.2
  • gem 2.4.5
  • apache2
  • passenger
  • et une authentification ldap

Installation d’apache et de mysql

On commence par le plus simple, on rajoutera le php et phpmyadmin et imagemagick en même temps.

Vous pouvez après reprendre les fichiers de configuration d’apache, php et mysql afin d’optimiser le tout et surtout le sécuriser.

Installation de ruby

Nous allons d’abord installer les pré-requis puis télécharger la dernière version disponible. En effet le package dans debian est la 1:1.9.3
C’est d’ailleurs pour cela que je n’ai pas installé le paquet passenger disponible.

Afin de faciliter l’installation, on va utiliser rmv
J’ai essayé avec rbenv et j’ai eu des soucis pour info.

Il faut maintenant reload votre shell

Pour vérifier que c’est bon :

Si vous obtenez

c’est que vous avez le paquet ruby de debian, supprimez le et recommencez l’installation comme décrite ci-dessus

et on vérifie gem

Installation de rails, bundler et passenger pour redmine

On active le passenger
On génère les fichiers de configuration de passenger

On va mettre en place le fichier de configuration

Puis le chargement du module

On active le module et on refresh apache

 

On vérifie que le module est bien activé

qui doit nous répondre

Tout va bien on continue.

Création de la base de données redmine

Pensez à changer my_password par votre mot de passe.

Installation de redmine

Pour plus de sécurité, nous allons créer un utilisateur système redmine avec pour groupe www-data

On télécharge notre archive et on la décompresse, pour faciliter les mises à jour futures, je vais créer un lien symbolique

On configure la connexion à la base de données

On se place dedans

On installe les dépendances

On génère le token

On nourrit la base de données de production

puis

On configure le vhost d apache

on active le site et on restart apache

Conclusion

Vous voila avec une installation redmine, il ne vous reste plus qu’à configurer vos projets et votre authentification Ldap dans l’administration de votre interface.

Read More...

Installation du waf modsecurity d’apache et reverse proxy

security logo

13 juin 2015 | Posted in Securisation | By

Par tous les moyens, vous cherchez à protéger votre réseau. Vous déployez un firewall pour bloquer les accès et les protéger de l’anti-spoofing, un fail2ban contre le brut force, rkhunter et compagnie, mais comment sécuriser les sites web que vous hébergez ??? Êtes-vous sûr que leur développement respecte les règles de l’art, qu’ils sont bien patchés avec les versions à jour… Il existe pourtant des solutions. Explorons ensemble la mise en place d’un web applicatif firewall appelé entre-amis WAF.

WAF le firewall pour vos applications web

Le principe du WAF est assez simple, un WAF se place entre internet et votre application web. Il va intercepter toutes les requêtes http pour les analyser suivant des règles de filtrage permettant de repérer les attaques et de les bloquer.
Il existe plusieurs modèles de WAF, nous allons ici mettre en place le module d’apache modsecurity. Vous pouvez bien sûr mettre directement votre waf sur votre serveur où sont les sites internets, mais ici je vais vous montrer comment mutualiser un WAF.

Schema waf mutualisé

schéma de flux pour infrastructure serveur web protégé par un waf

 

Explication de l infrastructure réseaux WAF

J ai choisi de mettre le serveur WAF sur un esxi pour plusieurs raison. D abord c est un serveur qui doit pouvoir évoluer suivant notre datacenter, une machine virtuelle offre cette flexibilité. Ensuite j ai fait le choix de donner une interface réseaux sur le WAF pour chaque serveur web que protégera le WAF. J ai donc une interface pour l administration et une pour chaque serveur web soit ici 3 en tout.
Pourquoi sommes toutes une interface par serveur web. Et bien tout simplement parce que cela m apporte de nombreux avantages de configurations je trouve. Pour le proxy je peux tout rediriger par l ip et non par le nom de domaine. Très utilie lorsque l’on a un serveur web hébergeant plusieurs nom de domaine.

 

Installation du WAF et du PROXY

On part d’une debian 7 fron scratch.

On commence par installer le serveur web apache et le modsecurity et le mod proxy

On active tout le monde

 

Réglons tout de suite un bug de load de module. Si vous ne le faites pas vous aurez cette erreur dans votre /var/log/error.log

Il suffit de faire ceci :

Paramétrage Modsecurity

on paramètre modsecurity

On l’édite

On active complètement modescurity

en

Puis rajouter juste après

Modifiez

En

Enfin

En

Dé-commentez

et pour activer des règles on ajoute

Attention l’include ne marche pas de manière récursive il faut toujours spécifier tous les répertoires ou vous avez des règles à charger.

Trouvez des règles pour le modsecurity

Par défault le modsecurity ne comporte pas de règle il faut en installer dans le dossier /etc/modsecurity/activerules/.

Il existe plusieurs sources gratuites ou payantes. Voici quelques liens.

A vous de faire votre choix.

En annexe un petit document à lire pour vous

http://www.ssi.gouv.fr/uploads/IMG/cspn/anssi-cspn-cible_2010-05fr.pdf

Configuration du Proxy

Pour rappel, nous avons détourné le flux http (port 80) allant sur le serveur web1 (192.168.1.40) vers le serveur waf sur son interface 192.168.1.4.

Il faut donc maintenant via apache rediriger le flux sur le serveur web1 grâce au mod_proxy

On active le virtualhost et on recharge

Modification des logs sur les serveurs Web

Si vous regardez les logs de votre serveur web, vous n’aurez plus que l’ip de l’interface du waf. Pour cela, il faut modifier le LogFormat afin qu’il reprenne en compte l’ip de l’internaute.

Éditez le fichier apache2.conf

Commenter la ligne

ce qui donne

et ajoutez en dessous

Il suffit maintenant d’appliquer le tout

Conclusion

Nous venons de rajouter une couche en plus pour la protection de votre infrastructure, de plus nous l’avons centralisé en un endroit, ce qui facilite l’entretien. N’oubliez pas que sans les règles un WAF ne sert à rien, il faut donc les mettre à jour régulièrement.

Read More...

Load Balancing SMTP ou autre grâce à iptable

13 juin 2015 | Posted in Réseau | By

Voila ma problématique : comment répartir le flux smtp entre deux serveurs avec un seul point d’entrée sans pour autant perdre les informations du flux tel que l’ip de la source? Au début, je pensais que cela serait facile. Manque de pot pour moi à l époque j’étais encore en Debian 6, voir 7 et les versions de haproxy et de nginx ne me permettaient pas de faire du load balancing proprement.

J’ai donc dù faire ça, on peut dire d’une manière nettement plus rustique via iptable.

Principe du Load Balancing SMTP

Pourquoi faire un Load Balancing SMTP, je pourrai très bien mettre en place plusieurs enregistrements MX. Certes, mais cela ne sert que pour les serveurs Mails qui m’envoient les messages de leur clients. Comment faire pour mes clients? Dans leur configuration outlook, ils sont obligés de spécifier l’adresse du serveur smtp.
Imaginons donc que pour une société, j’ai besoin de mettre en place deux serveurs SMTP afin de pouvoir faire face à leur charge mail.
Je ne vais pas dire au client les 100 premiers comptes vous les mettez sur smtp1.mondomaine.fr et les 100 suivants sur smtp2.mondomaine.fr. Si l’entreprise grandit et que nous rajoutions un troisième serveur, les deux premiers seront saturés, voir ralentis alors que le nouveau lui, montera en charge lentement.

 

Le Load Balancing va donc permettre d’apporter de la souplesse et de la facilité pour le client, ainsi qu’une meilleure répartition de la charge. Malheureusement, le Load Balancing SMTP via iptable ne permet pas de distribuer suivant la charge du serveur.
Dans la liste des autres inconvénients, vous aurez aussi celui du blacklistage, si le point d’entrée est blacklisté, tous les serveurs sont impactés.
Si on vous demande de rechercher dans les logs la trace d’un email, vous devrez chercher dans les 3 serveurs emails, car vous ne saurez pas lequel des serveurs mails a traité la requête.

Mais ne vous inquiétez pas, il existe des solutions pour cela, je traite d’ailleurs de la centralisation des logs dans un article.

Le principe est relativement simple, nous allons tagué chaque nouveau flux smtp. Suivant le tag, iptable l’enverra sur tel ou tel serveur.

Configurer iptable pour faire du Load Balancing SMTP

Pour la configuration du noyau je vous invite à lire cet article du blog

Le code iptable a chargé sur le point d’entrée.

petit décryptage :

-i eth0 : tout ce qui vient de l’interface réseau eth0

–dport 25 : à destination du port 25

–every 2 : tous les deux marquages, on boucle. Traduction le 2 représente le n serveur de votre infra

–set-mark 0 : on tag le paquet , le décompte du tag commence a 0 et non 1

Ensuite comme vous voyez, on redirige les paquets tagués 0 sur la machine a l ip 192.168.1.2 sur le port 25

Conclusion

Bien que rustique, cette solution reste très efficace et peu gourmande en ressources, elle peut répondre à n’importe quel protocole. Néanmoins, de part ce coté brut de fonderie, il faut bien comprendre que si la machine cible ne répond pas, on perdra le paquet et que vous n’aurez aucune gestion de la charge machine. Cette solution est à utiliser en dernier recours. Maintenant, haproxy gère le smtp de manière plus fine mais la technique sera valable pour d’autres ports.

Read More...

Ajouter un domaine à votre owncloud

26 décembre 2014 | Posted in Owncloud | By

Introduction

Vous désirez mettre en place un owncloud, mais pour des raisons propres à vous, vous avez besoin que votre owncloud soit accessible via différents domaines.
Voici donc la procédure afin d’ajouter autant de domaines ou sous domaines à votre cloud personnel.

Pré-requis

Une installation d’owncloud tournant sur un apache2. La version d’owncloud que j ai est actuellement la 7.0.4

Comment ajouter un nouveau domaine à votre Owncloud

Modification de la configuration apache

En tout premier lieu nous allons mettre à jour la configuration de votre serveur web apache, afin qu’il accepte votre nouveau nom de domaine ou sous-domaine.

Éditez le fichier /etc/apache2/sites-avalaible/owncloud.conf

Modification de la configuration du owncloud

On y est presque il reste plus maintenant que rajoutez votre nom de domaine à la configuration du logiciel.

Éditez /var/www/config/config.php

Vous verrez un array trusted_domains
rajoutez une ligne en incrémentant le numéro et en mettant votre domaine.
Exemple :
Si votre domaine principal est cloud.test.com et que vous voulez rajouter cloud.famille.com
vous ferez cela :

redémarrez apache

Conclusion

Voila une modification rapide à faire, néanmoins une petite remarque importante :
Owncloud peut forcer le passage en https, si vous voulez avoir un certificat vérifié sur une installation multi-domaine, pensez bien à prendre le certificat adéquate sous peine de devoir en racheter un.

Read More...

Script de backup serveur Web Mysql APP

10 octobre 2014 | Posted in bash, Programmation | By

Aujourd’hui pas de tutorial mais une ébauche de script de sauvegarde pour serveur débian 7.

Attention se script est en cours d’amélioration mais les bases sont la, vous pouvez donc déjà l adapter à vos besoins.

Que fait ce script?

  • Backup vos sites internets, chaque site a sa propre archive
  • Backup vos bases de données Mysql, chaque base à sa propre archive
  • Backup votre répertoire de configuration /etc
  • Peut backuper une liste de répertoire
  • Roulement sur 5 jours

 

Note du 11/03/2015 : rajout de -c -Q –extended-insert dans le mysqldump afin de réduire le dump de la base mais surtout d augmenter la vitesse d import.

Read More...

Montage d’un espace de stockage Google Drive pour un serveur sous Debian 7

9 octobre 2014 | Posted in Système d exploitation | By

Introduction

J’ai eu comme besoin de monter un partage provenant d’un Cloud pour un ami. Celui ci a fini par choisir Google Drive. Son besoin était simple, il lui fallait un petit espace de stockage pour sauvegarder des données de son serveur. J’ai touvé de la documentation pour quelques soft sous Debian comme grive mais ce dernier est en sid. Bon, je rechigne à passer par lui, même si son atout majeur est tout de même d’être un paquet qui peut être mis à jour facilement. De plus, je veux un point de montage des plus basiques. Je me retourne donc vers google-drive-ocamfuse. Le hic avec ce système est que pour le token de google, l application lance par défaut un navigateur … Sur un serveur c est un peu comment dire problématique. Voici donc la méthode  pour régler le problème.

Installation

Quand tout est fini, il faut rajouter le PATH à l’environnement

on édite le  ~/.bashrc

puis

Préparation de votre compte Google

Tout d’abord évidemment, rendez vous sur Google et activez votre espace Google Drive.
Ensuite, il va nous falloir un code d’activation d’api.
Pour cela, rendez vous sur :
https://code.google.com/apis/console/
Créer un projet.

Il faut maintenant activer DRIVE API. Pour cela, dans le menu de gauche, cliquez sur APIs dans la section APIs & auth. Activez Drive API.

Puis dans le menu APIs & Auth toujours à gauche, cliquez sur consent screen, remplissez les champs Email address et product name, si vous ne le faites pas Google refusera d’autoriser votre api.

Maintenant il nous faut un client id, pour cela, allez dans le menu de gauche dans la section APIs & auth dans Creditentials
Cliquez sur Create new Client ID
Sélectionnez installed application et other.

Il va alors vous donner un #CLIENTID# et un code secret #CLIENT SECRET#

Configuration de google-drive-ocamfuse

Dans votre terminal, lancez la commande suivante en remplaçant par les valeurs récupérées précédemment.

Vous verrez alors dans la console s’afficher une url, récupérez la et collez la dans votre navigateur. Suivez les deux étapes pour récupérer le code de vérification que vous collerez dans le prompt de votre terminal.

Montez votre google drive

et pour verifier faites un

Démontez votre googledrive

Montez plusieurs google drive

Comme dis le dicton, plus on est de fou plus on rit, il est tout a fait possible de monter plusieurs Google Drive.
Pour cela, il faudra reprendre l’étape de configuration avec un label différent par compte et bien sur générer pour chaque compte un #CLIENTID# et un code secret #CLIENT SECRET#.

Créez differents points de montage, puis lancez la commande :

Automatisation du montage au démarrage

Créez le fichier /usr/bin/gdfuse

google-drive-ocamlfuse -label $1 $*
exit 0

On le rend exécutable

On édite maintenant le fichier /etc/fstab
et on rajoute la ligne

ou googledrive1 est le nom du label, si vous n’avez pas précisé de label, remplacez googledrive1 par default

et enfin pour monter votre google driver

Conclusion

Avoir ce type de montage sur un serveur, un lien direct avec un Cloud est très intéressant, les possibilités sont multiples : espaces de stockage, de backup, plus facile pour un client de déposer des fichiers depuis son smartphone ou son pc. Mais attention au piège, utilisez bien ce montage comme tampon, ne traitez jamais les fichiers dessus sinon les performances dues à la latence du réseau plomberont votre programme.

 

Crédits :

Merci à l’auteur Alessandro Strada pour son travail

https://github.com/astrada

Read More...

Installation de opush3 pour obm 3.0

bouton contact

19 septembre 2014 | Posted in Mail, OBM | By

Obm 3 utilise opush 3 pour le service activesync. Depuis cette version on doit installer cassandra nous même.

La raison est simple : du faite du multi node de cassandra, vous pouvez avoir cassandra sur un serveur différent que l’opush . Je vais donc vous décrire la procédure pour installer cassandra et opush sur un même serveur.

Pré-requis :

Une vm ou un serveur avec au minimum 2Go de RAM. Nous en mettrons donc 4Go.
Une Debian 7 64bit
La machine est en lan et son ip défini : son ip sera donc 192.168.4.125

Installation :

On commence par modifier notre source.list pour avoir les paquets pour cassandra et obm

On récupère les clés

Si vous êtes from scratch, n’oubliez pas d’installer le paquet curl pour la suite.

On met à jour notre liste de dépôts

Installation d’Oracle JRE

il faut au minium un JRE 1.7.0_25.  A l’heure ou j’écris ce tutorial la version est en 1.8

Allez sur la page :
http://www.oracle.com/technetwork/java/javase/downloads/index.html
et rendez vous sur JRE
Téléchargez la dernière version du JRE et installez la (attention modifiez le lien du Wget, mon AuthParam ne sera pas toujours valable, l’archive fait dans les 60Mo)

Lors de update-alternative, modifiez bien vos chemins en fonction de votre version.

Il nous reste plus qu’à définir la variable JAVA_HOME

puis vérifier le tout

résultat :

Afin de le rendre permanent modifier le fichier /etc/profile et coller le export vu au-dessus

Installation de JNA

on installe le paquet

Installation de cassandra 2.0

Configuration de cassandra

Il faut commencer avant tout par supprimer la configuration de base installée avec le paquet debian.

On peut configurer cassandra en single node ou en multi-node.
Dans ce tutorial, je traiterai que le cas du single node.
Éditez le fichier /etc/cassandra/cassandra.yaml et modifiez les valeurs dans le fichier comme ci-dessous

redémarrer cassandra

On se connecte maintenant à cassandra.

et on créé le keyspace et l’utilisateur  ayant accès pour opush.

Installation de Opush

Notez que pour répondre aux questions de l’installeur :
Pour les seed étant en single node: votre ip
Pour le keyspace : opush comme créé si dessus
Utilisateur opush : opush_user
Mot de passe de l’utilisateur : opush_password

Configuration de Opush

C’est là que j’ai eu ma grosse surprise… Je ne peux l’expliquer, mais les fichiers de conf de opush étaient tout simplement incomplets ou inexistants. Donc nous allons vérifier chaque fichier et leur contenu.

Voilà les fichiers et les explications pour les remplir.
/etc/opush/opush.ini

/etc/opush/ldap_conf.ini

/etc/opush/cassandra.ini

Initialisation du schéma de cassandra

Si vous regardez le fichier de log de opush /var/log/opush/opush.log vous verrez ce message d’erreur :

Pour faire cela on doit utiliser CRaSH

Présentation de CRaSH

CRaSH est un shell permettant d’administrer le serveur Opush.

Configuration de CRaSH

La configuration de CRaSH se fait dans le fichier /etc/opush/remote_console.ini

console.ssh.port permet de définir le port de connexion en ssh pour accéder à la console
console.authentication.domain permet de définir le domaine dans opush dont l’administrateur aura le droit de se connecter à CRaSH

Configuration de l’utilisateur ayant le droit d’administration de CRaSH dans OBM

Connectez vous sur votre interface Obm sur le global.virt avec l’utilisateur admin0.
Rendez vous dans Administration>Profil utilisateur
Recherchez admin et modifiez le profil

Dans Réglages Spécifiques cochez Administration et validez les modifications.

Connexion a CRaSH

Sur le serveur opush connectez vous comme suit à crash :

Le mot de passe étant celui de votre utilisateur admin0 dans Obm

Installation du schema

Dans la console CRaSH :

Voila c est fait!

Autres commandes :

schema status # pour l etat
schema update # pour la mise a jour
dashbord # un equivalent de htop

il ne reste plus qu’à redémarrer opush

Read More...

Perte mot de passe root esxi 5.0 et plus chez ovh

11 septembre 2014 | Posted in ESXI | By

Aujourd’hui je vais vous décrire un scénario catastrophe et comment y remédier.

Pré-requis

un serveur chez ovh avec esxi 5.0
savoir utilisee une clé ssh

Le scénario

Imaginons, et je dis bien imaginons, que vous perdiez le mot de passe root de votre serveur esxi chez ovh. Impossible de retrouver le mail envoyé par ovh avec le mot de passe car prévoyant, vous l’avez supprimé. Impossible de rentrer dans l’interface de gestion et de démarrer ce serveur virtuel dont vous avez tant besoin… Vous pourriez demander à ovh le mot de passe malheureusement ils ne le conservent pas non plus !!! Et rajoutons en plus un sérieux problème, vous n’avez plus accès à vos emails car ces derniers sont sur ce même esxi dont bien sur les vms sont éteintes.

Reprendre le contrôle.

Installer votre clé ssh dans votre manager ovh

Pour cela rendez vous dans votre manager ovh ou soyoustart et enregistrez votre clé ssh (la partie publique bien sur) dans l’interface de gestion. Pensez bien à vérifier que cette clé est par défaut. C’est ainsi elle qui sera installée en mode rescue.

Redémarrer votre serveur ESX en mode rescue

Redémarrer le serveur en mode rescue. Bien sur vous ne recevrez pas le mail contenant le mot de passe pour vous connecter en ssh mais grâce à la clé enregistrée précédemment cela n’a pas d’importance.

Réinitialisez votre mot de passe

Vous pouvez maintenant vous connecter à votre ESXI en ssh pour réinitialiser votre mot de passe perdu. Pour cela, nous allons devoir monter la partition racine de votre ESXI

Dans mon installation la partition racine est la sda5. A vous de trouver la votre.

on créer un répertoire de travail et on monte cette partition

Les fichiers de configuration de votre esxi sont maintenant accessibles. Pour être sur d’être dans la bonne partition vérifiez la présence de celui qui nous intéresse tout particulièrement : state.tgz

Alors attention, c’est assez retord comme procédé, state.tgz est une archive qui contient une autre archive nommée local.tgz qui contient le répertoire etc ou se trouve le fichier shadow.

Le fichier shadow contient le mot de passe crypté de votre serveur. Nous n’allons pas chercher à le décrypter cela serait impossible ou trop long. N’oublions pas que votre serveur est en downtime et qu’il faut être rapide.

Nous allons tout simplement faire en sorte que vous vous connectiez avec root sans mot de passe !!!

Bien, décompressons les archives et éditons ce fichier.

on édite le fichier shadow qui aura cette forme :

Nous allons modifier la ligne root en supprimant tout simplement le mot de passe crypté pour avoir cela

Il reste plus qu’a recompresser le tout et faire du ménage

Démontez votre partition et rebootez.

Sans attendre une seconde , connectez vous via vsphere à votre ESXI. Il ne faut pas attendre, n’oubliez pas que root n’as plus de mot de passe. Laissez donc le champs mot de passe vide lors de la connexion.
Puis initialiser un nouveau mot de passe dans le menu utilisateurs et groupe locaux

Conclusion

Voila une procédure rapide pour réinitialiser son mot de passe perdu de son esxi chez ovh, vous pouvez le faire aussi en livecd sur une machine accessible physiquement. Et pour éviter encore plus le downtime je vous invite à voir le tutorial que j’ai fait sur l installation d’une clé SSH sur son ESXI

Read More...

Centraliser et analyser vos logs grâce à octopussy sous debian 7

logo octopussy

11 septembre 2014 | Posted in Supervision | By

L’importance des logs n’est plus à démontrer, néanmoins leur gestion , leur stockage ainsi que leur exploitation  peuvent se révéler plus ardu que prévu. Aujourd’hui je voudrais partager avec vous mon expérience sur ce sujet et la réponse que j’ai trouvé  à plusieurs problématiques.

Exemple de problématiques :

  • Votre serveur web subit une attaque DDOS, le rendant inaccessible ou bien vous en avez perdu le contrôle. Vous ne pouvez plus accéder à vos logs et donc trouver la raison de votre perte de contrôle. Dès que vous remettrez from scratch le service en place il y a de fortes chances que vous reperdiez le contrôle…
  • Vous disposez de plusieurs serveurs mails, comment retrouver la trace rapidement d’un mail traité par un de vos SMTP ?
  • Votre serveur a une panne matérielle, comment pouvoir analyser le syslog si la machine ne démarre plus?
  • Vos développeurs, afin de garantir leur travail, doivent vérifier rapidement et facilement les logs d’erreur de leurs applications sans avoir d accès à la machine de production
  • Meme chose pour un prestataire externe d’un de vos clients.
  • La trop grande écriture des logs et vos obligations contractuelles font que sur le serveur de production et les logs consomment trop d’espace disque.

Voila un exemple des problématiques que nous allons résoudre.

Matériel

Pour du stockage pur de données nous n’aurions pas besoin d’une grosse machine en terme de puissance de calcul. Néanmoins octopussy pour le traitement, l’indexation et la recherche,  lui en demande. Evitez donc les processeurs atom et les faibles quantités de ram. Ayant la plupart de mes serveurs chez ovh (même si je viens de découvrir un belle arnaque de leur part dont je ferai un article dessus) voila ce que je vous recommanderai comme type de serveur :

http://www.soyoustart.com/fr/offres/sys-ip-2.xml

Processeur plus qu’intéressant, capacité de ram plus que nécessaire et un raid 1 de 2To protégeant un peu plus vos données. Avec çà vous avez de quoi faire et stocker.

Installation de octopussy

Présentation

Octopussy est un interface web centralisant vos logs, il permet en autres :

  • D’envoyer des alertes via Mail, jabber, irc …
  • De créer des rapports à intervalle régulier et de les exporter
  • Création de graph pour l’activité de vos logs
  • Supporte : ind, Cisco Router, Cisco Switch, DenyAll Reverse Proxy, Drbd, F5 BigIP, Fortinet FW, Ironport MailServer, Linux Kernel/System, Linux IPTables, Monit, MySQL, Nagios, NetApp NetCache, Juniper Netscreen FW, Juniper Netscreen NSM, Postfix, PostgreSQL, Samhain, Snmpd, Squid, Sshd, Syslog-ng, Windows Snare Agent, Xen…
  • Multilingue
  • Un système permettant d’apprendre à votre octopussy de nouveaux messages logs inconnus

Pré-requis

Il faut avant d’installer octopussy installer quelques paquets.

modifiez votre /etc/apt/source.list pour rajouter les depots non free

ce qui devrait ressembler à cela :

Nous mettons à jour nos dépôts

et on installe les paquets nécessaires

on active certains modules d apache

et on applique

Mise en place

Maintenant nous pouvons télécharger la dernière version du soft

à cette adresse : http://sourceforge.net/projects/syslog-analyzer/files/

Par défaut l’interface est accessible en https sur le port 8888, je préfére vu que le serveur ne sert qu’à cela le mettre sur le port 80

vim /etc/octopussy/apache2.conf
modifier Listen 8888 en Listen 80

il faut maintenant stopper apache, c’est octopussy qui va lancer apache avec sa propre configuration

on applique le changement et on demarre le apache via octopussy :

Paramétrage de rsyslog coté serveur

Les logs vont arriver via le réseau sur le port 514 en udp ou en tcp. On sécurise un peu la connexion en autorisant que certaines ips ou noms de domaine.

Cela vous permet de choisir le protocole de transfert de l information.
Udp, peu gourmand en ressource réseau car il ne vérifie pas les paquets, on peut donc en perdre, Tcp plus secure mais plus gourmand aussi. Personnellement ca sera du TCP.
vérifier que dans le fichier /etc/rsyslog.conf vous ayez bien cela :

 

Maintenant que cela est fait il faut aussi, bien rangé les logs dans votre serveur qui va tout centralisé. En effet, tous les mail.err de vos serveurs s enregistreront dans un seul fichier avec au devant de chaque ligne juste le nom de l hote. Nous allons faire en sorte de tout ranger dans un dossier par hote.

A la fin de votre fichier /etc/rsyslog.conf vous rajouterez

Après le template on dit ce que l on veut que ce dernier check, dans mon cas tous les logs qui lui arrive, on rajoute :

RSYSLOG_TraditionalFileFormat étant le format d écriture dans le fichier de log.

si vous effectuez un changement pensez à bien redémarrer le service

Paramétrage rsyslog coté client

On va dire que dans mon cas le serveur de log a pour ip 192.168.4.100 Il suffit d éditez aussi le fichier /etc/rsyslog.conf et de rajouter

@ pour passer par le protocole UDP

@@ pour le protocole TCP

Accéder à Octopussy

il vous reste plus qu’à vous rendre sur votre nom de domaine ou votre ip en https
https://tonip/

le login de base est admin et le mot de passe admin

 

Conclusion

Vous avez maintenant un système de gestion, de tri et de consultation de logs bien plus user friendly. Grâce à lui vous gagnerez en temps.

Si vous n’êtes toujours pas convaincu, voila un autre exemple de l’intérêt d’un tel système. Pour un projet nécessitant des accès disques ultra rapide en lecture seule,
vous investissez dans un serveur avec des disques SSD. Comme vous le savez le point faible des disques SSD. Les cellules de mémoire flash s’usent au fur et à mesure de leur utilisation. Il existe plusieurs types de cellules, on parle par exemple de 100000 cycles lecture/écriture pour les mémoires SLC, alors que les puces MLC supporteraient uniquement 10000 cycles.
Et dans un serveur, ce qui consomme le plus en écriture, ce sont les logs. En allant écrire les logs sur un autre serveur via le réseau, vous augmentez la durée de vie de votre investissement…

lien vers le projet : http://www.8pussy.org

 

Read More...

CanalPlay sous Linux Debian 64Bit via Silverlight

31 août 2014 | Posted in Logiciel | By

Pour une fois, on va parler d’une problématique que vous ne rencontrez pas en production, mais chez vous tranquillement posé sur votre bureau. Comme pas mal de développeurs, je suis un adepte du mufti-écran et il m arrive bien souvent de travailler à la maison en musique ou avec un bon nanard (je vous conseille d ailleurs le site www.nanarland.com) en fond sonore. Ayant un abonnement Canal Play via la freebox j’ai vu qu’il était possible de regarder depuis son ordinateur. Autant dire que j’ai sauté sur l’occasion, ce système de vidéo à la demande regorgeant de films à la qualité parfaite pour travailler pleinement (très nuls que l’on suit pas mais qui permettent de décompresser en quelques secondes). Or pour une raison des plus obscures surement lié au DRM, Canal Plus utilise comme seul et unique lecteur video Silverlight … Produit microsoft qui bien sur ne tourne pas de base sous une linux. Et bien voila la solution pour que cela marche.

On commence par modifier son sources.list

Tout d’abord vérifiez que vous avez bien contrib dans votre dépot débian :

puis rajouter

il faut ensuite récupérer et activer la clé

on met à jour notre liste de paquets

on installe pipelight

pipelight-plugin –update

la perso je suis sorti du mode root pour refaire la manip sur mon compte user

puis j active silverligth

En faite pipelight va s’occuper de tout, de la récupération et du paramétrage de wine et de l installation de silverlight
Reste plus qu’à relancer son navigateur, activer le plugin et le tour est joué.

Bon visionnage

Read More...