Re: [FRsAG] Système de gestion des pass multi-utilisateurs

[Julien Escario]

Le 10/05/2013 17:09, Clem Clem a écrit :

Finalement, je confirme : keepass 2 fait très bien le boulot pour nous. Double 
authentification (clé sur support USB + password), base stockée cryptée sur 
notre serveur owncloud, lui même hébergé sur notre infra, ça me paraît déjà 
plutôt solide.

Tes logins mot de passes securisés cryptes sur clé usb etc, servent a quoi ?
Acceder aux comptes admin du client pour lequel tu boss ? Par exemple?
Ldap est souvent utilisé 1/ pour ouvrir des sessions 2/ gerer l'annuaire 3/ 
gerer des acces fichiers sur la base de ton annuaire.
Si c'est pour gerer des multi reseaux qui sont pas interconnectés, ca marche 
pas. (Ou en tout cas il faut minimum une infra pyramidale, avec une gestion 
centralisée chez toi, et un client chez chaque client).


Mon besoin s'est de stocker de manière propre des mots de passe, parfois 
assez sensibles, en provenance d'infras très diverses et variées : des 
accès root/admin, des boites mails, des accès FTP, des accès sur des 
CMS, etc ... (pas de ssh, on ne fait que de la clé pour ça).



Il ne me reste plus qu'à faire une copie de sauvegarde d'une clé USB avec un fs 
lui même crypté et mettre ça au coffre. Après, ca va finir par être de la 
parano non ?

Un bon sysadmin est par definition parano, sinon c'est pas un bon sysadmin , 
sinon c'est un dev, ou un user ^^


On est d'accord MAIS un bon sysadmin doit aussi avoir des outils qui lui 
permettent d'être efficace ET rentable. Un peu de pragmatisme fait aussi 
du bien de temps à autre hein ;-)

Le tout étant de définir le curseur ...

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Système de gestion des pass multi-utilisateurs

[Julien Escario]

Le 10/05/2013 16:38, Wallace a écrit :

De notre côté après avoir eu du KeepassX et pas le Keepass 2 (marche pas
bien sous Linux et Mac en gros version très orientée windows), le souci
de lock n'était pas trop un souci on passe plus de temps à lire qu'à écrire.
On synchronisait le tout avec Unison et on pouvait du coup garder une
archive sur nos tel pour pouvoir les lire quand en déplacement (mais
aucun ne propose de synchroniser ou alors sur des dropbox ou autre trucs
non souverain à la boite).


Owncloud power ;-)
Mes essais avec keepass2 depuis 2 jours montrent que les petits bugs 
d'affichages sous Linux ne sont pas franchement gênants. Et encore, ça 
semble dépendre de la distrib (sans avoir cherché plus loin).



On est passé sur Teampass MAIS on garde la base KeepassX en // car on a
eu des misères avec Teampass, genre lors d'une mise à jour récente nos
mot de passe (ceux de nos comptes d'accès) ont été recodé et impossible
d'accéder à la plateforme, or ton mot de passe dévérouille les password
codés dans la base donc on a perdu toute notre base.
Néanmoins le projet vit et des versions sont proposées régulièrement.


Ca me stresse les applis web en php/mysql. L'exposition est vraiment 
trop importante et les failles sont légion. Bon, ca n'a pas l'air d'être 
joomla non plus et tes pass sont stockés cryptés mais tu ne sais jamais 
si un mec ne va pas pouvoir piquer ta session ou une autre blague ...



On avait pensé coder un petit truc vite fait à base de fichier chiffré
gpg et un accès ssh pour aller les lire mais on a pas poussé le concept
très loin.


C'est aussi une solution mais bon, j'ai environ 3 mois de boulot qui est 
plus prioritaire ;-)

On verra entre noël et le nouvel an si je m'ennuie.

Merci pour tout vos retours,
Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Blacklisté au niveau DNS chez Cloudflare ?

[Julien Escario]

Bonjour,
La mise à jour d'un Plone sur le serveur d'un client déclenche une mini tempête 
chez nous : il *semblerait* que notre AS soit blacklisté par Cloudflare sur la 
résolution.


Point d'entrée :
# host plone.org
;; connection timed out; no servers could be reached

Hum, ok et pourquoi ?
A tout hasard :
# whois plone.org
[blah blah]
Name Server:DORA.NS.CLOUDFLARE.COM
Name Server:SETH.NS.CLOUDFLARE.COM

OK mais :
# host plone.org DORA.NS.CLOUDFLARE.COM
;; connection timed out; no servers could be reached

Bon ... mais pourtant :
# host DORA.NS.CLOUDFLARE.COM
DORA.NS.CLOUDFLARE.COM has address 173.245.58.108
DORA.NS.CLOUDFLARE.COM has IPv6 address 2400:cb00:2049:1::adf5:3a6c

Tiens, pas de soucis là. Et en direct sur l'ip ?
# host plone.org 173.245.58.108
;; connection timed out; no servers could be reached

Pas mieux. A tout hasard, un soucis de routage ?
# ping 173.245.58.108
PING 173.245.58.108 (173.245.58.108) 56(84) bytes of data.
64 bytes from 173.245.58.108: icmp_req=1 ttl=55 time=18.5 ms
64 bytes from 173.245.58.108: icmp_req=2 ttl=55 time=18.5 ms
^C
--- 173.245.58.108 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 18.552/18.565/18.578/0.013 ms

Non.
Même un telnet sur TCP/53 semble rouler :
# telnet DORA.NS.CLOUDFLARE.COM 53
Trying 173.245.58.108...
Connected to DORA.NS.CLOUDFLARE.COM.
Escape character is '^]'.
Connection closed by foreign host.

En passant, si quelqu'un connaît une solution simple pour tester de l'UDP/53, je 
prends.


Quelqu'un aurait une idée sur la raison pour laquelle on nous refuse la 
résolution à un niveau que je dirais applicatif ?


Bonne journée,
Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Blacklisté au niveau DNS chez Cloudflare ?

[Julien Escario]

Le 01/07/2013 12:22, Francois Bayart a écrit :


2013/7/1 Julien Escario mailto:esca...@azylog.net>>

OK mais :
# host plone.org <http://plone.org> DORA.NS.CLOUDFLARE.COM
<http://DORA.NS.CLOUDFLARE.COM>
;; connection timed out; no servers could be reached



essai un host -T plone.org <http://plone.org> DORA.NS.CLOUDFLARE.COM
<http://DORA.NS.CLOUDFLARE.COM>


Pas mieux :

# host -T plone.org DORA.NS.CLOUDFLARE.COM

Nameserver DORA.NS.CLOUDFLARE.COM not responding
plone.org A record not found at DORA.NS.CLOUDFLARE.COM, try again

Mais ça m'a donné des idées pour jouer avec les flags de host.
Du coup, on peut voir qu'en TCP, ça passe :

# host -u plone.org DORA.NS.CLOUDFLARE.COM
plone.org   A   141.101.125.109
plone.org   A   141.101.126.109

Reste à voir où est le firewall qui bloque ce traffic UDP/53 avec cloudflare. En 
espérant que ce soit chez nous, sinon ça risque d'être chiant à refaire tomber 
en marche.


Merci,
Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] ganeti VS proxmox, openstack etc.

[Julien Escario]

Le 04/07/2013 17:05, m3g4g0lG0t|-| a écrit :

Bonjour,

C'est ce que j'ai fait, mais il n'importe/ne voit pas les iso qui sont dans le
montage NFS. Il créer des répertoires c'est tout.


Ah ok ... Déplace simplement tes ISOs dans templates/iso/

Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Serveurs MySQL, binlog, DRBD et perfs IO

[Julien Escario]

Bonjour,

Le 05/08/2013 10:10, Greg a écrit :

Bonjour la liste,

je dois remplacer 2 serveurs master MySQL redondés par DRBD. A l'époque j'avais 
du diminuer les écritures en utilisant le protocole B de DRBD, et en baissant 
le nombre de sync ... heureusement je n'ai jamais eu de bascule foireuse :)


Euh, sans rentrer dans le détail, tu penses que DRBD pour du mysql dual-master 
est une bonne idée ?
Par définition, il y a une latence réseau supérieur à la latence disque. Du 
coup, tu pourrais te retrouver avec deux écritures simultanées et concurrentes non ?


Ou alors, tu n'écris que sur un seul MySQL et l'autre est en lecture seule ... 
Mais dans ce cas, pourquoi ne pas utiliser le système de réplication intégré de 
MySQL avec les logs binaires ?


Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] OVH et SMTP sortant

[Julien Escario]

Le 06/09/2013 16:45, Wallace a écrit :

Le 06/09/2013 15:00, Xavier Beaudouin a écrit :


Peut de chance via OVH, vu que moi et d'autres admins somme en train de monter 
un ORBL (Obvious / OVH RBL) vu le nombres de spam provenant de blocks de OVH 
(exemple boxmsi.com, ou on arrive presque a un /24 a lui tout seul).


Salut,
On peut trouver où vos premiers travaux sur cette RBL? Juste curiosité.


Idem, intéressé !

Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] config de la liste

[Julien Escario]

Le 02/10/2013 21:35, Eric ROLLAND a écrit :

Le 02/10/13 20:47, Christophe a écrit :


Le 02/10/2013 20:30, Clem Clem a écrit :

*pas standard.*



Bonjour,
Pour moi sur TB/MacOsX ca marche nickel. Je clic sur répondre, ca répond à
Christophe, je clic sur répondre à la liste, ca répond à frsag. Et c'est même
génial, si je clique sur répondre à tous, ca répond à Christophe et la liste.
Mais j'ai pasessayé avec Pine ;-)
Cordialement,
Eric ROLLAND
AS42929 - RE515-RIPE


Bah tant qu'on parle de standard, pas standard, en général, on évite les posts 
en HTML sur une liste, une histoire de netiquette il paraît. Après dans la vraie 
vie, ca commence à être dur à faire respecter.


Et pendant que j'y suis : cette histoire de reply-to, je m'en fous, je relis 
systématiquement un mail avant de le faire partir.


Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Quel dispositif pour Ecran + Clavier + Souris en salle ?

[Julien Escario]

Le 04/10/2013 14:00, David B. a écrit :

Bonjour à tous,

Je me pose une question qui peut sembler simple.
Pour accéder à distance à des machines, on a plein d'outils (KVM, Drac, Ilo et
j'en passe).
Par contre, il est souvent utile d'avoir un Ecran + clavier + souris en salle.

Qu'est-ce que vous utilisez ?
Les grands constructeurs proposent des dispositif en 1U pour faire ça, mais je
ne trouve pas ça super pratique et surtout il en faut un par baie.
Vous avez peut être d'autres solutions ?

Au pire, je prendrais un petit chariot avec dessus un clavier + souris + écran
et une rallonge électique avec un connecteur C13. Ca fait bricolage, mais ça
doit marcher.


Si c'est dans ta salle, un datacenter avec lequel on bosse a mis en place une 
console mobile avec du Ergotron, c'est assez génial. Tu peux bosser debout ou 
assis, ca s'adapte et le machin 'roule' assez bien dans les allées.

Ils ont juste fixé un écran et un clavier dessus.

Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Quel dispositif pour Ecran + Clavier + Souris en salle ?

[Julien Escario]

Le 04/10/2013 14:43, David B. a écrit :

Oui c'est pour ma salle. :)

Quelque chose comme ça ?
http://www.ergotron.com/ProductsDetails/tabid/65/PRDID/320/language/fr-FR/Default.aspx


'core mieux que ce que l'on a : au moins il y a la place pour poser un laptop en 
plus. Sinon il faut bouger le clavier/souris pour faire de la place ou poser ça 
en équilibre instable, pas glop.


Au moins, là, tu peux jouer avec ta table de routage et vérifier que ca pingue 
en même temps ;-)


Bonne fin de trollday,
Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] liste des mots de passe à changer si on vous vole votre laptop

[Julien Escario]

Le 10/10/2013 16:29, Sylvain Viart a écrit :

Bonjour,

J'ai cherché un peu, une sorte de liste des comptes à modifier en cas de défaut
de sécurité, ou un vol délibéré…

Changer tous les mots de passe de vos comptes :

dropbox
bank

[all jerk]

apple store
accès ftp sur d'autre sites etc.

Vous savez si une telle liste existe ?


Désolé mais ma première réaction a été : c'est complètement con. Et après, ben, 
j'ai pas changé d'avis.


Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Migrer vers une solution full Google Apps

[Julien Escario]

Le 24/10/2013 07:36, Nicolas Steinmetz a écrit :


 > Perso après presque 3 ans de Google Apps je n'ai pas trouvé ni
 > interface web ni MUA "tout-en-un" qui me satisfasse.

Pour le boulot, j'étais chez Microsoft hier pour une démo office 365 et lync et
j'ai plutôt trouvé leur interface très sympa.

Du coup je l'envisage sérieusement en alternative à Google apps pour le cabinet
de me femme...

Par ailleurs tu peux avoir un mode hybride avec une partie des apps dans le
cloud et une autre partie on permises.

Suivant ton abonnement tu peux avoir que les office web apps ou aussi le client
sur le poste.

Coté datacenter tu peux être hébergé en Irlande avec données redondées à 
Amsterdam.


Ouep, tu peux aussi directement filer les coordonnées de ton client à Microsoft 
puisque de toute façon, tu n'as plus de valeur ajoutée.


Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Migrer vers une solution full Google Apps

[Julien Escario]

Le 24/10/2013 01:32, P.-A. a écrit :

Le 23/10/2013 20:49, Tristan Mahé a écrit :

Le 23/10/2013 20:33, Laurent CREPET a écrit :

On 23/10/2013 20:09, Jonathan Leroy wrote:
Suis-je le seul à recevoir tes mails en 2 ou 3 exemplaires avec aucune
différence de headers ?

nop, same problem here...


Pareil.


sinon les SoGO et compagnie spa bien ?
J'ai utilisé SoGO sur du perso et jamais eu de soucis, c'est un peu lent
mais ça fonctionne plutot bien...


+1

SOGo est un peu méconnu mais vaut le coup d'œil. Il gère CalDAV et
CardDAV et fournit des calendriers et listes de contacts partagés. Il
s'intègre remarquablement avec Thunderbird (versions ESR => TB17) via
les extensions maison + lightning. Les dernières versions sont aussi
censées offrir une bonne intégration avec Outlook mais je n'ai pas testé.

Synchro fiable avec les terminaux mobiles qui causent CalDAV et CardDAV,
et on arrive à faire du SyncML via Funambol (un peu plus hasardeux mais
j'étais parvenu à synchroniser un Blackberry Pearl).

Son webmail est calqué sur TB mais, ne l'utilisant
qu'exceptionnellement, je ne saurais dire s'il est agréable dans le
cadre d'un usage intensif.

Il utilise une base PostgreSQL (dont on arrive facilement à extraire les
calendriers et vcards à coup de scripts si besoin) et n'impose pas le
choix du serveur IMAP (dovecot, perso).

Je l'utilise pour une trentaine de comptes et il est parfaitement
stable. Tiens, faudrait que je pense à le mettre à jour.


Je plussoie. On a environ 300 comptes répartis sur plus instance SOGo que l'on 
clone à chaque fois. Dans la pratique, on pourrait utiliser la même VM pour tout 
le monde mais ca pose des problèmes d'étanchéïté entre les clients.


Synchro avec de l'android et de l'ios sans le moindre soucis (caldav/carddav). 
Ca existe encore blackberry ? Pas tester avec du windows phone mais je n'ai pas 
vraiment envie de perdre du temps pour un truc qui n'existera plus dans 12/18 
mois (une fois que le rachat de Nokia aura fait pschit).


Julien



___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] FreeBSD/ZFS/NFS/12DD Best zpool geometry ?

[Julien Escario]

Le 31/10/2013 13:35, Mehdi Sebbar a écrit :

Hello,

ZFS est tres consommateur de ram, surtout avec dedup. tu as prevu combien ?
Regarde aussi pour mettre ZIL et L2ARC sur des SSD en mirroir.


Pas besoin de mirroir pour le L2ARC. Par contre en ZIL, les effets de la perte 
d'un disque non redondé restent toujours de l'ordre de la divination pour moi. 
Certains disent qu'ils ont perdu des données et les devs du truc disent que ca 
doit se passer sans problème (mais je vois mal comment). Du coup, je mirorrise.


Aussi regarder les perfs des SSD, certains sont bons en lecture, d'autre en 
écriture (à l'époque c'était la différence entre SLC et MLC mais avec les eMLC, 
c'est plus flou).


Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Demande de questions sur redondance dans le Cloud

[Julien Escario]

Le 27/11/2013 11:38, yann christophe a écrit :

Bonjour,

Je suis sur un projet de monté une infra dans le Cloud pour ma société. Toutes
les machines seront sous Linux (CentOS et Debian)

J'aimerai savoir si des personnes ont déjà mis des bout de leur infra dans un
Cloud, actuellement je test de migrer certain de mes services dans le cloud, le
Fournisseurs à des solutions de redondance pour ce qui est Web et BDD par contre
j'ai des services de téléphonie (Asterisk etc...) j'aimerai savoir si au niveau
Cloud vous avez déjà mis du Heartbeat ou bien si vous avez d'autre outils de
redondance assez simple sous Linux .


Histoire de que l'on comprenne :
Dans le cloud = hébergée ? Si oui, comment (vm, machines physiques) ?

Parce qu'on peut se faire chier avec de la redondance pour chaque service (et 
donc gérer du heartbeat et autres joyeusetés) ou alors faire du failover au 
niveau de l'hyperviseur, ce qui tends à devenir la norme maintenant puisque 
c'est généralement agnostique pour le service.


Julien

P.S. : j'aime beaucoup les majuscules à 'Cloud', ça veut dire que c'est devenu 
un être à part entière comme l'Internet ?

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Demande de questions sur redondance dans le Cloud

[Julien Escario]

Le 27/11/2013 11:50, yann christophe a écrit :

Oui chez un hebergeur (Enovance) qui vend des prestation de cloud ils utilisent
Openstack j'ai accès à une interface web ou je peux créer le nombre de machine
que je veux avec les caractéristique que je veux etc...  un peux comme avec le
cloud de Amazon .

Yann


OK donc c'est de la loc de VM à l'usage. Donc après deux options :
1) Tu leur fais confiance et ils savent te faire de la haute dispo sur les VM en 
multi-sites par exemple. En quand un site tombe, c'est juste le temps du 
redémarrage de la VM sur un autre site (quelques secondes à quelques minutes). 
L'idéal étant d'avoir un peu de distance entre les deux sites pour qu'un toron 
de fibres coupé ne mette pas le souk dans toute l'infra.


2) Tu choisis un second hébergeur (pour une question d'indépendance du réseau), 
tu mets du VPN le plus bas possible (MTU toussa) et tu répliques ton infra avec 
des loadbalancer, du TTL DNS très bas, etc ... Voir tu pousse le vice jusqu'à 
demander ta propre plage RIPE et tu demandes à tes hébergeurs de l'annoncer de 
chaque côté et tu fais ta soupe ensuite (genre unicast).


Ca dépend contre quoi tu veux te protéger, des délais de downtime acceptables, 
tu temps que tu veux y consacrer et leur corollaire : ton budget.


Pour en revenir à la question de départ : nous sommes hébergeurs donc oui, notre 
infra est hébergée ça va de soit. Dans la pratique, c'est cool, ça marche bien 
maintenant que l'on a plusieurs sites et un bon L2L mais ça impose d'autres 
contraintes, notamment le fait d'avoir moins de données locales et de passer un 
peu plus de temps sur la question de la sécurité (encore que, avec quelques 
bonnes pratiques ... mais je vais me mettre à dos les consultants en sécu).



PS: c'est pour éviter d'avoir le mot souligné en rouge au niveau du correcteur.


Ah ? Le correcteur ortho te corrige sur 'cloud' mais pas sur 'Cloud' ? Tiens le 
mien fais les deux, pas un mot français qu'il dit (comme 20% des mots de mon 
mail d'ailleurs).


Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Software Defined Storage : Nexenta vs FreeNAS

[Julien Escario]

Le 09/12/2013 13:12, Leslie-Alexandre DENIS a écrit :

Bonjour à tous/toutes,

Je me penche actuellement sur les SAN software, destinés à de la prod. orienté
filer pour des hyperviseurs KVM (iSCSI ou NFS).
Mis à part EMC, Netapp et autres produits commerciaux je suis arrivé assez
naturellement sur Nexenta et FreeNAS.

Avez-vous testé Nexenta CE ? D'après la documentation la seul limitation sont
les 18TB de stockage raw.
Quant à FreeNAS avez-vous des retours sur une infrastructure de production ?

Merci pour les feedbacks,
Cya


Salut Leslie,
J'ai fini par jeter les deux solutions directement par manque de vraie solution 
de réplication sync/async. ZFS c'est le pied mais les snapshots, ce n'est pas de 
la réplication destinée à un usage de VM selon moi.


Du coup, là, je tente un lab à base de linux avec le zfs on linux et glusterfs. 
Un joli mélange, reste à voir les perfs et si l'hyperviseur en veut bien (pour 
le moment, ovirt me tente bien pour son support gluster natif).


Ah le stockage cloud, ça m'en a déjà bouffé des heures de veille et de lab. Si 
il y avait moyen de mettre un peu de ressources/documentation en commun, je suis 
preneur.


Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Software Defined Storage : Nexenta vs FreeNAS

[Julien Escario]

Le 10/12/2013 01:20, Gilles Mocellin a écrit :

[...]
Maintenant,
Comme le dit Julien, tu peux aussi regarder du coté des filesystems distribués
comme GlusterFS, Ceph, MooseFS.
Surtout si tu veux de la haute dispo sur plusieurs machines.
Préférence pour Ceph, surtout pour faire tourner des VM KVM, avec le driver RBD
pour QEMU.
Ça devient la solution de référence pour le stockage des Cloud IaaS, comme
OpenStack.


J'étais justement en train de regarder Ceph et il semblerait qu'il manque LE 
truc indispensable : la geo réplication et donc un mode asynchrone avec un 
système de 'zone' (je veux qu'à un instant t, il y au moins un réplicat dans 
CHAQUE datacenter).
Ca a l'air très demandé par la communauté ceph et certains l'ont fait avec du 
DRBD protocol A sous rados. Pourquoi pas mais ça commence à faire des couches et 
des couches donc des perfs en moins.


A confirmer mais qemu intègre maintenant aussi un accès direct à un domaine 
gluster sans passer par la case FUSE.



Avec la volumétrie de nos jours, les systèmes RAID et DRBD deviennent vite
contraignant quand ils doivent se resynchroniser.


Déjà, si HDD >= 2 To, RAID6, plus RAID5. Et effectivement DRBD, même si ils ont 
amélioré les choses, nécessite une bonne compréhension de ce qu'est un 
slit-brain au risque de perdre des données.
La resynchro drdb a pas évoluée aussi : on ne resynchronise que ce qui est 
désynchronisé maintenant, plus l'ensemble (peut être un comportement qui se 
configure ceci dit).


Je suis également en recherche de système de 'geo cluster' en open source, si 
certains ont des idées, je prends !


Julien



___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Software Defined Storage : Nexenta vs FreeNAS

[Julien Escario]

Le 10/12/2013 16:14, Gilles Mocellin a écrit :

J'ai demandé récemment à un dev, et le truc qui pourrait remplacer une
géo-réplication qu'il n'y aura pas de si tôt.
Le snapshot incremental : 
http://ceph.com/dev-notes/incremental-snapshots-with-rbd/

L'idée :
- Avoir un cluster Ceph, indépendants, dans deux datacenters.
- Envoyer régulièrement (par scripts), des diffs des volumes que l'on souhaite
protéger en Disaster Recovery.


Oui donc on parle de disaster recovery dans le cas où l'on peut se permettre de 
perdre les x dernières minutes (suivant la granularité). Je n'ai aucune idée de 
la chose mais la génération des diff doivent bien prendre quelques I/O non ?


Et dans ce cas, je vois mal de la live migration (mais j'ai peut être pas 
compris un truc).



On a aussi la partie stockage d'OpenStack : Swift.
Là, ça prend en charge la géo-réplication.
Mais, c'est pas fait pour des volumes en mode block, faisant tourner des VMs...



Oui aussi mais ça a l'air d'une usine à gaz à monter



Je crois que le Graal n'existe pas (encore)...


Alors je pense que je vais vraiment me faire un lab avec glusterfs. Au final, ça 
fait à peu près tout ce qu'il me faut : accès natif depuis qemu/kvm, réplication 
sync et async et metadata distribuées


Et un peu de lecture :
http://member.wide.ad.jp/~shima/publications/20120924-dfs-performance.pdf

Ca date un peu (notamment, pas ne notion de support gluster natif dans KVM) mais 
ça donne déjà une bonne idée en fonction de vos besoins.


Et pour y ajouter ça :
http://www.gluster.org/community/documentation/images/9/9d/QEMU_GlusterFS.pdf
Ca c'est moins impartial dirons-nous.

Julien

P.S. : merci pour l'idée de XtreemFS en privé mais les métadonnées centralisées, 
ça m'inquiète

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Choix Point Accès Wifi

[Julien Escario]

Le 13/01/2014 16:19, David RIBEIRO a écrit :

Actuellement nous utilisons chez nous des Cisco Aironet 11xx ou 12xx en mode
Standalone.
On veut passer au WiFi N et profiter de la centralisation donc nous comparons
actuellement :

* Une offre Meraki qui est pas cher mais à l'inconvénient d'être dépendant de
licence, selon mon revendeur "pas de licence, borne inutilisable", faut compter
en licence 200€HT par borne tous les 3 ans.
* Une offre Controlled, avec un AIR-CT2504-5-K9 et des AP AIR-CAP1602I-E-K9
* Du Ruckus AP7762 que l'on a en interne que tu peux piloter avec un Zone
Director (cher mais vraiment très complet comme produit)

Je n'ai pas encore chercher plus loin pour l'instant :/

David


Regarde vraiment côté Ubiquity. Avec les Unifi, tu peux t'installer une VM linux 
qui va te gérer du multi-sites. Sans licence.
Le reste de la gamme est vraiment sympa quand tu veux faire du long range stable 
(faut passer un peu de temps la première fois pour comprendre comment régler ça).


Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] wget et les adresses link-local

[Julien Escario]

Bonjour,
Je tente de faire aspirer une page sur un serveur en ipv6 avec mon wget. Le 
serveur n'a que du link-local, on est sur un même LAN.


Mais pas moyen de lui enfiler l'adresse :
$ wget http://[fe80::7827:c1ff:fe6c:a351]
--2014-09-01 15:23:42--  http://[fe80::7827:c1ff:fe6c:a351]/
Connecting to fe80::7827:c1ff:fe6c:a351:80... failed: Invalid argument.

$ wget http://[fe80::7827:c1ff:fe6c:a351%eth1]
http://[fe80::7827:c1ff:fe6c:a351%eth1]: Invalid IPv6 numeric address.

$ wget http://[fe80::7827:c1ff:fe6c:a351]%eth1
http://[fe80::7827:c1ff:fe6c:a351]%eth1: Invalid host name.

Une idée ?

Pour donner le problème dans sa globalité : je cherche à mettre un upstream ipv6 
à mon nginx. Ca semble supporté depuis 1.3 environ donc largement. Mais encore 
une fois, avec le link-local pour lequel il faut préciser l'interface quand on 
fait un ping6 par exemple, ça ne passe pas ...


Merci,
Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] wget et les adresses link-local

[Julien Escario]

Pour revenir sur les différents propositions :
* Echapper les [] ne change rien : c'est la partie interface qui est gênante 
dans le link-local. Typiquement, avec une vraie adresse ipv6 (bon là du 6to4), 
ca marche bien :

$ wget http://[2002:c3c8:d907::1]
--2014-09-01 17:13:49--  http://[2002:c3c8:d907::1]/
Connexion vers 2002:c3c8:d907::1:80...connecté.
requête HTTP transmise, en attente de la réponse...200 OK
Longueur: 1522 (1,5K) [text/html]
Sauvegarde en : «index.html»

* Curl se comporte correctement, un point pour lui mais du coup ça ne résoud pas 
le soucis avec nginx.


* Mon idée est effectivement de faire disparaître totalement ipv4 de mon réseau 
pour les services 'non frontaux' qui n'ont absolument aucun besoin de me bouffer 
des IPv4. Et RFC1918 + vlan, bof, c'est lourd à maintenir dans le temps.


* Utiliser 6to4 : ben c'est encore de l'ipv4 déguisée et ca me rajoute de la 
latence de 8ms entre deux machines branchées sur le même swtich.


Du coup, avoir posé la question m'a fait reformuler ma demande à Google : il 
semblerait que l'utilisation du link-local soit la mauvaise façon de faire ça.


ULA semblant (d'après ce que j'ai lu ici et là) en voie de deprecated, il ne me 
reste qu'à me faire attribuer un subnet natif que je vais firewaller et 
n'utiliser qu'en local.


C'est particulièrement foireux d'un point de vue ipv4 mais commence à prendre du 
sens quand on se place d'un point de vue ipv6. Je n'ai pas encore tous les 
réflexes. Faut déjà revenir à une logique de gaspillage, j'ai du mal.


Julien

Le 01/09/2014 15:33, Julien Escario a écrit :

Bonjour,
Je tente de faire aspirer une page sur un serveur en ipv6 avec mon wget. Le
serveur n'a que du link-local, on est sur un même LAN.

Mais pas moyen de lui enfiler l'adresse :
$ wget http://[fe80::7827:c1ff:fe6c:a351]
--2014-09-01 15:23:42--  http://[fe80::7827:c1ff:fe6c:a351]/
Connecting to fe80::7827:c1ff:fe6c:a351:80... failed: Invalid argument.

$ wget http://[fe80::7827:c1ff:fe6c:a351%eth1]
http://[fe80::7827:c1ff:fe6c:a351%eth1]: Invalid IPv6 numeric address.

$ wget http://[fe80::7827:c1ff:fe6c:a351]%eth1
http://[fe80::7827:c1ff:fe6c:a351]%eth1: Invalid host name.

Une idée ?

Pour donner le problème dans sa globalité : je cherche à mettre un upstream ipv6
à mon nginx. Ca semble supporté depuis 1.3 environ donc largement. Mais encore
une fois, avec le link-local pour lequel il faut préciser l'interface quand on
fait un ping6 par exemple, ça ne passe pas ...

Merci,
Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] wget et les adresses link-local

[Julien Escario]

Le 01/09/2014 17:58, Pierre DOLIDON a écrit :

* Mon idée est effectivement de faire disparaître totalement ipv4 de mon
réseau pour les services 'non frontaux' qui n'ont absolument aucun besoin de
me bouffer des IPv4.


la RFC1918 est si petite que ça pour parler de "bouffer des IPv4" ??? (et je
comprends pas la nécessité de faire disparaitre IPv4 d'un réseau de BACK).


Je parlais de bouffer des IP publiques.


Et RFC1918 + vlan, bof, c'est lourd à maintenir dans le temps.


Mettre tout le monde dans le même subnet sans aucun compartiment c'est bien pire
d'un point de vue topologie. Alors oui ça exige un peu de rigueur et de réf,
mais c'est bien plus propre a l'entretient c'est ça devient pas la cacophonie
sur ton vlan par défaut...


Ah, ca y est, on est déjà au moment où on va m'expliquer comment gérer mon cœur 
de réseau ?


Julien


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] wget et les adresses link-local

[Julien Escario]

Le 01/09/2014 18:17, Emmanuel Thierry a écrit :

ULA semblant (d'après ce que j'ai lu ici et là) en voie de deprecated, il ne me 
reste qu'à me faire attribuer un subnet natif que je vais firewaller et 
n'utiliser qu'en local.


Là il va falloir citer parce que ça me parait violemment faux. Et si c'était le 
cas, il n'y aurait pas des drafts en discussion dans le groupe IETF v6ops :
http://tools.ietf.org/html/draft-ietf-v6ops-ula-usage-recommendations-03

L'ULA est tout à fait valide. Si tu peux l'utiliser, alors c'est *la* solution 
à ce problème.


Ok, my bad, j'ai dû mal comprendre. Je vais me rencarder encore un peu sur ce 
mécanisme qui est effectivement présenté comme le penchant ipv6 du RFC1918 (j'ai 
bien 'penchant' hein, pas équivalent).


Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Nginx et expiration du cache

[Julien Escario]

Bonjour,
Malgré pas mal d'essais et de recherches, je n'arrive pas à outrepasser mon 
problème. Je m'explique :


J'ai configuré un nginx en reverse proxy devant un apache. Basique me 
direz-vous. Dommage de ne faire que ça, du coup, je rajoute du cache et pour 
tester, je mets une validité de mon cache très faible :

proxy_cache_valid 10s;

Donc normalement, si je change un fichier test.png à la racine du site, au bout 
de 10 secondes, il devrait me servir la nouvelle version non ?


J'ai probablement loupé quelque chose sur le fonctionnement de ce truc mais je 
ne trouve pas d'autre paramètre en rapport avec cette fonction.


Une idée ?

Merci d'avance,
Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Nginx et expiration du cache

[Julien Escario]

Le 22/09/2014 17:53, Nicolas Steinmetz a écrit :


Le 22 septembre 2014 17:06, Julien Escario mailto:esca...@azylog.net>> a écrit :

Donc normalement, si je change un fichier test.png à la racine du site, au
bout de 10 secondes, il devrait me servir la nouvelle version non ?


Ton fichier est servi par une application ou c'est du direct ? Si tu passes par
un CMS ou consort, il peut t'ajouter des tags différents de ceux de ton serveur 
web.


J'ai essayé de faire le plus direct possible : c'est un fichier png posé 
directement à la racine, normalement hors de tout contrôle du CMS.



Autre cas, sous apache / mod_expires, il y a 2 gestions de caches possible : un
cache par accès et un cache par date de modification du fichier. En fonction de
ta politique, le comportement n'est pas le même.


Et si c'était ça justement ? Est-ce que nginx honorerait les en-têtes de 
mod_expires ?
Genre : "mon cache pour ce fichier est expiré, je refais une requête à Apache. 
Ah mais non : Apache m'a dit qu'il était valable pendant une semaine donc je 
reprends le même."


Possible ?

Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Nginx et expiration du cache

[Julien Escario]

Bonjour,
Merci de vos différentes réponses.

Je continue mes investigations et par acquis de conscience, j'ai rajouté :

proxy_ignore_headers Set-Cookie Cache-Control Expires X-Accel-Expires;

(oui, j'ai fait dans le lourd sans trop réfléchir, ce comportement commence à me 
gaver)


Dans la config de mon vhost nginx. A priori, ça ne change rien. Plusieurs heures 
après, j'ai toujours mon image de 2881 octets qui est servie :

$ curl -I "http://www.voixdumidilauragais.fr/test.png";
HTTP/1.1 200 OK
Server: nginx/1.6.0
Date: Tue, 23 Sep 2014 07:43:14 GMT
Content-Type: image/png
Content-Length: 2881
Connection: keep-alive
Last-Modified: Mon, 22 Sep 2014 13:43:01 GMT
ETag: "72a19d-b41-503a7a11ce340"
Cache-Control: max-age=10
Expires: Tue, 23 Sep 2014 07:43:24 GMT
Accept-Ranges: bytes

Alors que le fichier fait 3081 octets :
# ls -la test.png
-rw-r--r-- 1 root root 3081 22 sept. 18:36 test.png

En tapant directement sur Apache, j'ai bien le nouveau fichier :
# curl -I "http://www.voixdumidilauragais.fr/test.png";
HTTP/1.1 200 OK
Date: Tue, 23 Sep 2014 07:45:30 GMT
Server: Apache/2.2.22 (Debian)
Last-Modified: Mon, 22 Sep 2014 16:36:31 GMT
ETag: "72a19d-c09-503aa0d98e1c0"
Accept-Ranges: bytes
Content-Length: 3081
Cache-Control: max-age=2592000
Expires: Thu, 23 Oct 2014 07:45:30 GMT
Content-Type: image/png

Bref, je sèche complètement là ...

Julien

Le 22/09/2014 18:17, Greg a écrit :

un "curl -I " sur l'url nginx et sur celle proxyfiée pourrait nous aider au
debug.

Le 22 septembre 2014 18:12, HURTEVENT VINCENT mailto:vincent.hurtev...@univ-lyon1.fr>> a écrit :

Salut,

Nginx peut prendre en compte les entêtes posées par Apache, mais normalement
proxy_cache_valid les surchargent, pour les ignorer complètement, voir
proxy_ignore_headers :

http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_ignore_headers




De : FRsAG [frsag-boun...@frsag.org <mailto:frsag-boun...@frsag.org>] de la
part de Julien Escario [esca...@azylog.net <mailto:esca...@azylog.net>]
Date d'envoi : lundi 22 septembre 2014 18:03
Cc: French SysAdmin Group
Objet : Re: [FRsAG] Nginx et expiration du cache

    Le 22/09/2014 17:53, Nicolas Steinmetz a écrit :
 >
 > Le 22 septembre 2014 17:06, Julien Escario mailto:esca...@azylog.net>
 > <mailto:esca...@azylog.net <mailto:esca...@azylog.net>>> a écrit :
 >
 > Donc normalement, si je change un fichier test.png à la racine du
site, au
 > bout de 10 secondes, il devrait me servir la nouvelle version non ?
 >
 >
 > Ton fichier est servi par une application ou c'est du direct ? Si tu
passes par
 > un CMS ou consort, il peut t'ajouter des tags différents de ceux de ton
serveur web.

J'ai essayé de faire le plus direct possible : c'est un fichier png posé
directement à la racine, normalement hors de tout contrôle du CMS.

 > Autre cas, sous apache / mod_expires, il y a 2 gestions de caches
possible : un
 > cache par accès et un cache par date de modification du fichier. En
fonction de
 > ta politique, le comportement n'est pas le même.

Et si c'était ça justement ? Est-ce que nginx honorerait les en-têtes de
mod_expires ?
Genre : "mon cache pour ce fichier est expiré, je refais une requête à 
Apache.
Ah mais non : Apache m'a dit qu'il était valable pendant une semaine donc je
reprends le même."

Possible ?

Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/




___
Liste de diffusion du FRsAG
http://www.frsag.org/



___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Nginx et expiration du cache

[Julien Escario]

Le 23/09/2014 10:10, Buschini Edouard a écrit :

Bonjour,

Moi aussi j'avais seché un jour pour le même type de problème, j'ai du faire une
cache zone avec une key:

http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cache
http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cache_key


Alors j'ai déjà ça :
proxy_cache_key "$scheme://$host$request_uri";

Pas bon ?


Et si ton backend te r'envois des Set-Cookie dans son header. Désactive les car
sinon t'auras pas de cache.

proxy_ignore_headers "Set-Cookie";


Oui, on va y venir en affinant parce que les CMS ont tendance à filer un cookie 
pour n'importe quelle ressource. On peut aussi définir des domaines 'statiques' 
pour certaines ressources et sur lesquels on vire explicitement les cookies.


Pour le moment, c'est plutôt l'inverse : j'ai trop de cache.

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Nginx et expiration du cache

[Julien Escario]

Bonjour,
Bon he bien j'ai testé, il me semble, toutes les solutions proposées sans 
succès. Je ne comprends pas ce qui peut bien empêcher ce rafraîchissement de 
cache ...


Du coup, vous êtes tous sous varnish ?

Julien

Le 23/09/2014 11:09, Julien Escario a écrit :

Le 23/09/2014 10:10, Buschini Edouard a écrit :

Bonjour,

Moi aussi j'avais seché un jour pour le même type de problème, j'ai du faire une
cache zone avec une key:

http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cache
http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cache_key


Alors j'ai déjà ça :
proxy_cache_key "$scheme://$host$request_uri";

Pas bon ?


Et si ton backend te r'envois des Set-Cookie dans son header. Désactive les car
sinon t'auras pas de cache.

proxy_ignore_headers "Set-Cookie";


Oui, on va y venir en affinant parce que les CMS ont tendance à filer un cookie
pour n'importe quelle ressource. On peut aussi définir des domaines 'statiques'
pour certaines ressources et sur lesquels on vire explicitement les cookies.

Pour le moment, c'est plutôt l'inverse : j'ai trop de cache.

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Online et l'ARP

[Julien Escario]

Bonjour,
Un client nous appelle au secours suite à la désactivation de son serveur par 
Online.

En guise d'explication, nous avons (je cite) :

Dec 19 10:15:26: %SW_DAI-4-PACKET_RATE_EXCEEDED: 51 packets received in 838 
milliseconds on Gi1/0/27.
Dec 19 10:15:26: %PM-4-ERR_DISABLE: arp-inspection error detected on Gi1/0/27, 
putting Gi1/0/27 in err-disable state
Dec 19 10:15:27: %LINEPROTO-5-UPDOWN: Line protocol on Interface 
GigabitEthernet1/0/27, changed state to down
Dec 19 10:15:28: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/27, changed state 
to down
Dec 19 10:20:26: %PM-4-ERR_RECOVER: Attempting to recover from arp-inspection 
err-disable state on Gi1/0/27
Dec 19 10:20:32: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/27, changed state 
to up
Dec 19 10:20:33: %LINEPROTO-5-UPDOWN: Line protocol on Interface 
GigabitEthernet1/0/27, changed state to up



Si je lis ça rapidement, ca explique que le port a été passé en shutdown parce 
que le serveur aurait émis 51 packets en 0.838 secondes. Euh, c'est un 
comportement anormal ça ?


'fin bref, je veux bien croire qu'il y ai un soucis de conf réseau sur la 
machine mais les explications de la part d'Online sont (pour tester poli) 
laconiques non ? Ou alors ils considèrent que tous leurs clients sont CCNA. Moi 
qui n'ai jamais voulu entendre parler de cisco sur mon backbone, ca me fait une 
belle jambe.


Ca vous parle un truc comme ça ?

Merci,
Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] URSSAF et bounces

[Julien Escario]

Bonjour,
En faisant une ronde sur mes serveurs mails, je me retrouve avec pas mal de 
bounces à destination de tele...@palerme.declaration.urssaf.fr.


Pour la plupart, je pense qu'il s'agit de changements dans la structure de mes 
clients et l'adresse donnée par le client à l'urssaf n'est plus valable. J'en ai 
averti 2/3 mais je ne vais pas passer mon temps à gérer ça.


Ce qui m'intrigue davantage c'est que le MX de l'urssaf ne réponds tout 
simplement pas sur le port 25 :

$ telnet palerme.declaration.urssaf.fr 25
Trying 194.0.166.4...
telnet: Unable to connect to remote host: Connection timed out

J'ai essayé depuis différentes IP sur des subnets différents au cas où ils se 
soient mis en tête de nous blacklister et même résultat.


Du coup, mes bounces attendent en queue le timeout, c'est moche et pas pro.

Est-ce que vous constatez le même comportement ? Je peux écrire à l'urssaf pour 
leur expliquer que c'est foireux comme configuration ? Si ils ne veulent pas les 
bounces, ils n'ont qu'à mettre un /dev/null en face mais au moins, ils 
pourraient accepter le mail non ?


Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] URSSAF et bounces

[Julien Escario]

Le 13/01/2015 12:01, Pierre Tourbeaux a écrit :

Hello.

Pour y avoir bossé quelques années, la politique de filtrage sur ces MX
est un peu "nazi", il faut contacter ton urssaf et demander à faire
ajouter tes IP de MX à une whitelist.

En gros ils filtrent un maximum en entrée pour éviter de faire bosser
les robots de traitement avec des mails non légitimes.

Bonne journée,
Pierre


Oui j'imagine aussi que c'est une destination particulièrement ciblée pour du 
bounce par des adresses 'spoofées'.


Du coup, j'ai eu une réponse off list. Si j'ai bien compris, c'est transitoire 
et devrait être réglé prochainement.


Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Supervision open source point sur les configurations

[Julien Escario]

Le 21/01/2015 10:11, Manu a écrit :

Salut

Le 19/01/2015 11:32, Bernard BELLE a écrit :

Tu cites beaucoup d'outils, mais pas Zabbix.


Il n'y a pas d'autres retours sur Zabbix ?
M


Baaah, bĥ, beurk.

Suffisamment explicite comme retour ? ;-)

Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Supervision open source point sur les configurations

[Julien Escario]

Le 21/01/2015 10:33, guillaume pancak a écrit :

Bonjour,

Julien, ton analyse au sujet de zabbix me semble très constructive ;)

Mais je ne partage pas ta conclusion ;)

J’utilise Zabbix pour superviser nos serveurs et il s’est montré beaucoup plus
stable  que le vénérable couple Nagios + centreon .. et contrairement à
nagios/centreon, une fois la configuration effectuée, plus la peine de s’en
soucier...

Zabbix, c’est super Cool ;)

Ceci étant, ce n’est que mon point de vue…


Oui, bon j'avoue, ce n'était pas très argumenté ni productif.

Alors pour compléter, j'ai été 2 fois confronté à Zabbix :
* Ma propre expérience : la façon d'aborder le truc dans Zabbix est tellement à 
l'opposé de ma logique que je ne suis jamais parvenu à un setup ne serait-ce que 
potable. Ensuite, on m'a fait découvrir Nagios.


* Chez un client, un informaticien en interne avait monté ça et très rapidement, 
il n'a plus su le maintenir et le truc envoyait plusieurs centaines d'alertes 
par jour et plus rien n'était lu/traité. On a cassé et refait en Nagios (parce 
qu'on connaissait) et depuis les alertes sont lues et traitées.


Voilà pour le complément étayé.

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Presta pour maintenance informatique (petite structure) ?

[Julien Escario]

Le 09/02/2015 20:12, Damien MICHAUDET a écrit :

Bonjour,

je suis en train de monter une structure associative pour justement s'occuper de
ce genre de besoins.

Le but de l'asso serait de pouvoir proposer des solutions aux petites structures
qui n'ont pas du tout besoin d'accompagnement à temps plein, et de les mettre en
relation avec des techniciens étudiants ou comme petit boulot quand il y a des
besoins d'install et de maintenance.

Je connais quelques techniciens qui seraient ravis d'avoir des missions et pour
ces petites structures, ce serait dommage de monter une Nième société
prestataire pour prendre une grosse com.


Ah ? La vision du prestataire qui prend une grosse comm, c'est très parisien ça 
non ?


Ca ne te dérange pas d'annoncer sur une liste de prestas que tu vas monter une 
structure associative (donc non soumise à tout un tas de charges) pour faire 
concurrence à des prestataires ?


Il faudrait arrêter avec les assos non lucratives, y'a un moment, on va 
commencer à parler de concurrence déloyale là.
Bref, il y a vraiment une ligne floue là dessus : ça peut être fait avec les 
meilleures intentions du monde et détruire quand même de l'emploi au final.


Après, si c'est une association à but lucratif, je n'ai rien dit, le 
fonctionnement est encadré et les impôts/charges sociales sont perçus.


Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Nginx et son invalidation de cache

[Julien Escario]

Bonjour,
Maintenant que je parviens à gérer la durée de vie du cache nginx, je me heurte 
à un nouveau problème : son invalidation conditionnelle.


Je m'explique : nous avons mis en place un frontal qui ne fait que du cache de 
ressources statiques avec nginx. Ca soulage les backend web et c'est plus rapide 
(on met le cache en ramdisk et on regarde pour du memcached).


Tous contents, on est partis sur des valeurs astronomiques de cache des 
ressources statiques (genre 7 jours). Rapidement, on s'est fait engueulés parce 
que machin qui avait rajouté trois couleurs sur son bandeau de pub devait 
attendre 7 jours pour que ce soit visible.


Alors on a rajouté la directive proxy_cache_bypass qui permet d'invalider une 
ressource cachées via une requête spécifique.


Très bien, sauf qu'un jour on nous a demandé de pouvoir invalider le cache d'un 
grand nombre de fichiers d'un coup et on a dû scripter le truc avec du curl.


J'aimerais bien passer la seconde là dessus en invalidant le cache d'un fichier 
statique automatiquement lorsque le fichier change sur le disque.
La première qui me vient en tête est inotify : on monitore le filesystem et on 
génère une requête d'invalidation à chaque fois qu'un fichier statique change 
(avec le timestamp unix).


Ca paraît faisable sur le papier mais je me demande si mon idée ne va pas se 
transformer en usine à gaz.


Pour le moment, on a mis un cache à 5 min mais du coup, le cache commence 
gentiment à perdre de son intérêt, à part en cas de pic de consultation des sites.


Du coup, est-ce quelqu'un a déjà rencontré/résolu ce type de problématique et 
peut partager ses conclusions ?


Merci d'avance,
Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Presta pour maintenance informatique (petite structure) ?

[Julien Escario]

Le 10/02/2015 11:39, Alexandre Legrix a écrit :

Salut.

On 02/10/15 11:09, Xavier Beaudouin wrote:

Tiens en parlant d'association, il y a des asso loi 1901, qui jouent aussi dans
le lucratif avec des montages particuliers: France IX en est une... Pourtant là
personne viens ronchonner.

Quid des Hébergeurs Associatifs, ils concurrencent OVH ?
Quid des FAI associatif, C'est vrai que FDN concurrence les agrumes et
les frites ? ;-)


Ben ma foi, à un moment, on peut se poser la question. C'est pour ça que je 
parle de 'ligne floue'. Rien n'est illégal, on est d'accords mais à quel moment 
la ligne est franchie, c'est toujours une question d'interprétation.


Concernant FranceIX, ils occupent selon moi une niche qui n'est pas adressée par 
le business traditionnel. Donc dans un cas comme celui-ci ou quand l'offre ne 
répond pas à la demande, ça ne pose pas de problème.


Concernant les hébergeurs associatifs, oui, on a eu le cas : ils nous piquent du 
marché avec des moyens souvent douteux et le président (parce qu'en général, ce 
sont des assoces avec juste un président) se rémunère en nature voir au black. 
C'est du vécu et là, clairement, la ligne est franchie pour moi.


Encore une fois, un groupement de prestas qui s'unissent et font un GIE, c'est 
cohérent. Une assoce qui se monte en disant : on va fédérer un réseau national 
de prestas, communiquer, facturer, reverser, avoir des salariés, etc ... on sort 
du cadre non lucratif au sens de la loi et ça pue.


Bref, faites des assoces, c'est une bonne chose mais gardez toujours à l'esprit 
qu'il y a des boites en face qui ont aussi besoin de payer leurs salariés, leurs 
frais et leurs charges ... Il est très facile de glisser et les DDCCRF 
devraient, selon moi, être garantes de ce genre de problèmes.


Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Presta pour maintenance informatique (petite structure) ?

[Julien Escario]

Le 10/02/2015 12:01, Manu a écrit :


Le 10/02/2015 11:58, Julien Escario a écrit :

Bref, faites des assoces, c'est une bonne chose mais gardez toujours à
l'esprit qu'il y a des boites en face qui ont aussi besoin de payer leurs
salariés, leurs frais et leurs charges ...


Tu cites les asso, mais peut être peut on aussi évoquer des cas où des "très
gros" cassent un tarif juste pour entrer sur un marché/dans une boîte ? :-)



Ce n'est guère reluisant non plus mais c'est une stratégie, un business model 
qui leur appartient et ils payent ce qu'ils doivent à la société (hum, en 
théorie du moins). Mon expérience a montrée que généralement, ce n'est pas très 
viable à long terme sauf quand tu es vraiment très gros.


Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Presta pour maintenance informatique (petite structure) ?

[Julien Escario]

Le 10/02/2015 12:01, Damien MICHAUDET a écrit :

Qui te dit que nous prendrions une com ?
Les buts sont de laisser les petites structures se focaliser sur leur travail et
non leurs outils, et de permettre à des étudiants bidouilleurs de gagner en
expérience, et se faire un peu de blé.
Je ne connais aucune entreprise tournée vers les profits qui a ces objectifs,
donc je ne vois pas à quel moment on entre en concurrence.
On vous laisse le terrain de l'argent, on occupe celui de l'aide aux petites
structures à avoir de l'informatique utile et à bas coût.

Si une structure dont on s'occupe grossit, et a des besoins en terme de SLA,
support, astreinte, etc, eh bien je pense qu'elle n'aurait plus besoin d'une
asso comme nous. On ne vient donc pas en concurrence directe, au contraire on
fait en sorte que les petites boites se focalisent sur leur métier :)


Bah, écoute, on ne va pas épiloguer. A la lecture de ton message, j'avais 
tendance à penser que les objectifs étaient limite-limite par rapport au marché.


Maintenant, c'est dans le diable que se cache le diable donc il ne tient qu'à 
vous de faire les choses dans de bonnes conditions au démarrage mais surtout à 
faire attention à un glissement vers des pratiques plus douteuses. Mais je ne 
suis pas au bureau, c'est lui qui devra gérer ça. Je voulais juste t'interpeller 
sur cet aspect.


Après, longue vie à votre association si elle permet de combler un manque !

Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Presta pour maintenance informatique (petite structure) ?

[Julien Escario]

Le 10/02/2015 12:08, Julien Escario a écrit :

Maintenant, c'est dans le diable que se cache le diable donc il ne tient qu'à


Moui moui moui, ça tout le monde l'aurait deviné. Je voulais dire "détail", bien 
entendu ...


Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Nginx et son invalidation de cache

[Julien Escario]

Le 10/02/2015 12:01, Ludovic Cartier a écrit :

Bonjour,

As-tu envisager de prendre le problème à l'envers ? :-)
Au lieu de partir dans le développement d'une usine à gaz, tu ne pourrais pas
demander à tes clients de versionner leur bandeau de pub / images / fichiers
statiques ?
Tout est possible à ce niveau, rajouter "-vXXX" à la fin du fichier, le md5 du
fichier etc etc...
Comme ça tu leur laisse gérer totalement leur "cache" via une mise à jour de
leur code / CSS.


Moui, ca serait la solution rêvée si on avait un temps soit peu de contact avec 
les devs des sites.


Hors, là, il s'agit de plusieurs centaines de sites qui sont eux même clients de 
nos clients. Le temps de faire l'éducation de tout ce monde, j'aurais des 
cheveux blancs.


Mais merci de ton idée mais dans notre cas précis, elle est difficilement 
applicable.


Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Nginx et son invalidation de cache

[Julien Escario]

Le 10/02/2015 12:21, Pierre DOLIDON a écrit :

Pourquoi monter du cache Nginx dans un ramdisk ? Pourquoi ne pas plutôt utiliser
Varnish (-s malloc,12G par exemple), puis utiliser son ACL "purge" et/ou son
secret... C'est quand même plus prévu pour que NginX (et il m'avait semblé lire
que varnish était plus performant que nginx pour du cache statique)...


J'ai d'assez mauvais souvenirs sur mes premiers essais avec Varnish. Rien 
d'insurmontable mais bien écrire les règles de cache m'avait paru 
particulièrement compliqué.


Après, en terme de perf, je n'ai pas de benchmark mais à mon avis, on joue dans 
le %.


Et sur l'invalidation, on en revient toujours à la même chose : comment informer 
automatiquement le cache qu'il faut qu'il invalide tel ou tel fichier ?


Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Nginx et son invalidation de cache

[Julien Escario]

Le 10/02/2015 12:26, Damien Wetzel a écrit :

Bonjour,
il n'y a pas moyen d'integrer un API pour flusher le cache NGINX, pour que ca 
soit intégré au CMS de ton client des qu'il y'a une modification d'image ?


Alors si ! Wordpress (et sûrement d'autres) notamment intègre un plugin qui 
permet de rajouter un header à une réponse du backend pour invalider le cache. 
Fastoche ;-)


Sauf que là, ce n'est pas une page servie par l'appli que l'on veut invalider 
mais un fichier statique et il n'y a pas de code entre le backend et le fichier 
pour informer d'une modif.



Sinon la modification par inotify doit etre faisable, on y a pensé dans le cas 
ou on hébergerait l'origine CDN de nos clients.


OK, merci. Content de savoir que je ne suis pas le seul ;-) Mais j'ai peur que 
ca se transforme en usine à gaz.


On va faire un poc et on verra ce que ça donne.

Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] cherche cas usage des regex dans la vraie vie

[Julien Escario]

Le 11/02/2015 06:29, Mihamina RAKOTOMANDIMBY a écrit :

Bonjour,

Je dois faire un mini exposé sur les regex.
Ca m'interesserait de pouvoir donner des exemples sur les recherches dans les 
logs.
Je cherche donc des cas d'usage, dans lesquels il faut utiliser des regex pour
trouver ce qu'on veut.
Les truc du genre " $grep Error access.log" me semblent inutile pour ce coup là
:-) du fait de la trop facilité du pattern.

Le public: des sysadmins juniors *et* des devs web à qui on souhaite introduire
à la recherche des erreurs dans les fichiers d'erreur (Apache, Tomcat, MySQL,
PGSQL, Postfix, Exim,...)

Auriez-vous des cas d'usage (bonus: avec la résolution et un sample)?


Il doit y avoir de quoi faire dans les filter de fail2ban non ?

Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Nginx et son invalidation de cache

[Julien Escario]

Le 10/02/2015 16:01, Wallace a écrit :

Sinon pour revenir à la demande initiale :
- pour les statics le versionning est fait côté appli du client, la
majeur parti des plugins d'optimisation font du minify css / js et
ajoutent un timestamp ou autre.


Ah, bonne idée. Peut être que mod_pagespeed peut m'aider sur ce coup là !


- statics toujours les faire taper sur une autre url qui irait chercher
directement sur les fs les données par des serveurs web only sans php et
autre langage.


Tout ce qui implique de modifier les sites n'est pas envisageable dans mon 
cadre. Là, ce que tu proposes c'est d'avoir un vhost static.domaine.com, c'est 
bien ça ?



- pour le cache des pages c'est à l'applicatif de dicter les éléments
qu'il a changé et d'appeler les caches pour invalider les pages mises en
cache, ça c'est pour la partie juste page


On ne va pas cacher les pages, trop complexe. Après, ca vaut le coup 
d'introduire ces notions pour les CMS qui ont un plugin qui permettrait de le 
faire. Je pense qu'on va garder l'idée et l'introduire dans les bonnes pratiques 
sur les nouveaux hébergés.



Une solution ionotify oui et non ça marche par fichier et les proxy par
url, si il y a de la réécriture d'url c'est mort tu ne sauras pas
associer les deux.
Comment vas tu savoir que /megamotclefseo/supermotclef/image.jpg
correspond à /data/image.jpg?
Pire si les données ne sont pas stoquées sur le docroot mais sur un
répertoire privé où un appel au langage se fait de façon transparente?
Genre ~/docroot/images/*.jpg rewrite sur ~/docroot/img.php qui vérifie
les autorisations de l'internaute et va chercher le ~/private/*.jpg pour
lui délivrer.


Bien vu ! Je pensais faire stocker le chemin complet au rproxy (via un header) 
pour retrouver le fichier de cache à invalider mais avec cette donnée, ca 
devient nettement plus chaud effectivement.



Tu as du mettre des reverse devant un hébergement mutualisé et dans ce
cas un ttl court de 10/20 min devrait suffire car si l'élément est
beaucoup demandé il suffira d'une requête pour le recharger. C'est ce
que font les CDN lorsqu'on leur demande juste de mettre en cache les
statics d'un site et que ce dernier n'est pas adapté à la mise en cache
par un moyen ou un autre.
Pour avoir mieux il faut que l'application derrière soit préparée à être
mis en cache pour les statics et pour les pages qu'elle soit au courant
du pool de proxy pour leur signifier les changements.


Donc on pourrait partir sur un cache de 10 min. Ce n'est pas l'idéal mais ça 
évitera 99% des demandes (et pour les 1% qui restent, on donnera l'url 
d'invalidation) et en cas d’événementiel sur un site, on limite déjà beaucoup la 
charge.


Merci pour cette analyse très complète.

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Nginx et son invalidation de cache

[Julien Escario]

Le 13/02/2015 13:32, Fabrice Vincent a écrit :

Pour ce genre de chose j'aurais pensé à mod_pagespeed en effet.
*J'ai pas testé, mais* de ce que j'en sais, avec mod_pagespeed installé sur ton
backend (Apache ?), tu as l'option de faire ajouter un hash aux url des fichiers
statiques qu'il va prendre directement sur le fs.
Du coup tu peux mettre un ttl à 6 mois et dès qu'un fichier change, son hash
change, donc son URL aussi, et tous les niveaux de cache vont charger la
nouvelle version.
Inconvénient: ça modifie les pages html pour ajouter les hash aux ressources
statiques
Avantage: de fait c'est du versionning, donc ça invalide tous les caches, y
compris ceux coté client (navigateur et proxy).


Bonjour,
Du coup, nous avons lancé des expérimentations en ce sens. A priori, dans notre 
contexte, le fait que mod_pagespeed modifie les pages HTML rendues est acceptable.

Reste à tuner mod_pagespeed pour notre besoin.

Bonne journée,
Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Nginx et son invalidation de cache

[Julien Escario]

Bonjour,
ON tâchera de faire un petit topo une fois que l'on aura des résultats. Ca prend 
du temps de faire des essais et de les valider en douceur sur la prod.


Bonne journée,
Julien

Le 02/03/2015 17:54, Fabrice Vincent a écrit :

Bonjour,

Je serais preneur d'un court compte rendu de vos expérimentations...   :)

Bonne journée
Fabrice

Le 17/02/2015 13:41, Julien Escario a écrit :

Le 13/02/2015 13:32, Fabrice Vincent a écrit :

Pour ce genre de chose j'aurais pensé à mod_pagespeed en effet.
*J'ai pas testé, mais* de ce que j'en sais, avec mod_pagespeed installé sur ton
backend (Apache ?), tu as l'option de faire ajouter un hash aux url des fichiers
statiques qu'il va prendre directement sur le fs.
Du coup tu peux mettre un ttl à 6 mois et dès qu'un fichier change, son hash
change, donc son URL aussi, et tous les niveaux de cache vont charger la
nouvelle version.
Inconvénient: ça modifie les pages html pour ajouter les hash aux ressources
statiques
Avantage: de fait c'est du versionning, donc ça invalide tous les caches, y
compris ceux coté client (navigateur et proxy).


Bonjour,
Du coup, nous avons lancé des expérimentations en ce sens. A priori, dans
notre contexte, le fait que mod_pagespeed modifie les pages HTML rendues est
acceptable.
Reste à tuner mod_pagespeed pour notre besoin.

Bonne journée,
Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/




___
Liste de diffusion du FRsAG
http://www.frsag.org/





smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] impots.gouv.fr, la classe

[Julien Escario]

Bonsoir,
Aujourd'hui, ma comptable me demande de créer mon compte sur 
impots.gouv.fr. OK, je découvre le truc pour les entreprises, pas de soucis.


Je cliqouille tranquillement quand je tombe sur ça :
https://inscriptionpro.impots.gouv.fr

Avec un certificat expiré depuis le ... 09/05/2013 ! Rien de que ça.

Mais que fait l'ANSSI ? Maintenant qu'ils sont assermentés, ils 
pourraient peut être soulever le tapis et commencer à enlever les 25 cms 
de poussière dessous non ?


Oui, chuis énervé oui.

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] impots.gouv.fr, la classe

[Julien Escario]

Le 31/03/2015 21:22, j...@captainadmin.com a écrit :

Bonsoir,

L'oublie n'est pas le certificat, mais l'url qui n'est plus utilisée.
Il doit juste manquer une redirection vers la bonne page s'il y en a une
nouvelle.
En tout cas, il n'y a plus de service derrière cette url actuellement


Si si, je viens de créer mon compte ! Bon, ok, après, il faut attendre 
le papier avec le code par la poste. Manquerait plus qu'ils sachent 
signer un mail ...


Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] impots.gouv.fr, la classe

[Julien Escario]

Le 31/03/2015 21:54, Arnaud Launay a écrit :

Le Tue, Mar 31, 2015 at 09:28:39PM +0200, Julien Escario a écrit:

L'oublie n'est pas le certificat, mais l'url qui n'est plus utilisée.
Il doit juste manquer une redirection vers la bonne page s'il y en a une
nouvelle.
En tout cas, il n'y a plus de service derrière cette url actuellement

Si si, je viens de créer mon compte ! Bon, ok, après, il faut attendre
le papier avec le code par la poste. Manquerait plus qu'ils sachent
signer un mail ...


Tu as aussi le problème que j'ai soulevé cet après-midi si tu
veux t'amuser encore un peu plus:

https://twitter.com/asl/status/582837760022749184

Arnaud.


En même temps, leur réponse est plutôt sympa.
Par contre, j'aurais pas publié mon mot de passe sur twitter mais bon, 
c'est toi qui voit hein ;-)


Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] impots.gouv.fr, la classe

[Julien Escario]

Le 31/03/2015 22:11, Thomas Constans a écrit :



Le 31/03/2015 21:57, Julien Escario a écrit :

j'aurais pas publié mon mot de passe sur twitter mais bon


Il espère peut être que quelqu'un va payer sa tva à sa place ?...


En même temps, avec des questions de sécurité du type : quel est le 
prénom de votre compagne. Pas un compagnon d'ailleurs, c'est les hommes 
hétéro qui paient les impôts, et paf !
Bref, l'info doit être vraiment super dure à avoir pour écraser le mot 
de passe du compte.


Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] ZFS et DRBD

[Julien Escario]

Bonjour,
Je m'apprète à attaquer un PoC pour répliquer des fs ZFS avec du DRBD pour faire 
du stockage H.A. entre hyperviseurs.


Je n'ai pas une grand connaissance de ZFS mais à ce que j'ai compris, ca 
ressemble beaucoup à un couple RAID soft + LVM en terme de fonctionnement. Avec 
pas mal de trucs en plus type dedup, compress, self healing, etc ...


Sauf que les vgs s'appelle zpool et les lvs s'appellent zvols. Tout faux ?

Bref, d'après mon schéma, j'aurais deux façons de tester ça :
1) Créer une ressource DRBD par zvol puisqu'ils sont exportés sous forme de 
block device (ce qui ne semble pas le cas des zpool, dommage).


2) Créer une ressource DRBD par disque physique sous le zpool. Le zpool sera 
donc créé avec /dev/drbd0 et /dev/drbd1 au lieu des sda/sdb (et encore, il 
semble que par uuid, c'est mieux).


L'avantage de la solution 1, c'est que je peux mettre un ZIL sans risque qu'il 
conserve des écritures qui n'auront pas été répliquées en cas de crash. Mais ça 
m'oblige à créer une ressource DRBD pour chaque disque virtuel donné à mes VMs.


Il me restera encore pas mal de choses à tester comme les mécanismes de 
verrouillage pour éviter les écritures simultanées, les perfs, etc ...


Est-ce que quelqu'un s'est déjà lancé dans ce type de conf et aurait des 
retours, en particulier sur la stabilité du bouzin ?


Merci !
Julien

P.S. : si c'était nécessaire : je suis évidemment sous Linux avec ZoL et drbd 
8.4.



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] ZFS et DRBD

[Julien Escario]

Le 12/05/2015 17:08, Raphael Mazelier a écrit :



Le 12/05/15 16:27, olc a écrit :



Un truc assez cool avec ZFS c'est la possibilité de snapshoter le FS du
maître et d'envoyer ce snapshot sur un réplicat.


Oui j'allais le dire. Zfs send/receive est une option bien sympathique.
Ça ressemble pas mal a du snapmirror netapp.


Perso j'utilise zrep (http://www.bolthole.com/solaris/zrep/), ça
ronronne depuis près de deux ans sans broncher, avec d'excellentes perfs


Je connaissais pas, je vais jeter un oeil.



Cette solution a cependant un inconvénient : ce n'est pas une
réplication synchrone : en cas d'incident, je sais que je suis
susceptible de perdre les modifications écrites quelques secondes
auparavant sur le master. Dans mon métier, c'est un risque acceptable.



Alors la réplication synchrone pose tellement de soucis qu'il vaut mieux être
safe avec une réplication asynchrone régulière.
C'est comme tenter de faire de l'actif/actif sur du stockage, ca parait sexy en
théorie, mais en pratique...


Alors ouep mais mon but n'est pas de faire un truc qui marche mais de tester sur 
une théorie est valide.
ZFS send/receive, ce n'est pas un problème. Le but s'est d'arriver à de 
l'asynchrone qui marche, au moins sur le papier. On verra après si ca peut 
passer en production (critique, pas critique, perfs, etc ...).


J'en déduis que personne n'a testé le truc ? Bon ben va pour un poc bien 
documenté pour le retour d'expérience ;-)


Julien





smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] ZFS et DRBD

[Julien Escario]

Le 12/05/2015 20:11, Romain SIBILLE a écrit :

Bonjour la liste,

Julien, as tu jeté un oeil du coté des "cluster file system" comme ceph,
ocfs2 ou gluster?


Alors ocfs2, c'est une vraie usine à gaz et gluster j'ai de mauvais 
souvenirs en terme de stabilité. Ca date ceci dit, 2/3 ans.


Reste Ceph qui m’intéresse beaucoup mais je n'ai pas les 4 ou 5 machines 
requises pour monter tout ça. Et ca semble tout de même avoir un petit 
côté usine à gaz mais en complément d'un cluster openstack, d'après ce 
que je lis ici et là, ça fait des miracles.


Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] ZFS et DRBD

[Julien Escario]

Le 13/05/2015 15:41, Raphael Mazelier a écrit :

Oui l'actif/actif ça semble beau sur le papier. Si tu cherches à distribuer les
io(s) mieux vaut utiliser un truc fait pour.


Alors justement, puisqu'on parle de distribué : ce n'est pas du tout l'objectif 
initial.
Peut être un peu d'explication pour recentrer tout ça : l'idée finale s'est 
juste d'appairer deux hyperviseurs pour fournir aux VMs des block device qui ne 
seront actifs que d'un côté ou de l'autre. Je ne cherche pas le scalable à 
outrance, juste deux machine qui mirrorisent. En actif/actif pourquoi pas mais 
ce n'est même pas le but. Je veux juste avoir du disaster recovery qui me 
permette de faire repartir manuellement mes VMs sur le second hyperviseur si le 
premier crash. Dans un but de bonne utilisation des ressources, je pense que je 
vais couper mon stockage en deux : un actif sur chaque machine et son réplica 
passif sur l'autre, en croisé.


Voilà pourquoi j'ai pensé à DRBD. Au delà de deux machines, j'irais voir 
ailleurs, ca va de soi.


Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] ZFS et DRBD

[Julien Escario]

Le 18/05/2015 15:00, Dominique Rousseau a écrit :

Le Tue, May 12, 2015 at 06:25:29PM +0200, fr...@jack.fr.eu.org 
[fr...@jack.fr.eu.org] a écrit:

Mouais j'sais pas trop
J'utilise drbd sur l'intégralité de mes VM, quasiment aucun soucis


Mais les perfs s'en ressentent, forcément, sur les i/o (latence réseau
pour le transfert + attente de l'ack)


En cross-connecte entre deux machines, ça peut aller. Et il reste le mode async 
(protocol A ou B) mais qui n'autorise pas le dual primary (ce qui n'empêche pas 
de passer en dual primary le jour où c'est nécessaire à chaud avec DRBD 8.4).


L'idéal étant de laisse tomber ethernet pour faire des trucs moins 'latenceux' 
comme infiniband (pas très cher si pas plus de deux nodes).


Bon, pour en revenir à DRBD/ZFS vs ZFS send/receive : dans mon cas, c'est pour 
stocker de l'image de VM.
Je vois quand même venir un truc moche en prenant un besoin spécifique : de la 
base de données.


Soit on fait du mode synchrone et la perf en pâtis (pâtit ?) mais on est sûr que 
les I/O que le mariadb au dessus considère comme écris SONT écris.


Soit on fait du mode asynchrone (que ce soit DRBD A/B ou ZFS send/receive 
d'ailleurs) et on a aucune certitude que au moment où sa va repasser sur l'autre 
HV, la base de données va pouvoir retrouver ses petits, en particulier sur des 
trucs fragiles comme innodb (attention, troll inside).


Une idée pour avoir le meilleur des deux mondes ?

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] ZFS et DRBD

[Julien Escario]

Le 18/05/2015 16:33, Jeremie Le Hen a écrit :

Une idée pour avoir le meilleur des deux mondes ?


Si tu l'as, garde là pour toi et vend là, tu deviendras riche ;).


OK, donc on est d'accords. Reliability, simplicity, cost, pick two.


Trève de plaisanterie, comme je disais dans l'autre mail que j'ai envoyé
aujourd'hui dans ce même thread, tu peux peut-être utiliser les deux :
- réplication synchrone pour les base de données
- réplication asynchrone (zfs send/recv, rsync, whatever) pour le reste

De toute façon, pour une base de données, il faudra obligatoirement
répliquer le journal de façon synchrone pour ne pas perdre de données.
Tu peux peut-être créer un setup qui ne réplique que le journal (il
existe d'ailleurs peut-être des technos native avec ta base de données
permettant de faire ça, ou alors tu devras le faire en mettant le
journal sur un device spécifique tu répliques à l'aide de DRBD ou HAST),
et ensuite lors d'un failover tu le rejoues au dessus de la dernière
synchro (asynchrone) du fichier data de la base de données.

Mais bon voilà, rien qu'à lire le bloc de texte ci-dessus, ça sent le
truc compliqué.  Je ne dis pas que ce n'est pas à faire, mais il faut
vraiment que ce soit justifié et pas uniquement pour la performance
technique (jeu de mot intentionel).  Cela étant dit, si tu veux faire un
truc dans ce genre avec du MySQL ou du MariaDB, je suis sûr que certains
outils Percona existent pour simplifier le tout.  Mais ça reste
complexe.


Donc mon cas particulier, je ne maîtrise pas ce que mon client fait de sa VM, ce 
qui m'oblige à faire du synchrone, tant pis pour la perf. Ce qui finalement, 
n'interdit pas de le faire le mieux possible. Quid de l'incidence de stockage 
SSD ou hybrid par exemple ?


Donc, on en revient à DRBD. Je vous laisse décider si HAST est mieux ou moins 
bien, perso, j'ai eu suffisamment d'emmerdes avec DRBD pour considérer que je 
connais pas trop mal le produit maintenant.


CQFD ?

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Détecteurs de malwares

[Julien Escario]

Le 20/05/2015 07:14, Jonathan Leroy a écrit :
> J'ai eu une demande de "nettoyage" de sites WordPress ayant été hackés hier.
> 
> J'en ai donc profité pour tester tous vos outils sur un des sites.

> Le grand gagnant est php-malware-scanner de Frédéric, qui détecte deux
> fichiers de plus que Sucuri (mais en laisse passer un autre).
> J'ai mis un tableau comparatif en PJ pour ceux que ça intéresse :)

Nice job !

Merci du retour.
Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Mail from check

[Julien Escario]

Bonjour,
Suite à cette violente vague de spam, nous avons finalement trouvé une parade
avec une fonctionnalité que nous traînions à mettre en place : la vérification
de l'adresse de l'expéditeur au niveau du dialogue SMTP.

Le but essentiel étant de limiter le nombre de bounces qui restent en queue sur
nos serveurs. Si le serveur de l'expéditeur accepte les mails, il se gère le 
bounce.

OK, ca ne règle pas tout mais en l’occurrence, ça nous a vraiment dégagé une
grosse partie de la vague.

MAIS, voilà qu'arrivent les ennuis : ATOS. Une fois par jour, un client a nous
reçoit une liste de ces transactions par e-mail.

Le mail a supp...@e-transactions.fr comme from mais se présente avec une autre
adresse dans la transaction SMTP :
qmail-smtpd: pid 11718 C: MAIL FROM:

Et évidemment, le MX de sips-atos.com ne répond pas sur le port 25 et mail 
refusé.

Alors la question est : est-ce que j'abuse de filtrer comme ça ou est-ce que je
reste droit dans mes bottes et je dis que c'est à Atos de faire le nécessaire ?

Merci de vos commentaires.

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Mail from check

[Julien Escario]

Le 21/07/2015 16:22, Olivier Bonvalet a écrit :
> Hello,
> 
> sauf erreur, c'est du "Sender-Verify" que tu nous fais là. J'aime bien
> l'explication de Free à ce sujet : 
> http://postmaster.free.fr/#FAQ_Sender_Verify
> 
> Je me permet de la recopier ici :
> « Je veux faire du Sender-Verify !
> 
> Sur un point de vue technique, il ne nous est pas possible de
> différencier une requete de type Sender-Verify qu'elle provienne d'un
> spammeur désireux de valider sa liste ou d'un serveur souhaitant
> vérifier que l'emetteur d'un mail existe bien. Si, à première vue, il
> peut paraitre souhaitable de pouvoir valider l'existence d'une adresse
> mail pour rejeter un courier dont l'emetteur n'existerait pas (donc
> probablement du spam), faire porter à un tiers le coût de ce filtre ne
> nous semble ni respectueux pour les ressources de celui-ci (alors que
> les spams représentent la quasi-totalité du traffic et que le domaine
> usurpé n'a probablement rien à voir avec le spam en question) ni
> judicieux (dans le cas où il y aurait un spam massif qui usurperait un
> domaine bien précis, les serveurs en vérifiant les emetteurs risquent
> fort de participer à l'insu de leur plein gré à une attaque de type DoS
> à l'encontre du domaine).

Ah mais au final, ça me va bien ça ! Si ils ne veulent pas supporter le coût du
sender-verify, qu'ils commencent donc en place des règles SPF et on les allège
du boulot !

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Mail from check

[Julien Escario]

Le 21/07/2015 16:16, Guillaume Hilt a écrit :
> Mets une exception, c'est comme ça depuis des années et atos ne bougera pas.

Ce que je viens de faire. Au final, vu le peu de réaction de la liste, on va le
garder et on gérera les quelques cas particuliers des mecs qui ne savent pas
respecter les bonnes pratiques.

En plus, j'ai l'impression que ca nous fait un peu moins de sp...messages
publicitaires en moins. On ne va pas pleurer même si ce n'est pas du spam au
sens de la loi.

Merci,
Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Mail from check

[Julien Escario]

Le 21/07/2015 17:48, Simon Morvan a écrit :
> On 21/07/2015 16:03, Julien Escario wrote:
>> Le mail a supp...@e-transactions.fr comme from mais se présente avec une 
>> autre
>> adresse dans la transaction SMTP :
>> qmail-smtpd: pid 11718 C: MAIL FROM:
> Comme tous les mails que tu reçois sur cette liste, non ?
> 
> Que tu vérifie que le Return-Path annoncé soit capable de traiter un
> éventuel bounce est une chose, mais vouloir que le MAIL FROM et le From
> matchent, ca ne me semble pas forcément légitime.

Ah, super remarque, merci !

Effectivement, mon check ne vérifie pas du tout que le return-path et le from
soient cohérents. A éviter donc.

Je ne fais qu'une vérification sur la validité du return-path (sur le mail from
dans le dialogue smtp plus précisément).
Et ça, à priori, les sympas et autres ezmlm font attention que ça réponde
correctement.

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] swap deleted

[Julien Escario]

Bonjour,
Petit quiz pour finir la semaine :
Disque /dev/sda H.S. sur une machine (RAID, rien de méchant), disque changé mais
sans 'éteindre' le disque avant.
Du coup, j'ai ça :
/dev/sda1 (deleted) partition   9764860 405284  -1
/dev/sdb1   partition   9764860 0   -2

swapoff -a m'arrête bien /dev/sdb1 mais le sda1.

# swapoff /dev/sda1
swapoff: /dev/sda1 : échec de swapoff: Argument invalide

Bon, on est d'accords, la partition n'existe plus, le disque non plus 
d'ailleurs.

Comment je fais pour virer ce swap device qui me génère des tonnes de :
[42527484.669407] Write-error on swap-device (8:0:1227512)

Pour l'instant, j'ai fait un :
sysctl vm.swappiness=0

Assez de RAM libre pour ça mais à un moment où à un autre, ça va foirer ;-)

Une idée ?

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] swap deleted

[Julien Escario]

Le 28/08/2015 17:44, Jérôme Drouet a écrit :
> Voila pourquoi il vaut mieux mettre sa swap sur une partition RAID ;)

Mouais, je me suis souvent posé la question et outre le gâchis d'espace disque
que ça représente, c'est surtout un gâchis de perf (en lecture ou en écriture
suivant le lvl RAID).

> t'as essayé de mettre une autre partition de swap avec une priorité plus 
> élevée
> que ta feu /dev/sda1 ?
> man swapon, mais ca devrait etre --priority

Ouep, ca m'est venu après mon mail :
# swapon -s
FilenameTypeSizeUsedPriority
/dev/sda1 (deleted) partition   9764860 6324-1
/dev/sdb1   partition   9764860 0   0

Donc à priori, mon /dev/sdb1 sera prit en priorité. Ca devrait me laisser la
marge suffisante. Sachant qu'on est bien d'accords hein, le but c'est quand même
de ne jamais swapper (sauf sur SSD et encore).

> sous linux :
> $ cat /proc/swaps
> FilenameTypeSizeUsedPriority
> /dev/sda7   partition1943796010
> /mnt/caddy/swapfile.raw file2097148159316100

Je pense qu'il ne veut pas me faire mon swapoff parce qu'il y a encore du 'used'
dessus. Du coup, je me suis dit que je pourrais faire une liste des processus
qui utilisent le swap et les redémarrer un par un.

Perdu, le processus 0 (init) utilise mon swap. Je ne vais pas couper à un reboot
pour mettre la situation au propre. Et allé, encore une nuit morcelée ce
week-end ...

> mes 2 cents
> 
> Jérôme

Merci pour la réponse du vendredi 18h ;-)

Julien

> Le 2015-08-28 17:32, Julien Escario a écrit :
>> Bonjour,
>> Petit quiz pour finir la semaine :
>> Disque /dev/sda H.S. sur une machine (RAID, rien de méchant), disque changé 
>> mais
>> sans 'éteindre' le disque avant.
>> Du coup, j'ai ça :
>> /dev/sda1 (deleted) partition9764860405284-1
>> /dev/sdb1   partition97648600-2
>>
>> swapoff -a m'arrête bien /dev/sdb1 mais le sda1.
>>
>> # swapoff /dev/sda1
>> swapoff: /dev/sda1 : échec de swapoff: Argument invalide
>>
>> Bon, on est d'accords, la partition n'existe plus, le disque non plus
>> d'ailleurs.
>>
>> Comment je fais pour virer ce swap device qui me génère des tonnes de :
>> [42527484.669407] Write-error on swap-device (8:0:1227512)
>>
>> Pour l'instant, j'ai fait un :
>> sysctl vm.swappiness=0
>>
>> Assez de RAM libre pour ça mais à un moment où à un autre, ça va foirer ;-)
>>
>> Une idée ?
>>
>> Julien
>>
>>
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] swap deleted

[Julien Escario]

Le 28/08/2015 18:22, Alarig Le Lay a écrit :
> On Fri Aug 28 17:51:57 2015, Julien Escario wrote:
>> Je pense qu'il ne veut pas me faire mon swapoff parce qu'il y a encore du 
>> 'used'
>> dessus. Du coup, je me suis dit que je pourrais faire une liste des processus
>> qui utilisent le swap et les redémarrer un par un.
>>
>> Perdu, le processus 0 (init) utilise mon swap. Je ne vais pas couper à un 
>> reboot
>> pour mettre la situation au propre. Et allé, encore une nuit morcelée ce
>> week-end ...
> 
> Je ne pense pas, chez moi il remet tout le swap en RAM dans ce cas, puis
> désactive le swap :
> airmure ~ # swapon -s
> Nom de fichierTypeTaille  Utilisé 
> Priorité
> /dev/sda2 partition   9437180 744888  
> -1
> /dev/dm-8 partition   8171516 0   
> -2
> airmure ~ # swapoff /dev/sda2
> airmure ~ # swapon -s
> Nom de fichierTypeTaille  Utilisé 
> Priorité
> /dev/dm-8 partition   8171516 0   
> -1
> airmure ~ # swapon /dev/sda2
> airmure ~ # swapon -s
> Nom de fichierTypeTaille  Utilisé 
> Priorité
> /dev/sda2 partition   9437180 0   
> -2
> /dev/dm-8 partition   8171516 0   
> -1
> 
> Ceci dit, là il aura du mal à mettre le swap en RAM vu qu’il n’est plus
> accessible. Si tu ajoutes l’option -v, il dit quoi ?

Bof :
# swapoff -v /dev/sda1
swapoff sur /dev/sda1
swapoff: /dev/sda1 : échec de swapoff: Argument invalide

Utile le verbose ;-)

> Autres questions, le /dev/sda1 actuel est-il un espace de swap ? Tu as
> essayé de refaire un swapon /dev/sda1 par dessus ? Je ne sais pas du
> tout si ça va marcher, mais ça ne coûte rien.

Vu que le disque a déjà été détecté en temps que /dev/sdc, /dev/sda, c'est juste
un fantôme lié au fait que le disque n'a pas été totalement désactivé avant
d'être 'hot swappé'. Probablement le swap d'ailleurs.
On a une procédure pour couper totalement un disque avant de faire un hot swap
mais dans l'urgence, y'a des détails qui échappent parfois.

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] swap deleted

[Julien Escario]

Le 28/08/2015 18:27, merlin8282 a écrit :
> Salut tout le monde,
> 
> Il y avait des données dans cette swap, cela va de toute façon poser
> souci tôt ou tard, non ?

Boh, si les processus avaient pu être stoppés (ou killés) un par un, ça aurait
pu aller. Mais là, oui, ça va finir par m’exploser au visage tôt ou tard. D'où
le besoin de faire un reboot.

J'ai pu faire du ménage mais il reste quand même ça :
PID=1 - Swap used: 1268 - (init )
PID=384 - Swap used: 380 - (systemd-udevd )
PID=694 - Swap used: 232 - (dbus-daemon )
PID=703 - Swap used: 292 - (systemd-logind )
PID=844 - Swap used: 156 - (getty )
PID=846 - Swap used: 156 - (getty )
PID=853 - Swap used: 156 - (getty )
PID=854 - Swap used: 156 - (getty )
PID=856 - Swap used: 160 - (getty )
PID=880 - Swap used: 104 - (irqbalance )
PID=1651 - Swap used: 148 - (getty )
PID=3483 - Swap used: 100 - (sh )
PID=3485 - Swap used: 172 - (sulogin )
PID=15838 - Swap used: 96 - (upstart-udev-br )
PID=15841 - Swap used: 92 - (upstart-file-br )
PID=15844 - Swap used: 92 - (upstart-socket- )
PID=23605 - Swap used: 572 - (sshd )
Overall swap used: 4332

c'est tout particulièrement le init et le irqbalance qui m'embêtent :-(

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] swap deleted

[Julien Escario]

Le 28/08/2015 18:10, Benjamin Boudoir a écrit :
> Le 28/08/2015 17:51, Julien Escario a écrit :
>> Perdu, le processus 0 (init) utilise mon swap. Je ne vais pas couper à un 
>> reboot
>> pour mettre la situation au propre. Et allé, encore une nuit morcelée ce
>> week-end ...
> 
> Si c'est du cache, tu as essayé de le vider avec sysctl (sysctl -w
> vm.drop_caches=3) ?

Pas mieux, c'est pas du cache. Bon, du coup, j'ai mis une claque aux disques
pour reconstruire le cache. Allé, c'est vendredi soir ;-)

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Fwd: Re: Resize de QCOW

[Julien Escario]

Ce qui me stresse toujours quand je fais du shrink c'est :
* ext3/4 ne supporte pas le shrink à chaud
* Une fois le filesystem resizé, il faut shrinker la partition : comment elle
sait où commence et où termine le fs ?
* Et quand on resize le qcow2 : comment il sait où commencent (vraisemblablement
secteur 0) et terminent les partitions pour éviter d'écraser la fin d'une part ?

D'ailleurs, que ce soit du qcow2 ou un LV en RAW, même combat.

Julien

Le 22/10/2015 14:41, Alexis Lameire a écrit :
> -- Message transféré --
> De : "Alexis Lameire"  >
> Date : 22 oct. 2015 2:40 PM
> Objet : Re: [FRsAG] Resize de QCOW
> À : "Feraudet Cyril" mailto:cy...@feraudet.com>>
> Cc :
> 
> Qemu gère le resize de qcow2 à chaud pour l'agrandissement et à froid pour la
> réduction.
> 
> Le man de qemu-img est très clair à ce sujet
> 
> Alexis
> 
> Le 22 oct. 2015 10:55 AM, "Feraudet Cyril"  > a écrit :
> 
> Salut,
> 
> Merci pour ta réponse, malheureusement le seul espace disponible est celui
> que je veux récupérer, l'hyperviseur est plein comme une barrique -_-
> 
> Une voie que j'explore pour faire de la place, ré-étendre le PV, créer un 
> LV
> vide avec des 0 grâce à dd puis récupérer la place avec qemu-img compact.
> 
> Je cherche tout de même une solution plus élégante avant ...
> 
> On 22/10/2015 10:43, j...@captainadmin.com  
> wrote:
> 
> Hello,
> 
> Normalement ton disque Qcow2 est extensible et suit le volume physique
> pris par la vm.
> Si tu veux faire du ménage proprement sans tout casser, j'éviterais de
> shrinker le disque.
> C'est assez sensible et sans garantie de perte de données ou de 
> machine.
> 
> Lorsque l'on fait de la virtualisation, il y a une facon très simple 
> de
> procéder.
> Tu génères une nouvelle vm à coté avec les nouveaux systèmes de 
> fichiers
> que tu souhaites mettre en place
> pour finir rien de plus simple, tu synchronises les 2 serveurs
> Depuis l'ancien serveur :
> rsync -axvH "--exclude=/dev --exclude=/proc --exclude=/boot" /
> root@newhost:/
> 
> Tu coupes l'ancien, démarre le nouveau, et tout devrait être 
> opérationnel.
> 
> Tu évites les manipulations douteuses et les possibles pertes de 
> disques
> sur ton serveur.
> La coupure de service est minime.
> 
> Bon courage
> http://www.captainadmin.com
> 
> 
> Le 22-10-2015 10:08, Feraudet Cyril a écrit :
> 
> Bonjour à tous,
> 
> Avant qu'il soit trop tard je prends conseil :
> 
> J'ai un QCOW2 de 100GB sur un ProxMox, je veux le shrinker à ~ 
> 20GB
> 
> Dedans j'ai :
> 
> root@pouet:~# fdisk -l /dev/sda
> 
> Disk /dev/sda: 107.4 GB, 107374182400 bytes
> 255 heads, 63 sectors/track, 13054 cylinders, total 209715200
> sectors
> Units = sectors of 1 * 512 = 512 bytes
> Sector size (logical/physical): 512 bytes / 512 bytes
> I/O size (minimum/optimal): 512 bytes / 512 bytes
> Disk identifier: 0x000cb9d9
> 
>Device Boot  Start End  Blocks   Id  System
> /dev/sda1   *2048  499711  248832   83  Linux
> /dev/sda2  501758   209713151   1046056975 
> Extended
> /dev/sda5  501760   209713151   104605696   8e  Linux 
> LVM
> 
> 
> 
> Dans le sda5 j'ai un VG :
> 
> root@pouet:~# pvs
>   PV VG   Fmt  Attr PSize   PFree
>   /dev/sda5  pouet lvm2 a--   99,76g 85,76g
> 
> 
> Dans mon VG j'ai :
> 
> root@pouet:~# lvs
>   LV VG   Attr LSize  Pool Origin Data%  Move Log
> Copy%  Convert
>   root   pouet -wi-ao-- 10,00g
>   swap_1 pouet -wi-ao-- 4,00g
> 
> 
> Le LV root a déjà subi un shrink FS + LV de 95GB à 10GB et c'est 
> donc
> le bazar dans le PV /dev/sda5 :
> 
> root@pouet:~# pvs -v --segments /dev/sda5
> Using physical volume(s) on command line
>   PV VG   Fmt  Attr PSize  PFree  Start SSize LV  
>  
>  Start Type   PE Ranges
>   /dev/sda5  pouet lvm2 a--  99,76g 85,76g 0  2560 root   
>   
>  0 linear /dev/sda5:0-2559
>   /dev/sda5  pouet lvm2 a--  99,76g 85,76g  2560 21954
>  
>   0 free
>   /dev/sda5  pouet lvm2 a--  99,76g 85,76g 24514  1024 swap_1 
>   
>  0 linear /dev/sda5:24514-25537
> 
> 
> Alors je range :
> 
> root@feraudet:~# pvmove -

[FRsAG] Xeon E5645

[Julien Escario]

Bonjour,
Je suis à la recherche d'un couple de Xeon E5645 pour recycler une machine un
chouilla vieillotte et ça devient vraiment difficile à trouver.

Est-ce que quelqu'un aurait ça qui traîne dans une machine qui part à la casse
et pourrait me les vendre ?
Je peux payer en paypal, chèque ou bières (ça risque de faire une bonne biture
quand même).

Merci !
Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Log des accès web

[Julien Escario]

Le 10/03/2016 11:10, Manu a écrit :
> 
> 
> Le 10/03/2016 11:06, Laurent a écrit :
>> Un bonne charte informatique bien dissuasive, et ça calme les esprits..
> 
> Perso je préfère cette manière, mais j'imagine que dans certains cas c'est 
> trop
> compliqué.
> 
> Alors sinon, y'a une page de la CNIL très bien faite :-) et à jour.
> 
> https://www.cnil.fr/fr/le-controle-de-lutilisation-dinternet-et-de-la-messagerie-electronique

Et on notera aussi au passage que pour la CNIL Internet = web et que la
messagerie, c'est plus Internet. Bien aussi pour entretenir la confusion sur ce
qu'est le net au final.

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [JOB] DevOps Engineer

[Julien Escario]

Le 10/03/2016 13:45, Antoine Benkemoun-André a écrit :
> Bonsoir à tous,
> 
> Suite à la forte croissance de notre société, nous recherchons un
> ingénieur Devops basé au bord du Lac Léman à Lausanne.
> 
> L'annonce est disponible ici pour ceux que ca pourrait intéresser :
> https://s3-eu-west-1.amazonaws.com/www-nexthink/careers/doc/Job-Ad_DevOps-Engineer.pdf
> 

Attention, troll inside : et un mec qui sait faire du DNS peut être aussi non ?

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Redimensionner une partition en utilisant TOUT l'espace disque restant

[Julien Escario]

Bonjour,
Petit truc que je n'arrive pas à faire en one-liner : j'ai une partition qui est
un PV LVM (/dev/vda5). J'ai augmenté la taille du disque à chaud et je cherche
maintenant comment scripter mon truc pour qu'il redimensionne cette partition
pour utiliser TOUT l'espace disque en fin de disque (ma partition est
volontairement la dernière).

Sachant que la taille du disque peut être variable. Après, je ferais mon
lvresize/vgresize/lvresize.

En gros, j'aimerais faire l'équivalent de lvresize -l+100%FREE mais pour une
partition, pas un logical volume.

parted ne semble pas le faire tout seul (il faut supprimer l'ancienne part et
recréer en lui donnant l'adresse de début et de fin manuellement).

Un petit soft magique qui sait faire ça ?

Merci !
Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Redimensionner une partition en utilisant TOUT l'espace disque restant

[Julien Escario]

Le 12/05/2016 17:42, Dominique Rousseau a écrit :
> Le Thu, May 12, 2016 at 05:33:46PM +0200, Julien Escario [esca...@azylog.net] 
> a écrit:
>> Bonjour,
>> Petit truc que je n'arrive pas à faire en one-liner : j'ai une partition qui 
>> est
>> un PV LVM (/dev/vda5). J'ai augmenté la taille du disque à chaud et je 
>> cherche
>> maintenant comment scripter mon truc pour qu'il redimensionne cette partition
>> pour utiliser TOUT l'espace disque en fin de disque (ma partition est
>> volontairement la dernière).
> 
> Alors moi, en général, je fais pas de truc casse-gueule du genre
> redimensionner la derniere partition, quand j'ai du LVM.
> J'ajoute juste une nouvelle partition à la suite, puis pvcreate, puis
> vgextend, puis lvresize + resizefs.

J'ai pensé à ça oui. Un peu plus moche quand même.

> Et pour les manipulations scriptées de partitions, tu dois pouvoir faire
> ça avec sfdisk (que ce soit pour créer une nouvelle parition ou
> remplacer une existante dans la table par une plus grande).

Je regarde sfdisk.

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Redimensionner une partition en utilisant TOUT l'espace disque restant

[Julien Escario]

Le 12/05/2016 18:15, Alarig Le Lay a écrit :
> On Thu May 12 17:33:46 2016, Julien Escario wrote:
>> Bonjour,
>> Petit truc que je n'arrive pas à faire en one-liner : j'ai une partition qui 
>> est
>> un PV LVM (/dev/vda5). J'ai augmenté la taille du disque à chaud et je 
>> cherche
>> maintenant comment scripter mon truc pour qu'il redimensionne cette partition
>> pour utiliser TOUT l'espace disque en fin de disque (ma partition est
>> volontairement la dernière).
>>
>> Sachant que la taille du disque peut être variable. Après, je ferais mon
>> lvresize/vgresize/lvresize.
>>
>> En gros, j'aimerais faire l'équivalent de lvresize -l+100%FREE mais pour une
>> partition, pas un logical volume.
>>
>> parted ne semble pas le faire tout seul (il faut supprimer l'ancienne part et
>> recréer en lui donnant l'adresse de début et de fin manuellement).
>>
>> Un petit soft magique qui sait faire ça ?
>>
>> Merci !
>> Julien
> 
> Bonjour,
> 
> Tu peux le faire avec parted :
> https://www.centos.org/docs/5/html/5.2/Deployment_Guide/s2-disk-storage-parted-resize-part.html
> 
> Je l’ai déjà fait pour une partition LVM dans un LUKS.

Justement non. Parted veut la 'starting place' et la 'ending place' en MB.
Autant la 'starting place' sera toujours la même, autant la 'ending place' mon
script ne la connaît pas.
Ca doit pouvoir se scripter mais j’espérais un truc plus 'out of the box'.

Je trouve bizarre que l'on ne puisse pas dire à parted : grow cette partition au
maximum de ce qui est dispo sur le disque (mettons jusqu'à la prochaine part au
moins).

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Redimensionner une partition en utilisant TOUT l'espace disque restant

[Julien Escario]

Le 12/05/2016 18:21, Benjamin Boudoir a écrit :
> Le 12/05/2016 17:33, Julien Escario a écrit :
>> parted ne semble pas le faire tout seul (il faut supprimer l'ancienne part et
>> recréer en lui donnant l'adresse de début et de fin manuellement).
> 
> C'est la façon normale de faire. "Supprimer" la partition consiste à la
> supprimer de la table des partitions et pas de la supprimer physiquement.
> Il faut donc la supprimer pour la recréer avec une fin plus longue.

On est d'accord. Le seul point important ici étant que la part garde son premier
secteur. Mais toujours pas d'automatisme pour récupérer le dernier secteur.

> Après, un coup de pvresize.

Alors étonnamment, pvresize, si je ne lui donne pas de taille, il prend tout ce
qu'il a à dispo. Pourquoi pas la même chose sur la partition ?

>> Un petit soft magique qui sait faire ça ?
> 
> Y'a pas de magie, si un soft fait ce que tu veux, il le fera de la même 
> manière
> que décrit précédemment c'est juste qu'il ne te préviendra pas.

C'est tout ce que je demande comme magie.

Sinon je le scripte en utilisant la sortie de parted hein mais réinventer la
roue, toussa ...

Julien





smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Redimensionner une partition en utilisant TOUT l'espace disque restant

[Julien Escario]

Le 12/05/2016 18:34, fr...@jack.fr.eu.org a écrit :
> Je partage d'avis de domi
> Modifier des partitions, les aggrandir (et pire, les réduire), j'ai
> toujours constatés que c'était casse-gueule
> C'est à dire, non fiable à 100%, non idiot-proof, facile de se gourrer
> et de défoncer son FS

M'en fout en fait. Je peux tuer le FS, ça pourra bien m'en toucher une sans
faire bouger l'autre ((c) un ancien président de nous).

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Redimensionner une partition en utilisant TOUT l'espace disque restant

[Julien Escario]

> Précision par rapport à la commande "parted resizepart" que j'ai donné, c'est
> dispo à partir de parted 3.2 (Mais comme t'as pas précisé ta distro, on ne 
> sait
> pas)

Ubuntu 16.04 :
# parted -v
parted (GNU parted) 3.2

Ouf ;-)

> Sinon pour la taille de fin tu peux la donner en pourcentage ou utiliser -1...
> (Extrait de help mkpart ci-dessous)
> 
>> DEBUT et FIN sont des emplacements sur un disque, comme 4GB ou 10%. Les
>> valeurs >négatives se comptent à partir de la fin du disque. Par exemple, 
>> =-1s
>>spécifie précisément le dernier secteur.

Ah ben, voilà, super ça ! C'est l'info que j'ai zappée (merci à Yann et toi qui
me donnez le truc qui débloque).

Donc (bon, là j'ai encore une partition étendue, pas glop) :

parted /dev/vda resizepart 2 100%
parted /dev/vda resizepart 5 100%
pvresize /dev/vda5
lvresize -l+100%FREE /dev/monvg/monlv
resize2fs /dev/monvg/monlv

Et le tour est joué ! Sans avoir à s'inquiéter un seul instant de la taille du
disque, il utilise ce qui est dispo, point barre et j'ai mon espace à 
disposition.

Bon, on est bien d'accords que ça ne marche que pour du 'grow'. Pour du shrink,
c'est autrement plus touchy.

Merci !
Julien





smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Question switchs infra virtualisation

[Julien Escario]

Bonjour,

Le 16/05/2016 09:16, benoit mordac a écrit :

Bonjour,

Je souhaiterais avoir des retours d'expériences et des conseils sur un
choix de switchs. Nous allons progressivement renouveler nos SAN par de
nouveaux modèles en 10Gb/s. L'infrastructure actuellement en prod a été
construite par mes prédécesseurs autour de switchs HP Procurve (8206 et
6600).

Je ne suis pas très familier des switchs HP, et avec les modèles H3C, je
ne comprends pas trop le positionnement des gammes ProCurve et
Comware... est-ce qu'il vont maintenir les 2, est-ce que l'on doit voir
la gamme Comware comme du lowcost d'HP (ou inversement) ?

Vis à vis des évolutions prévues, mon besoin porterait donc sur un total
de 64 ports 10Gb/s, donc a priori 2 switchs 48 ports...  stackable ou
pas ... c'est discutable (avantage du stack, risque du spof applicatif
...).

Avec le flou autour d'HP je n'exclus pas la possibilité de partir chez
un autre constructeur, il faudra juste convaincre les collègues frileux
au changement ...

Que pensez-vous également des switch Dell (gamme Force10) ?  Sinon quels
sont vos conseils ? Le coût restera un élément important ...

En vous remerciant d'avance pour vos retours.


Je n'ai pas encore vu le moindre retour sur les solutions Supermicro 
mais par exemple avec ça :

https://www.supermicro.nl/products/accessories/Networking/SSE-X3648S.cfm

Et des câbles QSFP+ -> 4x SFP+. tu as théoriquement 72 ports 10 Gbps 
dans 1U donc ton besoin tiens dans un switch.


Et en bonus, tu peux mettre du Cumulus Linux pour faire du SDN tout bien 
comme il faut.


De mémmoire, le switch coûte autour entre 4000 et 8000 € H.T. (suivant 
le revendeur, le promo du moment, etc ...).


Et donc quelqu'un a déjà utilisé du switch Supermicro ?

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Enigme réseau

[Julien Escario]

Le 18/05/2016 13:46, Aurélien Besse a écrit :
> Salut Olivier
> 
> Malheureusement je n'ai pas accès à l'intégralité des équipements de la 
> liaison :(
> 
> Cependant je n'arrive pas à comprendre pourquoi sur le vlan60 avec scp j'ai 
> les
> bonnes perf et que sur le vlan20 les perfs sont cata mais sur les deux vlan le
> iperf est bon...c'est dingue

Déjà, si tu n'as pas accès à tous les équipements, peut être qu'il y a une
différence de traitement entre le VLAN20 et le VLAN60. Perso, je pencherais pour
un truc avec la MTU. Y'a ça aussi sur un VLAN non ?

Sinon, peut être le moment de passer cette question sur frnog, ça me paraît plus
approprié.

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Soutenir FRsAG

[Julien Escario]

Le 18/05/2016 14:12, Greg a écrit :
> Bonjour,
> 
> Je viens de renouveler les frais d'hébergement ainsi que les noms de domaines
> nécessaire au bon fonctionnement de FRsAG.
> 
> Si vous souhaitez soutenir financièrement l'asso, vous pouvez faire un don
> Paypal, même 1€ car si tout le monde participe c'est suffisant ! =>
> http://frsag.org/
> 
> Merci pour votre soutien !
> -- 
> Greg

J'arrive à la bourre mais j'ai fait aussi le racket volontaire.

On peut avoir une quittance pour le comptable ? ;-)

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [Tech] Malware /Cryptolocker

[Julien Escario]

Bonjour,

Le 26/05/2016 15:06, CORTES Bruno a écrit :

Plop la liste,

 C’est le 1^er thread que j’ouvre, j’espère ne pas trop
faire dans le nimp…

Je (nous, j’imagine également) suis particulièrement concerné par les
malwares/virus chiffreurs qui sévissent sur les postes de travail.

Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien
que les dégâts soient restés circonscrits à un seul poste à chaque fois
(et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais
bien partager les différentes solutions/techniques/restrictions des
users/WTF que vous avez mis en œuvre et pour quel résultat…

Je ne suis pas intéressé par tout le discours marketing trouvable sur
toute les pages d’accueil des différents acteurs sécurité du marché,
mais les expériences tant positives que négatives en terme de
déploiement de solution / mitigation des menaces.


Déjà pas mal évoqué ici.

Notre retour : sur les quelques machines 'end-user' qui restent chez nos 
clients, nous avons déployé Webroot.


Couplé à une bonne évangélisation (allant de "n'ouvrez pas les pièces 
jointes des mails douteux" à des explications plus poussées sur le 
fonctionnement des bestiaux) + un filtrage sur nos MX qui interdit un 
paquet d'extensions (.js en premier) que ce soit en direct, dans un zip, 
un tar.gz, un 7zip, rar, etc ...


Plus de soucis depuis la vague de février/début mars.

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] FAI "pro" pour "particulier"

[Julien Escario]

Le 10/08/2016 15:09, Xavier Beaudouin a écrit :
> Hello,
> 
> Attention aux surprises qu'engendre les CGN de toute natures qui se profilent 
> de plus en plus, exemple le partage d'ip de Free avec 4 abonnés. Dans ce cas 
> vous pouvez oublier les VPN IPSEC ou GRE... a moins de faire du double NAT ou 
> de faire du GRE + IPSEC sur du v6 ...
> 
> Xavier

Apprendre à faire les choses sur ipv6, c'est plutôt une bonne chose.

Dites vous bien qu'on prend +30%/an en adoption maintenance. Quand c'était de 1%
à 1.3%, on rigolait, maintenant, c'est de 10% à 13%.

Il ne va plus falloir très longtemps (aka quelques années) pour qu'ipv6 soit
majoritaire sur le réseau. Alors on va commencer à voir apparaître des
connexions et des services ipv6 only.

Et sans déconner, une fois passée la demie-journée à comprendre les 2/3
subtilités, tout est tellement plus simple (et propre en général) ...

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Manque des modules dans mon initrd après upgrade

[Julien Escario]

Bonjour,
Une debian me fait un truc assez bizarre : je suis en train de la monter
gentillement de 7 vers 8.
On profite de l'été pour faire ça vu que le serveur est un peu touchy.

Et là, au moment de monter le kernel en 3.16, l'initrd ne me contient plus les
modules virtio_pci (pour le disque) et ext3 (pour le fs).
Bref, je suis tombé sur une belle console busybox et démerde toi.

J'ai fini par réussir à remettre les modules dans les initrd en les rajoutant
dans /etc/initramfs-tools/modules et en les chargeant à la main dans le busybox.

Mais c'est moche et mon serveur ne boote toujours pas tout seul proprement.

Je n'arrive pas bien à comprendre ce qui conditionne les modules ajoutés dans
l'initrd et ce qu'il charge automatiquement pour la détection du hardware.

Pourtant j'ai bien :
# cat /etc/initramfs-tools/initramfs.conf  |grep MODULES
# MODULES: [ most | netboot | dep | list ]
MODULES=most

Donc normalement, tout ce qui touche au drivers hardware est mis non ?

Je pensais que les modules chargés au moment de faire mon dpkg-reconfigure
linux-image-3.16.0-4-686-pae seraient automatiquement chargés mais à priori, 
non.

Vous auriez une piste pour moi parce qu'un truc m'échappe ...

Merci et bonne journée,
Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Manque des modules dans mon initrd après upgrade

[Julien Escario]

Le 16/08/2016 17:06, Alarig Le Lay a écrit :
> Matin,
> 
> J’ai déjà eu un initrd auquel il manquait des bouts avec une debian
> (c’était LVM). J’ai tout bêtement viré iniramfs-tools au profit de
> dracut, et ça a marché tout de suite.
> C’est pas compliqué, d’un côté on a un truc développé seulement par
> debian, de l’autre un truc hébergé sur kernel.org… le choix est vite
> fait :p

Hum, ok, oui, j'avais vu ça mais là, pour installer dracut, il va falloir que
l'on monte de version un paquet de dépendances pour le coup. Je sens que ca va
être marrant, surtout niveau version de PHP.

Merci pour la piste,
Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Manque des modules dans mon initrd après upgrade

[Julien Escario]

Le 16/08/2016 17:10, Wallace a écrit :
> De notre côté dans notre procédure de mise à niveau 7 vers 8 on a noté
> de virer toute partition ext2 / ext3 qui traînerait au profit d'ext4,
> xfs ou btrfs en fonction des usages des partitions.

Mouarf, tu ne m'aides pas vraiment là ;-)

Julien





smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Manque des modules dans mon initrd après upgrade

[Julien Escario]

Le 16/08/2016 18:40, Frédéric MASSOT a écrit :
> Le 16/08/2016 à 16:56, Julien Escario a écrit :
>> Bonjour,
>> Une debian me fait un truc assez bizarre : je suis en train de la monter
>> gentillement de 7 vers 8.
>> On profite de l'été pour faire ça vu que le serveur est un peu touchy.
>>
>> Et là, au moment de monter le kernel en 3.16, l'initrd ne me contient plus 
>> les
>> modules virtio_pci (pour le disque) et ext3 (pour le fs).
>> Bref, je suis tombé sur une belle console busybox et démerde toi.
> 
> Le module ext4 prends maintenant en charge les systèmes de fichier ext2,
> ext3 et ext4. Les anciens modules ont été supprimés au profit d'ext4
> dont le code est plus propre.

Je confirme, dans mon initrd, je n'ai pas de ext3.ko mais un ext4.ko. Un
modprobe ext3 doit donc faire appel à un alias.

>> J'ai fini par réussir à remettre les modules dans les initrd en les rajoutant
>> dans /etc/initramfs-tools/modules et en les chargeant à la main dans le 
>> busybox.
>>
>> Mais c'est moche et mon serveur ne boote toujours pas tout seul proprement.
>>
>> Je n'arrive pas bien à comprendre ce qui conditionne les modules ajoutés dans
>> l'initrd et ce qu'il charge automatiquement pour la détection du hardware.
>>
>> Pourtant j'ai bien :
>> # cat /etc/initramfs-tools/initramfs.conf  |grep MODULES
>> # MODULES: [ most | netboot | dep | list ]
>> MODULES=most
>>
>> Donc normalement, tout ce qui touche au drivers hardware est mis non ?
>>
>> Je pensais que les modules chargés au moment de faire mon dpkg-reconfigure
>> linux-image-3.16.0-4-686-pae seraient automatiquement chargés mais à priori, 
>> non.
> 
> Tu as la commande update-initramfs -u -k all ou -k le_nom_de_ton_image
> pour reconstruire l'initrd.
> 
> Tu as aussi la commande lsinitramfs pour voir le contenu de ton initrd.

Ca permet de se passer de cpio en argument, merci.

> L'année dernière lors de migration j'ai eu des problèmes de construction
> d'initrd à cause des paquets firmware. Je les ai supprimé et reconstruit
> l'initrd.

Hé bien ma foi, pas mieux. Je n'ai toujours pas mon module virtio_pci.

Je vais continuer à upgrader la machine, peut être qu'une dépendance est mal
foutue et finira par résoudre le problème.

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Manque des modules dans mon initrd après upgrade [RESOLU]

[Julien Escario]

Je top-poste pour que la réponse soit plus facile à trouver :

Il me manquait une mise à jour du package module-init-tools

Une fois installé, j'ai fait un depmod pour qu'il me régénère tout ça (y compris
un modules.dep.bin), refait mon initrd et tout est dedans.

Voilou, merci pour vos pistes,
Julien

Le 16/08/2016 19:58, Julien Escario a écrit :
> Le 16/08/2016 18:40, Frédéric MASSOT a écrit :
>> Le 16/08/2016 à 16:56, Julien Escario a écrit :
>>> Bonjour,
>>> Une debian me fait un truc assez bizarre : je suis en train de la monter
>>> gentillement de 7 vers 8.
>>> On profite de l'été pour faire ça vu que le serveur est un peu touchy.
>>>
>>> Et là, au moment de monter le kernel en 3.16, l'initrd ne me contient plus 
>>> les
>>> modules virtio_pci (pour le disque) et ext3 (pour le fs).
>>> Bref, je suis tombé sur une belle console busybox et démerde toi.
>>
>> Le module ext4 prends maintenant en charge les systèmes de fichier ext2,
>> ext3 et ext4. Les anciens modules ont été supprimés au profit d'ext4
>> dont le code est plus propre.
> 
> Je confirme, dans mon initrd, je n'ai pas de ext3.ko mais un ext4.ko. Un
> modprobe ext3 doit donc faire appel à un alias.
> 
>>> J'ai fini par réussir à remettre les modules dans les initrd en les 
>>> rajoutant
>>> dans /etc/initramfs-tools/modules et en les chargeant à la main dans le 
>>> busybox.
>>>
>>> Mais c'est moche et mon serveur ne boote toujours pas tout seul proprement.
>>>
>>> Je n'arrive pas bien à comprendre ce qui conditionne les modules ajoutés 
>>> dans
>>> l'initrd et ce qu'il charge automatiquement pour la détection du hardware.
>>>
>>> Pourtant j'ai bien :
>>> # cat /etc/initramfs-tools/initramfs.conf  |grep MODULES
>>> # MODULES: [ most | netboot | dep | list ]
>>> MODULES=most
>>>
>>> Donc normalement, tout ce qui touche au drivers hardware est mis non ?
>>>
>>> Je pensais que les modules chargés au moment de faire mon dpkg-reconfigure
>>> linux-image-3.16.0-4-686-pae seraient automatiquement chargés mais à 
>>> priori, non.
>>
>> Tu as la commande update-initramfs -u -k all ou -k le_nom_de_ton_image
>> pour reconstruire l'initrd.
>>
>> Tu as aussi la commande lsinitramfs pour voir le contenu de ton initrd.
> 
> Ca permet de se passer de cpio en argument, merci.
> 
>> L'année dernière lors de migration j'ai eu des problèmes de construction
>> d'initrd à cause des paquets firmware. Je les ai supprimé et reconstruit
>> l'initrd.
> 
> Hé bien ma foi, pas mieux. Je n'ai toujours pas mon module virtio_pci.
> 
> Je vais continuer à upgrader la machine, peut être qu'une dépendance est mal
> foutue et finira par résoudre le problème.
> 
> Julien
> 
> 
> 
> 
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
> 




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Apache/Vhost/VDocRoot & SSL

[Julien Escario]

Le 17/08/2016 13:19, "Sébastien COUREAU" a écrit :
> Bonjour la liste,
> 
> J'utilise pour le compte d'un client les directives UseCanonicalName et
> VirtualDocumentRoot. Jusque là, pas de problème, c'est super pratique pour
> limiter les entrées vhosts dans Apache.
> 
> Là où ca se complique, c'est que ce même client (qui gère quelques grosses
> dizaines de sites webs via ce procédé) voudrait tout passer en SSL (il
> parait que c'est à la mode...)
> 
> Or, je n'ai pas trop envie de me fader à la main la config de tous ses
> vhosts en SSL pour les lignes SSLCertificateFile et SSLCertificateKeyFile.
> 
> Est-il possible d'utiliser les variables %HTTP_HOST pour définir
> dynamiquement les fichiers cert et key à utiliser en fonction de l'URL
> entrée dans le navigateur ?
> 

Et pourquoi ne pas générer un certificat qui prend en charge l'ensemble de ces
domaines ?

Ca dépend beaucoup si c'est du let's encrypt ou un autre fournisseur. Certains
certificats payants peuvent monter à une centaine d'hôtes de mémoire (peut être
plus en cherchant bien).

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Vidéo surveillance

[Julien Escario]

Le 22/08/2016 à 17:42, Wallace a écrit :
> Bonjour à tous,
> 
> J'aimerais faire le tour des solutions de NVR pour la surveillance vidéo
> de locaux.

Écoute, ça ne colle peut être pas avec ton besoin mais j'ai eu une démo de la
solution de Jet1oeil(1) et j'avoue que c'est assez délirant en terme de
fluidité, de redimensionnement et de stockage.

Ca synchronise un peu dans tous les sens de l'iphone/android comme viewer et tu
définis tes règles en fonction de la BP disponible. A priori assez peu sensible
aux aléas réseaux puisque je sais qu'ils font pas mal de choses sur les ADSL de
base.

Ce n'est (à ma connaissance) ni libre, ni gratuit. Aucune idée du tarif (j'étais
partenaire technique, pas prospect).

La version que j'ai vue était leur première release stable après 2 ans de dev,
ça a encore dû pas mal évoluer depuis (2 ans).

My 2 cts,
Julien

1: http://www.jet1oeil.com



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] des expert Accès parmis vous

[Julien Escario]

Salut,
Moi j'ai un soucis mais ça me fait chier de prendre le temps de 
l'expliquer. J'aimerais qu'un spécialiste vienne dans mon bureau, passer 
1/2 journée à le résoudre, le tout à ses frais.


Merci d'avance !
Julien

Le 18/08/2016 15:53, ay pierre a écrit :

Bonjour a tous ,

Si il y'a un des expert accés ici je suis preneur pour un soucis de
formulaire...

me demander en mp pour plus d'info :)

Merci
___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] MySQL, wildcard et ipv6

[Julien Escario]

Bonjour,
Pour une obscure raison, je dois autoriser un utilisateur MySQL à se connecter
depuis n'importe quelle ipv6.

Donc, tout content, je mets un wildcard (%) comme hôte de l'utilisateur.

Hé bien figurez vous qu'en ipv4, ça marche nickel mais pas moyen de faire
fonctionner l'authentification en ipv6.

Il y a une astuce pour faire du wildcard ipv6 avec MySQL ? A priori, je suis le
premier couillon sur terre à vouloir faire un truc pareil (la plupart des choses
que j'ai trouvées demandent comment désactiver l'écoute ipv6).

Merci !
Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] MySQL, wildcard et ipv6

[Julien Escario]

Le 16/09/2016 à 12:52, Un a écrit :
> Le 09/16/16 à 12:30, Julien Escario a écrit :
>> Bonjour,
>> Pour une obscure raison, je dois autoriser un utilisateur MySQL à se 
>> connecter
>> depuis n'importe quelle ipv6.
>>
>> Donc, tout content, je mets un wildcard (%) comme hôte de l'utilisateur.
>>
>> Hé bien figurez vous qu'en ipv4, ça marche nickel mais pas moyen de faire
>> fonctionner l'authentification en ipv6.
>>
>> Il y a une astuce pour faire du wildcard ipv6 avec MySQL ? A priori, je suis 
>> le
>> premier couillon sur terre à vouloir faire un truc pareil (la plupart des 
>> choses
>> que j'ai trouvées demandent comment désactiver l'écoute ipv6).
> 
> "chez moi, ca marche (TM)" ( mariadb 5.x)
>  J'ai pas souvenir d'avoir fait qqch de particulier pour que...

Ah, ben en fait oui. Ca doit être le log de 7k lignes que je viens de lire
*attentivement* un vendredi qui m'a fait pédaler dans un monde parallèle ...

Pardon pour le bruit, l'ipv6 est bien prit en compte dans le wildcard.

Julien






smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] ZFSOnLinux et remplacement de disque

[Julien Escario]

Bonsoir,
Un disque d'un zpool est mort (jusque là, rien d'exceptionnel).

J'ai ajouté un disque, rebooté la machine (impossible de faire détecter le
nouveau disque via l'outil de la carte RAID). Un serveur de backup, rien de bien
grave.

Le soucis c'est qu'en rebootant le disque mort est revenu en ligne (je me
demande si ce n'est pas un soucis de backplane d'ailleurs).

J'ai gaiement fait un :
# zpool replace backuppool wwn-0x50014ee208b4df37
/dev/disk/by-id/wwn-0x50014ee0aed608b3

Ca semblait bien sur le papier :
root@backup03:~# zpool status
  pool: backuppool
 state: ONLINE
status: One or more devices is currently being resilvered.  The pool will
continue to function, possibly in a degraded state.
action: Wait for the resilver to complete.
  scan: resilver in progress since Mon Oct 17 17:56:46 2016
12,4G scanned out of 14,4T at 39,8M/s, 105h16m to go
2,25G resilvered, 0,08% done
config:

NAME  STATE READ WRITE CKSUM
backuppoolONLINE   0 0 0
  mirror-0ONLINE   0 0 0
wwn-0x5000cca07323a834ONLINE   0 0 0
wwn-0x5000cca07320be08ONLINE   0 0 0
  mirror-1ONLINE   0 0 0
wwn-0x5000cca05d53c77cONLINE   0 0 0
wwn-0x5000cca05d53b824ONLINE   0 0 0
  mirror-2ONLINE   0 0 0
replacing-0   ONLINE  57 019
  wwn-0x50014ee208b4df37  ONLINE 124 040  (resilvering)
  wwn-0x50014ee0aed608b3  ONLINE   0 0   110  (resilvering)
wwn-0x50014ee25f450bb1ONLINE   0 0 0
  mirror-3ONLINE   0 0 0
wwn-0x50014ee2b4933588ONLINE   0 0 0
wwn-0x50014ee209501544ONLINE   0 0 0
  mirror-4ONLINE   0 0 0
wwn-0x50014ee209316d16ONLINE   0 0 0
wwn-0x50014ee209f33449ONLINE   0 0 0
  mirror-5ONLINE   0 0 0
wwn-0x50014ee25e8699eeONLINE   0 0 0
wwn-0x50014ee2b3dc5d66ONLINE   0 0 0

Le soucis, c'est qu'il semblerait que ca incrémente tout doucement les valeurs
de READ et CKSUM. J'imagine que ce sont des erreurs lecture et checksum.

Ca ne m'embêterait pas si à chaque fois que c'est incrémenté, le resilvering ne
repartait pas à zéro ...

Du coup, j'ai l'impression que mon resilver ne finira jamais (il tourne depuis
quelques jours déjà).

Une idée sur la façon dont je peux m'en sortir ? C'est un serveur de backup donc
je peux mettre hors ligne quelques heures mais si je perds les données, ça va me
prendre DES PLOMBES à tout remettre, sans compter la période de fonctionnement
sans backup 'sec'.

Merci pour vos lumières,
Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] ZFSOnLinux et remplacement de disque

[Julien Escario]

Le 17/10/2016 à 19:13, Olivier Doucet a écrit :
> Le bug suivant semble te concerner : 
> https://github.com/zfsonlinux/zfs/issues/840
> Tu peux essayer : 
> #1 la dernière release ZoL (0.6.5.8)
> si ça ne passe pas, c'est que le patch proposé n'a pas été intégré dedans, et
> donc il va te falloir compiler ZoL avec : 
> 
> https://github.com/zfsonlinux/zfs/commit/d14fa5dba1ad0e68e803435ac48ec1ea78121699
> 
> De quoi occuper ta soirée :p

La lecture du thread en détail m'a déjà bien occupé la soirée, merci ;-)

Donc j'ai plusieurs options :
1) smartctl -l scterc,70,70 /dev/disk/by-id/wwn-0x50014ee208b4df37 (le disque à
moitié H.S.)
2) Débrancher physiquement le disque fautif de la machine (ou tout autre
équivalent potentiellement foireux en cli avec le mptsas)
3) Patcher/upgrader mon ZFS qui a dû être installé via le package ubuntu.

Pas super chaud pour jouer avec des données en prod même si c'est du backup.
Certains clients pourraient mettre des plombes à réuploader toutes les données
si je les perds. Et avec la loi des séries ...

Donc je vais attendre sagement que mon zfs send/receive sur une autre machine se
termine en croisant les doigts pour que ça ne foire pas totalement dans
l'intervalle et je testerais les solutions dans l'ordre.

Je vous redis ça dans quelques jours.

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Onduleur reconditionné

[Julien Escario]

Le 23/10/2016 à 09:19, merlin8282 a écrit :
> Concernant les batteries (et cela vaut pour toutes les batteries du type
> batterie au plomb -- et en vrai ça marche même pour les Ni-Cd et les
> Ni-MH mais pas les Li-ion ou Li-po), il est possible de leur redonner du
> pep's en leur appliquant des impulsions de tension (genre ~200V) très
> très brèves. Le procédé prend pas mal de temps (ça peut durer jusqu'à
> 1~2 mois pour bien régénérer une batterie), même si souvent quelques
> jours suffisent à déjà donner des résultats.
> Pour faire court, une recherche sur les mots-clef "régénération batterie
> au plomb" devrait donner assez de résultats ;-)

Sauf erreur, le but est de "décollé" l'acide qui a tendance à cristalliser sur
les parois et les électrodes de la batterie.

A l'époque où les batteries n'étaient pas étanches, l'eau s'évaporait et le
phénomène était bien plus flagrant. Il fallait remettre un peu d'eau de temps à
autre et secouer "fort fort fort".

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Onduleur reconditionné

[Julien Escario]

Le 24/10/2016 à 11:28, Julien Escario a écrit :
> Sauf erreur, le but est de "décollé" l'acide qui a tendance à cristalliser sur
> les parois et les électrodes de la batterie.

Rhaaa, ca pique ... décollER bien sûr. My bad.




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] ZFSOnLinux et remplacement de disque

[Julien Escario]

Le 18/10/2016 à 11:05, Julien Escario a écrit :
> Donc j'ai plusieurs options :
> 1) smartctl -l scterc,70,70 /dev/disk/by-id/wwn-0x50014ee208b4df37 (le disque 
> à
> moitié H.S.)
> 2) Débrancher physiquement le disque fautif de la machine (ou tout autre
> équivalent potentiellement foireux en cli avec le mptsas)
> 3) Patcher/upgrader mon ZFS qui a dû être installé via le package ubuntu.

Donc, finalement, après avoir pesé le pour et le contre, j'ai tout simplement
fait un :
# zpool offline backuppool wwn-0x50014ee208b4df37

Du coup, le remplacement s'est fait en lisant les données à partir du disque
miroir sain et plus de celui qui était en train de mourir.

Ca vient de terminer, tout bien. Il a juste fallu que je fasse un clear pour
virer les compteurs d'erreurs qui traînaient.

En revanche, maintenant, il veut que je lui fasse un zpool upgrade. C'est sans
risque ça ? Je peux y aller à chaud ou je fais export/import avant ? (je précise
que le pool n'est pas mon boot, j'ai deux petits SSD à côté pour ça).

Thx,
Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] ZFSOnLinux et remplacement de disque

[Julien Escario]

Le 24/10/2016 à 15:53, Un a écrit :
>> En revanche, maintenant, il veut que je lui fasse un zpool upgrade. C'est 
>> sans
>> risque ça ? Je peux y aller à chaud ou je fais export/import avant ? (je 
>> précise
> oui, a chaud.
> tu peux même préciser quel version|feature tu veux.
> 
> fait attention à ne pas avoir besoin d'importer ton zpool sur un environnement
> plus ancien. ;-)

Merci, c'est fait ! J'ai eu droit à un :
# zpool upgrade -a
This system supports ZFS pool feature flags.

Enabled the following features on 'backuppool':
  spacemap_histogram
  enabled_txg
  hole_birth
  extensible_dataset
  embedded_data
  bookmarks
  filesystem_limits
  large_blocks


A priori, non, je ne redescendrais jamais en version. Il est d'ailleurs peu
probable aussi que je monte avant un bon petit moment. Ce qui est bien avec ZFS
c'est que tant que n'y touche pas et que ça ne se remplit pas, ça juste marche.

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Pour le fun

[Julien Escario]

top - 10:02:48 up 3 days, 13:51,  1 user,  load average: 615.47, 582.00, 603.97
Tasks: 1957 total,   1 running, 1946 sleeping,   0 stopped,  10 zombie
Cpu(s): 12.1%us, 12.6%sy,  0.0%ni,  0.0%id, 75.1%wa,  0.1%hi,  0.1%si,  0.0%st

Et ça tourne ... (bon ok, c'est mou).

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Pour le fun

[Julien Escario]

Le 26/10/2016 à 11:17, Julien LEQUEN a écrit :
> Moi beaucoup moins bien.
> 
> Julien
> 

Ah oui mais non, mon exemple portait sur un serveur qui est censé livrer des
zolis sites oueb à Mme Michu.
C'était exim qui s’excitait, on l'a calmé.

Masser du thread sur sa machine en local, c'est juste de la triche ;-)

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/