[FRsAG] Cherche serveur de virtu en location

[Julien Escario]

Bonjour,

Je suis à la recherche d'un 'petit' serveur de virtualisation : 2x500 Go
SSD, 32 Go de RAM, CPU potable.

Pour des raisons plus philosophiques que techniques, je ne souhaite pas
prendre ça chez un gros hébergeur.

Et j'ai également une contrainte technique un peu spécifique : disposer
d'un Proxmox VE en ZFS mirror sur les deux disques.

Est-ce que quelqu'un sur la liste serait en mesure de me proposer un
serveur de ce style, pour une 50~60aine d'euros/mois avec de l'IPv6 (/56
c'est nickel) et 2/3 IPv4 (éventuellement en option payante) ?

Dans l'idéal même, un accès à l'iLO/IPMI/whatever depuis mon IP fixe et
je me démerde pour tout déployer.

En bonus, je promets qu'on ne m'entendra pas en support (hors panne
matérielle).

Merci et bonne fin de journée !

Julien



OpenPGP_signature
Description: OpenPGP digital signature
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Quel PDU manageable choisir ?

[Julien Escario]

Le 18/02/2022 à 12:09, Harold SAUVAGE - nisc-info.fr a écrit :

Certes, après, un pdu manageable en vrac, ça fait mal aussi...
L'inconvénient des pdu manageable (notamment APC), c'est que en mourant (et je 
parle d'un défaut électronique sur la carte de gestion), ils peuvent shut des 
ports...  Au moins les Metered laissent toujours passé le courant...


On a eu une emmerde XXL il y a quelques années lors de la mise à jour du 
firmware d'un PDU (oui, on était jeunes) : le PDU a simplement shut tous 
ses ports au reboot.


Bref, les PDUs metered c'est bien, éventuellement même par outlet mais 
les iLO, IPMI et consorts donnent la conso en SNMP maintenant, mais le 
switched, c'est un no-go absolu maintenant.


On est revenus à la logique qu'un PDU, c'est une multi-prise, point 
barre. L'intelligence est ailleurs.


Julien

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Externaliser ou non la supervision

[Julien Escario]

Bonjour,

Ici, on a préféré garder la main sur la supervision en l'hébergeant nous
même sur un bout d'infra légèrement à part : hyperviseur dédié qui nous
fait les VMs Icinga2, le lab pour tester d'autres solutions, la VM
grafana, le stockage, etc ... Le tout backupé, bien entendu.

Et pour être sûr d'être alertés en cas de soucis, on a juste pris une VM
extérieure qui fait le monitoring du monitoring. Quelques sondes
basiques et très spécifiques, que l'on ne touche quasiment pas, c'est
dans son jus depuis des années.

En gros,

- monitoring interne : bouge tous les jours, beaucoup de tests, beaucoup
de sondes (donc de perf)

- monitoring externe : figé, stable, sondes basiques, minimaliste en
ressources

Notre gros point noir pour bouger sur d'autres solutions que Icinga,
c'est l'alerting. Je cherche toujours la bonne option pour ça.

Julien

Le 16/02/2022 à 10:42, Rafael Diaz Maurin a écrit :
> Bonjour,
>
> Est-ce que vous supervisez (monitoring et/ou métrologie) des éléments
> de vos infrastructures virtuelles (nœuds, VMs, services) depuis des
> VMs qui tournent sur ces mêmes infrastructures virtuelles ?
> Avez-vous déployé une infrastructure indépendante pour la supervision
> ? L'avez-vous déployée en dehors de votre réseau ?
> Ou avez-vous simplement externalisé un nœud de supervision (dans un
> autre centre de données par exemple) ?
> Le cas échéant, quelle technologie utilisez-vous pour répartir la
> supervision ?
>
> L'idée est de pouvoir disposer d'une infra de supervision en cas de
> crash de l'infra virtuelle et/ou du réseau local.
>
> N'hésitez pas à me partager des liens, des commentaires, des bonnes
> idées même si vous ne les avez pas mises en œuvre.
>
>
> Merci,
> Rafael
>
> ___
> Liste de diffusion du %(real_name)s
> http://www.frsag.org/
-- 
*Julien Escario*
Technicien Informatique

julien.esca...@altinea.fr
Tel direct : 03 74 39 10 21
Support : 09 70 75 44 25

Logo Altinea
*Conseils & Infrastructures
Informatiques*

Accueil : 03 74 39 10 20
9 Rue du faubourg 39570 Nogna
*www.altinea.fr <https://www.altinea.fr>*

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Problème de configuration STARTTLS sur MX

[Julien Escario]

Salut,

Marrant, j'étais tombé sur un problème similaire avec le domaine
ac-strasbourg.fr. Doit-on comprendre que c'est la norme de faire un peu
n'importe quoi avec le TLS sur le mail dans les académies ?

Au rectorat de Strasbourg, ils ont pris la peine de mettre du DNSSEC et
de diffuser la validation du certificat auto-signé dans DANE. Bref,
c'était propre de ce point de vue.

A Orleans, c'est carrément le YOLO total sur le TLS en mail.

Le site hardenize aide bien pour donner des preuves de misconf :

https://www.hardenize.com/report/ac-orleans-tours.fr/1642366693#email

https://www.hardenize.com/report/ac-strasbourg.fr/1642366721#email


Je passe sur les incohérences de NS, l'absence totale d'IPv6, etc ...

Tu peux faire un mail aux postmasters mais il faut déjà trouver
l'adresse qui est bien cachée au fin fond du site du rectorat. Et pour
Strasbourg, j'aurais mieux fait de pisser dans un violon.

Bon courage,

Julien


Le 16/01/2022 à 16:29, Juan Isoza a écrit :
>
> Bonjour,
> J'ai des problèmes d'envoi de mail avec deux domaines, suivant l'OS
> des serveurs.
>
> Je reproduit le problème de négociation TLS avec "openssl s_client".
>
> Pour les domaines ac-orleans-tour.fr  et
> trendmicro.com ; je lance
>
> openssl s_client -connect mx1.ac-orleans-tours.fr:25 
>  -starttls smtp
> openssl s_client -connect sjdc-itpf-03.udc.trendmicro.com:25 
>  -starttls smtp
>
>
>
> Sous Ubuntu 18.04 ou Debian 10, les 2 domaines fonctionnent
> Sous Centos 8.4, seul trendmicro fonctionne
> Sous Ubuntu 20.04 ou Debian 11; les 2 domaines sont refusé
> Tous ces systèmes on des versions openssl basée sur la 1.1.1
>
> Pour ac-orleans-tour, le message suivant apparait:
> 140117515637376:error:141A318A:SSL routines:tls_process_ske_dhe:dh key too 
> small:../ssl/statem/statem_clnt.c:2149:
> J'aimerais comprendre, et éventuellement savoir si on doit écrire aux
> postmaster...
>
> Merci et bonne année!
>
> ___
> Liste de diffusion du %(real_name)s
> http://www.frsag.org/


___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Problème avec FIrefox ?

[Julien Escario]

OK donc je résumé : hier, Firefox a provoqué un retard de bien 6 mois
supplémentaires dans le déploiement d'HTTP/3 à cause d'un truc mal
configuré.

J'ai juste ?

Par effet de rebond, tout ce qui se base sur QUIC risque d'en avoir pris
un coup dans l'aile puisque les amalgames sont notre lot quotidien
désormais.

Julien


Le 13/01/2022 à 11:44, Romain a écrit :
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

Re: [FRsAG] Faille Log4j2

[Julien Escario]

Le 14/12/2021 à 09:53, David Durieux a écrit :
> Bonjour, 
>
> Ton retour est complètement biaisé
>
> "j'ai été très surpris de la faible surface d'attaque "
> "on a très peu de trucs en Java, langage que je fuis depuis quelques années"
>
> c'est une attaque lié à JAVA, donc si tu évite d'en avoir tu risque pas
> d'être très touché.
>
> C'est comme si tu disais que tu évite les serveurs Microsoft mais que
> tu sois surpris de la faible surface d'attaque sur le RDP \o/

OK, bonne ambiance ! Tu pourrais limiter ton commentaire à dire que
l'avis des autres ne t’intéresse pas.

Évidemment que mon retour est biaisé, lequel ne l'est pas ?

Pourquoi ai-je précisé que nous avions peu de choses basées sur Java et
que j'ai ensuite listé les applications que j'ai repérées/testées ? Ca
permet de mettre ce que l'on appelle communément du contexte et de juger
de la profondeur du biais justement.

> Il y a des gens qui ont pas mal d'applications en JAVA (et il y en a
> énormément).

Et tu as une source pour ton affirmation ? Énormément, c'est quoi ?
Combien utilisent log4j ?

Du coup, si tu veux faire un commentaire utile, entre les boites de
sécurité qui annoncent ça comme la faille de la décennie et mon vécu
avec très peu d'impact, tu as un retour factuel à faire ?

> Ce message est juste pour éviter de minimiser ce problème de log4j.

Le problème est évidemment sérieux puisque exploitable publiquement sur
des services généralement exposés. Mais encore une fois, je me demande
si la surface d'attaque est aussi importante qu'annoncé.

Par contre, lorsque la faille est présente, le service est très facile à
violer. Le CVSS3 tiens compte de ces deux aspects.

> Sur mes serveurs, j'ai eu des tentatives d'attaques (logs web) depuis
> le 10 décembre.

Oui, même chose. De même, j'ai plusieurs milliers de tentatives de brute
force SSH chaque minute sur les serveurs pour lesquels ce n'est pas
firewallé. Ce n'est pas pour autant que je fais ma drama-queen sécuritaire.

Julien



___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Faille Log4j2

[Julien Escario]

Bonjour,

Tentons de reprendre le cours normal de ce thread : j'ai passé la
journée d'hier à tenter d'exploiter la faille sur des trucs 'legacy'
justement un peu partout et j'ai été très surpris de la faible surface
d'attaque que nous avons par rapport aux cris d’orfraies que j'ai pu
lire et ici là.

Alors, on a très peu de trucs en Java, langage que je fuis depuis
quelques années déjà par respect pour la RAM de mes machines mais en
gros, à part Graylog, rien vu à mettre à jour en urgence.

Zimbra, pas touché
Puppet, pas touché
Big Blue Button, pas touché

Unifi est touché à priori mais je n'ai pas réussi à l'exploiter avant de
passer -Dlog4j2.formatMsgNoLookups=true

Si quelqu'un veut un test d'exploitation sur un service vulnérable, j'ai
un bout de script qui se contente de faire un 'touch /tmp/pwned'

Bonne journée,

Julien


Le 13/12/2021 à 15:18, Seb Astien a écrit :
> Qui n'a plus de legacy de nos jours ?
>
> Le lun. 13 déc. 2021 à 14:54, Vincent Habchi  > a écrit :
>
> > On 13 Dec 2021, at 13:18, David Ponzone  > wrote:
> >
> > Pour ceux qui l’auraient raté:
>
> Qui utilise encore Apache de nos jours ?
>
> V.
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/ 
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Propriété d'un certificat SSL

[Julien Escario]

Le 28/09/2021 à 18:19, Ronan Dily a écrit :
> Salut,
>
> Si tu as la main sur ta zone DNS, tu peux déjà générer ton certificat LE en 
> ajoutant un champ TXT.
> Une fois que tout est prêt sur ton nouvel hébergement, la migration se fait 
> en douceur le temps de la propagation.

Clairement la solution pour laquelle j'opterais. Par exemple, ça
s'appelle DNS manual mode dans acme.sh :
https://github.com/acmesh-official/acme.sh/wiki/DNS-manual-mode

Ca te permet de valider que ton certificat est fonctionnel AVANT de
changer quoi que ce soit et ensuite tu as trois mois pour faire ta
bascule et générer un certificat qui se renouvellera automatiquement
ensuite (par HTTP-01 comme tu sembles vouloir le faire).

Julien




OpenPGP_signature
Description: OpenPGP digital signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Re : Clone machine physique vers machine virtuelle ?

[Julien Escario]

Le 29/06/2021 à 09:42, Sébastien 65 a écrit :
> Merci à tous pour les premiers éléments ! 
>
> Concernant P2V il faut installer quelque chose sur le serveur Linux
> non ? Comme indiqué je pense que je vais galerer car les dépôts sont
> obsolètes...

Il n'y aucune raison que tu aies besoin des dépôts pour cette opération.
Non, rien à installer côté VM. Tu risques de galérer un peu à trouver la
bonne configuration de VM et les perfs ne seront pas forcément optimales.

Je ne connais pas VMWare spécifiquement mais sous Proxmox, il faut jouer
sur le modèle de carte réseau (rtl8139, e1000, virtio), sur le
contrôleur de disque SATA/SCSI/Virtio.

Et attention à l'adresse MAC de la VM : dans mon souvenir, le udev de
Debian n'aime vraiment pas le changement. Après, ce se règle en CLI via
la console de l'hyperviseur mais tu as de fortes chances de ne pas avoir
de réseau au premier boot.

Et sinon, sur la manip, comme indiqué par les co-listiers : reboot avec
un livecd (type sysrescd) et dd du disque au travers de
SSH/Rsync/whatever vers ton hôte de virtu. Ca prend du temps, de la
place mais c'est le plus safe.

Julien




OpenPGP_signature
Description: OpenPGP digital signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Alerting Grafana vs Icinga2

[Julien Escario]

Le 28/06/2021 à 10:20, François Poulain a écrit :
> Coucou,
>
> Le Mon, 28 Jun 2021 09:40:50 +0200,
> Julien Escario  a écrit :
>
>> Je suis surpris du peu de contributions : question mal posée ou nous
>> sommes aussi peu à poser ces problématiques sur la table ?
> Mon expérience perso est d'avoir des usagers qui sont conscients qu'ils
> ne ne sont pas en charge du 18 et qui nous laissent dormir la nuit.
>
> Bien sûr ça ne répond pas à la demande des gens qui sont conscient
> d'être en charge du 18 (mais ils ne sont peut être pas si nombreux), ni
> des gens qui ne sont pas conscients de l'avoir en charge (mais personne
> ne fait ça, non ?)
>
> François 

On a pas les mêmes usagers/clients pour le coup ;-)

On ne peut pas vraiment comparer notre problématique au 18 : l'astreinte
pour eux, c'est une équipe qui est donc un local dédié, réveillé (au
moins en partie) et qui répond à un téléphone donc l'alerte est gérée
par le réseau téléphonique.

Si l'acheminement des appels est H.S, c'est en dehors de leur zone de
responsabilité, ils n'ont plus la main.

Bref, la comparaison n'est pas (ou peu) pertinente en l'état.

Julien




OpenPGP_signature
Description: OpenPGP digital signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Alerting Grafana vs Icinga2

[Julien Escario]

Le 28/06/2021 à 10:04, Jeremie Le Hen a écrit :
> Salut,
>
> On Mon, Jun 28, 2021 at 09:40:50AM +0200, Julien Escario wrote:
>> Ok, merci du retour. On va faire un test de PagerDuty du coup. Mais
>> dépendre d'un service tiers, aussi fiable soit-il, me gêne quand même
>> pour quelque chose d'aussi critique.
> Sans intention de t'offenser mais plutôt dans celle de parler
> clairement, cette remarque me paraît issue d'une doctrine plus que d'un
> raisonnement.

Tu as totalement raison, c'est plus de la doctrine que de l'argumentaire
technique.

Le fait est que je n'ai pas de REX sur un service comme PagerDuty et que
j'aimerais éviter de découvrir que mon infra est down et que je n'ai pas
eu d'alerte parce que PD est down également au même moment.

La probabilité est très faible mais on fait bien du RAID6 (pardon
RAIDZ2) non ?

> Je m'explique. Si vous n'avez aucun fournisseur de services tiers pour
> le moment (e.g.  cloud), alors je comprends que passer le cap soit un
> changement de doctrine.

Alors c'est un problème d'explication de ma part : je suis fournisseur
de cloud. On a une infra, on la maîtrise même si pour certaines choses
critiques, on est bien obligés d'avoir quelques VMs chez des tiers,
notamment pour prévoir le cas extrême où tout est à plat.

> Mais si on parle simplement de criticalité, je ne suis pas d'accord sur
> le fait de dire "pas de service tiers, c'est trop critique".  Un service
> d'alerting doit avoir un minimum de dépendances, c'est une best
> practice. Mais le fait que ce soit outsourcé ou pas n'a pas de rapport.
>
> Je ne connais pas PagerDuty, mais d'après leur nom, je dirais que
> l'alerting c'est leur coeur de métier. Donc premièrement, ils ont
> probablement beaucoup plus de monde travaillant sur leur service que ton
> équipe ne pourra jamais en mettre juste sur l'alerting. Ensuite, il est
> dans leur intérêt de fournir un service très fiable, il en va de la
> survie de la société.

Ce n'est pas vrai pour une société hégémonique sur un segment de marché.
Passé une certaine taille, la survie n'est pas en jeu après un incident
majeur (cf OVH, Cloudflare il y a quelques années ou fastly plus récemment).

Lorsque tu n'as pas le choix de la solution ou que le changement est
impossible pour des raisons techniques, politiques ou legacy, tu fais
jouer le SLA si tu en as un, tu grognes un coup, les presta te promet
que ça ne se reproduira plus et tu relances tout comme avant.

Quand tu maîtrises ton truc, tu as effectivement plus de chances d'avoir
un incident puisque ce n'est, par définition, pas ton cœur de métier
mais tu connais les causes exactes et tu maîtrises ton plan de
remédiation. Oui, tout ça devient philosophique ;-)

> Je ne dis pas que tu dois prendre PagerDuty les yeux fermés, un peu de
> recherche sur leur fiabilité, les avantages et les inconvénients est
> nécessaire.  Mais je voulais juste essayer de rectifier cette fausse
> best practice "pas de service tiers, c'est trop critique".  Ca peut être
> le cas, mais c'est plus subtil.

En fait, je m'oriente vers un truc qui fini par devenir complexe : un
monitoring de PagerDuty depuis mon infra et une infra tierce. Mais même
soucis : qui va pousser l'alerte en cas de pépin ?

Bref, ça tourne en rond cette histoire. J'ai encore un peu de temps pour
y réfléchir.

Julien




OpenPGP_signature
Description: OpenPGP digital signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Alerting Grafana vs Icinga2

[Julien Escario]

Le 25/06/2021 à 17:50, Raphael Mazelier a écrit :
> On 25/06/2021 16:33, Mathieu Corbin wrote:
>> Je pense qu'il est dans tous les cas important de décorréler ce qui
>> génère l'alerte (Icinga ou autre) de ce qui gère l'alerte ensuite
>> (réveiller les bonnes personnes, gestion du calendrier/des overrides,
>> déduplication, auto acquittement...).
>
> +100.
>
> Gérer un on-call sans ce type d'outil c'est quand meme vraiment
> painful (PD, VictorOps ou autres).

Ok, merci du retour. On va faire un test de PagerDuty du coup. Mais
dépendre d'un service tiers, aussi fiable soit-il, me gêne quand même
pour quelque chose d'aussi critique.

Personne n'a d'équivalent à PargerDuty en self-hosted ?

Pour le moment, nous avons un Icinga2 chez nous pour le principal et un
secondaire chez un tiers pour surveiller le principal (et vice versa) +
2/3 équipements critiques type routeurs de bordure. Ca fonctionne plutôt
bien depuis 6 ans.

>> Le double monitoring comme tu le mentionnes n'est pas vraiment
>> intéressant car tu seras coincé le jour où tu voudras faire des
>> alertes sur les métriques de Telegraf.

C'est exactement mon soucis. En plus de consommer de la ressource pour
récupérer deux fois le même métrique : BP, CPU, etc ...

Je suis surpris du peu de contributions : question mal posée ou nous
sommes aussi peu à poser ces problématiques sur la table ?

Bonne semaine,

Julien




OpenPGP_signature
Description: OpenPGP digital signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Alerting Grafana vs Icinga2

[Julien Escario]

Bonjour,

Petite problématique du vendredi : actuellement, nous utilisons Icinga2
avec l'excellent Anag [1] de Damian Degois pour nous réveiller au milieu
de la nuit si un morceau de notre infra part en vrille (j'aurais pu
utiliser 'torche' mais je crois que les masses ne sont pas prêtes encore).

Souhaitant basculer le stockage sur InfluxDB (question de perf), nous
aimerions utiliser Telegraf pour faire la remontée des métriques mais
cela nous empêche d'utiliser la partie API de Icinga2. Ou alors il faut
faire un double monitoring : alertes SNMP & Ping avec Icinga2 et
métriques via Telegraf. Je ne trouve pas ça très satisfaisant.

Je me suis pas mal documenté sur des exemples que j'ai trouvés ici et là
mais on dirait que la plupart des boites ont des gens qui regardent un
écran 24h/24 et que personne ne voit l'intérêt de pouvoir dormir de
temps à autre.

Les rares qui font ça passent par des services tiers type Pagerduty mais
ça ne me tente pas non plus, pour une question d'indépendance sur un
sujet qui est quand même très critique. Pas très envie de multiplier les
SPoF.

Du coup, ma question : et vous, comment faites vous ?

A) Pagerduty
B) un insomniaque dans l'équipe
C) la réponse D

Merci d'avance pour votre partage !

Julien

[1] 
https://play.google.com/store/apps/details?id=info.degois.damien.android.aNag


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Poste Adminstratrice/eur Système expérimenté(e)

[Julien Escario]

Le 24/06/2021 à 12:14, David Durieux a écrit :
> Chez moi c'est full FreeBSD, non mais !
>
> David

Mea culpa, je suis passé un peu vite *BSD que je ne connais/utilise pas
du tout (et pourtant, mon premier routeur BGP était sous openBSD, ca date).

Noté que j'ai parle de Cloud publique, qui est le métier pour lequel
l'offre a été postée et non pas d'informatique généraliste en
entreprise. BSO, ce n'est pas un PME qui conçoit de la machine-outil.

Du coup, vraie question aux BSDéens (on dit BSDeux ? Diablotins ?)  qui
se sont sentis blessés : ça donne quoi la virtu sous BSD ? (n'importe
lequel). Sous Linux, KVM a réellement changé la donne en s'associant
avec Qemu.

Et parlons de virtualisation complète, celle qui permet de faire tourner
n'importe quel payload avec son kernel, pas de jail ou autres
containers. Dans un contexte de cloud publique, vous ne pouvez pas dire
à un client que vous ne pouvez pas faire tourner son applicatif parce
qu'il est sous l'OS X ou Y.

Merci pour vos lumières,

Julien



OpenPGP_signature
Description: OpenPGP digital signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [SPAM] Re: Poste Adminstratrice/eur Système expérimenté(e)

[Julien Escario]

Le 24/06/2021 à 14:07, Kevin CHAILLY | Service Technique a écrit :
>
> Bonjour,
>
>  
>
> Si on se base sur les informations techniques disponibles auprès de
> https://www.estcequonmetenprodaujourdhui.info/
>  on est presque vendredi.
>
>  
>
> Bien qu’avocat fervent de BSD, je pense que la compétence Linux est
> indispensable en entreprise,
>
>  
>
> Beaucoup en ont parlé, Linux presente aujourd’hui un oligopole de fait
> avec Windows,
>
>  
>
> Ça tombe bien, c’est Microsoft derrière les deux.
>
Tiens, intéressante cette remarque : tu considères que Linux est porté
majoritairement par Microsoft maintenant ? Tu aurais des pointeurs pour
étayé ça stp ?

Julien




OpenPGP_signature
Description: OpenPGP digital signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Poste Adminstratrice/eur Système expérimenté(e)

[Julien Escario]

Le 24/06/2021 à 11:59, Vincent Habchi a écrit :
>>Total control of the installation and administration of GNU/Linux (Debian 
>> Mandatory) Scripting Bash Shell, Python, Ruby. Puppet and/or The Foreman, 
>> Ansible knowledge.
>
> Lol, on a l’impression qu’il n’y a plus que Linux dans le monde de l’admin 
> système…
>
> Just saying :p 
>
> V.

Ca, c'est un peu critiquer pour le plaisir. En cloud publique, il n'y a
*presque* que du Linux maintenant, c'est un fait.

Ce qui est certain, c'est qu'il est possible de faire du cloud publique
en ne faisant que du Linux. Windows, c'est quelques VMs qui traînent ici
et là pour un rôle AD ou RDS mais pas sur l'infra 'core'.

Ceux qui ont déjà payé des licences Windows DC pour faire de l'Hyper-V
ont vite compris la douleur.

Julien




OpenPGP_signature
Description: OpenPGP digital signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Un shell dépendant de la clé ssh utilisée

[Julien Escario]

Le 25/03/2021 à 16:03, Daniel Caillibaud a écrit :
> Le 25/03/21 à 14:05, Julien Escario  a écrit :
>> Le 25/03/2021 à 13:38, Daniel Caillibaud a écrit :
>>> Bonjour,
>>>
>>> Y a-t'il un moyen propre d'avoir un login shell qui dépendent de la clé ssh 
>>> utilisée ?
>>> (le shell pour exécuter une commande passée à ssh restant celui défini pour 
>>> le user)  
>> Et avec command="zsh" au début de la déclaration de la clé dans
>> authorized_keys ?
>>
>> https://www.ssh.com/ssh/authorized_keys/openssh
> Ça fonctionne pour du login mais pas pour
>
> ssh user@host 'une commande'

Je ne suis bien sûr d'avoir compris alors : quand tu fais ça, à aucun
moment tu n'invoques de shell (ni bash, ni aucun autre).

Ce qui ne veut pas dire que ton shebang ne le fait pas pour toi ceci dit
mais c'est une autre histoire.

Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Un shell dépendant de la clé ssh utilisée

[Julien Escario]

Le 25/03/2021 à 13:38, Daniel Caillibaud a écrit :
> Bonjour,
>
> Y a-t'il un moyen propre d'avoir un login shell qui dépendent de la clé ssh 
> utilisée ?
> (le shell pour exécuter une commande passée à ssh restant celui défini pour 
> le user)

Et avec command="zsh" au début de la déclaration de la clé dans
authorized_keys ?

https://www.ssh.com/ssh/authorized_keys/openssh

>
> En lisant le man sshd je découvre
>   environment="NAME=value"
>
> qui permet par exemple de mettre dans ~/.ssh/authorized_keys
>   environment="WANTED_SHELL=zsh" ssh-rsa …
> et dans ~/.profile
>   [ "$WANTED_SHELL" == "zsh" ] && /usr/bin/zsh
> mais 
> - ça oblige à préciser `PermitUserEnvironment yes` dans /etc/ssh/sshd_config
> - ça charge bash (si c'était le shell du user) + zsh
>
> Si y'a une solution ça m'intéresse ;-)
>
> Sinon c'est pas très grave, y'a d'autres solutions comme
> - mettre zsh par défaut pour tous les users (qui ont un shell), un peu 
> extrémiste… (mais je
>   suis quasi le seul à me connecter à ces machines)
> - créer un user avec zsh et les bons droits sudo puis passer par lui pour 
> ensuite changer de
>   user (un peu pénible)
>

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Single node Ceph (Was: Re: Proxmox 6.3-2 et Pool LVM-Thin)

[Julien Escario]

Le 02/12/2020 à 15:20, Etienne Menguy a écrit :
> Hello,
> 
> Si tu veux faire vraiment faire du Ceph sur un seul serveur, je te conseille 
> d'avoir 3 OSD (sur 3 disques différents) et la triple réplication.
> Ca permettra d'assurer la consistance des données et de ne pas en perdre.

Ah ? Intéressant, tu pourrais ajouter du détail sur ça ? Ou alors c'est
simplement le même argument que pour le RAID6 vs RAID5 : plus de
redondance, c'est plus de sécurité.

Parce qu'avec un "size=2" sur trois disques, la perte d'un OSD (aka un
disque) n'est pas un soucis tant que le rebalance peut se faire.

J'essaie juste de faire le tour des contraintes, histoire de savoir dans
quoi je m'embarque si je pousse une idée aussi farfelue en prod un jour.

> D'un point de vue technique ça fonctionnera sans problème, ceph se moque de 
> savoir si tu as 1 ou 50 racks, 1 ou 300 serveurs.
> Mais c'est forcément une utilisation peu courante et ca n'a pas été pensé 
> pour.
> 
> Au passage, je ne vois pas pourquoi 4 serveurs seraient forcément 
> nécessaires, ni une bonne idée.

En fait, cela dépend fortement de l'interconnexion entre les nœuds : si
ils sont répartis par deux dans deux racks différents avec interco
simple, le risque de perdre le quorum est très important. Il vaut mieux
en avoir 3 dans ce cas.

En revanche, dans un même rack avec deux switchs différents en
redondance, trois ou quatre ne change rien, si ce n'est dans la
provision des disques pour éviter d'arriver à 100% d'occupation en cas
de rebalance à la suite de la perte d'un nœud.

Merci !
Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Single node Ceph (Was: Re: Proxmox 6.3-2 et Pool LVM-Thin)

[Julien Escario]

Le 02/12/2020 à 11:33, Stéphane Rivière a écrit :
>> Pour ma part, je suis encore en mono-server sans HA et j'ai cru
>> comprendre que Ceph sous Proxmox répondait également à ce besoin. Je
> 
> CEPH c'est le top mais pour les riches (smile), il parait qu'il faut 4
> bécanes pour être vraiment tranquille (j'ai gardé une thread au chaud
> sur ça par "les gens qui savent" : 3 ne seraient pas assez...
> 
> Nous, on est pauvre et c'est du DRBD... Et vu notre use-case, c'est très
> bien en plus. Mais CEPH est à un autre niveau :)

Alors, justement. J'ai fais un bout de lab ces derniers jours et Ceph en
single node, pourquoi pas ?

Je me suis inspiré de la doc ici pour construire une crushmap adéquate :
https://linoxide.com/linux-how-to/hwto-configure-single-node-ceph-cluster/

Et ça fonctionne.

Maintenant, on peut s'interroger sur l'intérêt. Mon use-case était de
pouvoir mettre en place une réplication asynchrone avec rbd-mirror. Pas
grand chose de plus que ce qu'offrirait un zfs send/receive finalement.

Mais on peut trouver beaucoup d'autres avantages : accès à cephfs, rados
gateway (S3), rbd-diff pour le backup, le dashboard/export prometheus de
ceph-mgr, etc ...
Et il reste toujours la possibilité d'évoluer vers plus cossu dans le
futur (en évitant soigneusement d'avoir un cluster à deux nœuds, il faut
passer tout de suite à 3).

En réalité, on est dans un cas de RAID en userspace avec une tonne de
fonctionnalités additionnelles. Le système survivra sans problème à la
perte d'un disque et le fonctionnement de Ceph intègre nativement la
notion de hot-spare, pas toujours trivial à faire avec mdadm.

Bref, on est pas dans un scénario de haute-dispo mais l'apport en
fonctionnalités de Ceph est quand même un gros plus par rapport à mdadm
ou ZFS.

Maintenant, est-ce que d'après vous j'ai loupé un truc dans le setup ou
est-ce que c'est réellement viable ? (en dehors du fait que c'est un
gros hack par rapport à ce pourquoi Ceph est prévu).

Merci,
Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Proxmox avec gros uptime = problèmes ?

[Julien Escario]

Bonjour,
Je relance le débat ;-)

Donc, nous tombons d'accord que pour deux nœuds, un cluster CEPH ne fera
pas le job.

J'aimerais votre opinion sur une autre possibilité : le RDB mirroring
(https://docs.ceph.com/en/latest/rbd/rbd-mirroring/).

Admettons que l'on ai deux nœuds, en particulier si ils sont
géographiquement séparés (donc latence, toussa).

Mettons deux disques dans le premier nœud et la crush-map qui va bien
pour faire un 'simili' raid1 entre les deux disques avec size=2 (et
min_size=1).
Le nœud est également MON et MGR.

On a un 'cluster' Ceph autonome, non répliqué. On perd évidemment toute
la partie résilience de Ceph, ok.

Maintenant, on créé un second noeud de la même manière et on configure
le rdb-mirror pour synchroniser le pool Ceph complet de noeud1 vers noeud2.

C'est du one-way mais rien n'empêche de créer un second pool qui va
fasse l'inverse, tant que l'espace disque suite et donc de faire tourner
des VMs de chaque côté.

On pourrait même envisager de faire du two-way mirror mais là, ca
devient dangereux dans le sens où il faut un mécanisme s'assurant qu'une
VM ne tourne pas des deux côtés simultannément sinon c'est la perte de
données assurée (et massive). Peut être que le cluster Proxmox peut
assurer ce rôle, je ne sais pas.

Je vais probablement me lancer dans un lab sur ce postulat mais avant de
perdre du temps sur un détail qui m'échapperait, certains d'entre vous
ont-ils un avis ?

Note : ca ferait l'objet d'un magnifique tuto si ça fonctionne.

Merci,
Julien


Le 18/09/2020 à 14:00, Richard DEMONGEOT a écrit :
> Bonjour,
> 
> Le 2020-09-18 13:48, Stéphane Rivière a écrit :
>>> Ceph c'est bien à partir de 4 noeuds pour être tranquille.
>>
>> Je ne connais pas ceph et pose certainement une question idiote...
>>
>> Quel serait l'avantage d'avoir a minima 4 nœuds (par rapport à, par
>> exemple, 2 nœuds de prod + un nœud d'arbitrage - ça je comprends
>> l'idée) ?
> 
> CEPH étant (massivement) distribué, il deviens de plus en plus
> performant avec le volume de disques que tu lui affecte.
> Selon la documentation, le minimum préconisé est de faire "3 copies",
> sur "3 machines différentes".
> 
> CEPH préfère par ailleurs un accès direct au disque, et ne pas avoir de
> raid sur les disques.
> 
> Setup standard CEPH :
> 
> +--+   +--+   +--+
> | Hôte1    |   | Hôte2    |   | Hôte3    |
> | HDD1    HDD2 |   | HDD3    HDD4 |   | HDD5    HDD6 |
> +--+   +--+   +--+
> 
> Ton premier bloc sera sur les disques 1, 3 et 5;
> Ton second sur les disques 2, 4 et 5;
> Etc. CEPH s'ammusera à les placer différement à chaque fois.
> 
> Du coup, si tu n'as que 3 disques, les 3 seront "identiques", mais la
> fragmentation va te faire perdre en performance vis à vis de DRBD.
> Si tu as 12 disques ou plus, réparti dans plusieurs châssis, tu va
> pouvoir tirer parti de l'ensemble des axes / ports disques. Et plus tu
> rajoutes de disque, plus ta performance s'améliore :).
> 
> Cordialement,
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Proxmox avec gros uptime = problèmes ?

[Julien Escario]

Le 25/09/2020 à 19:53, Wallace a écrit :
> On est vendredi je me permet, tu insinues que la méthode DDR (Dans le
> Doute Reboot) qui colle aux serveurs windows marcherait pour Proxmox? :D

On est lundi mais je confirme : notamment pour la fameux bug qui
empêchait les timestamp des tasks sur X bytes (ce qui arrivait au bout
d'environ 3 ans d'uptime) en version ... 3 (si ma mémoire est bonne).

La solution, c'était bien DDR (ou patch du bout de code Perl qui gérait
ça  + restart pvemanager).

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Proxmox avec gros uptime = problèmes ?

[Julien Escario]

Le 21/09/2020 à 10:48, David Ponzone a écrit :
> T’es en quelle version ? 6.2 Realease ou GIT ?
> 
> Parce que moi avec des Promox installés cet été en 6.2.4, c’était /dev/sdX.

# pveversion -v
proxmox-ve: 6.2-1 (running kernel: 5.4.41-1-pve)

Donc release, on ne va se lancer dans des trucs exotiques, les releases
s'enchaînent déjà bien chez PVE.

# zpool status
  pool: rpool
 state: ONLINE
  scan: scrub repaired 0B in 0 days 00:21:19 with 0 errors on Sun Sep 13
00:45:20 2020
config:

NAME STATE READ
WRITE CKSUM
rpoolONLINE   0
0 0
  mirror-0   ONLINE   0
0 0
ata-SAMSUNG_MZ7LH960HAJR-5_S45NNE0N232962-part3  ONLINE   0
0 0
ata-SAMSUNG_MZ7LH960HAJR-5_S45NNE0N232919-part3  ONLINE   0
0 0


Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Proxmox avec gros uptime = problèmes ?

[Julien Escario]

Le 21/09/2020 à 04:30, Alexandre DERUMIER a écrit :
>>> D'ailleurs l'installeur de Proxmox est à la ramasse sur cette question : 
>>> il utilise toujours /dev/sdX au lieu de /dev/disk/by-id/ (ou (by-uuid 
>>> pour les intrépides). 
> 
> tu es certain ?
> 
> https://git.proxmox.com/?p=pve-installer.git;a=commit;h=e1b490865f750e08f6c9c6b7e162e7def9dcc411

Très juste, je suis resté sur une idée fausse alors. Vérification faite
sur des HV créés cet été, c'est effectivement /dev/disk/by-id/  (et pas
/dev/by-id comme indiqué dans le commit).

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Proxmox avec gros uptime = problèmes ?

[Julien Escario]

Le 18/09/2020 à 11:22, Grosjean Cyril a écrit :
> Le ven. 18 sept. 2020 à 11:11, Pierre DOLIDON  > a écrit :
> 
> de mémoire, ceph sur 2 noeuds, c'est pas possible ? (puisque c'est un
> cluster... quorum toussa toussa).
> 
> 
> ll faut 3 noeuds pour les monitors/managers, mais ton 3ème noeud pour
> les monitors/manager peuvent être sur un autre site, en standalone (un
> peu comme un arbitre dans un SAN bi-site synchrone).
> Le cluster d'OSD, si bien configuré peut supporter la perte d'un noeud.

Pas mal de retours intéressants sur cette question de Ceph avec deux
noeuds. Je voulais justement faire un lab pour voir ce que ca donne en
remplacement d'un cluster DRBD avec deux noeuds.

En 'théorie', avec deux nodes, quatre OSD (deux sur chaque node), deux
mon+mgr (un sur chaque node), size = 2, min size = 1.

En gros, un RAID over Ethernet puisque chaque PG sera sur chaque node.

Si on perd TOTALEMENT un node : pas d'impact, et rebalance au
redémarrage du node H.S

Si on perd le réseau entre les deux (c'est toujours le scenario
stressant) : il se passe quoi exactement ?

En partant du principe que chaque VM a ses propres objects (aka blocks)
: je ne vois pas pourquoi il y aurait plus grave comme soucis qu'un
resync au moment où le réseau revient ?
En quoi le quorum est-il critique dans ce cas ?

Je n'ai pas osé le test encore, je suis peut être complètement à côté de
la plaque ...

Merci de vos lumières,
Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Proxmox avec gros uptime = problèmes ?

[Julien Escario]

Le 18/09/2020 à 20:49, David Ponzone a écrit :
> Au passage, j’ai découvert un truc important aujourd’hui: ne JAMAIS ajouter 
> de devices à un zPool en utilisant le /dev/sdX.
> La numérotation peut être modifiée au reboot, et là ZFS s’y perd (j’avais un 
> HD UNAVAIL et l’autre FAULTED, heureusement que je suis en Raidz2….).
> J’ai pu nettoyer avec un zpool offline, zpool export, puis zpool online.
> Il utilise maintenant les ID des HD.

RTFM : c'est dans la doc ça ;-)

D'ailleurs l'installeur de Proxmox est à la ramasse sur cette question :
il utilise toujours /dev/sdX au lieu de /dev/disk/by-id/ (ou (by-uuid
pour les intrépides).

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] BPCE et DKIM

[Julien Escario]

Le 17/09/2020 à 17:10, Pierre DOLIDON a écrit :
> forger des spams avec une signature DKIM et des SPF valide, c'est pas
> bien compliqué !

Wow ! Tu m'expliques comment tu bypasses la clé publique dans le DNS ?

Avec du DNS menteur ? Y'a DNSSEC pour ça normalement.

Une fois que tu as fais ça, ça commence à devenir plutôt complexe pour
le script-kiddie de forger un mail valide.

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Proxmox avec gros uptime = problèmes ?

[Julien Escario]

Le 18/09/2020 à 10:23, David Ponzone a écrit :
> C’est une hypothèse intéressante car justement, mon swap était full
> (100% de 8Go, la RAM fait 64Go), j’ai vu ça hier.
> C’est un problème connu avec la conf par défaut qui a un swapinness à 60.
> J’ai donc repassé le swapinness à 10 cette nuit, fais un swapoff/swapon
> qui a terminé ce matin, et là je suis à 12% (ma RAM est pleine à 86/87%,
> je sais c’est mal de toucher aux limites).
> Donc on va voir si y a du mieux. Si oui, je vais passer la RAM à 128 ou
> 256, faut plus s’emmerder avec un truc qui coûte presque rien.

Encore mieux : mets à jour ton kernel puisque tu vas devoir rebooter
pour mettre ta RAM.

De mémoire, j'ai eu aussi ce genre de problèmes et ton message vient de
me rappeler sur les nouveaux hôtes, j'ai 'oublié' de changer le
swapiness et je n'ai plus de soucis. Si ça se trouve mon sysctl.conf a
même été écrasé depuis.

Donc la gestion de la VM (au sens virtual memory) a dû largement évoluer
entre un kernel 4.x et 5.x. Le contraire serait étonnant d'ailleurs
(merci Captain Obvious).

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Proxmox avec gros uptime = problèmes ?

[Julien Escario]

Le 18/09/2020 à 09:01, Pierre DOLIDON a écrit :
> t'as pas une sandbox pour mettre a jour ?
> 
> chez nous on upgrade régulièrement, donc pas trop de soucis, mais il fut
> un temps où on upgradait pas les proxmox. on c'est lancé, on a upgrade
> de debian7 à 10 (en étapes successives bien sur), et c'est passé comme
> une lettre à la poste (sauf le cluster, bien sur, mais ça c'est
> documenté par proxmox).

Idem, mes plus vieilles machines dans mon cluster ont été installées en
Proxmox 4. Tout ce petit monde est en 6.2 actuellement.

> Seul bémol, on a quelques couple de proxmox qui tournent avec un socle
> DRBD. comme proxmox a retiré ses packages de ses repository (problème de
> licence avec linbit...) ben le module drbd kernel de debian8 (fourni par
> proxmox) a une version supérieure à celui fourni par debian9/10. j'ai du
> compiler à la mano (c'est pas la panacée...)

Mon conseil non-demandé du jour : vire DRBD/Linstor et passe sur Ceph.
Ma vie a changée depuis que j'ai fait ça.

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Petit hébergeur bien de chez nous

[Julien Escario]

Bonjour,
Mille excuses, je constate que je me suis fait avoir par les en-têtes de
la liste qui mettent le nom de l'expéditeur avec l'adresse de la liste.

Peut être un peu trop de détail dans mon mail d'origine qui fait qu'il
n'aurait pas forcément sa place en public. Rien de confidentiel ceci dit
sauf peut être mon numéro que je n'aurais pas donné sur une liste dont
l'archive est publique.

Possible de censurer ça d'une manière ou d'une autre ? Sinon je sens que
tous les robots des télé-marketeurs vont s'en donner à cœur joie.

Je paie une bière à ceux que l'e-mail aura offensé en guise d'excuse.

Navré et merci,
Julien

Le 25/07/2020 à 15:40, Julien Escario a écrit :
> Bonjour !
> Alors, ce n'est pas le moment idéal pour voir tous les détails mais je
> tombe sur le mail donc je réponds dans la foulée.
[...]
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Petit hébergeur bien de chez nous

[Julien Escario]

Bonjour !
Alors, ce n'est pas le moment idéal pour voir tous les détails mais je
tombe sur le mail donc je réponds dans la foulée.

Le besoin colle pas mal avec ce que l'on fait au quotidien : de l'infra
sur-mesure sur notre petit AS41405.

Le plus subtil serait d'annoncer un AS supplémentaire ainsi que le /24
et le /48 mais c'est tout à fait faisable.

Pour la partie VM, on peut effectivement soit proposer 'à la carte' sur
notre cluster Proxmox (7 serveurs actuellement mais ca bouge dans l'été)
en ayant la main sur les proxmox pour gérer les VM (stockage Ceph), soit
créer un cluster Proxmox avec un minimum de 2 machines éventuellement
réparties entre nos deux points de présence à Besançon et Lyon.

Nous n'avons pas encore de stockage NMVe sur le cluster, c'est en
projet. Pour l'instant, on partage le stockage entre du SSD 'customer'
type Samsung 8X0 PRO et du SSD 'datacenter' type Samsung PM883. Au delà
de l'endurance, les perfs n'ont rien à voir. Mais le PM893 est en
projet. Nous n'avons simplement pas encore assez de ports pour que ce
soit intéressant avec Ceph et on attend aussi de passer le réseau Ceph
en 25Gbps sinon on va juste déplacer le bottleneck.

Et on bonus, on peut faire profiter de quelques services 'génériques'
que nous avons déployés pour nos clients ou des besoins internes comme
des serveurs DNS répartis sur plusieurs AS (whois altinea.fr) avec
DNSSEC, du cold storage en NFS/iSCSI sur du disque trad pour le backup,
du monitoring, etc ...

Bref, on a peut être une infra un poil plus grosse que celle que vous
semblez vouloir déployer mais dans l'idée, on se ressemble finalement
beaucoup.

Nous sommes actuellement 9 salariés, basés dans le Jura avec une unité
support dédiée, il y a toujours quelqu'un de 9h à 18h et on propose
naturellement de l'astreinte.

Notre site altinea.fr n'est vraiment pas très parlant. C'est un truc
fait par un stagiaire lors de la création de la boite, nous n'avons pas
pris le temps de revenir dessus depuis parce que personne n'est bon en
comm' chez nous. On devrait avoir quelque chose de plus parlant à la
rentrée.

Pas contre, on ne va se voile la face : je pense qu'on est concurrents
sur certains sujets puisque l'on fait aussi de l'hébergement (très peu)
et de l'infogérance (plus orientée parc info).
Mais notre activité est assez localisée géographiquement donc je nous
vois mal nous marcher les pieds.

Je n'ai aucun tarif à annoncer à ce stade, il y a beaucoup trop
d'inconnues sur un tel projet et encore une fois, on fait du sur-mesure,
donc peu de grille de tarif chez nous.

A votre disposition pour en discuter lundi de vive voix. Je suis
joignable au 06 77 58 31 99 ou 03 74 39 10 21.

Bon week-end !
Julien Escario

Le 24/07/2020 à 16:51, Jonathan Leroy - Inikup via FRsAG a écrit :
> (Il est conseillé de lire cet email avec la voix de Jean-Pierre Pernaut).
> 
> Bonjour à tous,
> 
> Je recherche un hébergeur de VM frônçais pour mes besoins internes
> (pas pour mes clients pour le moment), qui ne soit pas OVH / Online /
> Gandi.
> Idéalement du KVM, si possible pas d'OpenStack (j'aime pas).
> 
> J'ai besoin :
>  - De VM de toutes tailles. Si je peux définir moi-même les
> caractéristiques des VM (CPU / RAM / stockage) sans passer par des
> packs tout prêts c'est top. Sinon on fera avec.
>  - Du stockage local SSD ou NVMe,
>  - La possibilité d'ajouter des volumes bloc supplémentaires (type Ceph),
>  - Du vrai IPv6 (pas un /128 par VM avec tous les clients dans un même
> /64, coucou tout ceux dont l'offre est basée sur OpenStack),
>  - Pouvoir gérer mes services de façon indépendante depuis une
> interface web (j'ai trouvé des prestas intéressants mais pour lesquels
> certaines opérations basiques nécessitent de passer par un mail au
> support, pas top),
>  - Et *surtout* : un support avec de vrais gens qui comprennent la
> technique et ne déroulent pas des procédures même quand on leur
> apporte la solution sur un plateau.
> 
> Si en plus j'ai la possibilité d'annoncer mon propre ASN avec un /24
> IPv4 et un /48 IPv6, alors là c'est le paradis.
> Pour une dizaine de VM. Je ne suis pas fermé à une offre private cloud
> même si ça me semble être un peu overkill pour mon usage.
> 
> Ça a l'air simple comme ça, mais je n'ai pas trouvé de presta français
> qui coche toutes les cases (sans même parler de la partie ASN / IP).
> J'ai trouvé Heficed (https://www.heficed.com) qui n'est pas mal du
> tout, on peut même choisir le niveau de support souhaité par VM. Mais
> ce sont des lituaniens (qui se font passer pour des anglais) qui
> facturent en dollars. Je préfèrerai dans la mesure du possible une
> société française.
> 
> Voilà, si vous avez de bonnes adresses je prends. :)
> 
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] deb.sury.org... miroir ou sauvegarde ?

[Julien Escario]

Le 18/07/2020 à 22:02, Stéphane Rivière a écrit :
> 
> 
> Le 18/07/2020 à 21:29, Guillaume Tournat a écrit :
>> apt-get dist-upgrade ?
> 
> Plus compliqué que ça...
> 
> Depuis quelques version Debian devient vraiment pénible dans ses
> upgrades. Impossible de passer d'une version à l'autre sans tout casser.
> 
> systemd, pourquoi pas, on s'y est fait, mais network-systemd, là ça me
> casse les  À moins qu'il y ait un génie pour me dire comment
> transposer pointtopoint de interfaces dans networkd, marre de devoir
> réinventer la roue pour juste rien...

Ah, marrant. Vendredi, j'ai justement remonté un soucis jusqu'à cette
merde de systemd-networkd sur une VM qui ... perdait l'IPv6 de manière
intermittente.
Elle ne pinguait même plus sa gateway pendant des temps de 15 secs à 3/4
minutes. A priori, networkd faisait merder complètement le NDP.

Je n'ai pas cherché les détails, j'ai juste tout viré et pouf, nickel
depuis.

Donc on a un consensus sur le fait qu'ils sont allé trop loin : network,
ntp, dns, ...

Du coup, on se retrouve à mettre en place des astuces pour EVITER
d'utiliser ce truc, c'est fatiguant.

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [TECH] Cluster proxmox hyper convergé

[Julien Escario]

Le 16/06/2020 à 22:55, Racamier Stéphane a écrit :
> Bonsoir le groupe,

Bonjour !

> Je test actuellement un cluster Proxmox 6.4 avec un stockage hyper
> convergé ceph composé de 3x6 osd (HDD) avec deux carte gigabit en
> protocole LACP actif, 1 carte sur le ring0 et 1 sur le ring1.
> 
> La plateforme de test utilisé des HP proliant dl380 g7.
> 
> Ma préoccupation principale est de réussir à migrer mes VMs sans
> interruption de service si le nœuds qui exécute se voit brutalement
> stoppé. Pour simuler cette panne je débranche l'interface ring0 et 1.

Pas certain que tu aies exprimé ton besoin exactement comme tu l'entends
mais si je comprends ta phrase, tu souhaites que la VM continue de
tourner même si le noeud qui l'héberge subis une avarie sévère (panne
électrique ou réseau) ?

Si oui, à ma connaissance, ce n'est pas faisable avec Proxmox. C'est
même encore très rare dans l'univers de la virtualisation, notamment
parce que ca demande un fonctionnement en hot-spare : il faut qu'à tout
moment tu synchronise non seulement le contenu du disque (Ceph pour
cela, c'est parfait) mais également le contenu de la RAM et là, il faut
un sacré réseau et je peux te dire qu'en gigabit, il faut oublier. Je
pense même qu'en dessous de 40Gbps par noeud, c'est mort.

J'ai vu une techno dans ce style chez VMWare qui 'rejoue' l'intégralité
des IOs sur chaque VM. Mais ca semble encore très limité (4 coeurs max,
16 Go de RAM max, etc ..).

Je n'ai jamais vraiment joué avec la H.A. dans Proxmox mais je doute que
tu arrives à un résultat 'sans interruption'. Au mieux, Proxmox va
relancer la VM automatiquement si elle n'est plus palpable après x secondes.

En 2020, le mieux pour ça est de jouer sur une redondance au niveau
applicatif (facile si c'est du web, parfois complexe sur d'autres payloads).

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Ça marche ?

[Julien Escario]

Le 07/06/2020 à 11:01, Greg a écrit :
> Bonjour,
[...]
> Je remettrais peut-être DKIM lors de la sortie de Mailman 2.2 ou 2.3.
> 
> J'espère ne pas regretter d'avoir été transparent avec vous.
> Bon dimanche,
> Greg

J'espère bien que non !

My 2 cts : on a renoncé à mettre en place les signatures DKIM sur chaque
SMTP sortant, notamment parce qu'on tombe TOUJOURS sur un MTA qui ne
sait pas le faire. Maintenant, on fait passer par un smarthost qui
contient les clés et fait le boulot de signature avant d'envoyer le mail
vers le destinataire.

Ca fait un étage de plus mais beaucoup d'emmerdes en moins avec une
gestion centralisée des clés.
Et SMTP, c'est plutôt costaud niveau résilience/failover donc si le MTA
de signature se casse la gueule, c'est facile de faire sortir par ailleurs.

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

[Julien Escario]

Bonjour,
Bon, c'est vendredi mais on va peut être gentiment pouvoir arrêter le troll
parce qu'on s'éloigne à vitesse grand V du sujet initial et on se rapproche pas
mal du point Godwin.

On fait le tour des poncifs de notre métier : oui, un point de sécu tout seul ne
sert à rien (aka TLS si le mec se connecte à partir d'un poste tout vérolé),
oui, il faut assurer une compatibilité raisonnable avec d'anciennes versions et
ne pas tordre le bras aux clients chaque fois que la
nouvelle-techno-à-la-mode-avec-un-joli-buzzword sort.

Après, chacun voit midi à sa porte concernant ces choix : est-ce la
compatibilité doit être assurée pendant 3 jours, 3 mois, 3 ans ?

Maintenant, qu'on me balance sur une liste qu'il faut encore supporte IE6 sous
XP ou qu'on contraire, il faut bannir tout avant IE10 win8, ben en fait, vous
pissez dans un violon les mecs. C'est pas votre problème puisque vous ne
connaissez pas mon environnement de boulot.

Maintenant, les vérités :
* En 2018, TOUT service doit être dispo en chiffré (forcé ou non, c'est votre
choix).

* Les gens qui traînent des vieilles versions DOIVENT savoir qu'elles prennent
un risque non négligeable.

* C'est AUSSI notre boulot de faire passer la bonne parole.


Anecdote : hier, on était à une formation RIPE sur DNSSEC. Le grand argument,
c'est qu'actuellement, c'est que l'ensemble de la chaîne de confiance est basée
sur UN seul groupe de personnes (7 sous l'égide de l'ICANN dont Vinton Cerf 'le
trouble') au lieu des quelques 700 autorités de certifications reconnues
actuellement.
OK, mais ça me gêne un peu : à aucun moment n'a été évoqué la raison pour
laquelle je devrais faire confiance à ces mecs. La réponse ne tiendrait pas ici
et chacun doit se faire son avis. Ce n'est pas parce que la communauté fait un
truc qu'on est forcément tous d'accord. C'est d'ailleurs le principe des RFCs et
comme ça qu'on a bâti l'informatique et le net en général.

Pareil pour let's encrypt d'ailleurs : chouette projet très utile, mais ne vous
faites pas d'illusion, ça va merder techniquement ou politiquement un jour ou
l'autre.

Allé, bon trollday à toutes et à tous (je ne perds pas espoir que notre métier
se féminise davantage),
Julien

Le 08/12/2017 à 09:14, fr...@jack.fr.eu.org a écrit :
> Spa parce que TLS n'est pas suffisant pour sécuriser qu'il n'a aucun rapport
> avec le sujet;
> 
> Je ne sais pas si ton protocol est secure, mais clairement, si un simple 
> tcpdump
> / ethercap / truc me permet de voir l'intégralité de ta communication, il y a 
> un
> petit problème
> 
> Nécessaire != suffisant
> 
> On 08/12/2017 04:58, Jean Théry wrote:
>>
>> Le 07.12.2017 à 22:11, Raphael Mazelier a écrit :
>>> Le 07/12/2017 à 19:51, fr...@jack.fr.eu.org a écrit :
>>>
 Autoriser le trafic en clair, c'est punir le bon avec le mauvais, en
 fragilisant l'ensemble de ton système, pour tous (et pas que pour le
 gueux avec son fax)

 Si ce type veut supporter son système antédiluvien, c'est son choix,
 mais qu'il l'assume seul.

 Vive le TLS obligatoire;

>>>
>>> En quoi TLS/SSL assure une meilleure sécurité ? certes cela ne coute
>>> pas bien cher de nos jours et c'est pas pire.
>>> Mais bon clairement si l'on recherche à échanger des informations
>>> confidentielles ce n'est certainement pas le mail qu'il faut utiliser.
>>> (à la limite avec du GPG/PGP et encore).
>>> J'ai un peu de mal avec les discours du type : on est secure parce
>>> qu'on a activé du 's' partout ; surtout quand il est dogmatique; aka
>>> les mecs qui ne font pas sont des idiots. C'est bien plus compliqué
>>> que cela. La sécurité c'est aussi/souvent d'abord une analyse de
>>> risque, et des procédures adaptés en conséquences.
>>>
>>>
>>> -- 
>>> Raphael Mazelier
>>> ___
>>> Liste de diffusion du FRsAG
>>> http://www.frsag.org/
>> +1
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

[Julien Escario]

Le 06/12/2017 à 22:27, Arnaud Launay a écrit :

Le Wed, Dec 06, 2017 at 10:09:12PM +0100, Raphael Mazelier a écrit:

Bref le SNI côté client mail, ça n'a pas l'air gagné pour le moment.

Bah ouais c'est bien ce que je pensais.
Du coup l'interet de le faire est globalement limité non ?


Je vois assez bien l'intérêt côté client: configurer tous tes
potes avec "smtp.domain.tld" (avec auth) et "imap.domain.tld", te
permet de changer de FSI plus facilement que si tu utilises
smtp.fsi.tld et imap.fsi.tld, qui t'oblige à passer sur tous tes
postes clients pour la moindre modif...


Bah voilà, c'est l'idée.


(Evidemment, la solution c'est "pas de SSL", mais sur du smtp
authentifié, c'est quand même très très moche) (sur l'imap aussi,
mais ça permet moins facilement d'envoyer du spam qui tache, par
contre, en terme de divulgation d'infos, ça...)


Ca par contre, c'est non. Pas la peine d'argumenter, je vire direct les 
mecs de mon équipes qui font encore ça en 2017.


Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

[Julien Escario]

Le 06/12/2017 à 18:13, Bruno Pagani a écrit :
> Le 06/12/2017 à 17:32, Bruno Pagani a écrit :
>> Mes vhosts ce sont des directives serveurs comme ça :
>>     server {
>>     listen 443 ssl http2 ;
>>     listen [::]:443 ssl http2 ;
>>     ssl_certificate /path/to/.crt;
>>     ssl_certificate_key /path/to/.key;
>>  }
>>
>> J’aurais tendance à dire que la même chose avec 993 et pas en HTTP ça
>> devrait fonctionner, mais j’ai jamais testé donc bon…
> 
> Et en fait non : la réponse est effectivement que nginx ne supporte pas
> le SNI en mail proxy (la directive /listen/ n’accepte pas d’argument
> ). En 2013–2014, certains se sont posé la question, et la
> réponse de l’époque c’est que ça n’était pas à l’ordre du jour :
> https://forum.nginx.org/read.php?2,237967,237967#msg-237967 (plus
> lisible ici cela dit: https://www.ruby-forum.com/topic/4412511)

OK, clair net et précis : no-go :-( Le petit espoir que la situation aie changée
depuis vient de s'éteindre dans un râle d'agonie.

> Je suppose que les choses n’ont pas évolué depuis. Bonne config de HAProxy !

C'est parti ;-)

Merci,
Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

[Julien Escario]

Le 06/12/2017 à 17:44, Guillaume Tournat a écrit :
> nginx est un serveur http, à la base...

C'est négliger un peu vite ça quand même :
http://nginx.org/en/docs/mail/ngx_mail_core_module.html
OK, ce n'est pas 'coeur' de métier pour Nginx mais l'idée c'est aussi de ne pas
multiplier les produits (et les compétences).

> Fortinet a un load balancer (FortiADC) qui fait du SSL offload et supporte 
> SNI.
> 
> Ca existe au format virtuel.

Une boite noire, très peu pour moi. J'aime autant investir du temps pour
maîtriser HAProxy.

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] SSL / SNI sur IMAP/POP/SMTP

[Julien Escario]

Bonjour la liste,
Nous sommes en train de 'rêver' à un joli reverse proxy pour les connexions
IMAP, POP (hum) et SMTP avec du ssl offloading et toussa.

L'idéal serait que l'on puisse écouter sur (par exemple), le port 993 pour
imap.domaine1.com, imap.domaine2.com, etc ...
Le tout en présentant un certificat valide pour chaque domaine et ça, s'appelle
SNI (RFC 6066 section 3). C'est une extension TLS donc indépendant du protocole.

Je prends les devants : nous ne souhaitons pas avec un gros certificat qui
comprenne tous les vhosts.

SNI donc, on le fait déjà massivement en HTTP over SSL (aka HTTPS), tous les
browser modernes le supportent.

Le soucis c'est déjà que l'on s'y est pris avec Nginx et ca semble pas vraiment
supporté : impossible de déclarer deux vhosts qui écoutent sur le port 993, ca
gère un conflit :
nginx: [emerg] duplicate "993" address and port pair

Nginx tout frais : nginx version: nginx/1.13.6

Aucune doc là dessus chez Nginx, du coup la question : est-ce que quelqu'un a
une trace d'un tel hack avec Nginx ? Quitte à regarder du côté d'un module
'custom' qu'on veut bien compiler, tester de debugger.

Sinon, Haproxy semble le faire et on investira le temps nécessaire à
l'apprentissage.

Mais, question subsidiaire : je ne trouve aucune liste du support SNI par les
clients IMAP ou SMTP ? C'est si exotique ce que l'on veut faire ?
OK, il y a : https://wiki.dovecot.org/SSL/SNIClientSupport pour avoir une idée
du support en IMAP.

Est-ce que quelqu'un s'est déjà lancé dans ça ? Avec du succès ou pas ?

Merci d'avance !
Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Certificat Web Marchand

[Julien Escario]

Le 13/09/2017 à 12:43, Jonathan Leroy a écrit :
> Bref, le SSL sécurise la connexion entre un navigateur et un serveur,
> point. Le reste c'est du bullshit marketing. D'ailleurs Google ne va
> pas tarder à tuer l'EV ("la barre verte") dans Chrome et je m'en
> réjouis. :)

Une source ? Je ne trouve rien.

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Certificat Web Marchand

[Julien Escario]

Le 13/09/2017 à 14:29, Arnaud Launay a écrit :
> Après, si Thawte propose un EV wildcard, je l'ai pas trouvé sur
> leur site...

PERSONNE ne fait de EV Wildcard. Ce serait bien trop dangereux en terme de 
sécurité.

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [TECH] système de renvois d'astreinte par téléphone

[Julien Escario]

Le 05/08/2017 à 21:33, cam.la...@azerttyu.net a écrit :
> Salut
> 
> Éventuellement un truc comme vodia. C'est un ipbx tout intégré, suffit
> d'ajouter les SDA et de créer les comptes/renvoi/.
> Quand j'ai cherché une solution pbx on m'a proposé cette solution et
> cela fonctionne. Le cas d'usage est simple un numéro standard qui
> renvoi en cascade sur plusieurs postes SIP (linphone debian et ring
> smatphone). Tu peux avoir plusieurs client sip sur le mème compte
> utilisateur.

C'est aussi ce que l'on utilise. On peut cascader à deux niveaux assez
facilement. Au delà, c'est plus complexe avec des groupes d'agents et il faut
commence à réfléchir.
Et plus, ca gère le multi-tenant donc tu peux aussi le vendre à tes clients.

J'ajouterais qu'avec une appli web pas trop mal foutue, tu peux gérer ton
planning d'astreinte et l'ipbx fait un appel à une URL pour savoir à qui il doit
renvoyer la patate chaude. On a pas poussé jusque là mais c'est dans les tuyaux
parce que l'équipe de support s’agrandit tout doucement et on commence à avoir
des oublis sur le changement du tech d'astreinte.

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] ISCSI vs NFS

[Julien Escario]

Le 02/07/2017 à 16:19, Frédéric MASSOT a écrit :
> Le 26/06/2017 à 08:43, Laurent Cligny a écrit :
>>
>> Le 25/06/2017 à 14:44, Raphael Mazelier a écrit :
>>> Si tu arrives à me sortir le FS magique distribué, auto-scalable qui
>>> fait la même chose j’achète. Mais à part si j'ai loupé un truc, cela
>>> n'existe pas.
>>> Tout les tricks qui présentent du S3 en FS peuvent aider en transition.
>>>
>> Sur une infra Ceph, CephFS semble se rapprocher pas mal de ça il me
>> semble. A voir, je n'utilise que le stockage bloc pour ma part.
>>
>> http://docs.ceph.com/docs/master/cephfs/
> 
> Est-ce que quelqu'un a déjà testé ou utiliser en prod Sheepdog ?
> 
> https://github.com/sheepdog/sheepdog
> http://sheepdog.github.io/sheepdog/
> 
> C'est sensé être un système distribué, auto-scalable pour les VM QEMU.

Très curieux aussi. Je voulais faire un test drive mais le manque de maturité
évident m'avait bien refroidit d'y passer 2/3 jours.

Le projet n'a pas l'air vivace mais quand même quelques commit. Maitenant, tout
semble reposer sur un dev unique, pas forcément un gage de continuité à long
terme ...

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] ISCSI vs NFS

[Julien Escario]

Le 30/06/2017 à 12:08, David Ponzone a écrit :
> Donc en DRDB, si tu as 4 noeuds avec 10To par noeud, tu n’as qu’au max 20To 
> utile (si tu ne configures qu’un seul réplica), c’est ça ?

Yup !

Il faut vraiment le voir comme un RAID1 over network. Même en RAID1 (même si
c'est rarement utilisé), tu peux mettre 2, 3, 4 replicas.

Subtilité : avec DRBD manage, tu peux outrepasser le nombre de replicas que tu
souhaite pour chaque ressource (aka image de VM). Par exemple, positionner à
deux (par défaut 3 dans Proxmox d'ailleurs), et rajouter d'autres replicas sur
la VM-super-critique-qui-ne-doit-jamais-tomber.

Après, sauf si y'a un truc que je ne vois pas bien, si tu veux que ta donnée
soit disponibles en cas de crash du stockage d'une donnée, il faut bien la
répliquer au moins une fois ailleurs donc perte de 50% de l'espace utile cash 
non ?
Hum, ou alors avec une bidouille à base de parité à la RAID5 pour 3+ replicas.
Moui, ça pourrait être fun comme concept mais casse gueule quand on parle de
stockage réseau.

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] ISCSI vs NFS

[Julien Escario]

Le 30/06/2017 à 11:28, Corentin BONNETON a écrit :
> Bonjour 
> 
>> Le 30 juin 2017 à 10:51, Julien Escario <esca...@azylog.net> a écrit :
>>
>> Le 24/06/2017 à 17:57, Fabien a écrit :
>>> Bonjour la liste,
>>>
>>> J'ai une question théorique concernant le stockage
>>>
>>> Y a-t-il une réelle différence de performance entre le NFS et l'ISCSI ?
>>> Certaines situations nécessitent elle l'utilisation de l'une ou l'autre 
>>> techno ?
>>
>> Alors, même si ces deux technos ont l'avantage de la simplicité, à ta place,
>> pour un cluster Proxmox 'moderne', je regarderais plutôt du côté de Ceph ou 
>> DRBD.
>>
>> Ma préférence va, pour le moment, à DRBD même si son support est plus léger 
>> dans
>> Proxmox (erreur de calcul de l'espace disque).
> 
> DRBD c’est toujours par grappe de 2 du coup c’est pas le top (a moins que 
> j’ai rater une version)

Nope, plus maintenant, en version 9 avec drbdmanage. En gros, tu fixe ta
redondance (2/3 etc ...) et Proxmox réparti tes images de VMs en fonction de
l'espace (en prenant les n machines ayant le plus de dispo).

Après, à la mano, tu peux assigner d'autres nœuds DRBD à telle ou telle
ressource et en virer d'autres. (drbdmanage assign/unassign).

Rappel :
DRBD, ce n'est pas du stockage distribué dans le sens où c'est simplement n
réplicas de ton image de VM avec la capacité de te servir l'image même si elle
n'est plus dispo QUE sur un nœud.

Ceph, c'est bien du stockage distribué qui s'arrange pour balancer chacun des
blocs (en RBD) sur n nœuds et il se démerde ensuite pour te servir le bloc que
tu demandes (la magie du CRUD).

Le gros défaut que j'avais trouvé à Ceph, c'était la lourdeur du rebalance
lorsque tu rajoutes un OSD. Il replace une tonne de blocs et ça peut prendre pas
mal de temps et pas mal de ressources (liens 10gbps quasi obligatoires).
D'ailleurs, OVH en a fait les frais pendant un temps.

Et pas de support d'un mode asynchrone. Après, c'était il y a deux ans, ça a eu
le temps de changer ...

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] ISCSI vs NFS

[Julien Escario]

Le 24/06/2017 à 17:57, Fabien a écrit :
> Bonjour la liste,
> 
> J'ai une question théorique concernant le stockage
> 
> Y a-t-il une réelle différence de performance entre le NFS et l'ISCSI ?
> Certaines situations nécessitent elle l'utilisation de l'une ou l'autre 
> techno ?

Alors, même si ces deux technos ont l'avantage de la simplicité, à ta place,
pour un cluster Proxmox 'moderne', je regarderais plutôt du côté de Ceph ou 
DRBD.

Ma préférence va, pour le moment, à DRBD même si son support est plus léger dans
Proxmox (erreur de calcul de l'espace disque).

Le soucis de Ceph, c'est qu'il faut 4 machines pour démarrer et je ne suis pas
certain que tu puisses utiliser ces machines pour faire tourner tes 
hyperviseurs.
DRBD9 (avec drbdmanage), c'est deux machines pour démarrer et elles peuvent être
à la fois noeud de stockage et hyperviseurs. Ca fait de belles économies pour
démarrer. Tu devrais pouvoir monter jusqu'à 32 nœuds sans trop de soucis.
Attention : c'est de le techno plus ou moins beta, attends toi à mettre les
mains dans le cambouis quand il va y avoir un soucis. Jusqu'à présent, j'ai
toujours réussi à repartir et retrouver une redondance suite à un incident avec
un downtime minimal (quelques minutes le jour où j'ai dû faire un reboot d'un
hyperviseur).

Autre astuce : utiliser un export NFS en plus du DRBD. Avec la fonctionnalité de
déplacement du stockage à chaud dans Proxmox, tu peux basculer de NFS (lent) à
DRBD (plutôt rapide, dépend de la latence et des disques) et les migrer sans
shuter tes VMs le jour où ça commence à merdoyer (par exemple, si ta synchro
DRBD est H.S. sur un noeud).

My 2 cts,
Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Truc chelou avec LVM (bloqué)

[Julien Escario]

Le 05/05/2017 à 18:05, Julien Escario a écrit :
> Et un strace bloque sur :
> stat("/dev/drbd106", {st_mode=S_IFBLK|0660, st_rdev=makedev(147, 106), ...}) 
> = 0
> open("/dev/drbd106", O_RDONLY|O_DIRECT|O_NOATIME) = 4
> fstat(4, {st_mode=S_IFBLK|0660, st_rdev=makedev(147, 106), ...}) = 0
> ioctl(4, BLKBSZGET, 4096)   = 0
> ioctl(4, BLKPBSZGET, 512)   = 0
> lseek(4, 171798626304, SEEK_SET)= 171798626304
> read(4,
> 
> On comment gentillement à pointer du doigt /dev/drbd106 qui est justement la
> ressource qui à déclencher le truc.

Bonjour la liste,
Petit update du vendredi après-midi : après pas mal d'essais et de discussions
sur la liste DRBD, on s'apprête finalement a rebooter l'hyperviseur.

Mais, bonne nouvelle, on est en train de vider l'hyperviseur de ses VMs parce
qu’étonnamment, la migration fonctionne (Proxmox arrive à monter le dual primary
alors qu'en ligne de commande, pas moyen).

Bref, pas de meilleure solution que le reboot au final. Et il va falloir monter
les versions de DRBD ensuite ... (on consolide le backup hein).

Bon week-end,
Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Microsoft IRM

[Julien Escario]

Hello,
Non, il ne s'agit des investissement de MS dans la recherche médicale pour nous
faire tous vivre jusqu'à 250 ans (moyennant le paiement d'un léger abonnement,
bien entendu).

Je découvre aujourd'hui un 'bidulle' appelé Microsoft Information Rights
Management qui permet, d'après une de mes clientes, de bloquer la possibilité
pour une personne de forwarder un mail.

Hum, ça a l'air chouette sur la papier sauf qu'à priori, il impérativement
monter un domaine et installer la partie serveur qui va bien pour que ça tombe
en marche (Windows Rights Management Services).

Ok, mais question : Qu'en est-il si le client mail du mec en face n'est PAS
Outlook ? (au pif, un smartphone sous autre chose Windows c'est à dire 98% du
marché).

Est-ce que quelqu'un à ça ? Possibilité de m'envoyer un mail avec le DRM qui va
bien pour voir si ça s'ouvre avec Thunderbird (ce dont je doute FORTEMENT).

Encore mieux : vous avez un truc dans les standards qui ajoute cette
fonctionnalité au mail ? (je vois mal comment dans un périmètre autre que de la
messagerie interne).

Merci et bonne journée,
Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Portail (on dit portaux ?) captif et SSL

[Julien Escario]

Le 23/05/2017 à 11:41, David Ponzone a écrit :
> Sinon, tu laisses HTTPS ouvert pour 5 minutes, en espérant que le client 
> finisse par aller sur une page HTTP pendant ces 5 minutes.

Moui, c'est une option, comme de laisser TOUT le trafic ssl sortir, tout le
temps (c'est juste une question d'arbitrage).

Mon soucis c'est que le SSL s'est clairement démocratiser (et tant mieux) et
tout porte à croire que ça va continuer.
On a notamment des utilisateurs qui n'utilisent le wifi que pour faire du
Netflix = grosse bande passante, jamais de trafic en clair.

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Portail (on dit portaux ?) captif et SSL

[Julien Escario]

Le 23/05/2017 à 11:24, David Ponzone a écrit :
> Visiblement, tu n’es pas le seul à attendre la RFC qui va bien :)
> 
> http://community.arubanetworks.com/t5/Technology-Blog/Captive-Portal-why-do-I-get-those-certificate-warnings/ba-p/268921

J'en ai lu des kilos comme ce post.

Mais la RFC1170, c'est statut proposal. Le temps que ce soit validé ET ajouté
par les équipementiers, l'IoT aura déjà tué Internet.

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Portail (on dit portaux ?) captif et SSL

[Julien Escario]

Le 22/05/2017 à 14:07, Jonathan Leroy a écrit :
> Le 22 mai 2017 à 12:15, Julien Escario <esca...@azylog.net> a écrit :
>> * 802.1X : pas trop compris si ça permet de satisfaire aux exigences légales
>> françaises ni même si c'est réaliste en terme de mise en œuvre.
> 
> 802.1X est utilisé notamment sur les réseaux WiFi publics des Livebox
> et Freebox.
> Ça fonctionne très bien chez moi : lorsque tu connectes un device, une
> popup s'ouvre et invite l'utilisateur à s'identifier.
> Il peut ensuite naviguer normalement.

OK, reste à savoir comment le faire. La doc ne semble pas pléthorique mais je
n'ai pas encore beaucoup cherché.

> Pour la partie légale, je ne vois pas trop le souci.

Je ne suis pas super précis sur ce point, je vais me renseigner pour voir si ça
peut coller 'légalement'.

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Evenementiel sur un site web

[Julien Escario]

Le 05/04/2017 à 16:15, Jonathan Leroy a écrit :
> Le 5 avril 2017 à 15:00, Julien Escario <esca...@azylog.net> a écrit :
>> Bonjour,
> 
> Salut,
> 
> 
>> Un de nos clients va 'passer à la télé'. Aujourd'hui, il a une petite 
>> boutique
>> basée sur Prestashop.
>>
>> Son infra actuelle n'est évidemment pas du tout adaptée à la masse de trafic
>> qu'il se prendre sur la tronche lundi soir (oui, oui, le 10/04).
> 
> Bienvenue au club des gens dont les clients leur annonce au détour
> d'une conversation qu'ils passent à la TV dans moins d'une semaine :D

Ah ben pour le coup, non ! Ils m'ont prévenu environ un mois avant, c'est 
correct.
Le truc c'est qu'ils veulent les soussous des visites mais pas l'infra qui
permet de le faire. Et ça, c'est maintenant ;-)

Chuis pas chiant en plus, j'offre l'infra (des hyperviseurs qui ne foutent rien,
on en a 2/3 et le challenge est sympa).

>> Au delà des milles et une petites optimisation possibles pour prestashop, je
>> cherche une solution type CDN qui permette d'encaisser la charge.
> 
> Alors, j'ai vécu ça avec plusieurs clients.
> Si le site n'est pas optimisé, y'a pas de magie : va falloir cacher à
> mort. Surtout que, AFAIK, PrestaShop n'aime pas Varnish.
> 
> Pour un client qui est passé sur Capital, j'ai appliqué la méthode A
> Little Market dont le lien a été posté précédemment : on passe le site
> en read-only, on configure Varnish pour virer les cookies et tout
> cacher. Vraiment tout.
> 
> Si un client fait une action qui demande du "write" (ajout panier,
> login...), on affiche une jolie landing page disant "Désolé, trop de
> connexions, veuillez nous laisser votre email si vous souhaitez être
> recontacté quand le site ira mieux".

Mouarf, c'est pas mal ça. Ca prend 15 minutes de conf et basta ;-)
On le fait pour un autre client mais son site ne pause aucune difficulté à être
totalement statique.

Un bon cache TOTAL avec TTL à 1h, fini. J'aurais aimé leur proposer mieux mais
si ils ne veulent pas de débloquer de budget là dessus, ça va finir comme ça, 
oui.

> Résultat, le site n'a pas planté et on a récolté pleins d'emails qu'on
> a répartis sur plusieurs mailings dans les jours suivants.
> 
> Sinon tu peux toujours essayer d'ajouter X serveurs en backend pour
> garder le site pleinement fonctionnel, mais franchement c'est risqué.

Le challenge est sympa ;-) Il faut juste prévoir la page de maintenance 'au cas
où' (c)2017.

X étant un entier compris entre 2 et 500 en gros. Facile.

Plus sérieusement, le Mariadb va mourir avant de toute façon et on a pas le
temps pour faire du master/slave avec modif de prestashop pour différencier les
lectures des écritures.

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Evenementiel sur un site web

[Julien Escario]

Le 05/04/2017 à 15:54, Boris Pigeot a écrit :
> Passer l'index en .html, pour les soucis de cookie ou autre, t'auras pas
> trop le choix.
>
> Avec nginx (ou haproxy), créer une règle : si "pas encore venu sur le
> site, présenter l'index.html, sinon le vrai .php", je ne saurais le
> faire avec nginx. (Ca pourrait aussi se faire en PHP)

Ah chouette idée ça !
Je pensais leur proposer de créer une landing page genre 'cliquez ici pour
rentrer sur le site' mais ça fait vieillot et ça va leur faire fuir du trafic.

Du coup, tu viens de me donner une possibilité intermédiaire, merci !

> Mettre tout ton statique sur un autre serveur, voir même du mutualisé.

Encore une fois, ce n'est pas le statique qui me tracasse.

> T'as un peu de temps pour voir venir quand même, mais généralement pour
> ce type d'évent, de mon expérience, les internautes vont aller voir, si
> la home est un peu lente, ils iront pas plus loin.

Oui, clairement.

> Donc coder une landing page assez simple d'ici lundi avec des liens vers
> les bons articles.
>
> Bon courage, et n'hésites pas à nous faire un retour sur comment ça a
> été et ce que tu as prit comme solution.

Ben ca dépend aussi de ce que le client est prêt à mettre hein. Parce qu'il fuit
déjà quand je parle de 1500 € de setup pour tout ça.

Comme un con, avec la deadline et comme je n'aime pas bosser en urgence le
week-end, j'ai déjà fait les 3/4 du taf.

Julien





smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Evenementiel sur un site web

[Julien Escario]

Le 05/04/2017 à 15:51, Stéphane Karges a écrit :
> hello,
> 
> ok, lors du premier mail tu parlais de passage a la tele en fait ton client 
> passe dans une emission et tu risque d’avoir une surcharge sur le site.
> 
> du coup pourquoi tu prend pas un S3 amazon et tu colle toute les images etc 
> sur le CDN toi tu ne gère que les infos de base ?

Parce que je n'ai pas de soucis avec le statique ...

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Evenementiel sur un site web

[Julien Escario]

Le 05/04/2017 à 15:45, Emmanuel Jacquet a écrit :
> Je ne connais pas les solutions toutes faites, mais je remet ici un
> lien d'un témoignage que j'avais trouvé intéressant
> 
> https://www.alittlemag.com/effet-capital-m6-comment-tenir-la-charge/

Ah, super retour d'expérience qu'ils ont fait là, merci.

> en gros, prévoir une stratégie qui intègre de la souplesse mais aussi
> la possibilité de couper certaines fonctionnalités (qui sera à mon
> humble avis mieux perçu qu'une erreur 500 :) )

Tout est mieux qu'une page 500 ;-)

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Evenementiel sur un site web

[Julien Escario]

Le 05/04/2017 à 15:25, David Ponzone a écrit :
> Tu peux pas facilement mettre tout ça dans AWS par exemple, pour instancier 
> autant de serveurs front-end que nécessaire et augmenter les perfs du backend 
> pour suivre ?

Le front-end devrait suivre. On a des expériences similaires avec du site
vitrine qu'on a mis intégralement en cache et ça soutient plusieurs milliers de
req/s avec moins de 0.5 de load.

Pour les backend, j'ai l'infra qui va bien pour en mettre un bon paquet sans
avoir besoin d'aller chez EC2.
Bon, certes, on ne fait pas l'autoscaling mais on sait en rajouter plusieurs
dizaines très rapidement (< 1h).

Je cherche une autre option que de multiplier les VMs.

> Sinon, je doute qu’un CDN puisse gérer la partie 
> dynamique/panier/cookies/paiement, mais l’idée d’un CDN dans ce cas 
> n’est-elle pas de décharger les serveurs de tout ce qui est statique (photos 
> etc…) pour qu’ils n’aient plus que la valeur ajoutée à gérer ?

Oui, j'ai parlé de CDN abusivement. On est bien d'accord que la valeur ajoutée
d'un CDN, c'est l'anycast sur le statique, pas la tenue en charge.

> Tu peux facilement faire une maquette avec Cloudflare par exemple, qui est 
> simple à déployer et abordable, et voir combien la plateforme de ton client 
> peut absorber de commandes par heure une fois délestée du tout venant.

Ben ça, j'ai déjà le chiffre : avec deux backends, un MariaDB et un reverse
proxy et après optimisation rapide du tout, je tiens 50 req/s.
Le MariaDB se touche un peu donc j'imagine qu'en multipliant les backends, je
peux pousser encore pas mal (~ x4).

Le gros de la base Prestashop est InnoDB d'où le choix de MariaDB pour avoir
XtraDB. J'avoue que ça change bien les choses pour avoir testé les deux 
aujourd'hui.

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Evenementiel sur un site web

[Julien Escario]

Bonjour,
Un de nos clients va 'passer à la télé'. Aujourd'hui, il a une petite boutique
basée sur Prestashop.

Son infra actuelle n'est évidemment pas du tout adaptée à la masse de trafic
qu'il se prendre sur la tronche lundi soir (oui, oui, le 10/04).

Au delà des milles et une petites optimisation possibles pour prestashop, je
cherche une solution type CDN qui permette d'encaisser la charge.

Je sais proxyfier intelligemment avec Nginx pour utiliser un cache en ram qui
poutre pour tout ce qui est statique.

Je sais aussi multiplier les backend pour encaisser une charge plus importante.

Ma question actuellement étant de trouver une autre option que de lui monter une
infra énorme juste pour un besoin ponctuel.

J'insiste sur le fait qu'il VEND sur son site et que du coup, le site génère un
cookie à la première page vue, notamment pour gérer le contenu du panier.

Est-ce que par hasard vous connaîtriez une solution (je me doute payante) qui
sache encaisser de l’événementiel en collant un reverse proxy particulièrement
malin devant le site pour n'avoir, par exemple, que les validations commandes
qui arrivent sur le backend ?
Un truc simple (et magique !) à mettre en œuvre avec juste un changement DNS ou
peu plus. Bref, qui tienne dans le délai qu'il nous reste.

Merci pour vos lumières !
Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] NFS et ipv6

[Julien Escario]

Le 02/11/2016 à 12:55, Wallace a écrit :
> Salut Julien,
> Il faudrait plus d'infos, dur de t'aider dans ton cas.
> De notre côté on fait des serveurs NFS ipv6 only depuis 7/8 ans sous
> Debian RAS en VM ou physique.
> Les montages sont pas IP par contre, on avait eu des soucis en FQDN en
> Debian 6 et 7, ça montait mais il y avait un souci dans le temps, je
> l'ai plus en tête mais par IP ça juste marche.

Bonjour,
Pardon du délai de retour. Merci pour les infos, c'est déjà une bonne piste
montrant que c'est mon setup qui a un soucis et pas un problème générique de NFS
sur ipv6.

Je vais jouer sur ces trucs en prod donc je dois planifier pour faire 2/3 tests
mais je vous fait un retour ici quand j'ai trouvé.

Bonne journée,
Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] NFS et ipv6

[Julien Escario]

Le 26/10/2016 à 12:50, Julien Escario a écrit :
> Bonjour,
> J'essaie de faire fonctionner un backup de VM sur un export NFS. Après 
> quelques
> galères sur la configuration du sharenfs en ipv6, ça monte bien.
> 
> L'hyperviseur est mono-stack ipv6.
> 
> 
> Seul soucis : quand je lance un backup de VM, ça se fait bien mais explose
> littéralement l'iowait et le load.
> Je n'ai pas ce comportement en ipv4.
> L'hyperviseur est Proxmox 4.2.
> 
> Une idée ? Y'a des bugs connus entre nfs et ipv6 ?

Je suis le seul couillon à faire du NFS sur ipv6 ?

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Kernel live patching (Was : Pour le fun)

[Julien Escario]

Bonjour,
Pour rebondir sur cette histoire d'uptime avec la réponse ultra-standard :
uptime = pas de mise à jour kernel.

La fonctionnalité est maintenant standard depuis le kernel 4.0. Ubuntu a
commencé à fournir le service via Ubuntu advantage.

Outre l'utilisation de snap qui m'irrite un peu, ça reste cher et beaucoup de
fonctionnalités dans Advantage qui ne intéressent pas.

Est-ce que quelqu'un a déjà regardé si c'est faisable avec du Debian ? Par
exemple en testant la version 9 (retardée et pas freezée encore).

A priori, la seule difficulté étant d'avoir les patchs kernel compilés pour sa
version. On revient au make kpkg ?

Julien

Le 31/10/2016 à 12:33, remy.dernat a écrit :
> Comme une petite "bash bomb" connue qui se fork en permanence.
> 
> http://www.cyberciti.biz/faq/understanding-bash-fork-bomb/
> 
> Pour le uptime je n ai jamais rien vu de tel qu une machine netware 
> 
> https://cdn.arstechnica.net/wp-content/uploads/2013/03/intel-server-uptime-640x215.jpg
> 
> Après il y a sûrement quelques vieilles machines unix qui trainent qui n ont
> toujours pas rebootée...
> 
> 
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
> 




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] NFS et ipv6

[Julien Escario]

Bonjour,
J'essaie de faire fonctionner un backup de VM sur un export NFS. Après quelques
galères sur la configuration du sharenfs en ipv6, ça monte bien.

L'hyperviseur est mono-stack ipv6.


Seul soucis : quand je lance un backup de VM, ça se fait bien mais explose
littéralement l'iowait et le load.
Je n'ai pas ce comportement en ipv4.
L'hyperviseur est Proxmox 4.2.

Une idée ? Y'a des bugs connus entre nfs et ipv6 ?

Merci,
Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Pour le fun

[Julien Escario]

Le 26/10/2016 à 11:17, Julien LEQUEN a écrit :
> Moi beaucoup moins bien.
> 
> Julien
> 

Ah oui mais non, mon exemple portait sur un serveur qui est censé livrer des
zolis sites oueb à Mme Michu.
C'était exim qui s’excitait, on l'a calmé.

Masser du thread sur sa machine en local, c'est juste de la triche ;-)

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Pour le fun

[Julien Escario]

top - 10:02:48 up 3 days, 13:51,  1 user,  load average: 615.47, 582.00, 603.97
Tasks: 1957 total,   1 running, 1946 sleeping,   0 stopped,  10 zombie
Cpu(s): 12.1%us, 12.6%sy,  0.0%ni,  0.0%id, 75.1%wa,  0.1%hi,  0.1%si,  0.0%st

Et ça tourne ... (bon ok, c'est mou).

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] ZFSOnLinux et remplacement de disque

[Julien Escario]

Le 24/10/2016 à 15:53, Un a écrit :
>> En revanche, maintenant, il veut que je lui fasse un zpool upgrade. C'est 
>> sans
>> risque ça ? Je peux y aller à chaud ou je fais export/import avant ? (je 
>> précise
> oui, a chaud.
> tu peux même préciser quel version|feature tu veux.
> 
> fait attention à ne pas avoir besoin d'importer ton zpool sur un environnement
> plus ancien. ;-)

Merci, c'est fait ! J'ai eu droit à un :
# zpool upgrade -a
This system supports ZFS pool feature flags.

Enabled the following features on 'backuppool':
  spacemap_histogram
  enabled_txg
  hole_birth
  extensible_dataset
  embedded_data
  bookmarks
  filesystem_limits
  large_blocks


A priori, non, je ne redescendrais jamais en version. Il est d'ailleurs peu
probable aussi que je monte avant un bon petit moment. Ce qui est bien avec ZFS
c'est que tant que n'y touche pas et que ça ne se remplit pas, ça juste marche.

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] ZFSOnLinux et remplacement de disque

[Julien Escario]

Le 18/10/2016 à 11:05, Julien Escario a écrit :
> Donc j'ai plusieurs options :
> 1) smartctl -l scterc,70,70 /dev/disk/by-id/wwn-0x50014ee208b4df37 (le disque 
> à
> moitié H.S.)
> 2) Débrancher physiquement le disque fautif de la machine (ou tout autre
> équivalent potentiellement foireux en cli avec le mptsas)
> 3) Patcher/upgrader mon ZFS qui a dû être installé via le package ubuntu.

Donc, finalement, après avoir pesé le pour et le contre, j'ai tout simplement
fait un :
# zpool offline backuppool wwn-0x50014ee208b4df37

Du coup, le remplacement s'est fait en lisant les données à partir du disque
miroir sain et plus de celui qui était en train de mourir.

Ca vient de terminer, tout bien. Il a juste fallu que je fasse un clear pour
virer les compteurs d'erreurs qui traînaient.

En revanche, maintenant, il veut que je lui fasse un zpool upgrade. C'est sans
risque ça ? Je peux y aller à chaud ou je fais export/import avant ? (je précise
que le pool n'est pas mon boot, j'ai deux petits SSD à côté pour ça).

Thx,
Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Onduleur reconditionné

[Julien Escario]

Le 24/10/2016 à 11:28, Julien Escario a écrit :
> Sauf erreur, le but est de "décollé" l'acide qui a tendance à cristalliser sur
> les parois et les électrodes de la batterie.

Rhaaa, ca pique ... décollER bien sûr. My bad.




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Onduleur reconditionné

[Julien Escario]

Le 23/10/2016 à 09:19, merlin8282 a écrit :
> Concernant les batteries (et cela vaut pour toutes les batteries du type
> batterie au plomb -- et en vrai ça marche même pour les Ni-Cd et les
> Ni-MH mais pas les Li-ion ou Li-po), il est possible de leur redonner du
> pep's en leur appliquant des impulsions de tension (genre ~200V) très
> très brèves. Le procédé prend pas mal de temps (ça peut durer jusqu'à
> 1~2 mois pour bien régénérer une batterie), même si souvent quelques
> jours suffisent à déjà donner des résultats.
> Pour faire court, une recherche sur les mots-clef "régénération batterie
> au plomb" devrait donner assez de résultats ;-)

Sauf erreur, le but est de "décollé" l'acide qui a tendance à cristalliser sur
les parois et les électrodes de la batterie.

A l'époque où les batteries n'étaient pas étanches, l'eau s'évaporait et le
phénomène était bien plus flagrant. Il fallait remettre un peu d'eau de temps à
autre et secouer "fort fort fort".

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] ZFSOnLinux et remplacement de disque

[Julien Escario]

Le 17/10/2016 à 19:13, Olivier Doucet a écrit :
> Le bug suivant semble te concerner : 
> https://github.com/zfsonlinux/zfs/issues/840
> Tu peux essayer : 
> #1 la dernière release ZoL (0.6.5.8)
> si ça ne passe pas, c'est que le patch proposé n'a pas été intégré dedans, et
> donc il va te falloir compiler ZoL avec : 
> 
> https://github.com/zfsonlinux/zfs/commit/d14fa5dba1ad0e68e803435ac48ec1ea78121699
> 
> De quoi occuper ta soirée :p

La lecture du thread en détail m'a déjà bien occupé la soirée, merci ;-)

Donc j'ai plusieurs options :
1) smartctl -l scterc,70,70 /dev/disk/by-id/wwn-0x50014ee208b4df37 (le disque à
moitié H.S.)
2) Débrancher physiquement le disque fautif de la machine (ou tout autre
équivalent potentiellement foireux en cli avec le mptsas)
3) Patcher/upgrader mon ZFS qui a dû être installé via le package ubuntu.

Pas super chaud pour jouer avec des données en prod même si c'est du backup.
Certains clients pourraient mettre des plombes à réuploader toutes les données
si je les perds. Et avec la loi des séries ...

Donc je vais attendre sagement que mon zfs send/receive sur une autre machine se
termine en croisant les doigts pour que ça ne foire pas totalement dans
l'intervalle et je testerais les solutions dans l'ordre.

Je vous redis ça dans quelques jours.

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] ZFSOnLinux et remplacement de disque

[Julien Escario]

Bonsoir,
Un disque d'un zpool est mort (jusque là, rien d'exceptionnel).

J'ai ajouté un disque, rebooté la machine (impossible de faire détecter le
nouveau disque via l'outil de la carte RAID). Un serveur de backup, rien de bien
grave.

Le soucis c'est qu'en rebootant le disque mort est revenu en ligne (je me
demande si ce n'est pas un soucis de backplane d'ailleurs).

J'ai gaiement fait un :
# zpool replace backuppool wwn-0x50014ee208b4df37
/dev/disk/by-id/wwn-0x50014ee0aed608b3

Ca semblait bien sur le papier :
root@backup03:~# zpool status
  pool: backuppool
 state: ONLINE
status: One or more devices is currently being resilvered.  The pool will
continue to function, possibly in a degraded state.
action: Wait for the resilver to complete.
  scan: resilver in progress since Mon Oct 17 17:56:46 2016
12,4G scanned out of 14,4T at 39,8M/s, 105h16m to go
2,25G resilvered, 0,08% done
config:

NAME  STATE READ WRITE CKSUM
backuppoolONLINE   0 0 0
  mirror-0ONLINE   0 0 0
wwn-0x5000cca07323a834ONLINE   0 0 0
wwn-0x5000cca07320be08ONLINE   0 0 0
  mirror-1ONLINE   0 0 0
wwn-0x5000cca05d53c77cONLINE   0 0 0
wwn-0x5000cca05d53b824ONLINE   0 0 0
  mirror-2ONLINE   0 0 0
replacing-0   ONLINE  57 019
  wwn-0x50014ee208b4df37  ONLINE 124 040  (resilvering)
  wwn-0x50014ee0aed608b3  ONLINE   0 0   110  (resilvering)
wwn-0x50014ee25f450bb1ONLINE   0 0 0
  mirror-3ONLINE   0 0 0
wwn-0x50014ee2b4933588ONLINE   0 0 0
wwn-0x50014ee209501544ONLINE   0 0 0
  mirror-4ONLINE   0 0 0
wwn-0x50014ee209316d16ONLINE   0 0 0
wwn-0x50014ee209f33449ONLINE   0 0 0
  mirror-5ONLINE   0 0 0
wwn-0x50014ee25e8699eeONLINE   0 0 0
wwn-0x50014ee2b3dc5d66ONLINE   0 0 0

Le soucis, c'est qu'il semblerait que ca incrémente tout doucement les valeurs
de READ et CKSUM. J'imagine que ce sont des erreurs lecture et checksum.

Ca ne m'embêterait pas si à chaque fois que c'est incrémenté, le resilvering ne
repartait pas à zéro ...

Du coup, j'ai l'impression que mon resilver ne finira jamais (il tourne depuis
quelques jours déjà).

Une idée sur la façon dont je peux m'en sortir ? C'est un serveur de backup donc
je peux mettre hors ligne quelques heures mais si je perds les données, ça va me
prendre DES PLOMBES à tout remettre, sans compter la période de fonctionnement
sans backup 'sec'.

Merci pour vos lumières,
Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] MySQL, wildcard et ipv6

[Julien Escario]

Le 16/09/2016 à 12:52, Un a écrit :
> Le 09/16/16 à 12:30, Julien Escario a écrit :
>> Bonjour,
>> Pour une obscure raison, je dois autoriser un utilisateur MySQL à se 
>> connecter
>> depuis n'importe quelle ipv6.
>>
>> Donc, tout content, je mets un wildcard (%) comme hôte de l'utilisateur.
>>
>> Hé bien figurez vous qu'en ipv4, ça marche nickel mais pas moyen de faire
>> fonctionner l'authentification en ipv6.
>>
>> Il y a une astuce pour faire du wildcard ipv6 avec MySQL ? A priori, je suis 
>> le
>> premier couillon sur terre à vouloir faire un truc pareil (la plupart des 
>> choses
>> que j'ai trouvées demandent comment désactiver l'écoute ipv6).
> 
> "chez moi, ca marche (TM)" ( mariadb 5.x)
>  J'ai pas souvenir d'avoir fait qqch de particulier pour que...

Ah, ben en fait oui. Ca doit être le log de 7k lignes que je viens de lire
*attentivement* un vendredi qui m'a fait pédaler dans un monde parallèle ...

Pardon pour le bruit, l'ipv6 est bien prit en compte dans le wildcard.

Julien






smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] MySQL, wildcard et ipv6

[Julien Escario]

Bonjour,
Pour une obscure raison, je dois autoriser un utilisateur MySQL à se connecter
depuis n'importe quelle ipv6.

Donc, tout content, je mets un wildcard (%) comme hôte de l'utilisateur.

Hé bien figurez vous qu'en ipv4, ça marche nickel mais pas moyen de faire
fonctionner l'authentification en ipv6.

Il y a une astuce pour faire du wildcard ipv6 avec MySQL ? A priori, je suis le
premier couillon sur terre à vouloir faire un truc pareil (la plupart des choses
que j'ai trouvées demandent comment désactiver l'écoute ipv6).

Merci !
Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] des expert Accès parmis vous

[Julien Escario]

Salut,
Moi j'ai un soucis mais ça me fait chier de prendre le temps de 
l'expliquer. J'aimerais qu'un spécialiste vienne dans mon bureau, passer 
1/2 journée à le résoudre, le tout à ses frais.


Merci d'avance !
Julien

Le 18/08/2016 15:53, ay pierre a écrit :

Bonjour a tous ,

Si il y'a un des expert accés ici je suis preneur pour un soucis de
formulaire...

me demander en mp pour plus d'info :)

Merci
___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Vidéo surveillance

[Julien Escario]

Le 22/08/2016 à 17:42, Wallace a écrit :
> Bonjour à tous,
> 
> J'aimerais faire le tour des solutions de NVR pour la surveillance vidéo
> de locaux.

Écoute, ça ne colle peut être pas avec ton besoin mais j'ai eu une démo de la
solution de Jet1oeil(1) et j'avoue que c'est assez délirant en terme de
fluidité, de redimensionnement et de stockage.

Ca synchronise un peu dans tous les sens de l'iphone/android comme viewer et tu
définis tes règles en fonction de la BP disponible. A priori assez peu sensible
aux aléas réseaux puisque je sais qu'ils font pas mal de choses sur les ADSL de
base.

Ce n'est (à ma connaissance) ni libre, ni gratuit. Aucune idée du tarif (j'étais
partenaire technique, pas prospect).

La version que j'ai vue était leur première release stable après 2 ans de dev,
ça a encore dû pas mal évoluer depuis (2 ans).

My 2 cts,
Julien

1: http://www.jet1oeil.com



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Apache/Vhost/VDocRoot & SSL

[Julien Escario]

Le 17/08/2016 13:19, "Sébastien COUREAU" a écrit :
> Bonjour la liste,
> 
> J'utilise pour le compte d'un client les directives UseCanonicalName et
> VirtualDocumentRoot. Jusque là, pas de problème, c'est super pratique pour
> limiter les entrées vhosts dans Apache.
> 
> Là où ca se complique, c'est que ce même client (qui gère quelques grosses
> dizaines de sites webs via ce procédé) voudrait tout passer en SSL (il
> parait que c'est à la mode...)
> 
> Or, je n'ai pas trop envie de me fader à la main la config de tous ses
> vhosts en SSL pour les lignes SSLCertificateFile et SSLCertificateKeyFile.
> 
> Est-il possible d'utiliser les variables %HTTP_HOST pour définir
> dynamiquement les fichiers cert et key à utiliser en fonction de l'URL
> entrée dans le navigateur ?
> 

Et pourquoi ne pas générer un certificat qui prend en charge l'ensemble de ces
domaines ?

Ca dépend beaucoup si c'est du let's encrypt ou un autre fournisseur. Certains
certificats payants peuvent monter à une centaine d'hôtes de mémoire (peut être
plus en cherchant bien).

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Manque des modules dans mon initrd après upgrade [RESOLU]

[Julien Escario]

Je top-poste pour que la réponse soit plus facile à trouver :

Il me manquait une mise à jour du package module-init-tools

Une fois installé, j'ai fait un depmod pour qu'il me régénère tout ça (y compris
un modules.dep.bin), refait mon initrd et tout est dedans.

Voilou, merci pour vos pistes,
Julien

Le 16/08/2016 19:58, Julien Escario a écrit :
> Le 16/08/2016 18:40, Frédéric MASSOT a écrit :
>> Le 16/08/2016 à 16:56, Julien Escario a écrit :
>>> Bonjour,
>>> Une debian me fait un truc assez bizarre : je suis en train de la monter
>>> gentillement de 7 vers 8.
>>> On profite de l'été pour faire ça vu que le serveur est un peu touchy.
>>>
>>> Et là, au moment de monter le kernel en 3.16, l'initrd ne me contient plus 
>>> les
>>> modules virtio_pci (pour le disque) et ext3 (pour le fs).
>>> Bref, je suis tombé sur une belle console busybox et démerde toi.
>>
>> Le module ext4 prends maintenant en charge les systèmes de fichier ext2,
>> ext3 et ext4. Les anciens modules ont été supprimés au profit d'ext4
>> dont le code est plus propre.
> 
> Je confirme, dans mon initrd, je n'ai pas de ext3.ko mais un ext4.ko. Un
> modprobe ext3 doit donc faire appel à un alias.
> 
>>> J'ai fini par réussir à remettre les modules dans les initrd en les 
>>> rajoutant
>>> dans /etc/initramfs-tools/modules et en les chargeant à la main dans le 
>>> busybox.
>>>
>>> Mais c'est moche et mon serveur ne boote toujours pas tout seul proprement.
>>>
>>> Je n'arrive pas bien à comprendre ce qui conditionne les modules ajoutés 
>>> dans
>>> l'initrd et ce qu'il charge automatiquement pour la détection du hardware.
>>>
>>> Pourtant j'ai bien :
>>> # cat /etc/initramfs-tools/initramfs.conf  |grep MODULES
>>> # MODULES: [ most | netboot | dep | list ]
>>> MODULES=most
>>>
>>> Donc normalement, tout ce qui touche au drivers hardware est mis non ?
>>>
>>> Je pensais que les modules chargés au moment de faire mon dpkg-reconfigure
>>> linux-image-3.16.0-4-686-pae seraient automatiquement chargés mais à 
>>> priori, non.
>>
>> Tu as la commande update-initramfs -u -k all ou -k le_nom_de_ton_image
>> pour reconstruire l'initrd.
>>
>> Tu as aussi la commande lsinitramfs pour voir le contenu de ton initrd.
> 
> Ca permet de se passer de cpio en argument, merci.
> 
>> L'année dernière lors de migration j'ai eu des problèmes de construction
>> d'initrd à cause des paquets firmware. Je les ai supprimé et reconstruit
>> l'initrd.
> 
> Hé bien ma foi, pas mieux. Je n'ai toujours pas mon module virtio_pci.
> 
> Je vais continuer à upgrader la machine, peut être qu'une dépendance est mal
> foutue et finira par résoudre le problème.
> 
> Julien
> 
> 
> 
> 
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
> 




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Manque des modules dans mon initrd après upgrade

[Julien Escario]

Le 16/08/2016 18:40, Frédéric MASSOT a écrit :
> Le 16/08/2016 à 16:56, Julien Escario a écrit :
>> Bonjour,
>> Une debian me fait un truc assez bizarre : je suis en train de la monter
>> gentillement de 7 vers 8.
>> On profite de l'été pour faire ça vu que le serveur est un peu touchy.
>>
>> Et là, au moment de monter le kernel en 3.16, l'initrd ne me contient plus 
>> les
>> modules virtio_pci (pour le disque) et ext3 (pour le fs).
>> Bref, je suis tombé sur une belle console busybox et démerde toi.
> 
> Le module ext4 prends maintenant en charge les systèmes de fichier ext2,
> ext3 et ext4. Les anciens modules ont été supprimés au profit d'ext4
> dont le code est plus propre.

Je confirme, dans mon initrd, je n'ai pas de ext3.ko mais un ext4.ko. Un
modprobe ext3 doit donc faire appel à un alias.

>> J'ai fini par réussir à remettre les modules dans les initrd en les rajoutant
>> dans /etc/initramfs-tools/modules et en les chargeant à la main dans le 
>> busybox.
>>
>> Mais c'est moche et mon serveur ne boote toujours pas tout seul proprement.
>>
>> Je n'arrive pas bien à comprendre ce qui conditionne les modules ajoutés dans
>> l'initrd et ce qu'il charge automatiquement pour la détection du hardware.
>>
>> Pourtant j'ai bien :
>> # cat /etc/initramfs-tools/initramfs.conf  |grep MODULES
>> # MODULES: [ most | netboot | dep | list ]
>> MODULES=most
>>
>> Donc normalement, tout ce qui touche au drivers hardware est mis non ?
>>
>> Je pensais que les modules chargés au moment de faire mon dpkg-reconfigure
>> linux-image-3.16.0-4-686-pae seraient automatiquement chargés mais à priori, 
>> non.
> 
> Tu as la commande update-initramfs -u -k all ou -k le_nom_de_ton_image
> pour reconstruire l'initrd.
> 
> Tu as aussi la commande lsinitramfs pour voir le contenu de ton initrd.

Ca permet de se passer de cpio en argument, merci.

> L'année dernière lors de migration j'ai eu des problèmes de construction
> d'initrd à cause des paquets firmware. Je les ai supprimé et reconstruit
> l'initrd.

Hé bien ma foi, pas mieux. Je n'ai toujours pas mon module virtio_pci.

Je vais continuer à upgrader la machine, peut être qu'une dépendance est mal
foutue et finira par résoudre le problème.

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Manque des modules dans mon initrd après upgrade

[Julien Escario]

Le 16/08/2016 17:10, Wallace a écrit :
> De notre côté dans notre procédure de mise à niveau 7 vers 8 on a noté
> de virer toute partition ext2 / ext3 qui traînerait au profit d'ext4,
> xfs ou btrfs en fonction des usages des partitions.

Mouarf, tu ne m'aides pas vraiment là ;-)

Julien





smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Manque des modules dans mon initrd après upgrade

[Julien Escario]

Le 16/08/2016 17:06, Alarig Le Lay a écrit :
> Matin,
> 
> J’ai déjà eu un initrd auquel il manquait des bouts avec une debian
> (c’était LVM). J’ai tout bêtement viré iniramfs-tools au profit de
> dracut, et ça a marché tout de suite.
> C’est pas compliqué, d’un côté on a un truc développé seulement par
> debian, de l’autre un truc hébergé sur kernel.org… le choix est vite
> fait :p

Hum, ok, oui, j'avais vu ça mais là, pour installer dracut, il va falloir que
l'on monte de version un paquet de dépendances pour le coup. Je sens que ca va
être marrant, surtout niveau version de PHP.

Merci pour la piste,
Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Manque des modules dans mon initrd après upgrade

[Julien Escario]

Bonjour,
Une debian me fait un truc assez bizarre : je suis en train de la monter
gentillement de 7 vers 8.
On profite de l'été pour faire ça vu que le serveur est un peu touchy.

Et là, au moment de monter le kernel en 3.16, l'initrd ne me contient plus les
modules virtio_pci (pour le disque) et ext3 (pour le fs).
Bref, je suis tombé sur une belle console busybox et démerde toi.

J'ai fini par réussir à remettre les modules dans les initrd en les rajoutant
dans /etc/initramfs-tools/modules et en les chargeant à la main dans le busybox.

Mais c'est moche et mon serveur ne boote toujours pas tout seul proprement.

Je n'arrive pas bien à comprendre ce qui conditionne les modules ajoutés dans
l'initrd et ce qu'il charge automatiquement pour la détection du hardware.

Pourtant j'ai bien :
# cat /etc/initramfs-tools/initramfs.conf  |grep MODULES
# MODULES: [ most | netboot | dep | list ]
MODULES=most

Donc normalement, tout ce qui touche au drivers hardware est mis non ?

Je pensais que les modules chargés au moment de faire mon dpkg-reconfigure
linux-image-3.16.0-4-686-pae seraient automatiquement chargés mais à priori, 
non.

Vous auriez une piste pour moi parce qu'un truc m'échappe ...

Merci et bonne journée,
Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] FAI "pro" pour "particulier"

[Julien Escario]

Le 10/08/2016 15:09, Xavier Beaudouin a écrit :
> Hello,
> 
> Attention aux surprises qu'engendre les CGN de toute natures qui se profilent 
> de plus en plus, exemple le partage d'ip de Free avec 4 abonnés. Dans ce cas 
> vous pouvez oublier les VPN IPSEC ou GRE... a moins de faire du double NAT ou 
> de faire du GRE + IPSEC sur du v6 ...
> 
> Xavier

Apprendre à faire les choses sur ipv6, c'est plutôt une bonne chose.

Dites vous bien qu'on prend +30%/an en adoption maintenance. Quand c'était de 1%
à 1.3%, on rigolait, maintenant, c'est de 10% à 13%.

Il ne va plus falloir très longtemps (aka quelques années) pour qu'ipv6 soit
majoritaire sur le réseau. Alors on va commencer à voir apparaître des
connexions et des services ipv6 only.

Et sans déconner, une fois passée la demie-journée à comprendre les 2/3
subtilités, tout est tellement plus simple (et propre en général) ...

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [Tech] Malware /Cryptolocker

[Julien Escario]

Bonjour,

Le 26/05/2016 15:06, CORTES Bruno a écrit :

Plop la liste,

 C’est le 1^er thread que j’ouvre, j’espère ne pas trop
faire dans le nimp…

Je (nous, j’imagine également) suis particulièrement concerné par les
malwares/virus chiffreurs qui sévissent sur les postes de travail.

Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien
que les dégâts soient restés circonscrits à un seul poste à chaque fois
(et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais
bien partager les différentes solutions/techniques/restrictions des
users/WTF que vous avez mis en œuvre et pour quel résultat…

Je ne suis pas intéressé par tout le discours marketing trouvable sur
toute les pages d’accueil des différents acteurs sécurité du marché,
mais les expériences tant positives que négatives en terme de
déploiement de solution / mitigation des menaces.


Déjà pas mal évoqué ici.

Notre retour : sur les quelques machines 'end-user' qui restent chez nos 
clients, nous avons déployé Webroot.


Couplé à une bonne évangélisation (allant de "n'ouvrez pas les pièces 
jointes des mails douteux" à des explications plus poussées sur le 
fonctionnement des bestiaux) + un filtrage sur nos MX qui interdit un 
paquet d'extensions (.js en premier) que ce soit en direct, dans un zip, 
un tar.gz, un 7zip, rar, etc ...


Plus de soucis depuis la vague de février/début mars.

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Soutenir FRsAG

[Julien Escario]

Le 18/05/2016 14:12, Greg a écrit :
> Bonjour,
> 
> Je viens de renouveler les frais d'hébergement ainsi que les noms de domaines
> nécessaire au bon fonctionnement de FRsAG.
> 
> Si vous souhaitez soutenir financièrement l'asso, vous pouvez faire un don
> Paypal, même 1€ car si tout le monde participe c'est suffisant ! =>
> http://frsag.org/
> 
> Merci pour votre soutien !
> -- 
> Greg

J'arrive à la bourre mais j'ai fait aussi le racket volontaire.

On peut avoir une quittance pour le comptable ? ;-)

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Enigme réseau

[Julien Escario]

Le 18/05/2016 13:46, Aurélien Besse a écrit :
> Salut Olivier
> 
> Malheureusement je n'ai pas accès à l'intégralité des équipements de la 
> liaison :(
> 
> Cependant je n'arrive pas à comprendre pourquoi sur le vlan60 avec scp j'ai 
> les
> bonnes perf et que sur le vlan20 les perfs sont cata mais sur les deux vlan le
> iperf est bon...c'est dingue

Déjà, si tu n'as pas accès à tous les équipements, peut être qu'il y a une
différence de traitement entre le VLAN20 et le VLAN60. Perso, je pencherais pour
un truc avec la MTU. Y'a ça aussi sur un VLAN non ?

Sinon, peut être le moment de passer cette question sur frnog, ça me paraît plus
approprié.

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Question switchs infra virtualisation

[Julien Escario]

Bonjour,

Le 16/05/2016 09:16, benoit mordac a écrit :

Bonjour,

Je souhaiterais avoir des retours d'expériences et des conseils sur un
choix de switchs. Nous allons progressivement renouveler nos SAN par de
nouveaux modèles en 10Gb/s. L'infrastructure actuellement en prod a été
construite par mes prédécesseurs autour de switchs HP Procurve (8206 et
6600).

Je ne suis pas très familier des switchs HP, et avec les modèles H3C, je
ne comprends pas trop le positionnement des gammes ProCurve et
Comware... est-ce qu'il vont maintenir les 2, est-ce que l'on doit voir
la gamme Comware comme du lowcost d'HP (ou inversement) ?

Vis à vis des évolutions prévues, mon besoin porterait donc sur un total
de 64 ports 10Gb/s, donc a priori 2 switchs 48 ports...  stackable ou
pas ... c'est discutable (avantage du stack, risque du spof applicatif
...).

Avec le flou autour d'HP je n'exclus pas la possibilité de partir chez
un autre constructeur, il faudra juste convaincre les collègues frileux
au changement ...

Que pensez-vous également des switch Dell (gamme Force10) ?  Sinon quels
sont vos conseils ? Le coût restera un élément important ...

En vous remerciant d'avance pour vos retours.


Je n'ai pas encore vu le moindre retour sur les solutions Supermicro 
mais par exemple avec ça :

https://www.supermicro.nl/products/accessories/Networking/SSE-X3648S.cfm

Et des câbles QSFP+ -> 4x SFP+. tu as théoriquement 72 ports 10 Gbps 
dans 1U donc ton besoin tiens dans un switch.


Et en bonus, tu peux mettre du Cumulus Linux pour faire du SDN tout bien 
comme il faut.


De mémmoire, le switch coûte autour entre 4000 et 8000 € H.T. (suivant 
le revendeur, le promo du moment, etc ...).


Et donc quelqu'un a déjà utilisé du switch Supermicro ?

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Redimensionner une partition en utilisant TOUT l'espace disque restant

[Julien Escario]

> Précision par rapport à la commande "parted resizepart" que j'ai donné, c'est
> dispo à partir de parted 3.2 (Mais comme t'as pas précisé ta distro, on ne 
> sait
> pas)

Ubuntu 16.04 :
# parted -v
parted (GNU parted) 3.2

Ouf ;-)

> Sinon pour la taille de fin tu peux la donner en pourcentage ou utiliser -1...
> (Extrait de help mkpart ci-dessous)
> 
>> DEBUT et FIN sont des emplacements sur un disque, comme 4GB ou 10%. Les
>> valeurs >négatives se comptent à partir de la fin du disque. Par exemple, 
>> =-1s
>>spécifie précisément le dernier secteur.

Ah ben, voilà, super ça ! C'est l'info que j'ai zappée (merci à Yann et toi qui
me donnez le truc qui débloque).

Donc (bon, là j'ai encore une partition étendue, pas glop) :

parted /dev/vda resizepart 2 100%
parted /dev/vda resizepart 5 100%
pvresize /dev/vda5
lvresize -l+100%FREE /dev/monvg/monlv
resize2fs /dev/monvg/monlv

Et le tour est joué ! Sans avoir à s'inquiéter un seul instant de la taille du
disque, il utilise ce qui est dispo, point barre et j'ai mon espace à 
disposition.

Bon, on est bien d'accords que ça ne marche que pour du 'grow'. Pour du shrink,
c'est autrement plus touchy.

Merci !
Julien





smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Redimensionner une partition en utilisant TOUT l'espace disque restant

[Julien Escario]

Le 12/05/2016 18:34, fr...@jack.fr.eu.org a écrit :
> Je partage d'avis de domi
> Modifier des partitions, les aggrandir (et pire, les réduire), j'ai
> toujours constatés que c'était casse-gueule
> C'est à dire, non fiable à 100%, non idiot-proof, facile de se gourrer
> et de défoncer son FS

M'en fout en fait. Je peux tuer le FS, ça pourra bien m'en toucher une sans
faire bouger l'autre ((c) un ancien président de nous).

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Redimensionner une partition en utilisant TOUT l'espace disque restant

[Julien Escario]

Le 12/05/2016 18:21, Benjamin Boudoir a écrit :
> Le 12/05/2016 17:33, Julien Escario a écrit :
>> parted ne semble pas le faire tout seul (il faut supprimer l'ancienne part et
>> recréer en lui donnant l'adresse de début et de fin manuellement).
> 
> C'est la façon normale de faire. "Supprimer" la partition consiste à la
> supprimer de la table des partitions et pas de la supprimer physiquement.
> Il faut donc la supprimer pour la recréer avec une fin plus longue.

On est d'accord. Le seul point important ici étant que la part garde son premier
secteur. Mais toujours pas d'automatisme pour récupérer le dernier secteur.

> Après, un coup de pvresize.

Alors étonnamment, pvresize, si je ne lui donne pas de taille, il prend tout ce
qu'il a à dispo. Pourquoi pas la même chose sur la partition ?

>> Un petit soft magique qui sait faire ça ?
> 
> Y'a pas de magie, si un soft fait ce que tu veux, il le fera de la même 
> manière
> que décrit précédemment c'est juste qu'il ne te préviendra pas.

C'est tout ce que je demande comme magie.

Sinon je le scripte en utilisant la sortie de parted hein mais réinventer la
roue, toussa ...

Julien





smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Redimensionner une partition en utilisant TOUT l'espace disque restant

[Julien Escario]

Le 12/05/2016 18:15, Alarig Le Lay a écrit :
> On Thu May 12 17:33:46 2016, Julien Escario wrote:
>> Bonjour,
>> Petit truc que je n'arrive pas à faire en one-liner : j'ai une partition qui 
>> est
>> un PV LVM (/dev/vda5). J'ai augmenté la taille du disque à chaud et je 
>> cherche
>> maintenant comment scripter mon truc pour qu'il redimensionne cette partition
>> pour utiliser TOUT l'espace disque en fin de disque (ma partition est
>> volontairement la dernière).
>>
>> Sachant que la taille du disque peut être variable. Après, je ferais mon
>> lvresize/vgresize/lvresize.
>>
>> En gros, j'aimerais faire l'équivalent de lvresize -l+100%FREE mais pour une
>> partition, pas un logical volume.
>>
>> parted ne semble pas le faire tout seul (il faut supprimer l'ancienne part et
>> recréer en lui donnant l'adresse de début et de fin manuellement).
>>
>> Un petit soft magique qui sait faire ça ?
>>
>> Merci !
>> Julien
> 
> Bonjour,
> 
> Tu peux le faire avec parted :
> https://www.centos.org/docs/5/html/5.2/Deployment_Guide/s2-disk-storage-parted-resize-part.html
> 
> Je l’ai déjà fait pour une partition LVM dans un LUKS.

Justement non. Parted veut la 'starting place' et la 'ending place' en MB.
Autant la 'starting place' sera toujours la même, autant la 'ending place' mon
script ne la connaît pas.
Ca doit pouvoir se scripter mais j’espérais un truc plus 'out of the box'.

Je trouve bizarre que l'on ne puisse pas dire à parted : grow cette partition au
maximum de ce qui est dispo sur le disque (mettons jusqu'à la prochaine part au
moins).

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Redimensionner une partition en utilisant TOUT l'espace disque restant

[Julien Escario]

Bonjour,
Petit truc que je n'arrive pas à faire en one-liner : j'ai une partition qui est
un PV LVM (/dev/vda5). J'ai augmenté la taille du disque à chaud et je cherche
maintenant comment scripter mon truc pour qu'il redimensionne cette partition
pour utiliser TOUT l'espace disque en fin de disque (ma partition est
volontairement la dernière).

Sachant que la taille du disque peut être variable. Après, je ferais mon
lvresize/vgresize/lvresize.

En gros, j'aimerais faire l'équivalent de lvresize -l+100%FREE mais pour une
partition, pas un logical volume.

parted ne semble pas le faire tout seul (il faut supprimer l'ancienne part et
recréer en lui donnant l'adresse de début et de fin manuellement).

Un petit soft magique qui sait faire ça ?

Merci !
Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [JOB] DevOps Engineer

[Julien Escario]

Le 10/03/2016 13:45, Antoine Benkemoun-André a écrit :
> Bonsoir à tous,
> 
> Suite à la forte croissance de notre société, nous recherchons un
> ingénieur Devops basé au bord du Lac Léman à Lausanne.
> 
> L'annonce est disponible ici pour ceux que ca pourrait intéresser :
> https://s3-eu-west-1.amazonaws.com/www-nexthink/careers/doc/Job-Ad_DevOps-Engineer.pdf
> 

Attention, troll inside : et un mec qui sait faire du DNS peut être aussi non ?

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Log des accès web

[Julien Escario]

Le 10/03/2016 11:10, Manu a écrit :
> 
> 
> Le 10/03/2016 11:06, Laurent a écrit :
>> Un bonne charte informatique bien dissuasive, et ça calme les esprits..
> 
> Perso je préfère cette manière, mais j'imagine que dans certains cas c'est 
> trop
> compliqué.
> 
> Alors sinon, y'a une page de la CNIL très bien faite :-) et à jour.
> 
> https://www.cnil.fr/fr/le-controle-de-lutilisation-dinternet-et-de-la-messagerie-electronique

Et on notera aussi au passage que pour la CNIL Internet = web et que la
messagerie, c'est plus Internet. Bien aussi pour entretenir la confusion sur ce
qu'est le net au final.

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Xeon E5645

[Julien Escario]

Bonjour,
Je suis à la recherche d'un couple de Xeon E5645 pour recycler une machine un
chouilla vieillotte et ça devient vraiment difficile à trouver.

Est-ce que quelqu'un aurait ça qui traîne dans une machine qui part à la casse
et pourrait me les vendre ?
Je peux payer en paypal, chèque ou bières (ça risque de faire une bonne biture
quand même).

Merci !
Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Fwd: Re: Resize de QCOW

[Julien Escario]

Ce qui me stresse toujours quand je fais du shrink c'est :
* ext3/4 ne supporte pas le shrink à chaud
* Une fois le filesystem resizé, il faut shrinker la partition : comment elle
sait où commence et où termine le fs ?
* Et quand on resize le qcow2 : comment il sait où commencent (vraisemblablement
secteur 0) et terminent les partitions pour éviter d'écraser la fin d'une part ?

D'ailleurs, que ce soit du qcow2 ou un LV en RAW, même combat.

Julien

Le 22/10/2015 14:41, Alexis Lameire a écrit :
> -- Message transféré --
> De : "Alexis Lameire"  >
> Date : 22 oct. 2015 2:40 PM
> Objet : Re: [FRsAG] Resize de QCOW
> À : "Feraudet Cyril" >
> Cc :
> 
> Qemu gère le resize de qcow2 à chaud pour l'agrandissement et à froid pour la
> réduction.
> 
> Le man de qemu-img est très clair à ce sujet
> 
> Alexis
> 
> Le 22 oct. 2015 10:55 AM, "Feraudet Cyril"  > a écrit :
> 
> Salut,
> 
> Merci pour ta réponse, malheureusement le seul espace disponible est celui
> que je veux récupérer, l'hyperviseur est plein comme une barrique -_-
> 
> Une voie que j'explore pour faire de la place, ré-étendre le PV, créer un 
> LV
> vide avec des 0 grâce à dd puis récupérer la place avec qemu-img compact.
> 
> Je cherche tout de même une solution plus élégante avant ...
> 
> On 22/10/2015 10:43, j...@captainadmin.com  
> wrote:
> 
> Hello,
> 
> Normalement ton disque Qcow2 est extensible et suit le volume physique
> pris par la vm.
> Si tu veux faire du ménage proprement sans tout casser, j'éviterais de
> shrinker le disque.
> C'est assez sensible et sans garantie de perte de données ou de 
> machine.
> 
> Lorsque l'on fait de la virtualisation, il y a une facon très simple 
> de
> procéder.
> Tu génères une nouvelle vm à coté avec les nouveaux systèmes de 
> fichiers
> que tu souhaites mettre en place
> pour finir rien de plus simple, tu synchronises les 2 serveurs
> Depuis l'ancien serveur :
> rsync -axvH "--exclude=/dev --exclude=/proc --exclude=/boot" /
> root@newhost:/
> 
> Tu coupes l'ancien, démarre le nouveau, et tout devrait être 
> opérationnel.
> 
> Tu évites les manipulations douteuses et les possibles pertes de 
> disques
> sur ton serveur.
> La coupure de service est minime.
> 
> Bon courage
> http://www.captainadmin.com
> 
> 
> Le 22-10-2015 10:08, Feraudet Cyril a écrit :
> 
> Bonjour à tous,
> 
> Avant qu'il soit trop tard je prends conseil :
> 
> J'ai un QCOW2 de 100GB sur un ProxMox, je veux le shrinker à ~ 
> 20GB
> 
> Dedans j'ai :
> 
> root@pouet:~# fdisk -l /dev/sda
> 
> Disk /dev/sda: 107.4 GB, 107374182400 bytes
> 255 heads, 63 sectors/track, 13054 cylinders, total 209715200
> sectors
> Units = sectors of 1 * 512 = 512 bytes
> Sector size (logical/physical): 512 bytes / 512 bytes
> I/O size (minimum/optimal): 512 bytes / 512 bytes
> Disk identifier: 0x000cb9d9
> 
>Device Boot  Start End  Blocks   Id  System
> /dev/sda1   *2048  499711  248832   83  Linux
> /dev/sda2  501758   209713151   1046056975 
> Extended
> /dev/sda5  501760   209713151   104605696   8e  Linux 
> LVM
> 
> 
> 
> Dans le sda5 j'ai un VG :
> 
> root@pouet:~# pvs
>   PV VG   Fmt  Attr PSize   PFree
>   /dev/sda5  pouet lvm2 a--   99,76g 85,76g
> 
> 
> Dans mon VG j'ai :
> 
> root@pouet:~# lvs
>   LV VG   Attr LSize  Pool Origin Data%  Move Log
> Copy%  Convert
>   root   pouet -wi-ao-- 10,00g
>   swap_1 pouet -wi-ao-- 4,00g
> 
> 
> Le LV root a déjà subi un shrink FS + LV de 95GB à 10GB et c'est 
> donc
> le bazar dans le PV /dev/sda5 :
> 
> root@pouet:~# pvs -v --segments /dev/sda5
> Using physical volume(s) on command line
>   PV VG   Fmt  Attr PSize  PFree  Start SSize LV  
>  
>  Start Type   PE Ranges
>   /dev/sda5  pouet lvm2 a--  99,76g 85,76g 0  2560 root   
>   
>  0 linear /dev/sda5:0-2559
>   /dev/sda5  pouet lvm2 a--  99,76g 85,76g  2560 21954
>  
>   0 free
>   /dev/sda5  pouet lvm2 a--  99,76g 85,76g 24514  1024 swap_1 
>   
>  0 linear /dev/sda5:24514-25537
> 
> 
>  

Re: [FRsAG] swap deleted

[Julien Escario]

Le 28/08/2015 17:44, Jérôme Drouet a écrit :
 Voila pourquoi il vaut mieux mettre sa swap sur une partition RAID ;)

Mouais, je me suis souvent posé la question et outre le gâchis d'espace disque
que ça représente, c'est surtout un gâchis de perf (en lecture ou en écriture
suivant le lvl RAID).

 t'as essayé de mettre une autre partition de swap avec une priorité plus 
 élevée
 que ta feu /dev/sda1 ?
 man swapon, mais ca devrait etre --priority

Ouep, ca m'est venu après mon mail :
# swapon -s
FilenameTypeSizeUsedPriority
/dev/sda1 (deleted) partition   9764860 6324-1
/dev/sdb1   partition   9764860 0   0

Donc à priori, mon /dev/sdb1 sera prit en priorité. Ca devrait me laisser la
marge suffisante. Sachant qu'on est bien d'accords hein, le but c'est quand même
de ne jamais swapper (sauf sur SSD et encore).

 sous linux :
 $ cat /proc/swaps
 FilenameTypeSizeUsedPriority
 /dev/sda7   partition1943796010
 /mnt/caddy/swapfile.raw file2097148159316100

Je pense qu'il ne veut pas me faire mon swapoff parce qu'il y a encore du 'used'
dessus. Du coup, je me suis dit que je pourrais faire une liste des processus
qui utilisent le swap et les redémarrer un par un.

Perdu, le processus 0 (init) utilise mon swap. Je ne vais pas couper à un reboot
pour mettre la situation au propre. Et allé, encore une nuit morcelée ce
week-end ...

 mes 2 cents
 
 Jérôme

Merci pour la réponse du vendredi 18h ;-)

Julien

 Le 2015-08-28 17:32, Julien Escario a écrit :
 Bonjour,
 Petit quiz pour finir la semaine :
 Disque /dev/sda H.S. sur une machine (RAID, rien de méchant), disque changé 
 mais
 sans 'éteindre' le disque avant.
 Du coup, j'ai ça :
 /dev/sda1 (deleted) partition9764860405284-1
 /dev/sdb1   partition97648600-2

 swapoff -a m'arrête bien /dev/sdb1 mais le sda1.

 # swapoff /dev/sda1
 swapoff: /dev/sda1 : échec de swapoff: Argument invalide

 Bon, on est d'accords, la partition n'existe plus, le disque non plus
 d'ailleurs.

 Comment je fais pour virer ce swap device qui me génère des tonnes de :
 [42527484.669407] Write-error on swap-device (8:0:1227512)

 Pour l'instant, j'ai fait un :
 sysctl vm.swappiness=0

 Assez de RAM libre pour ça mais à un moment où à un autre, ça va foirer ;-)

 Une idée ?

 Julien


 ___
 Liste de diffusion du FRsAG
 http://www.frsag.org/




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] swap deleted

[Julien Escario]

Bonjour,
Petit quiz pour finir la semaine :
Disque /dev/sda H.S. sur une machine (RAID, rien de méchant), disque changé mais
sans 'éteindre' le disque avant.
Du coup, j'ai ça :
/dev/sda1 (deleted) partition   9764860 405284  -1
/dev/sdb1   partition   9764860 0   -2

swapoff -a m'arrête bien /dev/sdb1 mais le sda1.

# swapoff /dev/sda1
swapoff: /dev/sda1 : échec de swapoff: Argument invalide

Bon, on est d'accords, la partition n'existe plus, le disque non plus 
d'ailleurs.

Comment je fais pour virer ce swap device qui me génère des tonnes de :
[42527484.669407] Write-error on swap-device (8:0:1227512)

Pour l'instant, j'ai fait un :
sysctl vm.swappiness=0

Assez de RAM libre pour ça mais à un moment où à un autre, ça va foirer ;-)

Une idée ?

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] swap deleted

[Julien Escario]

Le 28/08/2015 18:22, Alarig Le Lay a écrit :
 On Fri Aug 28 17:51:57 2015, Julien Escario wrote:
 Je pense qu'il ne veut pas me faire mon swapoff parce qu'il y a encore du 
 'used'
 dessus. Du coup, je me suis dit que je pourrais faire une liste des processus
 qui utilisent le swap et les redémarrer un par un.

 Perdu, le processus 0 (init) utilise mon swap. Je ne vais pas couper à un 
 reboot
 pour mettre la situation au propre. Et allé, encore une nuit morcelée ce
 week-end ...
 
 Je ne pense pas, chez moi il remet tout le swap en RAM dans ce cas, puis
 désactive le swap :
 airmure ~ # swapon -s
 Nom de fichierTypeTaille  Utilisé 
 Priorité
 /dev/sda2 partition   9437180 744888  
 -1
 /dev/dm-8 partition   8171516 0   
 -2
 airmure ~ # swapoff /dev/sda2
 airmure ~ # swapon -s
 Nom de fichierTypeTaille  Utilisé 
 Priorité
 /dev/dm-8 partition   8171516 0   
 -1
 airmure ~ # swapon /dev/sda2
 airmure ~ # swapon -s
 Nom de fichierTypeTaille  Utilisé 
 Priorité
 /dev/sda2 partition   9437180 0   
 -2
 /dev/dm-8 partition   8171516 0   
 -1
 
 Ceci dit, là il aura du mal à mettre le swap en RAM vu qu’il n’est plus
 accessible. Si tu ajoutes l’option -v, il dit quoi ?

Bof :
# swapoff -v /dev/sda1
swapoff sur /dev/sda1
swapoff: /dev/sda1 : échec de swapoff: Argument invalide

Utile le verbose ;-)

 Autres questions, le /dev/sda1 actuel est-il un espace de swap ? Tu as
 essayé de refaire un swapon /dev/sda1 par dessus ? Je ne sais pas du
 tout si ça va marcher, mais ça ne coûte rien.

Vu que le disque a déjà été détecté en temps que /dev/sdc, /dev/sda, c'est juste
un fantôme lié au fait que le disque n'a pas été totalement désactivé avant
d'être 'hot swappé'. Probablement le swap d'ailleurs.
On a une procédure pour couper totalement un disque avant de faire un hot swap
mais dans l'urgence, y'a des détails qui échappent parfois.

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] swap deleted

[Julien Escario]

Le 28/08/2015 18:27, merlin8282 a écrit :
 Salut tout le monde,
 
 Il y avait des données dans cette swap, cela va de toute façon poser
 souci tôt ou tard, non ?

Boh, si les processus avaient pu être stoppés (ou killés) un par un, ça aurait
pu aller. Mais là, oui, ça va finir par m’exploser au visage tôt ou tard. D'où
le besoin de faire un reboot.

J'ai pu faire du ménage mais il reste quand même ça :
PID=1 - Swap used: 1268 - (init )
PID=384 - Swap used: 380 - (systemd-udevd )
PID=694 - Swap used: 232 - (dbus-daemon )
PID=703 - Swap used: 292 - (systemd-logind )
PID=844 - Swap used: 156 - (getty )
PID=846 - Swap used: 156 - (getty )
PID=853 - Swap used: 156 - (getty )
PID=854 - Swap used: 156 - (getty )
PID=856 - Swap used: 160 - (getty )
PID=880 - Swap used: 104 - (irqbalance )
PID=1651 - Swap used: 148 - (getty )
PID=3483 - Swap used: 100 - (sh )
PID=3485 - Swap used: 172 - (sulogin )
PID=15838 - Swap used: 96 - (upstart-udev-br )
PID=15841 - Swap used: 92 - (upstart-file-br )
PID=15844 - Swap used: 92 - (upstart-socket- )
PID=23605 - Swap used: 572 - (sshd )
Overall swap used: 4332

c'est tout particulièrement le init et le irqbalance qui m'embêtent :-(

Julien



smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] swap deleted

[Julien Escario]

Le 28/08/2015 18:10, Benjamin Boudoir a écrit :
 Le 28/08/2015 17:51, Julien Escario a écrit :
 Perdu, le processus 0 (init) utilise mon swap. Je ne vais pas couper à un 
 reboot
 pour mettre la situation au propre. Et allé, encore une nuit morcelée ce
 week-end ...
 
 Si c'est du cache, tu as essayé de le vider avec sysctl (sysctl -w
 vm.drop_caches=3) ?

Pas mieux, c'est pas du cache. Bon, du coup, j'ai mis une claque aux disques
pour reconstruire le cache. Allé, c'est vendredi soir ;-)

Julien




smime.p7s
Description: Signature cryptographique S/MIME
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Mail from check

[Julien Escario]

Le 21/07/2015 16:16, Guillaume Hilt a écrit :
 Mets une exception, c'est comme ça depuis des années et atos ne bougera pas.

Ce que je viens de faire. Au final, vu le peu de réaction de la liste, on va le
garder et on gérera les quelques cas particuliers des mecs qui ne savent pas
respecter les bonnes pratiques.

En plus, j'ai l'impression que ca nous fait un peu moins de sp...messages
publicitaires en moins. On ne va pas pleurer même si ce n'est pas du spam au
sens de la loi.

Merci,
Julien

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Mail from check

[Julien Escario]

Le 21/07/2015 17:48, Simon Morvan a écrit :
 On 21/07/2015 16:03, Julien Escario wrote:
 Le mail a supp...@e-transactions.fr comme from mais se présente avec une 
 autre
 adresse dans la transaction SMTP :
 qmail-smtpd: pid 11718 C: MAIL FROM:u...@sips-atos.com
 Comme tous les mails que tu reçois sur cette liste, non ?
 
 Que tu vérifie que le Return-Path annoncé soit capable de traiter un
 éventuel bounce est une chose, mais vouloir que le MAIL FROM et le From
 matchent, ca ne me semble pas forcément légitime.

Ah, super remarque, merci !

Effectivement, mon check ne vérifie pas du tout que le return-path et le from
soient cohérents. A éviter donc.

Je ne fais qu'une vérification sur la validité du return-path (sur le mail from
dans le dialogue smtp plus précisément).
Et ça, à priori, les sympas et autres ezmlm font attention que ça réponde
correctement.

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/