Articles taggés administration

Proxmox – Migration v3.4 vers v4.0

0

Bonjour à tous

Ce petit article pour vous dire que la version v4 de Proxmox est sortie, et donc voici un petit article de la marche à suivre pour cette mise à jour depuis une version v3.4.

Voici les grandes nouveautés de cette version v4 :

  • OpenVZ à été remplacé par LXC
  • Nouvelle version de corosync a été implantée
  • Une reconfiguration de gestionnaire d’haute disponibilité a été mis en place
  • Passage d’un kernel 2.6.32 à 4.2.2

Prérequis à la mise à jour :

  • Proxmox 3.4 et ces dernière mises à jour
  • Accès à tous les périphériques de stockage
  • Toutes les VM ou CT doivent être à l’arrêt
  • Une sauvegarde à jour de vos VM ou CT (notez que les CT devront être converties)
  • Au moins 1Go d’espace libre disponible

Mise à jour proprement dite :

On vérifie que notre Proxmox est bien à jour :

apt-get update && apt-get dist-upgrade

Ensuite on supprime ce qu’on a plus besoin pour la version v4:

apt-get remove proxmox-ve-2.6.32 pve-manager corosync-pve openais-pve redhat-cluster-pve pve-cluster pve-firmware

On ajoute les dépôts de Jessie et on les mets à jour :

sed -i 's/wheezy/jessie/g' /etc/apt/sources.list
sed -i 's/wheezy/jessie/g' /etc/apt/sources.list.d/pve-enterprise.list
apt-get update

On installe la nouvelle version du kernel :

apt-get install pve-kernel-4.2.2-1-pve

Maintenant on mets à jour notre système vers Jessie et on redémarre pour prendre en charge la nouvelle version du kernel

apt-get dist-upgrade
reboot

On installe donc la nouvelle version de notre hyperviseur Proxmox :

apt-get install proxmox-ve

Et pour finir on supprime la version obsolète de l’ancien kernel :

apt-get remove pve-kernel-2.6.32-41-pve

Un dernier petit reboot et votre serveur est en v4 :

reboot

Migration des conteneurs OpenVZ vers LXC

On restaure ensuite les conteneurs OpenVZ vers des conteneurs LXC avec la commande :

pct restore 101 /var/lib/vz/dump/vzdump-openvz-101-2015_11_05-10_42_42.tar.lzo

On restaure la configuration IP :

pct set 101 -net0 name=eth0,bridge=vmbr0,ip=192.168.20.101/24,gw=192.168.20.10

Puis on démarre la VM :

pct start 101

Et on y accède via la commande :

pct enter 101

Ou directement via une console :

pct console 101

Voilà j’ai testé tout ça sur un environnement de test et tout semble correct. Je vais donc prévoir la migration des tous mes serveurs Proxmox vers la version v4, dans un premier temps ceux auto-hébergé et dans un second temps ceux sur des serveurs dédiés chez OVH.

Cas d’un cluster de deux serveurs Proxmox

Chez moi j’ai deux serveurs Proxmox en cluster, une fois les deux nœuds mis à jour, il faut reconstruire le cluster avec les commandes suivantes :

Sur le premier nœud du cluster :

pvecm create <nom_du_cluster>

Sur le second ou sur les nœuds suivants du cluster :

pvecm add <ip_du_premier_nœud> -force

Tout est fonctionnel chez moi, voici deux commandes pour visualiser l’état du cluster :

pvecm status
pvecm nodes

Bonne lecture à tous

Installation & Migration Sophos

0

Bonjour à tous

Ce petit post pour vous faire un rapide résumé sur mon dernier changement de Firewall.

Pendant plus de 10 ans mon infrastructure était gérée par un serveur physique hébergeant la distribution IPCOP. Cette distribution a rempli son boulot, sans aucun soucis, mais n’évoluait plus dans sa version 1.4.21. Un nouvelle version est sortie en 2.x mais nécessitait une totale réinstallation.

J’ai abandonné cette possibilité car la machine hébergeant mon IPCOP était largement obsolète et que cela faisait un bout de temps que je suivait les évolutions de la version UTM Home Edition de Sophos.

Au final la migration entre les deux technologies c’est fait sans soucis.

Description de la version UTM Home Edition

Essential Firewall Edition assure la protection illimitée des adresses IP, ainsi que les fonctions suivantes sans aucune limite dans le temps :

  • Mise en réseau : routeur Internet, établissement de liaisons, serveur et proxy DNS, relais DynDNS et DHCP, prise en charge de NTP, QoS automatique
  • Sécurité réseau : pare-feu avec inspection dynamique et traduction des adresses réseau (DNAT/SNAT/usurpation d’identité).
  • Accès à distance : prise en charge des protocoles PPTP et de L2TP over IPSec (y compris iPhone)
  • Journalisation/édition de rapports : journalisation complète sur le disque dur local, recherches, rapports en temps réel sur le matériel, l’utilisation et la sécurité du réseau, et rapports exécutifs quotidiens
  • Administration : interface utilisateur Web dans la langue locale, assistant de configuration, sauvegarde et restauration des configurations, notifications aux administrateurs, prise en charge du protocole SNMP, gestion centralisée via Sophos UTM Manager (gratuitement).

Cette version remplie toutes mes demandes, que ce soit d’un point de vue routeur, sécurité, possibilité d’accès distant sans oublier les rapports qui sont détaillées automatisables.

Mise en place

Bien tenté par une appliance mais bon il faut savoir être raisonnable, et puis j’avais une machine qui remplissez les demandes niveau matérielles, c’est à dire :

  • Intel(R) Pentium(R) 4 CPU 1.50GHz
  • Un disque dur de 40Go
  • 768 Mb – 1Go serait le top
  • 4 cartes réseaux – LANDMZWLANWAN

Effectivement je fonctionne chez moi avec 4 zones bien distinctes dans mon réseau.

Ensuite rien de plus simple, il suffit de s’inscrire sur le site et de télécharger le fichier ISO et le fichier de licence.

Et ensuite un petit boot sur l’iso et l’installation est faite en 10 min et accessible ensuite via :

  • SSH : ssh loginuser@ip_sophos
  • Web : https://ip_sophos:4444

sophos-web

L’interface web est très fluide et assez bien fini, on retrouve rapidement ce qu’on cherche dans les différentes rubriques du menu de gauche.

Utilisation au quotidien

Je l’utilise maintenant depuis un petit mois sans aucun soucis. Voici les fonctionnalités que j’utilise à ce jour :

Onglet Gestion

  • Up2Date : Mise à jour automatique
  • Sauvegarde / Restauration : Avec mise en place d’un export de la conf par mail toutes les nuits
  • Notification : Par mail via la configuration d’un serveur SMTP
  • SNMP : Configuration pour interrogation SNMP à distance

Définitions & utilisateurs

  • Gestion des réseaux : Définition des réseaux et des hôtes entre autre pour la réservation DHCP via les adresses MAC
  • Gestions de services : Définition des services pour les règles de filtrage
  • Utilisateurs & groupes : Définitions de utilisateurs locaux ou VPN

Interfaces & routage

  • Interfaces : Gestions des interfaces physiques ou virtuelles

Services réseau

  • DNS : Gestion des DNS externes et gestions des services DNS sur les différentes zones
  • DHCP : Gestion de l’attribution des adresses via DHCP pour moi dans mon LAN et WLAN
  • NTP : Gestion des serveurs de temps pour les machine des réseaux LAN et DMZ

Networking Protection

  • Pare-feu : Gestion de règles de filtrage, blocage de pays d’un point de vue IP
  • NAT : Mise en place du Masquerading et du Network Adress Translation
  • Advanced Threat Protection : Activation de la recherche de menaces sur les réseaux gérés par l’UTM Home Edition de Sophos
  • Prévention des intrusions : Activation de l’IPS sur les trois réseaux internes / Anti-DoS / Anti-Portscan…

Web Protection

Pour l’instant non utilisé mais va être utilisé pour faire du filtrage pour de contenu entre autre pour la mise en place d’un contrôle parentale.

Email Protection

Pour l’instant non utilisé.

Endpoint Protection

Pour l’instant non utilisé.

Wireless Protection

Pour l’instant non utilisé.

Webserver Protection

Pour l’instant non utilisé.

Red Protection

Pour l’instant non utilisé.

VPN site à site

Pour l’instant non utilisé.

Accès à distance

  • L2TP sur IPSec : Mise en place d’accès distant via un VPN pour certains utilisateur

Journaux et rapports

L’ensemble des catégories de ce menu est utilisé en fonction de l’information recherchée.

Un rapport journalier est envoyé par mail ainsi qu’un hebdomadaire et mensuel.

De plus toutes les nuits, l’ensemble des logs est exporté sur une NAS pour sauvegarde.

Conclusion

Actuellement cette gamme de pare-feu remplie totalement mes espérances, aussi bien par ses fonctionnalités diverses et variées que par son ergonomie et son mode de fonctionnement.

Je reviendrais vers vous pour faire un point d’ici quelques mois de fonctionnement et peut être l’activation de nouvelles fonctionnalités

 

Proxmox – Double authentification avec OTP

0

Bonjour à tous

Depuis quelque temps j’utilise Proxmox comme solution de virtualisation que ce soit chez moi ou sur mes serveurs OVH, et depuis peu pour des clients.

Ce dernier point m’a poussé à mettre en place une double authentification via OTP (One Time Password).

Rien de plus simple vu que déjà présent en natif dans la distribution Proxmox et que la mise place ne prends que deux minutes.

Dans un premier temps se connecter en SSH sur le serveur et lancer la commande suivante pour générer une clé :

root@Proxmox:~# oathkeygen
RXRYWAHMGO64C7JZ

Une fois cette clé générée il faut se rendre dans l’interface web du serveur, dans le menu Authentification et éditer la ligne PAM pour choisir dans le menu TFA : OATH.

proxmox-otp-001Une fois cette option activée il suffit d’aller renseigner la clé générée avant en ssh dans l’utilisateur, ici root

proxmox-otp-002Il ne reste plus qu’à se déconnecté et à la prochaine connections l’OTP sera nécessaire en plus du mot de passe habituel.

proxmox-otp-003

D’un point de vue application client pour la génération de l’OTP, j’utilise pour ma part Google Authentificator sur mon téléphone portable et sur mon iMac je préfère OTP Manager.

En cas de soucis, il est toujours possible en SSH de désactiver cette fonctionnalité via en commentant une ligne dans le fichier /etc/pve/domains.cfg :

nano /etc/pve/domains.cfg
#tfa type=oath

Bonne journée

Plan de sauvegarde et de réplication

1

Bonjour

Cela fait un bout de temps que je voulais faire cet article pour présenter le plan de sauvegarde et de replication de mes données.

J’ai voulu attendre de stabiliser mon architecture pour pouvoir tester et valider avant de vous en faire part.

Plusieurs sauvegardes sont parallélisées sur mon infrastructure LAN & WAN :

Pour la partie LAN, nous avons les sauvegardes suivantes :

Pour la partie WAN, nous avons les sauvegardes ci dessous :

  • Pour les deux serveurs dédiés chez OVH sous Proxmox, ils sont sauvegardés toutes les nuits vers le NAS Qnap TS-439 Pro, via un VPN monté à la demande.
  • Les deux serveurs Proxmox hébergent chacun des machines virtuelles. Celles ci sont sauvegardées à tour de rôles chaque nuit via des Snapshots. Ce roulement me permet en une semaine d’avoir une sauvegarde de chaque machine virtuelle et permet l’export dans la nuit via la sauvegarde des deux serveurs physiques.
  • De plus le dernier Snapshot de chaque serveurs Proxmox sont exportés vers l’autre serveur Proxmox pour pouvoir restaurer rapidement via le réseaux rapide d’OVH des machines en cas de crash total d’un serveur physique.

De plus il y a des sauvegardes entre le LAN & WAN :

  •  Chaque nuit les données importantes sont exportés via Rsync vers deux machines virtuelles hébergées chacune sur un des deux serveurs Proxmox de chez OVH.

Le « cloud » est aussi présent dans mon architecture via Dropbox et hubiC :

  • Certaines de mes données doivent être synchronisées sur toutes mes machines donc il y a des années j’ai ouvert un compte Dropbox que j’utilise tous les jours.
  • Ces données sont sauvegardées dans un premier temps dans les sauvegardes des machines connectées à Dropbox mais aussi synchronisées toutes les 30 minutes vers hubiC de chez OVH qui sera un jour le remplacement de Dropbox. Hélas à ce jour pas de possibilité de mettre un proxy avec identification, ce qui est bloquant sur pas mal de réseaux.
  • Dropbox est aussi synchronisé sur le NAS Qnap TS-439 Pro ce qui permet aussi d’avoir les données sur un Raid 5.

Au final une dernière sauvegarde existe vers un disque USB :

  • Ce disque USB de 1,5 To est sur mon bureau relié à mon iMac. Ce disque me suit partout lors de mes grands déplacements, par exemple dans la boite à gants de la voiture pour les vacances, celui si est divisé en deux partitions.
    • Une première partition pour un TimeMachine
    • Une seconde partition contenant les sauvegardes des données brutes de l’iMac via Rsync

Je pense n’avoir rien oublié, mais on ne sait jamais, bien-sur toutes ces sauvegardes sont automatisées.

Découverte et utilisation de GoAccess

0

Bonjour à tous,

Ca faisait un petit bout de temps que je n’avais rien publié comme article, le temps de me manque…

Je suis tombé sur une petite application hier, et fallait absolument que vous en parle : GoAccess Visual Web Log Analyzer

Rien de plus qu’un utilitaire d’analyse de log en temps réel pour serveurs web, mais avec une simplicité d’utilisation très appréciable.

GoAccess utilise les fichiers de logs de Nginx & Apache pour collecter les données. GoAccess affiche les statistiques dans la console. Les rapports générés comprennent:

  • Statistiques générales, bande-passante,…
  • Top Visiteurs
  • Fichiers demandés
  • Fichiers demandés statiques
  • Referrers URLs
  • 404 Not Found
  • Operating Systems
  • Browsers et Spiders
  • Hosts, Reverse DNS, IP
  • HTTP Status Codes
  • Sites Référant
  • Mots clés

Installation

Pour l’installer sur Ubuntu ou Debian, rien de plus simple, il suffit exécutez la commande

apt-get install goaccess

Ou alors à partir des sources :

wget http://downloads.sourceforge.net/project/goaccess/0.7.1/goaccess-0.7.1.tar.gz 
tar -xzvf goaccess-0.7.1.tar.gz 
cd goaccess-0.7.1/ 
./configure --enable-geoip --enable-utf8
make
make install

Et sinon la page d’instruction est très bien détaillée

Utilisation

Pour utiliser GoAccess, utilisez cette commande qui indique au passage le chemin du fichier de log du serveur :

goaccess -f /var/log/apache2/access_log
goaccess -f /var/log/nginx/access_log

goaccess,png

Pensez ensuite à utiliser les flèches de direction de votre clavier de haut en bas, pour visualiser l’ensemble des statistiques.

L’option -e permet d’exclure des IP de l’analyse.

D’autres options sont disponibles (consommation bande passante, User Agent…).
Pour plus d’infos :

man goaccess

Bonne lecture à tous et à très vite

Migration Online vers OVH – L’offre

1

Bonsoir à tous

Là que dire de plus à part un grand BRAVO pour OVH avec leur nouvelle offre Kimsufi :

  • Un serveur dédié avec un Atom 1,6+ et 2 Go de Ram sans oublier 500Go de disque le tout pour 2,99 HT par mois soit 3,58 TTC

Bon ben là migration obligatoire à prévoir au plus vite entre autre de ce blog…

Pour des petites machines types blog, gallery photos etc, rien ne sert plus de virtualiser pour rentabiliser un serveur dédié.

Encore merci OVH et @olesovhcom

A très vite

 

Installation d’un cluster OpenVZ administré via OpenVZ Web Panel

3

Bonjour

Je rentre quelques soucis avec mon serveur VMWare Server 2.0 commençant à être de plus en plus rapprochés, je me suis dit pourquoi pas OpenVZ.

Pour poser les bases de l’installation, je dispose de :

  • Deux serveur physiques qui vont héberger les deux serveurs OpenVZ. Ces deux serveurs se trouvent en DMZ de mon réseau.
  • Un serveur dans mon LAN et non dans ma DMZ pour l’administration des deux serveurs avec l’interface OpenVZ Web Panel.

Ci dessous les différentes étapes de l’installation :

  • Installation d’un version d’Ubuntu Server 8.04 sur chaque serveur comme socle de base.
  • Installation d’OpenVZ :
apt-get install linux-openvz vzctl
  • Suppression des version des linux-image qui ne sont plus nécessaires :
apt-get remove --purge --auto-remove linux-image-.*server
  • Modification du fichier /etc/sysctl.conf pour le paramétrage réseaux des machines virtuelles, en rajoutant les lignes ci dessous :
vi /etc/sysctl.conf
# On Hardware Node we generally need
# packet forwarding enabled and proxy arp disabled
net.ipv4.conf.default.forwarding=1
net.ipv4.conf.default.proxy_arp=1
net.ipv4.conf.eth0.proxy_arp=1
net.ipv4.ip_forward=1
# Enables source route verification
net.ipv4.conf.all.rp_filter = 1
# Enables the magic-sysrq key
kernel.sysrq = 1
# TCP Explict Congestion Notification
#net.ipv4.tcp_ecn = 0
# we do not want all our interfaces to send redirects
net.ipv4.conf.default.send_redirects = 1
net.ipv4.conf.all.send_redirects = 0
  • Prise en compte des nouveaux paramètres réseaux :
sysctl -p

(suite…)

fail2ban_logo

Fail2Ban – Un point de sécurité à mettre en place

6

Bonjour à tous

Dans tous ce que je dois faire, et que je ne fais jamais le temps de faire, j’ai priorisé certains points comme les aspects sécurités dans un premier temps.

Fail2ban lit les logs de divers serveurs (SSH, Apache, FTP…) à la recherche d’erreurs d’authentification répétées et ajoute une règle iptables pour bannir l’adresse IP de la source.

Niveau installation rien de plus simple :

aptitude install fail2ban

Puis tout ce passe dans le dossier /etc/fail2ban, voyons maintenant la configuration :

  • Un fichier /etc/fail2ban/fail2ban.conf incluant les paramètres de log et de socket entre autre de fail2ban en lui même.
  • Un dossier /etc/fail2ban/action.d contenant les fichiers des actions en cas de bannissement.
  • Un dossier /etc/fail2ban/filter.d contenant les différents filtres pour les règles de filtrages.
  • Un fichier /etc/fail2ban/jail.conf contenant les paramètre principaux.

Ces deux derniers qui vont devoir être modifiés pour être adapté aux besoins de chacun.

(suite…)

Syslog centralisé sur un NAS QNAP

0

Bonjour à tous

Possédant un NAS QNAP TS-439 Pro avec 4 disques de 1,5 To en Raid 5 je me suis dit que j’allais essayer d’utiliser le plus de fonctionnalités de celui ci.

Avec la dernière mise à jour en 3.5.0 build 0815T, un nouvelle fonctionnalité est apparue : il permet de faire serveur Syslog pour récolter les logs et les événements de différents machines

Mon parc de machine est assez hétérogènes et va l’être encore plus dans les mois à venir avec l’arrivé d’Apple dans mon réseau :

  • Serveur Ubuntu 10.04
  • Serveur Ubuntu 8.04
  • Station Ubuntu 10.04
  • Station Windows XP SP3
  • Netbook Windows 7 / Ubuntu

Et le but c’est que chaque machine renvoi ces informations sur mon NAS.

Sur le NAS, il faut activer le serveur syslog dans le sous menu Serveur Syslog du menu Serveurs d’Applications et renseigner les champs suivants :

  • Choisir le protocole : UDP
  • Choisir le port : 541
  • Choisir la taille maximum de journal : 100 Mo (taille maximum)
  • Choisir le dossier ou sauvegarder les logs : Public
  • Choisir le nom du fichier : syslog
  • Choisir le niveau d’alerte pour l’envoi d’un mail, pour l’instant je laisse par défaut : Emerg

Pour décrire rapidement l’emplacement de mes machines dans le réseau, elles sont réparties comme ci dessous :

  • une ou deux serveurs en hébergement donc dans le WAN
  • Des serveurs dans la DMZ
  • Des serveurs et station de travail dans le LAN

(suite…)

Initiation à Fabric – Administration à distance de serveurs

0

Bonjour à tous

Hier en fin d’après midi, un ami (informaticien) est passé prendre le café, moment d’échange et forcément on parle d’informatique.

Je lui dit qu’il faut absolument que je trouve un moyen de lancer des commandes en même temps sur une ferme de serveurs, dans un premier temps pour résoudre le problème récurrent des mises à jour à faire sur chaque machine.

Marre de me connecter sur toutes les machines dès qu’une mise à jour pointe le bout de son nez, et sur ce il me dit tout simplement « Ben utilise Fabric c’est la pour ça ».

En cette fin de samedi après midi je me penche donc ce jour sur la question, en relisant entre autre l’article de Emile « iMil » Heitor dans le numéro 135 de Linux Magazine / France de février de cette année.

Mon environnement de test est le suivant :

  • Une VM avec une ubuntu server 10.04 à jour sans aucun paquet spécifiques servant de serveur Fabric (et également de client)
  • Une seconde VM ubuntu server 10.04 servant de client à Fabric
  • Un échange de clé ssh pour l’accès de la VM serveur à la VM cliente

L’installation de Fabric est nécessaire uniquement sur une seule machine du parc, tous le reste ce fait via ssh vers les autres machines ce qui est en soit déjà une bonne chose.

Une installation tout ce qu’il y a de plus classique :

aptitude install fabric

L’installation via aptitude (et non apt-get) prend en compte les dépendances c’est à dire qu’au final trois paquets sont installés :

  • fabric
  • python-crypto
  • python-paramiko

Ensuite rien de plus n’est nécessaire pour notre première utilisation de Fabric passons donc à la configuration :

(suite…)

Haut de page