Re: [FRsAG] remplacer ce bon vieux nagios

[Mrjk]

Yop,

Dans la veine de Nagios:
- Shinken, classique, la suite logique de nagios.
- Shinken Pro: A éviter comme la peste, vraiment, j'ai eu de sales
surprises avec :-(  (Utilisé une version courante il y'a moins d'un
an)
- Alignak, un fork "hostile" de Shinken, car le mainteneur principal
refusait d'implémenter des tests unitaire, et d'autres bebelles...
(jamais testé, mais c'est des copains qui développent la solution)

A éviter:
- Nagios: ca devait etre cool en 1950 (je devais pas etre né)
- Centréon: Usine à gaz, clairement. Tout se fait en cliquant, pleins
de briques qui sont assemblée ensemble, mais c'est pas super bien
fait. (Utilisé en prod il y'a 3 ans, j'ai viré cette techno de mon CV)
- Sensu: Simple a installer/configurer, mais c'est du moniroting de
kikoolol, il manque trop de fonctionnalités pour que ça soit
interressant pour un vrais prod. Si tu as de simples besoins, ca
devrait tout de meme faire l'affaire, mais pas plus. (je l'utilise
actuellement)



--
MrJK
Website: http://jeznet.org/


Le 24 août 2017 à 10:51, ML <li...@websiteburo.com> a écrit :
> nagios vieux car :
>
> plus présent dans debian 9
> compatibilité de l'extension nagios checker bar dans ffx qui déconne
> pas d'application iphone / je sais pas si celle d'android marche encore
>
> sinon il marche impec et depuis le temps que je l'utilise je le connais par
> coeur ^^
>
> tout à fait d'accord concernant promethus / grafana / influxDB ça s'approche
> plus de la métrologie que du monitoring server.
>
>
> Le 24/08/2017 à 16:43, Wallace a écrit :
>
> Shinken en remplacement oui, oubli Centreon qui est une usine à gaz (tu
> supprimes des machines d'un poller elle restent dans l'interface, t'as la
> base SQL qui grossit sans jamais se vider ...)
>
> Néanmoins j'adore dans Nagios avoir automatisé la création de la
> configuration, le fait que simplement on peut lui dire ce serveur est en
> maintenance, ne supervise plus tel service pendant 5 min ...
>
> Un ami dans une entreprise intl de gestion de paye me disait être revenu à
> Nagios car les dernières versions ont sacrément accéléré en performance par
> rapport à l'époque du lancement du Shinken.
>
> Ils ont mis pas mal de fonctionnalités en plus mais plutôt dans la version
> payante.
>
> Shinken le seul intérêt que j'y vois c'est la compatibilité Nagios et avec
> un peu de conf en plus le multi poller facile à déployer.
>
> Zabbix j'adhère pas du tout à l'organisation et l'esprit de l'interface.
>
> Les autres pas testé mais clairement je met pas les solutions qui
> s'articulent autour d'ELK dans la catégorie supervision, pour moi c'est de
> la métrologie qui si elle détecte quelque chose doit informer la
> supervision.
>
> La vrai question c'est pourquoi tu estimes que Nagios se fait vieux? Quel
> besoin tu as?
> Des interfaces y en a des tonnes y compris des récentes sur github pas
> forcément publiée sur nagios exchange.
>
>
> Le 24/08/2017 à 16:11, ML a écrit :
>
> Bonjour cher confrères,
>
> Notre nagios commence à se faire vieux et hormis Zabbix, je peine à lui
> trouver un remplaçant simple à mettre en oeuvre.
> On adore la nagios bar pour firefox et les app sur android... mais pareil ça
> commence à ne plus être compatible avec les versions récentes.
>
> Quels sont vos outils préférés pour monitorer vos serveurs (chez nous on a
> que du serveur web a surveiller) ?
>
> Voici ce que mes recherches ont donné jusqu'ici :
>
> - Zabbix : pas mal mais un peu complexe à mettre en place et pas
> d'extensions pour navigateur ou smartphone
> - Netdata : très bien pour faire des graphes en temps réel mais les alertes
> sont mal foutues et peu explicites
> - Centreon : pas testé.
> - Prometheus.io : faut tout faire soit même ? pas bien compris.
>
> Merci d’avance pour vos réponses.
>
> Quentin
>
>
>
>
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
>
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Team Password Manager

[MrJK]

Yop, 

On a un truc qui s'appelle sflfault, qui stocké à la fois les MDP et gère les 
connexion. C'est le logiciel qui a le plus répondu à nos attentes.

Seul truc c'est que ça manque de mainteneurs, et le logiciel manque d'amour. 
Donc je suis pas sûre que ça plaise à tout le monde ...

Le 6 janvier 2017 18:20:47 GMT-05:00, Olivier Calzi  a écrit :
>Hello la liste,
>
>Je lance une bouteille à la mer après avoir fait quelques recherches
>(quand même...).
>
>
>Problématique :
>
>Gestion des mots de passe en équipe, sujet vaste et compliquée.
>
>Lien web,rdp etc vers machine,firewall,ssh en prod chez client, etc...
>
>On se demande si y'as pas moyen de faire  sa plus intelligemment...
>
>Pour les accès SSH, la question ne se posent pas car nous souhaitons
>fonctionne avec le combo clés ssh + sudo.
>
>
>Mais pour le reste
>
>En bref, comment vous faites ?
>
>
>Merci et bon week-end.
>
>Olivier Calzi
>
>
>
>___
>Liste de diffusion du FRsAG
>http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [Outils] Gestion centralisée des iptables - web

[Mrjk]

Ok, je comprends. Au risque de faire un HS, il existerait ça:
https://github.com/ansible-semaphore/semaphore , qui est une
alternative à Ansible Tower, mais je n'ai pas encore testé, donc pas
sure que ça réponde à ton besoin. Coté Puppet, on va trouver Foreman,
mais bon, c'est un peu une usine à gaz à mon sens ...

A part coder ta petite webapp, je vois plus trop et je laisse la place
aux suivants ;)
--
MrJK
GPG: https://jeznet.org/jez.asc


Le 26 décembre 2016 à 15:16,  <figuiere.clem...@free.fr> a écrit :
> Oui mais l'ui est "obligatoire" dans le sens ou nous sommes plusieurs admin 
> dans le bureau mais seulement deux sous linux, les autres sous win donc 
> manquent d'outils... Une petite ui web est donc nécessaire afin de faciliter 
> l'utilisation pour tout le monde.
>
> Cordialement,
>
> FIGUIERE Clément.
> .--.
>|o_o |
>|:_/ |
>   //   \ \
>  (| | )
> /'\_   _/`\
> \___)=(___/
>
> - Mail original -
> De: "Mrjk" <mrjk...@gmail.com>
> À: "babounx baboun" <babo...@gmail.com>, "figuiere clement" 
> <figuiere.clem...@free.fr>
> Cc: "Landry Minoza" <landry.minoza+fr...@gmail.com>, "French SysAdmin Group" 
> <frsag@frsag.org>
> Envoyé: Lundi 26 Décembre 2016 15:07:46
> Objet: Re: [FRsAG] [Outils] Gestion centralisée des iptables - web
>
> Bah oui, Puppet ou surtout Ansible dans ce cas, c'est marrant que ces
> réponses n'aient pas poppées en premier ^^
>
> Maintenant, ça sait même parler à certaines blackbox, appliances,
> cisco/forti/que sais-je ... Je regarderais plutôt de ce coté en ce qui
> me concerne. Pour le coté interface UI, bah j'ai tendance à croire que
> c'est plus forcement nécéssaire quand tu te contente de manipuler du
> YAML. Mais là, c'est les gouts et les couleurs, à chacun de dire.
>
> --
> MrJK
> GPG: https://jeznet.org/jez.asc
>
>
> Le 21 décembre 2016 à 16:59, babounx baboun <babo...@gmail.com> a écrit :
>> Si c'est bien ficelé, tu peux gérer la conf avec Puppet. Foreman te fournira
>> l'interface graphique.
>> Je n'ai pas encore eu ce besoin, mes recherche à une époque était la gestion
>> des conf via une interface (firewall builder) pour finalement finir à la
>> mano :)
>>
>> Bon courage
>>
>> Le 21 décembre 2016 à 16:52, Landry Minoza <landry.minoza+fr...@gmail.com> a
>> écrit :
>>>
>>> Pour la visualisation (et remplacer les traceroute), j’ai déjà utilisé ça
>>> : https://github.com/conix-security/springbok, c’est loin d’être parfait,
>>> mais c’est un début…
>>>
>>> 2016-12-21 16:41 GMT+01:00 Stéphane Cottin <stephane.cot...@vixns.com>:
>>>>
>>>> Peut être un peu hors sujet, mais je tente qd même :)
>>>>
>>>> J'utilise calico depuis peu de temps, et il permet de gérer des profiles
>>>> / policies réseau de façon centralisée pour docker ou des clusters mesos /
>>>> kubernetes / openstack.
>>>> Connu pour gérer routage dans un monde de containers, il sait également
>>>> gérer des interfaces physiques (hostendpoints).
>>>>
>>>> Nécessite un daemon sur chaque machine ( felix ) et dépend d'etcd. Malgré
>>>> cela, mes premières impressions sont bonnes, cela semble robuste et bien
>>>> pensé, on verra comment il se comporte lors des partitions réseau / 
>>>> attaques
>>>> / pannes de la vraie vie.
>>>>
>>>> Pas d'UI pour le moment à ma connaissance, et pas de besoin immédiat pour
>>>> moi, passer un fichier yaml à un cli est + souple / lisible qu'une UI qui
>>>> proposerait presque toutes les options possibles.
>>>>
>>>> Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton
>>>> besoin qui parle directement à etcd.
>>>>
>>>>
>>>>
>>>> On 21 Dec 2016, at 16:17, gpkfr wrote:
>>>>
>>>>
>>>> il me semble qu’il y a un module webmin (mais bon ;) )
>>>> Peut-être en utilisant Fwbuilder via ssh ?
>>>>
>>>> figuiere.clem...@free.fr
>>>> 21 décembre 2016 à 16:03
>>>> Bonjour la liste !!
>>>>
>>>> Je suis à la recherche d'une interface web pour une gestion centralisée
>>>> d'iptables, je m'explique:
>>>>
>>>> Dans ma boite nous avons souvent besoin d'ouvrir des flux, sur
>>>> différentes machines, un truc du genre
>>>>
>>>> srvCli--->fw1--->fw2--->fw3--->srvTarg
>>>>
>>>> Pour l'ins

Re: [FRsAG] [Outils] Gestion centralisée des iptables - web

[Mrjk]

Bah oui, Puppet ou surtout Ansible dans ce cas, c'est marrant que ces
réponses n'aient pas poppées en premier ^^

Maintenant, ça sait même parler à certaines blackbox, appliances,
cisco/forti/que sais-je ... Je regarderais plutôt de ce coté en ce qui
me concerne. Pour le coté interface UI, bah j'ai tendance à croire que
c'est plus forcement nécéssaire quand tu te contente de manipuler du
YAML. Mais là, c'est les gouts et les couleurs, à chacun de dire.

--
MrJK
GPG: https://jeznet.org/jez.asc


Le 21 décembre 2016 à 16:59, babounx baboun <babo...@gmail.com> a écrit :
> Si c'est bien ficelé, tu peux gérer la conf avec Puppet. Foreman te fournira
> l'interface graphique.
> Je n'ai pas encore eu ce besoin, mes recherche à une époque était la gestion
> des conf via une interface (firewall builder) pour finalement finir à la
> mano :)
>
> Bon courage
>
> Le 21 décembre 2016 à 16:52, Landry Minoza <landry.minoza+fr...@gmail.com> a
> écrit :
>>
>> Pour la visualisation (et remplacer les traceroute), j’ai déjà utilisé ça
>> : https://github.com/conix-security/springbok, c’est loin d’être parfait,
>> mais c’est un début…
>>
>> 2016-12-21 16:41 GMT+01:00 Stéphane Cottin <stephane.cot...@vixns.com>:
>>>
>>> Peut être un peu hors sujet, mais je tente qd même :)
>>>
>>> J'utilise calico depuis peu de temps, et il permet de gérer des profiles
>>> / policies réseau de façon centralisée pour docker ou des clusters mesos /
>>> kubernetes / openstack.
>>> Connu pour gérer routage dans un monde de containers, il sait également
>>> gérer des interfaces physiques (hostendpoints).
>>>
>>> Nécessite un daemon sur chaque machine ( felix ) et dépend d'etcd. Malgré
>>> cela, mes premières impressions sont bonnes, cela semble robuste et bien
>>> pensé, on verra comment il se comporte lors des partitions réseau / attaques
>>> / pannes de la vraie vie.
>>>
>>> Pas d'UI pour le moment à ma connaissance, et pas de besoin immédiat pour
>>> moi, passer un fichier yaml à un cli est + souple / lisible qu'une UI qui
>>> proposerait presque toutes les options possibles.
>>>
>>> Ceci dit, rien ne t'empêche de faire une petite UI web juste pour ton
>>> besoin qui parle directement à etcd.
>>>
>>>
>>>
>>> On 21 Dec 2016, at 16:17, gpkfr wrote:
>>>
>>>
>>> il me semble qu’il y a un module webmin (mais bon ;) )
>>> Peut-être en utilisant Fwbuilder via ssh ?
>>>
>>> figuiere.clem...@free.fr
>>> 21 décembre 2016 à 16:03
>>> Bonjour la liste !!
>>>
>>> Je suis à la recherche d'une interface web pour une gestion centralisée
>>> d'iptables, je m'explique:
>>>
>>> Dans ma boite nous avons souvent besoin d'ouvrir des flux, sur
>>> différentes machines, un truc du genre
>>>
>>> srvCli--->fw1--->fw2--->fw3--->srvTarg
>>>
>>> Pour l'instant la méthode est simple, du traceroute depuis le premier, un
>>> tail -f /var/log/syslog sur le fw d'après, on récup le drop et on ouvre le
>>> flux et ainsi de suite.
>>> Plutôt fastidieux quand il y'a plusieurs flux à ouvrir depuis plusieurs
>>> src différentes...
>>>
>>> Voilà pourquoi je cherche une interface qui me permettrait d'être
>>> connecté à tous mes fw afin de pouvoir ajouter des règles depuis un seul et
>>> même endroit.
>>>
>>> J'ai fais quelque recherches mais je ne trouve rien à part un outils en
>>> cli:
>>>
>>> https://www.antoinebenkemoun.fr/2010/08/gerer-les-regles-iptables-dun-parc-de-serveurs-netfilter-manager/
>>>
>>> Si rien ne vient je verrais pour écrire un petit quelque chose, j'ai déjà
>>> des petites idées en tête mais c'est vrai que si c'est déjà tout prêt, ca
>>> m'arrangerait.
>>>
>>> Merci d'avance les admins !!
>>>
>>> Cordialement,
>>>
>>> FIGUIERE Clément.
>>> .--.
>>> |o_o |
>>> |:_/ |
>>> // \ \
>>> (| | )
>>> /'\_ _/`\
>>> \___)=(___/
>>>
>>> ___
>>> Liste de diffusion du FRsAG
>>> http://www.frsag.org/
>>>
>>> ___
>>> Liste de diffusion du FRsAG
>>> http://www.frsag.org/
>>>
>>>
>>> ___
>>> Liste de diffusion du FRsAG
>>> http://www.frsag.org/
>>
>>
>>
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] journalisation des accès http/https sans proxy

[Mrjk]

Ha pas mal, je connaissais pas :-)

Par contre, ça doit bouffer du CPU ce truc, car il doit parser tous
les packets. La solution du proxy sock me semble ce qu'il y'a de plus
indiqué pour ses besoin, mais vu qu'il veut pas l'utiliser ...
--
MrJK
GPG: https://jeznet.org/jez.asc


Le 22 décembre 2016 à 13:38, Charles-antoine Guillat-Guignard
<xa...@xarli.net> a écrit :
> Le 21/12/2016 à 22:40, Christophe Dezé a écrit :
>> bonjour,
>>
>> Quelles solutions connaissez vous pour journaliser les accès aux sites web 
>> au travers d'un routeur
>> sans utiliser de proxy (type squid) ?
>>
>> typiquement un routeur linux avec plusieurs cartes réseaux.
>>
>> merci
>>
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>
> Depuis un routeur GNU/Linux sur la route? urlsnarf (binaire venant avec la 
> suite Dsniff, se basant sur
> pcap), ça sort du CLF (le format simple utilisé par Apache). Tu pourras même 
> filtrer des accès à des
> outils internes par exemple.
>
> Par contre, évidemment, tu louperas le trafic chiffré.
>
> Cordialement,
>
> Charles-Antoine
>
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] journalisation des accès http/https sans proxy

[Mrjk]

Yop,

Alors, oui, tout depends de ce que sait faire ton routeur. Partons sur
le principe qu'il s'agisse d'une box Linux pas trop castrée (genre au
moins un OpenWRT).

A ce moment là, tu a plusieurs approches:
- Soit tu loggue au niveau 2/3, les connexion TCP et le NAT qui va
derrière. Cependant, j'ai aucune idée de savoir comment il faut faire
pour ne pas laisser echapper des connexion. Il se trouve qu'iptables
permette de logguer les requetes. J'irai voir de ce coté là. Par
contre, j'ai peur que tu y perde pas mal coté perfs. Par ailleurs,
c'est des logs de bas niveau, donc ca va pas etre super interressant.
- Soit tu met un proxy HTTP/HTTPS transparent qui va faire ça tout
bien comme il faut, et tu devrais pouvoir obtenir des logs avec un
format du type apache2. Ca prends un HaProxy, mais tu dois egalement
pouvoir utiliser Privoxy, ou encore Varnish (varnish peut etre cool,
mais faut une box 64bits, et c'est pas l'usage premier de varnish)

Je pense que mon premier point réponds plus à ta question, mais j'ai
peur que ca soit pas super efficace.

--
MrJK
GPG: https://jeznet.org/jez.asc


Le 22 décembre 2016 à 12:17, Christophe Dezé
<christophed...@wanadoo.fr> a écrit :
> oui ca serait un serveur linux debian.
>
> rsyslog ne capture pas le traffic reseau.
>
>
> Le 22/12/2016 à 09:38, Xavier ROCA a écrit :
>>
>> Bonjour,
>>
>> Tout va dépendre de ton routeur, de ses capacités et de se que l'on veut
>> dans la trace.
>> Routeur linux, c'est quoi ?
>> Un PC qui fait office de routeur ?
>>
>> Un système de log (R)syslog pourrait faire l'affaire tout dépend de ton
>> besoin final sur la trace conserver.
>>
>> Une solution brutale capture permanente total du trafic avec post
>> traitement et purge régulière.
>>
>>
>> Xavier
>>
>>
>> -Message d'origine-
>> De : Christophe Dezé [mailto:christophed...@wanadoo.fr]
>> Envoyé : mercredi 21 décembre 2016 22:41
>> À : 'frsag@frsag.org'
>> Objet : [FRsAG] journalisation des accès http/https sans proxy
>>
>> bonjour,
>>
>> Quelles solutions connaissez vous pour journaliser les accès aux sites web
>> au travers d'un routeur sans utiliser de proxy (type squid) ?
>>
>> typiquement un routeur linux avec plusieurs cartes réseaux.
>>
>> merci
>>
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>>
>>
>>
>>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] systemd vs les adminsys

[Mrjk]

Sur ce point ci, je vais mettre en avant l'idée de convergence plutôt
que de parler de l'implémentation technique de systemd en tant que
tel.

Ma réponse: Oui, et non. Je ne sais pas si le parallèle est juste,
mais essayons: Mettons que tu remettes en cause les GNU Coreutils,
as-tu une alternative viable équivalente sur ta distro préférée? (je
ne compte pas les busybox, et dérivés ...) Je ne pense pas, et je ne
crois pas que personne s'en plaigne. Les GNU Coreutils sont maintenant
en standard sur la plupart des distro, et personne ne remet en cause
ce fait là; mais ça n'a pas empêché chacune de ces distro de vivre
dans son coin, avec sa propre philosophie, et ses propres manières de
faire.

Bien que systemd mange toute la différenciation sur les couches basses
et essentielles du système, je l'imagine un peu comme les coreutils,
qui sera considéré à terme comme outils intrinsèquement lié à Linux.
La différenciation des distros se fera sur autre chose que des scripts
d'init fait maison (et tout ce que Systemd peut englober). C'est une
histoire de timing tout ça, mais bon GNU/Linux ne s'est pas fait en un
jour non plus, et les standards peuvent mettre du temps à s'installer.


--
MrJK
GPG: https://jeznet.org/jez.asc


Le 14 décembre 2016 à 11:11, Kevin Lemonnier <lemonni...@ulrar.net> a écrit :
>> Mais avant, tu devais faire cet apprentissage pour chacune des grandes
>> famille de distro. Maintenant, tu l'apprends une fois, et tu passe sur
>> toutes les distro! Je trouve ça beau.
>>
>
> Et petit à petit, on t'enlève le choix. À ce rythme là on pourra bienôt
> plus parler de distribution, justement.
>
> --
> Kevin Lemonnier
> PGP Fingerprint : 89A5 2283 04A0 E6E9 0111
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] systemd vs les adminsys

[Mrjk]

Oui, le changement, ça prends du temps :)

Mais avant, tu devais faire cet apprentissage pour chacune des grandes
famille de distro. Maintenant, tu l'apprends une fois, et tu passe sur
toutes les distro! Je trouve ça beau.

Concernant:
> Franchement, journald et journalctl, avec la possibilité de filtrer par
> priorité, par service, de récupérer les événements sur une période de
> temps donnée, c'est plutôt pas mal.

Bah, je rajoute 1.7¢ à la somme initiale, ce qui nous fait un total de
3¢. Qui rajoute ? :)

Dernier point:
Regarde aussi ce qui se passe quand tu veux demarrer un service et que
systemd ouvre une socket reseau avant meme que le demon soit lancé :D
Essaye de faire un swapoff -a et regarde ce qu'il se passe au bout de
quelques secondes ou minutes en fonction de ce que va trapper systemd.

Uep, bah je vais tester pour voir, car dans le premier cas, tu as un
truc qui s'apelle les dépendances entre services (à moins que j'aille
mal compris le postulat de base), et dans le second, juste curieux ^^
Un OS de référence pour faire ces tests ?

--
MrJK
GPG: https://jeznet.org/jez.asc


Le 14 décembre 2016 à 10:41, Pierre Colombier <pcdw...@pcdwarf.net> a écrit :
> Je trouve que le nouveau systeme est plutot pas mal.
>
> Ce qui fait chier, c'est de changer.
>
> C'est pas inintéressant mais c'est juste que l'admin sys a en général
> beuacoup d'autres chats à fouetter.
>
> Réapprendre les fonctions de base du système, c'est du temps en moins pour
> les autres projets.
>
> my 2 cent
>
>
>
> On 14/12/2016 15:15, Thomas Constans wrote:
>
> Franchement, journald et journalctl, avec la possibilité de filtrer par
> priorité, par service, de récupérer les événements sur une période de
> temps donnée, c'est plutôt pas mal.
>
> my 1.3¢
>
> Le 13/12/2016 à 17:35, fr...@jack.fr.eu.org a écrit :
>
> Ouais ou Debian hein, c'est bien aussi ..
>
>
> On 13/12/2016 17:11, remy.dernat wrote:
>
>
> Il te reste BSD et son init ;)
> https://www.textplain.net/blog/2015/problems-with-systemd-and-why-i-like-bsd-init/
>
>  Message d'origine 
> De : Sébastien FOUTREL <sfout...@gmail.com>
> Date : 13/12/2016  13:54  (GMT+01:00)
> À : Jonathan Leroy <jonat...@unsigned.inikup.com>
> Cc : French SysAdmin Group <frsag@frsag.org>
> Objet : Re: [FRsAG] systemd vs les adminsys
>
> Aahhaha. Et la gestion des logs, et la gestion des montages et surement
> d'autres choses :DRegarde aussi ce qui se passe quand tu veux demarrer un
> service et que systemd ouvre une socket reseau avant meme que le demon soit
> lancé :D
> Essaye de faire un swapoff -a et regarde ce qu'il se passe au bout de
> quelques secondes ou minutes en fonction de ce que va trapper
> systemd.Malheureusement comme dit plus tot, systemd c'est parti d'un bon
> sentiment mais si on avait voulu bosser sur macosX on aurait fait ce choix.
> Dorenavant on a plus vraiment le choix...
> Le 9 décembre 2016 à 15:27, Jonathan Leroy <jonat...@unsigned.inikup.com> a
> écrit :
> Le 9 décembre 2016 à 14:59, Dominique Rousseau <d.rouss...@nnx.com> a écrit
> :
>
> C'est ça le vrai probleme de systemd sur des serveurs, c'est que ça a un
>
> coté bulldozer, qui remplace les outils de configuration reseau, le
>
> collecteur de logs, etc. Systemd arrive avec tout un ecosysteme qui fait
>
> qu'on a plus "un Unix" (un peu comme MacosX), avec des fichiers plats
>
> editables et lisibles par un humain adminsys, des fichiers logs qu'on
>
> peut grep/awk/..., des noms d'interface reseau deterministes, etc.
>
>
> Mais la plupart de ces fonctionnalités sont désactivables, voire
>
> désactivées par défaut.
>
> C'est le cas par défaut sous Debian, qui n'utilise que la partie
>
> "init" de Systemd.
>
>
>
> --
>
> Jonathan Leroy.
>
> ___
>
> Liste de diffusion du FRsAG
>
> http://www.frsag.org/
>
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] La question (sérieuse) du Vendredi : pourquoi tant d'utilisateurs d'Ansible ?

[Mrjk]

Bah, en ce qui me concerne, c'est Ansible que j'ai eu en premier dans
les mains. Ensuite, et à l’époque, la concurrence n’était peut être
pas aussi mature que ce qu'elle peut être aujourd'hui. D'ailleurs, je
me suis laissé entendre dire que certains collègues avaient essayé
Salt (alors qu'on était sur du Ansible de la première heure), et
qu'ils kiffaient pas mal, mais je pourrais pas en dire plus.

Apres, de ce que je connais d'Ansible, je dirais que c'est pas la
solution à tout, et que le couple Puppet + Ansible me parait tout a
fait recommandé pour géré une infrastructure hétérogène; oui, parceque
dans ma boite, j'ai autant de serveurs que de config :/ D'ailleurs si
y'en a qui veulent philosopher sur le fait que Ansible et Puppet sont
complémentaire, I'm open. Maintenant si Salt propose la combinaison
des deux (en terme de concepts/processus), bah il est tant que j'aille
voir Salt :D .

Dernier point, Ansible est désormais RedHat backed maintenant, ça a
tendance a faire réfléchir les DSI sur le coté corpo de la chose. Je
ne sais pas pour la concurrence qui gère qui.

Sur tes points précis, concernant la vitesse, la réponse de Gilou me
semble toute à fait bonne. Pour la partie scaling, alors là, explique
moi, car je ne vois pas, j'ai jamais été bloqué sur ce point (en même
temps, je déploie rarement de 10K nodes, j'ai tendance à préférer
Puppet pour cette job la).

--
MrJK
GPG: https://jeznet.org/jez.asc


Le 9 décembre 2016 à 09:47, Jonathan Leroy
<jonat...@unsigned.inikup.com> a écrit :
> Salut à tous,
>
> J'ai l'impression ces derniers temps qu'il y a de plus en plus
> d'utilisateurs d'Ansible. Pas seulement sur cette liste, mais un peu
> partout sur l'Internet.
> Du coup j'ai une question : qu'est-ce qui vous a fait choisir Ansible
> plutôt que Saltstack, qui est lui aussi basé sur Python et YAML ?
>
> J'ai toujours entendu dire qu'Ansible était (très) lent et ne scalait
> pas. Est-ce seulement le fait qu'il soit agentless ?
>
> Merci :)
>
> --
> Jonathan Leroy.
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Un installer lamp automatique pour Debian 8

[Mrjk]

Salut,

Loin de moi de vouloir relancer un troll qui devient vieux comme le
monde à ce stade, mais que reproche-tu concrètement à sytemd? C'est le
point de vue de l'admin qui fait de la prod qui m’intéresse (je ne
sais pas si tu es dans ce cas).

En ce qui me concerne, et étant sysadmin, je trouve que ça a apporté
un grand confort, surtout quand on utilise des outils du type
Ansible/Puppet sur différentes plateforme. Une interface pour tous les
masteriser. J'ai encore du mal à comprendre ce que l'on peut reprocher
a systemd.

Note; C'est le point de vue qui m’intéresse, je cherche pas à
démontrer que systemd est le meilleur.
--
MrJK
GPG: https://jeznet.org/jez.asc


Le 8 décembre 2016 à 01:16, Guillaume Tournat <guilla...@ironie.org> a écrit :
> J'ai développé une allergie à systemd
> Mais ça va mieux depuis que j'ai trouvé un howto pour remettre sysvinit sur 
> debian8 ;-)
>
>
>> Le 7 déc. 2016 à 23:40, Bruno Pagani <bruno.pag...@ens-lyon.org> a écrit :
>>
>>> Le 07/12/2016 à 21:40, Christophe Casalegno (DN) a écrit :
>>>
>>> Bon pour le coup, on va voir si ça passionne :
>>> https://twitter.com/Brain0verride/status/806598323830456320
>>>
>>> une install ntpd est de toute manière plus rapide que taper dans la
>>> cron, ça c'est sur :)
>>>
>>> amicalement,
>>
>> systemd-timesyncd :p
>>
>> Bruno
>>
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [DevOps] Questionnaire

[Mrjk]

J'ai un script Ansible qui réponds à ce genre de questionnaire ... :p
--
MrJK
GPG: https://jeznet.org/jez.asc


Le 12 novembre 2016 à 03:47, merlin8282 <merlin8...@gmail.com> a écrit :
> Tiens, j'ai comme une impression de déjà-vu...
> http://frsag.net/pipermail/frsag/2016-March/007210.html
>
>
> On 11/11/2016 15:18, Ludovic Logiou wrote:
>> Bonjour à tous,
>>
>> Dans le cadre de mes études j'écris une thèse professionnelle sur le DevOps.
>>
>> Pour m'aider dans cette démarche, j'ai rédigé un questionnaire que vous
>> pouvez trouver à l'adresse suivante : https://goo.gl/forms/Z6L2JtbcL5PQRmXe2
>>
>> Merci d'avance !
>>
>>
>>
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Pour le fun

[Mrjk]

Haha, ça me rappelle des bon souvenirs avec des anciens collègues
quand on comparait qui avait le plus gros ... uptime! 5 ans d'up,
whao, server respect man ! (5 ans de pas de mises a jour non plus
pour le coup ^^ )

--
MrJK
GPG: https://jeznet.org/jez.asc


Le 26 octobre 2016 à 06:23, Julien Escario <esca...@azylog.net> a écrit :
> Le 26/10/2016 à 11:17, Julien LEQUEN a écrit :
>> Moi beaucoup moins bien.
>>
>> Julien
>>
>
> Ah oui mais non, mon exemple portait sur un serveur qui est censé livrer des
> zolis sites oueb à Mme Michu.
> C'était exim qui s’excitait, on l'a calmé.
>
> Masser du thread sur sa machine en local, c'est juste de la triche ;-)
>
> Julien
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Proxy avec round-robin de l'IP source en connexion sortante

[Mrjk]

Yop, en effet, le premier besoin d'une telle solution est pour une solution
de LoadBalancing entrant (sur lequel tu peux rajouter la couche LB
sortant). En général les le second implique le premier, mais j'ai du
assumer trop vite ;-)

Et en lisant ta solution, finalement, ca marche aussi. Le seul inconvéniant
que je vois, c'est que tu est obligé de préciser l'IP source de ton
container (mettons que tu en spawn 200, tu devra mettre à four ton
iptables). Avec fwmark (implémenté par KeepAlived); je trouve que ca serait
une solution un poil plus élégante. Anyway, ça ne correspondrait plus trop
à demande initiale, et vu que KISS c'est bien, bah faisons simple ^^

@+

--
MrJK
GPG: https://jeznet.org/jez.asc

Le 25 août 2016 à 09:57, Jean-François Gigand <j...@geonef.fr> a écrit :

> Rectificatif : comme la seconde règle ne match que si la première n'a pas
> marché, pour alterner entre 3 adresses, il faut progressivement réduire le
> --every, ainsi :
>
> iptables -t nat -A POSTROUTING -s 10.0.3.78/32 ! -d 10.0.3.0/24 -p tcp -m
> tcp --dport 80 -m statistic --mode nth --every 3 --packet 0 -j SNAT
> --to-source 1.2.3.4
>
> iptables -t nat -A POSTROUTING -s 10.0.3.78/32 ! -d 10.0.3.0/24 -p tcp -m
> tcp --dport 80 -m statistic --mode nth --every 2 --packet 0 -j SNAT
> --to-source 1.2.3.5
>
> iptables -t nat -A POSTROUTING -s 10.0.3.78/32 ! -d 10.0.3.0/24 -p tcp -m
> tcp --dport 80 -j SNAT --to-source 1.2.3.6
>
>
> Jean-François Gigand - Geonef
> Paris, France - http://geonef.fr/
>
> Le 25 août 2016 à 14:39, Jean-François Gigand <j...@geonef.fr> a écrit :
>
>> Parfait !
>> Effectivement c'est le boulot de SNAT de réécrire l'ip source, comme
>> c'est expliqué en détail dans http://www.inetdoc.net/guides/
>> iptables-tutorial/snattarget.html (merci David)
>>
>> Ceci a l'air de fonctionner (10.0.3.78 est ici l'IP du container d'où
>> provient la requête, 1.2.3.* sont les IP des interfaces publiques) :
>>
>> iptables -t nat -A POSTROUTING -s 10.0.3.78/32 ! -d 10.0.3.0/24 -p tcp
>> -m tcp --dport 80 -m statistic --mode nth --every 2 --packet 0 -j SNAT
>> --to-source 1.2.3.4
>>
>> iptables -t nat -A POSTROUTING -s 10.0.3.78/32 ! -d 10.0.3.0/24 -p tcp
>> -m tcp --dport 80 -m statistic --mode nth --every 2 --packet 1 -j SNAT
>> --to-source 1.2.3.5
>>
>>
>> Wallace : il n'y a pas de session http. En l'occurence, l'objectif est
>> d'augmenter la fréquence de requêtes sur certaines API tout en respectant
>> le quota en question.
>>
>> MrJK : comme je disais plus haut, il ne s'agit pas de *load balancing*,
>> mais de l'inverse, "origin balancing" si ça peut se dire. Les requêtes sont
>> émises par un programme donné mais doivent sortir tantôt "par l'interface
>> A", tantôt par la B (façon de parler, il s'agit d'interfaces virtuelles et
>> de NAT).
>>
>>
>> Du coup, iptables fera l'affaire pour mon besoin, mais si on devait gérer
>> l'IP constante par session http / cookie, ou autre aspect http-aware, alors
>> l'approche par squid  (tcp_outgoing_address) est la bonne...
>>
>>
>>
>> Jean-François Gigand - Geonef
>> Paris, France - http://geonef.fr/
>>
>> Le 25 août 2016 à 10:21, Christophe Dezé <christophed...@wanadoo.fr> a
>> écrit :
>>
>>>
>>> un truc du genre :
>>> iptables -t nat -A POSTROUTING  -m statistic --mode nth --every 3 -j
>>> SNAT --to 1.2.3.4
>>> iptables -t nat -A POSTROUTING  -m statistic --mode nth --every 2 -j
>>> SNAT --to 1.2.3.5
>>> iptables -t nat -A POSTROUTING  -m statistic --mode nth --every 1 -j
>>> SNAT --to 1.2.3.5
>>>
>>>
>>> Le 24/08/2016 à 22:15, Jean-François Gigand a écrit :
>>>
>>> Bonsoir,
>>>
>>> Justement c'est le contraire du classique load-balancing de service...
>>>
>>> Merci David, j'ai regardé et le mode "nth" avec --every et --packet
>>> devraient coller au besoin.
>>>
>>> Je dois alors utiliser -j MASQUERADE (comme la route par défaut,
>>> d'ailleurs, puisque les requêtes proviennent d'un container LXC) mais je
>>> dois spécifier l'IP pour le nat sur chacune de ces règles, ce que je ne
>>> sais pas (encore) faire (d'habitude c'est la table de routage qui s'en
>>> occupe).
>>>
>>>
>>> Jean-François Gigand - Geonef
>>> Paris, France - http://geonef.fr/
>>>
>>> Le 24 août 2016 à 22:03, Christophe Dezé <christophed...@wanadoo.fr> a
>>> écrit :
>>>
>>>> bonjour,
>>>>
>>>> as tu regardé du coté de docker qui peut faire d

Re: [FRsAG] Proxy avec round-robin de l'IP source en connexion sortante

[Mrjk]

Yop,

Moi je regarderais du coté de keepalived:
- VRRP pour tes IPs flottantes
- LVS pour la partie load balancing.

Pour tes VIPs, tu devrais pas avoir de soucis. Pour la partie LVS, tu peux
tenter l'approche natting, avec marquage du packet (fwmark). Quand tes
paquets sont marqué, tu peux les rediriger sur la bonne interface de sortie
avec une regle iptables (rien de moche, LVS implique souvent des regles
iptables).

Cette solution fonctionnera "simplement" si tes Load Balancer sont des
machines distinctes, et si c'est la GW par défaut de ton réseau. Si tu n'es
pas dans ce cas de figure, il y'a toujours moyen de faire, mais tu peux
rentrer dans des setups qui commencent à devenir compliqué. Pour moi, c'est
la méthode élégante, mais peut-etre pas la plus simple.

C'est une approche, mais je serais curieux de savoir s'il y'a d'autres
solutions L2 du type. Perso, je fais l'apologie de cette approche dans mon
milieu pro, mais ça a du mal à prendre, les gens preferent du HAProxy, mais
perso j'aime moins:
- Faire de LoadBalancing L3, c'est que bon pour le HTTP quasiment
- LVS utilise les fonctionnalité du noyau, alors que HAProxy pas
- KeepAlived conf beats HAProxy conf

--
MrJK
GPG: https://jeznet.org/jez.asc

Le 24 août 2016 à 16:15, Jean-François Gigand <j...@geonef.fr> a écrit :

> Bonsoir,
>
> Justement c'est le contraire du classique load-balancing de service...
>
> Merci David, j'ai regardé et le mode "nth" avec --every et --packet
> devraient coller au besoin.
>
> Je dois alors utiliser -j MASQUERADE (comme la route par défaut,
> d'ailleurs, puisque les requêtes proviennent d'un container LXC) mais je
> dois spécifier l'IP pour le nat sur chacune de ces règles, ce que je ne
> sais pas (encore) faire (d'habitude c'est la table de routage qui s'en
> occupe).
>
>
> Jean-François Gigand - Geonef
> Paris, France - http://geonef.fr/
>
> Le 24 août 2016 à 22:03, Christophe Dezé <christophed...@wanadoo.fr> a
> écrit :
>
>> bonjour,
>>
>> as tu regardé du coté de docker qui peut faire du round-robin en entrée
>> sur plusieurs docker/squid en sortie ?
>>
>> Le 24/08/2016 à 19:09, Jean-François Gigand a écrit :
>>
>> Bonjour,
>>
>> J'ai besoin de mettre en place un proxy HTTP qui bind les requêtes
>> sortantes à une IP source parmi une liste en round-robin.
>>
>> Par exemple, ayant configuré interfaces(5) avec des ip "failover" comme
>> ceci :
>>
>> iface eth0:ip1 inet static
>>   address 1.2.3.4/32
>> iface eth0:ip2 inet static
>>   address 1.2.3.5/32
>> iface eth0:ip3 inet static
>>   address 1.2.3.6/32
>>
>> le proxy choisira de binder sa première connexion sortante à 1.2.3.4 puis
>> 1.2.3.5, 1.2.3.6 puis à nouveau 1.2.3.4, etc.
>>
>> Idéalement, le proxy choisit l'IP dans l'ordre par domaine, ce qui dans
>> l'exemple donnerait [domaine de destination -> IP source] :
>>
>> domaine1.com -> 1.2.3.4
>> domaine2.com -> 1.2.3.4
>> domaine1.com -> 1.2.3.5
>> domaine1.com -> 1.2.3.6
>> domaine2.com -> 1.2.3.5
>>
>> Le proxy doit aussi pouvoir binder en IPv6 (si la destination est
>> accessible en IPv6, même si le client du proxy est IPv4).
>>
>> Je n'ai pas l'impression que Squid ou HAproxy puissent répondre à ce
>> besoin, mais j'aimerais en être sûr
>>
>> Est-ce quelqu'un connaît une solution ou une approche à suggérer ?
>> Ou bien vaut-il mieux écrire un code spécifique ?
>> (qui devra gérer les requêtes simultanées... en NodeJS par exemple)
>>
>> Merci !
>>
>> Jean-François Gigand - Geonef
>> Paris, France - http://geonef.fr/
>>
>>
>>
>> ___
>> Liste de diffusion du FRsAGhttp://www.frsag.org/
>>
>>
>>
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>>
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Cherche DevOPSs poilus pour relever un défi industriel

[Mrjk]

 pour Rémy :)

De ce que je vois (au Québec), c'est un terme qui est utilisé dans les
offres pour chercher un certain type de profil, en opposition avec des
profils plus classiques. C'est donc un VS entre sysadmin et devops. Cette
approche devops implique la connaissance de certains outils spécifiques
(docker, Jenkins, ansible et consort...) tandis qu'un adminsys "classique"
va connaître d'autres technos (OpenLDAP, notions de réseau, firewalling,
gestions des comptes utilisateurs, samba, etc ...). J'aime pas trop quand
les commerciaux utilisent ce terme, mais entre techos, ça ne me choque pas
car on sait qu'on parle de la me chose. En vrais un bon gars du métier est
à la fois sysadmin, devops et admin réseau :D

Sinan, super offre d'emplois, si j'étais pas à l'autre bout du monde,
t'aurai déjà reçu mon CV.

Bonne continuation!

On Aug 23, 2016 1:12 PM, "Robin Cordier"  wrote:

> +1 pour Rémy :)
>
> De ce que je vois (au Québec), c'est un terme qui est utilisé dans les
> offres pour chercher un certain type de profil, en opposition avec des
> profils plus classiques. C'est donc un VS entre sysadmin et devops. Cette
> approche devops implique la connaissance de certains outils spécifiques
> (docker, Jenkins, ansible et consort...) tandis qu'un adminsys "classique"
> va connaître d'autres technos (OpenLDAP, notions de réseau, firewalling,
> gestions des comptes utilisateurs, samba, etc ...). J'aime pas trop quand
> les commerciaux utilisent ce terme, mais entre techos, ça ne me choque pas
> car on sait qu'on parle de la me chose. En vrais un bon gars du métier est
> à la fois sysadmin, devops et admin réseau :D
>
> Sinan, super offre d'emplois, si j'étais pas à l'autre bout du monde,
> t'aurai déjà reçu mon CV.
>
> Bonne continuation!
>
> On Aug 23, 2016 12:15 PM, "Cyril Feraudet"  wrote:
>
>> Oui, au temps pour moi, un abus de langage de plus, mais si ça te pique
>> les yeux, ils doivent saigner abondamment à la lecture de bon nombre de
>> posts et commentaires, voir même parfois article de presse bourrés de
>> fautes, mauvaises syntaxes et autre violences conjugales ;-)
>>
>> Le mardi 23 août 2016, Christophe Dezé  a
>> écrit :
>>
>>> salut,
>>>
>>>   sans vouloir troller, il y a que moi que ca gène que l'on parle de
>>> "DEVOPS" comme un rôle ?
>>>
>>> Devops c'est un mouvement ou une culture, ...
>>>
>>> On peut etre "expert Devops" pour mettre en place des pratiques, ou
>>> "dev" ou "ops", mais etre "un devops" ca me pique un peu les yeux.
>>>
>>> si je suis le seul à penser cela:  désolé du dérangement .
>>> enfin si vous cherchez un peu sur le net, vous verrez que pas mal
>>> d'experts pensent comme moi, mais peut-etre que les temps changent ;-)
>>>
>>>
>>> Le 07/08/2016 à 19:04, Cyril Feraudet a écrit :
>>>
 Bonjour à tous,

 Petit disclaimer:
 - Cette recherche ne s’adresse PAS aux SSII et autres vendeurs de
 poisson: Commerciaux vous pouvez arrêter de lire ce message.
 - Je ne représente pas une SSII, je suis un DevOPS et la proposition
 suivante est de venir travailler à mes côtés.
 - Je me chargerai personnellement de pourrir toutes SSII qui répondront
 à cette demande.

 J’ai une équipe d’Ingénieurs de Production à constituer, les
 technologies sont cools mais parfois pas très sèches.

 Pour ce faire je recherche 4 à 5 DevOPSs poilus, si tu ne sais pas
 développer c’est rater, si ton niveau en système laisse à désirer c’est
 aussi raté.

 Les technologies sont, entres autres, les suivantes :
 - Ubuntu Precise, Trusty et Xenial
 - OpenStack
 - Kubernetes
 - Docker
 - KVM
 - SDN (Calico, Contrail)
 - Chef
 - Ansible
 - Chef
 - Ceph
 - Swift (pas le language d’Apple)
 - Foreman
 - Consul
 - Vault
 - Nagios
 - Collectd
 - Graphite
 - InfluxDB
 - Prometeus
 - Bash
 - Python
 - Ruby
 - Node
 - C
 - Go
 - HTML / CSS / Javascript
 - Jenkins
 - GitLab
 - ...

 Ces technologies ne sont pas toutes à connaitre, vous aurez tout le
 loisir de monter sur celles qui vous intéressent.

 Il y a 3 à 4 postes en salarié (65k€ n’est pas un gros mot pour nous)
 et 1 à 2 poste en freelance (600€HT/j n’est pas non plus insultant)

 Les Polytechniciens comme les autodidactes sont recherchés, seules les
 compétences importent.

 Conditions de travail:
 - Issy les Boulogne
 - Baby-Foot Bonzini
 - Locaux spacieux flambants neufs
 - Terrasse gigantesque
 - Embuscades de geeks armées de Nerfs quasi quotidiennes
 - Horaires souples
 - Remote quand vous en avez besoin
 - Poste de travail sous votre distribution préférée

 N’hésitez pas à me contacter si vous êtes intéressé.

 Cyril






 ___
 Liste de 

Re: [FRsAG] Fwd: Re: Resize de QCOW

[Mrjk]

Oui, en effet :-) C'est juste par habitude que je fais ça. Et puis, avec un
simple "df", tu es sûre que tout est remplis. Sinon, effectivement, avec un
"dd if=/dev/zero of=..." sur la partition (sans FS), ça devrait aussi
marcher. Mais bon, avec les FS, j'aime bien être sûre à 400% de ce que je
fais ...

hinhin, que celui qui n'a jamais perdu sa partoche avec ses données dessus
lève le doigt! (si son n+1 ne lui a pas déjà tous coupé XD)

Cldt

--
MrJK
GPG: https://jeznet.org/jez.asc

Le 23 octobre 2015 16:20, merlin8282 <merlin8...@gmail.com> a écrit :

> > - Sur l'espace que tu veux réduire, tu crée un FS bidon, type ext3 sur
> > lequel tu rempli avec tout plein de zero.
>
> Pourquoi ne pas juste créer une partition vide et remplir le device
> (genre /dev/sdf3) avec des zéros ? Le fait de formater n'est qu'une
> étape superflue, non ?
>
>
> On 23/10/2015 05:29, Mrjk wrote:
> > Pour ma part, voici ma procédure (ca ne se fait pas à chaud non plus,
> > malheureusement).
> >
> > - Sur l'espace que tu veux réduire, tu crée un FS bidon, type ext3 sur
> > lequel tu rempli avec tout plein de zero.
> > - Une fois que tu as remplis ton FS, tu supprime ton FS, et puis tu
> > coupe ta VM
> > - Tu utilise la fonction shrink de l'outil qemu-img (j'ai pas de man
> > sous les yeux, désolé)
> > - Tu relance ta VM. et vala.
> >
> > L'astuce consiste à utiliser les fonctions "natives" de l'outil
> > qemu-img, qui lui va te réduire l'image que s'il trouve des zeros. C'est
> > ce qu'il y'a a de mieux à ma connaissance. Si tu veux partir la dessus,
> > j'essayerai de te retrouver la procédure plus en détails/technique.
> >
> >
> > Cldt
> >
> > --
> > MrJK
> > GPG: https://jeznet.org/jez.asc
> >
> > Le 22 octobre 2015 18:39, Dominique Martinet
> > <asmadeus+fr...@codewreck.org <mailto:asmadeus+fr...@codewreck.org>> a
> > écrit :
> >
> > Julien Escario wrote on Thu, Oct 22, 2015:
> > > Ce qui me stresse toujours quand je fais du shrink c'est :
> > > * ext3/4 ne supporte pas le shrink à chaud
> >
> > Effectivement, faut tout couper. Personellement si possible, je
> préfère
> > faire tout ça hors de la VM (c'est toujours subtil de shrink un /
> depuis
> > le système en question... Je crois que le plus joli que j'ai fait
> est un
> > boot en pxe/init=/bin/sh, un tar dans /dev/shm, on efface tout et on
> > recommence)
> >
> > Pour du qcow ça se fait assez bien avec qemu-nbd, si votre distro le
> > permet (module kernel nbd dispo dans les debian-like, mais pas dans
> les
> > redhat-like...)
> >
> >
> > > * Une fois le filesystem resizé, il faut shrinker la partition :
> comment elle
> > > sait où commence et où termine le fs ?
> > > * Et quand on resize le qcow2 : comment il sait où commencent
> (vraisemblablement
> > > secteur 0) et terminent les partitions pour éviter d'écraser la
> fin d'une part ?
> >
> > On fait des maths. Attention à ce que resize2fs, lvm, et qemu-img
> > parlent en puissance de 1024, mais pas mal d'outils comme fdisk en
> > puissance de 1000... ou (mieux) en secteurs
> > Le plus safe si on n'a pas envie de compter est simplement de
> prendre de
> > la marge un peu à tout les niveaux:
> >  - shrink beaucoup trop le fs
> >  - shrink un peu trop la partition (le début n'est pas un problème,
> il
> > ne bouge pas; il faut seulement faire attention à remettre le même
> donc
> > d'utiliser une unité qui tombe rond avec le début de partition
> existant)
> >  - shrink comme souhaité l'image disque
> >  - refaire la partition pour prendre tout l'espace dispo
> >  - refaire un resize2fs pour prendre tout l'espace dispo
> >
> >
> > --
> > Dominique Martinet | Asmadeus
> > ___
> > Liste de diffusion du FRsAG
> > http://www.frsag.org/
> >
> >
> >
> >
> > ___
> > Liste de diffusion du FRsAG
> > http://www.frsag.org/
> >
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Fwd: Re: Resize de QCOW

[Mrjk]

Pour ma part, voici ma procédure (ca ne se fait pas à chaud non plus,
malheureusement).

- Sur l'espace que tu veux réduire, tu crée un FS bidon, type ext3 sur
lequel tu rempli avec tout plein de zero.
- Une fois que tu as remplis ton FS, tu supprime ton FS, et puis tu coupe
ta VM
- Tu utilise la fonction shrink de l'outil qemu-img (j'ai pas de man sous
les yeux, désolé)
- Tu relance ta VM. et vala.

L'astuce consiste à utiliser les fonctions "natives" de l'outil qemu-img,
qui lui va te réduire l'image que s'il trouve des zeros. C'est ce qu'il y'a
a de mieux à ma connaissance. Si tu veux partir la dessus, j'essayerai de
te retrouver la procédure plus en détails/technique.


Cldt

--
MrJK
GPG: https://jeznet.org/jez.asc

Le 22 octobre 2015 18:39, Dominique Martinet <asmadeus+fr...@codewreck.org>
a écrit :

> Julien Escario wrote on Thu, Oct 22, 2015:
> > Ce qui me stresse toujours quand je fais du shrink c'est :
> > * ext3/4 ne supporte pas le shrink à chaud
>
> Effectivement, faut tout couper. Personellement si possible, je préfère
> faire tout ça hors de la VM (c'est toujours subtil de shrink un / depuis
> le système en question... Je crois que le plus joli que j'ai fait est un
> boot en pxe/init=/bin/sh, un tar dans /dev/shm, on efface tout et on
> recommence)
>
> Pour du qcow ça se fait assez bien avec qemu-nbd, si votre distro le
> permet (module kernel nbd dispo dans les debian-like, mais pas dans les
> redhat-like...)
>
>
> > * Une fois le filesystem resizé, il faut shrinker la partition : comment
> elle
> > sait où commence et où termine le fs ?
> > * Et quand on resize le qcow2 : comment il sait où commencent
> (vraisemblablement
> > secteur 0) et terminent les partitions pour éviter d'écraser la fin
> d'une part ?
>
> On fait des maths. Attention à ce que resize2fs, lvm, et qemu-img
> parlent en puissance de 1024, mais pas mal d'outils comme fdisk en
> puissance de 1000... ou (mieux) en secteurs
> Le plus safe si on n'a pas envie de compter est simplement de prendre de
> la marge un peu à tout les niveaux:
>  - shrink beaucoup trop le fs
>  - shrink un peu trop la partition (le début n'est pas un problème, il
> ne bouge pas; il faut seulement faire attention à remettre le même donc
> d'utiliser une unité qui tombe rond avec le début de partition existant)
>  - shrink comme souhaité l'image disque
>  - refaire la partition pour prendre tout l'espace dispo
>  - refaire un resize2fs pour prendre tout l'espace dispo
>
>
> --
> Dominique Martinet | Asmadeus
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Systemd dans Debian like Ubuntu

[Mrjk]

Yop,

Si je ne dis pas de bétises, c'est lié a la version de systemd. Par
exemple, je crois que dans les derniere versions de systemd, quand tu fais
un systemctl status , il t'affiche les dernieres lignes de logs
alors qu'avant il ne le faisait pas. Ton problème avec le
stop/start/restart semble assez similaire. Par contre, si tu dis que les
versions précédente de Debian le gère, bahhh ça doit pas etre ça ...

Sinon, une solution pas trop sale consiste à wrapper tout ça dans une
fonction/alias bash. C'est un helper lié a ton environment.

Cldt



--
MrJK
GPG: https://jeznet.org/jez.asc

Le 8 octobre 2015 09:42, Maireaux Maxence <he...@flemzord.fr> a écrit :

> Car tu fait confiance à initd ?
> Pour savoir si ton service est up toujours faire un ps aux | grep xxx
>
> Envoyé de mon iPhone
>
> > Le 8 oct. 2015 à 15:06, Wallace <wall...@morkitu.org> a écrit :
> >
> >
> >
> > Le 08/10/2015 12:53, yk a écrit :
> >> systemctl restart httpd.service
> >> ou
> >> systemctl restart httpd
> >>
> >> Si tout se passe bien, la commande retourne 0 sans afficher de message.
> >> Je peux vérifier avec :
> >> systemctl status httpd.service
> > J'ai bien des systemd sur les Debian 8 par défaut
> > ce que je veux c'est avoir cette sortie là :
> >
> > [ ok ] Stopping nagios-nrpe: nagios-nrpe.
> > [ ok ] Starting nagios-nrpe: nagios-nrpe.
> >
> > Lorsque je lance cela :
> >
> > systemctl restart nagios-nrpe-server.service
> >
> > C'est le comportement sous Ubuntu et Debian < 8, je voudrais retrouver
> > la même sortie pour ces commandes ça permet d'être sur qu'un service est
> > bien reparti et ça évite de lancer une autre commande de type status.
> >
> > De ce que j'ai vu systemctl renvoie toujours 0 même si le service n'est
> > pas reparti, c'est lié au fait qu'il ne fork pas le processus et donc
> > n'a aucune moyen de savoir si le fil s'est bien lancé.
> >
> >
> >
> > ___
> > Liste de diffusion du FRsAG
> > http://www.frsag.org/
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Astreinte : Mise en place rémunération

[Mrjk]

Yop,

Un exemple d'astreinte qu'il y'avait dans mon ancienne boite, les prix en
euro bruts:

Périmètre de l'astreinte:
- MCO
- Résolution Incidents
- Mise en prod, intervention en Heure non ouvrées facturées, avec prime
pour l'intervenant (50/100e en fonction du temps passé)
- Bashage des clients qui bossent en heures non ouvrées et qui pêtent leurs
préprods
Temps de réponse: 15 min, temps d'avent intervention max: 30 min

Périodes d'astreintes:
- Semaine: {lundi,mardi,mercredi,jeudi} soir jusau'au lendemain matin.
- Week-End: du vendredi soir au lundi matin
Une rotation est effectuée entre chaque astreinte.

Repos:
- Une journée de repo pour la semaine
- Une demie journée de recup pour le WE

Primes (700e):
- 400 pour la semaine
- 300 pour le weekend
Il s'agit donc d'un forfait.

La réalité:
Le contexte historique et l'activité de la boite faisait que les astreintes
n'était pas de tout repos. Les jours sans alertes étaient rare, beaucoup de
petites interventions (1 à 15 par cycle d'astreinte) de moins de 15
minutes, quelques grosses interventions de 45 min et plus (1 à 5 par
cycle). Des astreintes franchement pas reposante.

Donc, ce que j'en retient: astreintes fatiguantes, mais pas trop mal payé.
Je me faisait un +700e brut par mois, avec un cycle semaine et weekend.

Voila, en espérant que ça t'éclaircisse et que tu puisse te positionner
correctement. Et puis faut pas oublier que les astreintes sont un vrais
effort en plus (bien que partie intégrante de notre métier), n'oubliez pas
de rémunérer correctement les intervenants :-) /utopiste

Ciaoo

--
MrJK
GPG: https://jeznet.org/jez.asc

Le 3 juillet 2015 11:38, Nicolas GORALSKI nicolas+ml.fr...@goralski.fr a
écrit :


 On 03 Jul 2015, at 17:02, Wallace wall...@morkitu.org wrote:

  Il faut noter aussi les éléments légaux qui vont avec l'astreinte, à
  savoir :
  - bien définir si il y a une obligation de rester à par exemple 30
  minutes d'un lieu ou d'une zone ou si le travail peut se faire à
  distance auquel cas la personne d'astreinte doit s'assurer disposer
  d'une connexion internet fonctionnelle (fixe ou sans fil) à tout moment.
 
  - bien préciser qu'il est de la responsabilité que la personne
  d'astreinte soit sous couverture réseau, j'ai déjà vu le cas où c'était
  pas spécifié et des gens coupaient le portable ...
 
  - préciser les moyens techniques mis à disposition de la personne et le
  niveau d'intervention demandé
 
  - en obligation il faut savoir qu'après une intervention (partie active
  de l'astreinte) un employé ne peut pas travailler dans les 11h suivant
  la fin de cette intervention. C'est assez important car j'ai vu un
  employer venir au travail un matin alors qu'il avait bossé la nuit, il a
  eu un accident sur son trajet domicile travaille, ça a coûté cher à
  l'entreprise...

 (11 heures consécutives en repos journaliser et 35H de repos consécutives
 en repos hebdomadaire).
 cf
 http://www.infoprudhommes.fr/note-juridique/51-temps-de-travail-effectif

 Par contre dans le concret, tu finis ta journée de travail à 18h, tu es
 d'astreinte, tu te fais réveiller à 2h tu finis a 4h.
 Tu as 2h x2 (4h) de récup et tu ne peux reprendre le travail avant 15h.
 Tu viens a 15h, tu finis a 18h, il te manque 5h dans ta journée.

 Comment gères tu cela ?



 
  - en obligation toujours, même si c'est d'un autre temps, il faut que la
  période d'astreinte soit notifiée 15 jours avant à l'employé, il est
  toléré un changement de dernière minute en cas de maladie ou
  indisponibilité mais ça ne doit pas être la norme. Le tout plus le
  rapport d'astreinte doit être consigné dans un cahier. Oui vous pouvez
  abandonner votre système de note d'astreinte informatisé, il faut qu'il
  y est les signatures de l'employé et du responsable sur un cahier.
 
 
  Le 03/07/2015 15:52, Jeremie Le Hen a écrit :
  On Fri, Jul 03, 2015 at 11:13:30AM +0200, Admin VGNETWORK wrote:
  Bonjour,
 
  Nous souhaitons mettre des astreintes en place.
 
  Auriez-vous des infos sur la rémunération sans intervention et avec
  intervention ?
 
  Les astreintes ne concernent que les we en heure ouvrée.
  IANAL, mais je crois qu'il y a une prime d'astreinte à négocier pour le
  fait d'être d'astreinte (astreinte passive, sans appel).  Genre 200€
  pour le weekend.
 
  Pour l'astreinte active, c'est généralement une rémunération à l'heure
  entamée, sachant que le *minimum* légal c'est :
  - 150% le samedi
  - 200% le dimanche
  - 200% la nuit
 
 
 
 
  ___
  Liste de diffusion du FRsAG
  http://www.frsag.org/

 ___
 Liste de diffusion du FRsAG
 http://www.frsag.org/

___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Fwd: Agrandissement du disque dur d'une VM

[Mrjk]

Hello,

Je cherche à agrandir le disque dur de mes VMs à chaud, mais ça ne
fonctionne pas. Pour rappel, la procédure consiste à:
1) Agrandir l'image disque de la VM depuis l'hyperviseur (du qcow2 ici)
2) Aller sur la VM, et vérifier que la VM a bien détecté le changement de
taille
3) Supprimer la partition LVM, puis la recréer avec la nouvelle taille
4) Agrandir le PV
5) Jouer avec les LV ...

Jusque là, tout le monde est d'accord, sauf que je suis _systématiquement_
obligé de rebooter mes VMs, même après relecture de la table de partition.
Le reboot fonctionne plutôt bien (quoique là j'ai un cas, même après
reboot, il veut pas se mettre à jour)

Évidement, le message qui revient tout le temps est le suivant (partprobe,
sfdisk, blockdev, kpartx ...):
BLKRRPART: Device or resource busy
This disk is currently in use.

On voit bien que les nouvelles tailles sont prises en compte:
root@vmdb:~#cat /proc/partitions
major minor  #blocks  name

 2540   20971520 vda
 2541 195520 vda1
 2542   20775968 vda2   == c'est lui 20775968 = 20Go, donc c'est
bon
 25301048576 dm-0
...

Mais LVM, ba ... il s'en fou:
root@vmdb:~# pvs
  PV VG   Fmt  Attr PSize PFree
  /dev/vda2  systemvm lvm2 a--  9.58g 416.00m == et là, juste 9Go

Bon, reboot, et ça se règle, mais ça me gonfle ... Que faire pour que ça
fonctionne à chaud ? Est-ce que vous avez le même problème? C'est aléatoire
? Faut modifier la conf de LVM ? Rajouter des arguments sur le kernel ...
Je sais plus où chercher pour le coup ...


Plus d'infos sur ma config:
###

Hyperviseur:
- libvirt/qemu-kvm
- Debian Wheezy


VM:
- Debian Wheezy
- Disques:
# pvs
  PV VG   Fmt  Attr PSize PFree
  /dev/vda2  systemvm lvm2 a--  9.58g 416.00m
# lblk
NAME  MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
vda   254:0020G  0 disk
├─vda1254:10   191M  0 part /boot
└─vda2254:20  19.8G  0 part
  ├─systemvm-slash (dm-0) 253:00 1G  0 lvm  /
  ├─systemvm-home (dm-1)  253:10   100M  0 lvm  /home
  ├─systemvm-tmp (dm-2)   253:20   100M  0 lvm  /tmp
  ├─systemvm-var (dm-3)   253:30 1G  0 lvm  /var
  ├─systemvm-var_log (dm-4)   253:40  1000M  0 lvm  /var/log
  ├─systemvm-swap (dm-5)  253:50 1G  0 lvm  [SWAP]
  └─systemvm-var_lib_mysql (dm-6) 253:60 5G  0 lvm  /var/lib/mysql


-- 
Robin Cordier
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] MiTM Swisscom ?

[Mrjk]

Jolie petite histoire :-) Ce que j'en retiens, et comme à chaque fois,
ne jamais faire confiance à sa box FAI pour gérer son réseau interne.

Si tu veux pouvoir bricoler/t'éclater/sécuriser ton réseau, vaut mieux
passer par un vrais serveur, ou une boiboite OpenWRT :-)

--
MrJK
GPG: https://jeznet.org/jez.asc


Le 16 avril 2015 09:07, Pierre DOLIDON sn...@sn4ky.net a écrit :
 Salut.

 Penses également à ne pas utiliser les DNS qui te sont proposés par ton
 opérateur, afin d'utiliser quelque chose moins intrusif...


 Le 15/04/2015 22:20, Florian Siegenthaler a écrit :

 Bonjour à tous,

 Problème résolu, le certificat provient de la box Swisscom de son interface
 web, j'ai réussi à reproduire le problème, quand je perd l'accès à Internet
 c'est l'interface web du routeur qui s'affiche pour le signaler, c'est un
 portail captif qui a envoyé son certificat à ownCloud. Pour ce faire il
 suffit de débrancher le lien DSL et la box renvoie pour toutes les requêtes
 DNS sa propre IP.

 Donc le résolveur DNS de la box ment en plus du résolveur FAI pour signaler
 la perte de connexion et ownCloud a reçu ce certificat par erreur.
 Constaté par un wget --no-check-certificate https://files.siegenthaler.mx :

 florian@florian-pc-fixe:/home/florian$ wget --no-check-certificate
 https://files.siegenthaler.mx
 --2015-04-15 22:01:07--  https://files.siegenthaler.mx/
 Resolving files.siegenthaler.mx (files.siegenthaler.mx)... 192.168.1.1
 Connecting to files.siegenthaler.mx
 (files.siegenthaler.mx)|192.168.1.1|:443... connected.
 WARNING: cannot verify files.siegenthaler.mx's certificate, issued by
 ‘/C=ch/ST=Swisscom/L=Switzerland/O=Swisscom/CN=Swisscom’:
   Self-signed certificate encountered.
 WARNING: certificate common name ‘Swisscom’ doesn't match requested host
 name ‘files.siegenthaler.mx’.
 HTTP request sent, awaiting response... 200 OK
 Length: 4852 (4.7K) [text/html]
 Saving to: ‘index.html.3’

 100%[===]
 4'852   --.-K/s   in 0.005s

 2015-04-15 22:01:21 (996 KB/s) - ‘index.html.3’ saved [4852/4852]

 Ce n'est pas grave à priori, mais dans l'histoire j'ai tout de même supprimé
 l'autorité de certification Swisscom de toutes mes machines car cela leur
 offre la possibilité d'un mitm très peu visible et sans aucune alerte sur
 tous leurs clients (j'imagine de l'ordre du million), de plus je n'ai pas
 confiance en mon FAI.

 Merci pour votre participation et vos remarques.
 Florian Siegenthaler

 On 12. 04. 15 12:01, Florian Siegenthaler wrote:

 Bonjour,

 Merci de vos réponses.

 Donc oui c'est bien sur une ligne Swisscom (avec DNS géré par Swisscom),
 cet opérateur est aussi autorité de certification mais il ne me semble
 pas que ce faux certificat soit signé par cette autorité.
 Merci pour les conseils sur les requêtes HTTP, je vais étudier cela et
 installerai Framapic sur le serveur prochainement.

 Pour Qualys Lab déjà testé, mon serveur renvoie bien le bon certificat.
 Et non je suis connecté directement en câble, donc pas de portail wifi
 captif.

 Ce qui m'intéresserait c'est de pouvoir savoir précisément si ce
 certificat provient de l'autorité de certification Swisscom mais j'en
 doute sinon ownCloud n'y aurait vu que du feu et ne m'aurait pas affiché
 d'avertissement. Aussi j'aimerai pouvoir identifier le problème si il
 survient à nouveau, est-il possible de faire un tcpdump sélectif pour
 récupérer le certificat et d'autres informations (provenance IP, etc) ?

 J'ai d'ailleurs supprimé de mes machines cette autorité de certification
 car ils gèrent aussi les DNS des clients, je ne comprends d'ailleurs pas
 sa présence dans les OS et navigateurs...

 Florian Siegenthaler
 //

 On 09. 04. 15 23:39, Luc didry wrote:

 Le jeudi 9 avril 2015, 17:27:02 neo futur a écrit :

 c est interessant et ca a surement sa place ici, amha c est meme
 suffisemment interessant pour crossposter sur frnog si tu ne trouve
 pas ton bonheur ici.

 Oui, ça pue le MITM, mais c'est quand même bizarre, parce que quand on veut
 faire du MITM, on fait pas ça comme un gros goret, on essaye d'être discret.

 Tu pourrais regarder avec les outils de développement de Firefox pour suivre
 les requêtes HTTP.

 Conseil ± HS : si tu souhaites diffuser ton image sur frnog, je te
 conseillerai bien de la mettre sur https://framapic.org ou https://lut.im
 plutôt que sur ton owncloud : owncloud a la mauvaise habitude de mettre
 quelques tonnes de js et de css dans chacune de ses pages, du coup c'est pas
 mal lent (j'ai mis plusieurs secondes pour commencer à voir la page, ça a
 fait 84 requètes HTTP pour une bête page). Les deux services que je cite
 sont libres et respectueux de la vie privée, promis juré craché, et c'est
 rapide à l'affichage.

 Astuce HS : mettre 'asset-pipeline.enabled' = true dans le config.php
 d'owncloud permet de concaténer les js/css, du coup y

Re: [FRsAG] Lot FRsAG, Vol 183, Parution 1

[Mrjk]

Et alors, tu as trouvé la source du problème?

Cordialement

--
MrJK
GPG: https://jeznet.org/jez.asc

Le 23 mars 2015 13:58, Mrjk mrjk...@gmail.com a écrit :

 Bah, les problèmes d'heure, ça fait souvent des effets de bords ... qui
 sait ?

 Pour régler le problème:
 - Si décalage de quelques minutes: il faut installer le daemon ntpd pour
 qu'il aille se synchroniser avec un serveur NTP. La machine sera à l'heure
 exacte.
 - Si décalage de fuseau horaire: Il faut regarder la directive
 date.timezone dans le php.ini du mod_apache (ou du FPM). Cf:
 http://php.net/manual/fr/datetime.configuration.php#ini.date.timezone

 Dans tous les cas, je recommande l'installation d'un client NTP, surtout
 si tu as un pool de serveur ...


 --
 MrJK
 GPG: https://jeznet.org/jez.asc

 Le 23 mars 2015 10:58, Christophe LE PORT c.lep...@hotmail.fr a écrit :

 Bonjour,

 merci encore pour votre aide.
 Je suis sur les tests ce matin, mais comme c'est aléatoire c'est assez
 long pour valider les étapes.

 En créant une page php avec
  // Start full report
  echo h1SERVER: DATE/h1;
  echo pre;
  print_r(date(Y/m/d h:i:sa));
  echo /pre;
  echo h1HTTP: REQUEST HEADER/h1;
  echo pre;
  print_r(getallheaders());
  echo /pre;

 Je me suis rendu compte que l'heure donnée par php ne corresponds pas
 avec celle donnée par le serveur.

 Savez-vous quels impacts cela peut-il avoir ?

 Merci




  From: frsag-requ...@frsag.org
  Subject: Lot FRsAG, Vol 183, Parution 1
  To: frsag@frsag.org
  Date: Mon, 23 Mar 2015 01:22:58 +0100
 
  Envoyez vos messages pour la liste FRsAG à
  frsag@frsag.org
 
  Pour vous (dés)abonner par le web, consultez
  http://www.frsag.org/mailman/listinfo/frsag
 
  ou, par email, envoyez un message avec 'help' dans le corps ou dans le
  sujet à
  frsag-requ...@frsag.org
 
  Vous pouvez contacter l'administrateur de la liste à l'adresse
  frsag-ow...@frsag.org
 
  Si vous répondez, n'oubliez pas de changer l'objet du message afin
  qu'il soit plus spécifique que Re: Contenu du digest de FRsAG...
 
 
  Thèmes du jour :
 
  1. Re: Apache rafraichissement page (Baptiste)
  2. Re: Apache rafraichissement page (Emmanuel Thierry)
  3. Re: Apache rafraichissement page (Christophe LE PORT)
  4. Re: Apache rafraichissement page (j...@captainadmin.com)
  5. Re: Apache rafraichissement page (Mrjk)
 
 
  --
 
  Message: 1
  Date: Sun, 22 Mar 2015 12:00:00 +0100
  From: Baptiste bed...@gmail.com
  To: Christophe LE PORT c.lep...@hotmail.fr
  Cc: frsag@frsag.org frsag@frsag.org
  Subject: Re: [FRsAG] Apache rafraichissement page
  Message-ID:
  caodhi7q4m+ch0pdgt2xbwb3v6wtnmoixokkzw6w3ejznkgd...@mail.gmail.com
  Content-Type: text/plain; charset=ISO-8859-1
 
  2015-03-22 11:31 GMT+01:00 Christophe LE PORT c.lep...@hotmail.fr:
   Bonjour,
  
   J'ai un soucis avec httpd 2.4.6 sur centos 7
  
   Le serveur apache marche bien seulement quand j'ouvre une page sur le
 port
   80 et que je rafraichis la page au bout d' un certain temps (environ
 5mn) ,
   ça plante (comme çi la page n'existait pas)
  
   Via notre reverse, il nous affiche l'erreur suivante :
  
   Proxy Error
  
   The proxy server received an invalid response from an upstream server.
   The proxy server could not handle the request GET /test.php.
  
   Reason: Error reading from remote server
  
  
   Au niveau des entêtes html, voici le cas d'un fonctionnement normal :
  
   Host: test.site15.net
   User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:36.0)
 Gecko/20100101
   Firefox/36.0
   Accept:
 text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
   Accept-Language: fr,fr-FR;q=0.8,en-US;q=0.5,en;q=0.3
   Accept-Encoding: gzip, deflate
   Connection: keep-alive
  
  
   Cache-Control: no-cache
   Connection: Keep-Alive
   Content-Type: text/html; charset=UTF-8
   Date: Sun, 22 Mar 2015 09:07:10 GMT
   Keep-Alive: timeout=5, max=100
   Server: Apache/2.4.6 (CentOS) PHP/5.4.16
   Transfer-Encoding: chunked
   Via: 1.1 test.site15.net
   X-Debug-Token: 674072
   X-Powered-By: PHP/5.4.16
  
   Voici la réponse html lors d'un plantage :
  
   Connection: Keep-Alive
   Content-Length: 401
   Content-Type: text/html; charset=iso-8859-1
   Date: Sun, 22 Mar 2015 09:30:03 GMT
   Keep-Alive: timeout=5, max=100
   Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips
  
  
   Je me demande ce que viens faire OpenSSL/1.0.1e-fips alors que je
 fais une
   requête sur le port 80.
  
   Sur une analyse wireshark, on peut observer que le serveur envoi des
 TCP RST
   après la demande de GET du client alors qu'une connexion tcp est bien
 établi
   juste avant d'envoyer le GET HTTP.
  
   J'ai essayé de jouer avec le paramètre keepalive, sans succès !
  
   Si quelqu'un à des pistes ?
  
   Merci,
  
   Christophe
  
 
 
  Salut,
 
  Tu pourrais partager la trace réseau, même en PV?
  Ainsi que les logs Apache...
  J'ai déjà vu ce genre de comportement avec HAProxy, mais avec un
  client chrome, c'etait lié

Re: [FRsAG] Lot FRsAG, Vol 183, Parution 1

[Mrjk]

Bah, les problèmes d'heure, ça fait souvent des effets de bords ... qui
sait ?

Pour régler le problème:
- Si décalage de quelques minutes: il faut installer le daemon ntpd pour
qu'il aille se synchroniser avec un serveur NTP. La machine sera à l'heure
exacte.
- Si décalage de fuseau horaire: Il faut regarder la directive
date.timezone dans le php.ini du mod_apache (ou du FPM). Cf:
http://php.net/manual/fr/datetime.configuration.php#ini.date.timezone

Dans tous les cas, je recommande l'installation d'un client NTP, surtout si
tu as un pool de serveur ...


--
MrJK
GPG: https://jeznet.org/jez.asc

Le 23 mars 2015 10:58, Christophe LE PORT c.lep...@hotmail.fr a écrit :

 Bonjour,

 merci encore pour votre aide.
 Je suis sur les tests ce matin, mais comme c'est aléatoire c'est assez
 long pour valider les étapes.

 En créant une page php avec
  // Start full report
  echo h1SERVER: DATE/h1;
  echo pre;
  print_r(date(Y/m/d h:i:sa));
  echo /pre;
  echo h1HTTP: REQUEST HEADER/h1;
  echo pre;
  print_r(getallheaders());
  echo /pre;

 Je me suis rendu compte que l'heure donnée par php ne corresponds pas avec
 celle donnée par le serveur.

 Savez-vous quels impacts cela peut-il avoir ?

 Merci




  From: frsag-requ...@frsag.org
  Subject: Lot FRsAG, Vol 183, Parution 1
  To: frsag@frsag.org
  Date: Mon, 23 Mar 2015 01:22:58 +0100
 
  Envoyez vos messages pour la liste FRsAG à
  frsag@frsag.org
 
  Pour vous (dés)abonner par le web, consultez
  http://www.frsag.org/mailman/listinfo/frsag
 
  ou, par email, envoyez un message avec 'help' dans le corps ou dans le
  sujet à
  frsag-requ...@frsag.org
 
  Vous pouvez contacter l'administrateur de la liste à l'adresse
  frsag-ow...@frsag.org
 
  Si vous répondez, n'oubliez pas de changer l'objet du message afin
  qu'il soit plus spécifique que Re: Contenu du digest de FRsAG...
 
 
  Thèmes du jour :
 
  1. Re: Apache rafraichissement page (Baptiste)
  2. Re: Apache rafraichissement page (Emmanuel Thierry)
  3. Re: Apache rafraichissement page (Christophe LE PORT)
  4. Re: Apache rafraichissement page (j...@captainadmin.com)
  5. Re: Apache rafraichissement page (Mrjk)
 
 
  --
 
  Message: 1
  Date: Sun, 22 Mar 2015 12:00:00 +0100
  From: Baptiste bed...@gmail.com
  To: Christophe LE PORT c.lep...@hotmail.fr
  Cc: frsag@frsag.org frsag@frsag.org
  Subject: Re: [FRsAG] Apache rafraichissement page
  Message-ID:
  caodhi7q4m+ch0pdgt2xbwb3v6wtnmoixokkzw6w3ejznkgd...@mail.gmail.com
  Content-Type: text/plain; charset=ISO-8859-1
 
  2015-03-22 11:31 GMT+01:00 Christophe LE PORT c.lep...@hotmail.fr:
   Bonjour,
  
   J'ai un soucis avec httpd 2.4.6 sur centos 7
  
   Le serveur apache marche bien seulement quand j'ouvre une page sur le
 port
   80 et que je rafraichis la page au bout d' un certain temps (environ
 5mn) ,
   ça plante (comme çi la page n'existait pas)
  
   Via notre reverse, il nous affiche l'erreur suivante :
  
   Proxy Error
  
   The proxy server received an invalid response from an upstream server.
   The proxy server could not handle the request GET /test.php.
  
   Reason: Error reading from remote server
  
  
   Au niveau des entêtes html, voici le cas d'un fonctionnement normal :
  
   Host: test.site15.net
   User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:36.0) Gecko/20100101
   Firefox/36.0
   Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
   Accept-Language: fr,fr-FR;q=0.8,en-US;q=0.5,en;q=0.3
   Accept-Encoding: gzip, deflate
   Connection: keep-alive
  
  
   Cache-Control: no-cache
   Connection: Keep-Alive
   Content-Type: text/html; charset=UTF-8
   Date: Sun, 22 Mar 2015 09:07:10 GMT
   Keep-Alive: timeout=5, max=100
   Server: Apache/2.4.6 (CentOS) PHP/5.4.16
   Transfer-Encoding: chunked
   Via: 1.1 test.site15.net
   X-Debug-Token: 674072
   X-Powered-By: PHP/5.4.16
  
   Voici la réponse html lors d'un plantage :
  
   Connection: Keep-Alive
   Content-Length: 401
   Content-Type: text/html; charset=iso-8859-1
   Date: Sun, 22 Mar 2015 09:30:03 GMT
   Keep-Alive: timeout=5, max=100
   Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips
  
  
   Je me demande ce que viens faire OpenSSL/1.0.1e-fips alors que je
 fais une
   requête sur le port 80.
  
   Sur une analyse wireshark, on peut observer que le serveur envoi des
 TCP RST
   après la demande de GET du client alors qu'une connexion tcp est bien
 établi
   juste avant d'envoyer le GET HTTP.
  
   J'ai essayé de jouer avec le paramètre keepalive, sans succès !
  
   Si quelqu'un à des pistes ?
  
   Merci,
  
   Christophe
  
 
 
  Salut,
 
  Tu pourrais partager la trace réseau, même en PV?
  Ainsi que les logs Apache...
  J'ai déjà vu ce genre de comportement avec HAProxy, mais avec un
  client chrome, c'etait lié au pre-connect et à une mauvaise gestion
  du buffer de reception côté client.
 
  Baptiste
 
 
  --
 
  Message: 2
  Date: Sun, 22 Mar 2015 12:15

Re: [FRsAG] Apache rafraichissement page

[Mrjk]

Bonsoir,

Avec les informations que tu nous a indiquées, j'essayerai de répondre aux
questions suivantes.

Je pars du constat que: Le problème est reproduisible directement sur la
machine (sans le HAProxy), cependant il peut toujours y avoir un problème
de réseau.

Test 1:
#
Essayer de reproduire le problème depuis le localhost de ton serveur (wget
--headers=Host:mondomaine.com 127.0.0.1/test.php)
-- Si le problème se reproduit à l'identique depuis le localhost et depuis
ton poaste local, le problème n'est pas au niveau du réseau, mais au niveau
de la machine.
-- Si le problème ne se reproduit pas, c'est probablement un problème de
firewall ou de proxy (mais visiblement, ce n'est pas le cas)

Test 2:
#
Essayer de voir si c'est Apache le problème, ou plutôt le module PHP
(mod_php ou PHP-FPM). Essayer de servir un fichier html et un fichier PHP,
pour voir si le problème se reproduit sur le HTML
-- Si le problème existe sur les deux, le problème vient d'apache
-- Si le problème vient seulement du code PHP, le problème vient de ...
PHP ^^

Test 3:
#
Si c'est PHP, et en supposant que ce ne soit pas un problème de
programmation, il faut essayer de reproduire le pb avec une page comme
ci-dessous (à toi de le modifier pour qu'il corresponde à tes besoins).
Après, il faut aller éplucher les logs pour voir ce qu'il se passe:

Note: Faire attention si y'a du cache PHP, ça peut être interressant de le
désactiver pendant les tests, en supposant que ce ne soit pas la source du
problème.

?php

// Disable cache
header(Expires: on, 01 Jan 1970 00:00:00 GMT);
header(Last-Modified:  . gmdate(D, d M Y H:i:s) .  GMT);
header(Cache-Control: no-store, no-cache, must-revalidate);
header(Cache-Control: post-check=0, pre-check=0, false);
header(Pragma: no-cache);

// Send a syslog message
openlog('apache2', LOG_CONS | LOG_NDELAY | LOG_PID, LOG_USER | LOG_PERROR);
syslog(LOG_NOTICE, 'Debug: Notice test message (1/3)');
syslog(LOG_INFO, 'Debug: Info test message (2/3)');
syslog(LOG_ERR, 'Debug: Error test message (3/3)');
closelog();

// Start full report
echo h1SERVER: DATE/h1;
echo pre;
print_r(date(Y/m/d h:i:sa));
echo /pre;
echo h1HTTP: REQUEST HEADER/h1;
echo pre;
print_r(getallheaders());
echo /pre;

echo h1HTTP: SERVER/h1;
echo pre;
print_r ($_SERVER);
echo /pre;

echo h1HTTP: POST DATA/h1;
echo pre;
print_r($_POST);
echo /pre;

echo h1PHP: PHPINFO/h1;
phpinfo();
?

Test 4:
#
- Penser au contexte: le problème arrive tout le temps? Quand y'a de la
charge? Quand y'en a pas? Pendant des backups? Pendant un check de la
supervision (omg) ?
- Penser au cache PHP, si y'en a un ...
- Penser à la conf de PHP et/ou Apache
- Si tu as un pool de serveur derrière, penser à la concurrence: des
modifications sur des fichiers lockées, des requetes mysql en attente, des
accès concurrents, etc ...
- Faire un strace sur le process qui sert le fichier (franchement pas
facile avec le mod_php, mais ça se fait, l'idée est de sortir la machine de
ton pool de prod, si tu en a un, pour faire tes tests)

Test 5:
#
En dernier recours, essayer de voir si le problème se reproduit dans un
environnement neuf, et essayer de faire le diff des confs. C'est long et
pas élégant, mais c'est pour ça que c'est le test 5 et qu'il y'en a pas
après ^^


Et si c'est pas dans tout ce que j'ai dit, je parie une bière que c'est un
problème de code, ou sous-jacent :-D On sous-estime toujours les codeurs
dans l'accomplissement de leur exploits techniques, huhu (/troll) :D

Bon courage, je serai curieux de savoir ce que c'était au final :-)
--
MrJK
GPG: https://jeznet.org/jez.asc

Le 22 mars 2015 23:28, j...@captainadmin.com a écrit :

 Bonsoir,

 Il faut vérifier si le flux arrive toujours sur le serveur final avec un
 tcpdump par exemple.
 En regardant les logs apache, a supposer que ton vhost soit correctement
 configuré, tu devrais avoir des informations dans /var/log/httpd/*.log qui
 te permettront de trouver plus facilement l'erreur.

 Si tu rafraichis plusieurs fois, le problème persiste ou la page ne
 s'affiche toujours pas?
 Ton test.php pourrait-être un simple
 ?php

 // Show all information, defaults to INFO_ALL
 phpinfo();

 ?

 pour être sur que ce en soit pas php qui pose problème ?

 Bonne soirée
 http://www.captainadmin.com




 Le 22-03-2015 16:30, Christophe LE PORT a écrit :

 Merci pour vos réponses,

 @Manu - Le problème est identique que ce soit en direct ou en
 passant par le reverse

 @Baptiste et Olivier

 Il n'y aucune trace au niveau des logs httpd (passé en mode debug)
 sur le serveur apache

 Au niveau du proxy, il me retourne ces 2 lignes :

 [Sun Mar 22 16:09:41.754637 2015] [proxy_http:error] [pid 19583]
 (104)Connection reset by peer: [client 2.2.227.125:64566] AH01102:
 error reading status line from remote server 192.168.0.234:80

 [Sun Mar 22 16:09:41.755049 2015] [proxy:error] [pid 19583] [client
 2.2.227.124:64566] AH00898: Error reading from remote server returned
 by /test.php

  Date: Sun, 22

Re: [FRsAG] cherche cas usage des regex dans la vraie vie

[Mrjk]

Hello,

Je suis sysadmin et je note pas mal de mes commandes cas concret sur
mon site: https://jeznet.org/Wiki/CodeSnippets (tu ctrl+F 'grep' dans
la page, pour arriver sur les sections interressantes). De manière
générale: https://jeznet.org/?n=Wiki.HomePageaction=searchq=grep
Plus que la beauté des commandes, tu trouvera des cas concrets. Dans
le cas de mon shell, je pousse mes Regex dans des variables, pour les
réutiliser avec grep/sed:
https://github.com/mrjk/linux-personal-env/blob/master/bash/bash.bashrc
(fonction shell_global_variable)


Note 1: Pas mal de ces commandes pourraient être optimisées, mais par
exemple je préfère piper plusieurs grep simple qu'un gros grep avec
une expression de bourrin. Question de réusabilité.
Note 2: Désolé pour la pub ? :/
--
MrJK


Le 11 février 2015 06:29, Mihamina RAKOTOMANDIMBY
mihamina.rakotomandi...@rktmb.org a écrit :
 Bonjour,

 Je dois faire un mini exposé sur les regex.
 Ca m'interesserait de pouvoir donner des exemples sur les recherches dans
 les logs.
 Je cherche donc des cas d'usage, dans lesquels il faut utiliser des regex
 pour trouver ce qu'on veut.
 Les truc du genre  $grep Error access.log me semblent inutile pour ce coup
 là :-) du fait de la trop facilité du pattern.

 Le public: des sysadmins juniors *et* des devs web à qui on souhaite
 introduire à la recherche des erreurs dans les fichiers d'erreur (Apache,
 Tomcat, MySQL, PGSQL, Postfix, Exim,...)

 Auriez-vous des cas d'usage (bonus: avec la résolution et un sample)?

 Merci bien.


 ___
 Liste de diffusion du FRsAG
 http://www.frsag.org/

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Presta pour maintenance informatique (petite structure) ?

[Mrjk]

Bonsoir,

C'est cool ça :-) Par contre, c'est sur toute la France, ou sur une
région en particulier (du moins pour le début). J'ai pas bien compris
s'il s'agissait de bénévolat, ou si c'était rémunéré ?

@+
--
MrJK


Le 9 février 2015 20:12, Damien MICHAUDET d.michau...@gmail.com a écrit :
 Bonjour,

 je suis en train de monter une structure associative pour justement
 s'occuper de ce genre de besoins.

 Le but de l'asso serait de pouvoir proposer des solutions aux petites
 structures qui n'ont pas du tout besoin d'accompagnement à temps plein, et
 de les mettre en relation avec des techniciens étudiants ou comme petit
 boulot quand il y a des besoins d'install et de maintenance.

 Je connais quelques techniciens qui seraient ravis d'avoir des missions et
 pour ces petites structures, ce serait dommage de monter une Nième société
 prestataire pour prendre une grosse com.

 L'asso en tant que telle pourrait proposer des solutions d'installation et
 migration, et le client paye le technicien à la tâche.

 On n'a pas encore de nom définitif mais déjà un local, et comme c'est
 associatif, l'aide de tout le monde est la bienvenue :)

 Si ton collègue est interessé, envoie moi un mail et on verra ensemble ce
 qu'on peut faire.

 ++

 --
 // Damien Michaudet
 # open systems engineer @ RedHat|eNovance
 // +33 (0)6 76 74 46 50

 ___
 Liste de diffusion du FRsAG
 http://www.frsag.org/

___
Liste de diffusion du FRsAG
http://www.frsag.org/