Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
dedibox [2011/09/05 19:24] thierry |
dedibox [2012/07/11 17:37] (Version actuelle) thierry |
||
---|---|---|---|
Ligne 92: | Ligne 92: | ||
Pour ssh. Editer **''/etc/ssh/sshd_config''** et décommenter la ligne: | Pour ssh. Editer **''/etc/ssh/sshd_config''** et décommenter la ligne: | ||
ListenAddress 0.0.0.0 | ListenAddress 0.0.0.0 | ||
+ | |||
+ | Ou plutôt , editer **''/etc/default/ssh''** et faire en sorte d'ajouter "-4" au démarrage de sshd. Exemple: | ||
+ | SSHD_OPTS="-4" | ||
Redemarrer les services residuels, afin qu'ils "oublient" ipv6. | Redemarrer les services residuels, afin qu'ils "oublient" ipv6. | ||
Ligne 98: | Ligne 101: | ||
===== Dummy Interface ===== | ===== Dummy Interface ===== | ||
+ | |||
+ | Lien: http://linax.wordpress.com/2009/09/12/linux-dummy-network-device/ | ||
Sous Debian, il faut une interface reseau **bridgé** pour que Xen puisse ensuite la partagé aux machines virtuelles: | Sous Debian, il faut une interface reseau **bridgé** pour que Xen puisse ensuite la partagé aux machines virtuelles: | ||
Ligne 125: | Ligne 130: | ||
Pour charger le pilote a chaque boot, ajouter dans **''/etc/modules''** : | Pour charger le pilote a chaque boot, ajouter dans **''/etc/modules''** : | ||
dummy | dummy | ||
+ | |||
+ | Si vous voulez avoir plus d'interface "dummy", alors mettre par exemple: | ||
+ | dummy numdummies=3 | ||
+ | ... pour en avoir 3. | ||
Configurer "dummy0"... dans **''/etc/network/interfaces''**, ajouter un truc du genre: | Configurer "dummy0"... dans **''/etc/network/interfaces''**, ajouter un truc du genre: | ||
auto dummy0 | auto dummy0 | ||
iface dummy0 inet manual | iface dummy0 inet manual | ||
+ | up ip link set $IFACE address 3a:11:9d:4d:d7:64 | ||
| | ||
auto brlan | auto brlan | ||
Ligne 147: | Ligne 157: | ||
Voila. | Voila. | ||
+ | |||
+ | |||
+ | | :!: je force la MAC parce que "dummy" va créer aléatoirement une nouvelle MAC a chaque redemarrage... et ce n'est pas ce que je veux.\\ Equivalent de **''up ifconfig $IFACE hw ether 3a:11:9d:4d:d7:64''** | | ||
+ | |||
+ | | :!: Choisir la MAC que vous voulez, ou laissez "dummy" faire tout seul... | | ||
+ | |||
===== LVM2 ===== | ===== LVM2 ===== | ||
Ligne 431: | Ligne 447: | ||
On va utiliser "ferm" pour configurer "iptables". | On va utiliser "ferm" pour configurer "iptables". | ||
+ | === ATTENTION === | ||
+ | |||
+ | **''ferm''** et **''iptables''** sont de puissant outils ! | ||
+ | |||
+ | Je décris rapidement la mise en place, mais il faut avoir conscience qu'une fois les règles Iptables en place, il y aura un "suivi des connexions" ( tracking ) qui peut: | ||
+ | -Charger le CPU (si vous avez des milliers de connexion a "suivre") | ||
+ | -Empecher certains services de fonctionner: comme FTP, PPTP, RTP, etc... | ||
+ | |||
+ | On peut largement optimiser la configuration (par exemple, pour ne pas "suivre" les connexions locales). | ||
+ | |||
+ | Il existe des modules a charger pour que des services fonctionnent. | ||
+ | |||
+ | Ici, on ne verra que des cas simples de services simples. | ||
=== pre-requis === | === pre-requis === | ||
Ligne 513: | Ligne 542: | ||
| :!: On n'a pas encore de règles pour le reseau local, donc: ca marche plus pour les machines virtuelles! | | | :!: On n'a pas encore de règles pour le reseau local, donc: ca marche plus pour les machines virtuelles! | | ||
+ | |||
+ | === activer forward === | ||
+ | |||
+ | Maintenant qu'on un firewall en place, on peut se permettre d'activer le "forward" entre interface. | ||
+ | |||
+ | Par exemple: | ||
+ | # echo "net.ipv4.ip_forward=1" >> /etc/sysctl.d/local.conf | ||
+ | Appliquer maintenant (a moins que vous préfériez rebooter!) : | ||
+ | # sysctl -p /etc/sysctl.d/local.conf | ||
+ | |||
+ | Voila. | ||
+ | |||
+ | === Régle pour le LAN === | ||
+ | |||
+ | On va autoriser le LAN a être visible du Dom0 et réciproquement. | ||
+ | |||
+ | Il suffit d'ajouter dans le fichier **''ferm.conf''** : | ||
+ | # --------------------- | ||
+ | # LAN | ||
+ | # --------------------- | ||
+ | | ||
+ | @def $LAN_IF = brlan; | ||
+ | @def $LAN_IP = 192.168.2.254; | ||
+ | @def $LAN_NETWORK = 192.168.2.0/24; | ||
+ | | ||
+ | chain INPUT if $LAN_IF mod state state ( NEW ESTABLISHED RELATED ) ACCEPT; | ||
+ | chain OUTPUT of $LAN_IF mod state state ( NEW ESTABLISHED RELATED ) ACCEPT; | ||
+ | Il n'y a de régles restrictives (sauf d'ignorer l'etat "INVALID"). | ||
+ | |||
+ | et d'appliquer cette nouvelle conf: | ||
+ | # ferm ferm.conf | ||
+ | |||
+ | Et ca marche dans les 2 sens. | ||
+ | |||
+ | Mais les machines virtuelles ne peuvent toujours pas atteindre Internet ! | ||
+ | |||
+ | === NAT simple === | ||
+ | |||
+ | Pour que les machines virtuelles puissent atteindre l'Internet Mondial, ajouter cela: | ||
+ | |||
+ | | ||
+ | # Declaration de classes locales | ||
+ | | ||
+ | @def $PRIVATE_NETWORK = ( | ||
+ | 10.0.0.0/8 | ||
+ | 192.168.0.0/16 | ||
+ | 172.16.0.0/12 | ||
+ | 169.254.0.0/16 | ||
+ | ); | ||
+ | | ||
+ | # Le reseau local vers le WAN | ||
+ | | ||
+ | chain FORWARD if $LAN_IF of $WAN_IF saddr $LAN_NETWORK { | ||
+ | daddr $PRIVATE_NETWORK DROP; | ||
+ | mod state state ( NEW ESTABLISHED RELATED ) ACCEPT; | ||
+ | } | ||
+ | | ||
+ | # Autoriser les forward autorises (par le NAT) | ||
+ | chain FORWARD if $WAN_IF of $LAN_IF daddr $LAN_NETWORK mod state state ( ESTABLISHED RELATED ) ACCEPT; | ||
+ | | ||
+ | # --------------------- | ||
+ | # POSTROUTING LAN->WAN | ||
+ | # --------------------- | ||
+ | table nat chain POSTROUTING of $WAN_IF saddr $LAN_NETWORK SNAT to $WAN_IP; | ||
+ | |||
+ | On prend garde de ne pas polluer le reseau avec des classes appartenant aux "PRIVATE_NETWORK". | ||
+ | |||
+ | On n'utilise pas "MASQUERADE" en optimisant, puisqu'on connait déjà notre adresse IP publique. | ||
+ | |||
===== Tips ===== | ===== Tips ===== | ||
Ligne 518: | Ligne 616: | ||
==== Dell Open Manage ==== | ==== Dell Open Manage ==== | ||
- | FIXME | + | Liens: |
+ | *http://linux.dell.com/repo/community/deb/ | ||
+ | |||
+ | En gros: | ||
+ | # cd /etc/apt/sources.list.d/ | ||
+ | Créer un fichier, par exemple **''dell-om.list''** avec dedans: | ||
+ | deb http://linux.dell.com/repo/community/deb/latest / | ||
+ | |||
+ | La 1er fois, installer la clé qui va bien pour que "apt" soit en confiance. | ||
+ | # gpg --keyserver pgpkeys.mit.edu --recv-key E74433E25E3D7775 | ||
+ | # gpg -a --export E74433E25E3D7775 | apt-key add - | ||
+ | |||
+ | # aptitude update | ||
+ | |||
+ | Soyons fou: | ||
+ | # aptitude install srvadmin-all | ||
+ | |||
+ | La 1er fois, le service demarre a la main: | ||
+ | |||
+ | # service dataeng start | ||
+ | |||
+ | On a un etat de la bête: | ||
+ | /opt/dell/srvadmin/sbin/omreport system summary | ||
+ | |||
+ | System Summary | ||
+ | |||
+ | ------------------ | ||
+ | Software Profile | ||
+ | ------------------ | ||
+ | Systems Management | ||
+ | Name : Server Administrator | ||
+ | Version : 6.5.0 | ||
+ | Description : Systems Management Software | ||
+ | |||
+ | Operating System | ||
+ | Name : Linux | ||
+ | Version : Kernel 2.6.32-5-xen-amd64 (x86_64) | ||
+ | System Time : Sun Nov 13 02:14:33 2011 | ||
+ | System Bootup Time : Sun Nov 6 19:37:15 2011 | ||
+ | |||
+ | -------- | ||
+ | System | ||
+ | -------- | ||
+ | System | ||
+ | Host Name : warez-1 | ||
+ | System Location : Please set the value | ||
+ | Life Cycle Controller : Enabled | ||
+ | |||
+ | .... | ||
+ | Slot PCIE1 | ||
+ | Adapter : PERC H200 Adapter | ||
+ | Type : PCI E Gen 2 | ||
+ | Data Bus Width : 16x or x16 | ||
+ | Speed : [Not Obtained, see card documentation] | ||
+ | Slot Length : Long | ||
+ | Voltage Supply : 3.3 Volts | ||
+ | |||
+ | BIOS Information | ||
+ | Manufacturer : Dell Inc. | ||
+ | Version : 1.5.2 | ||
+ | Release Date : 10/18/2010 | ||
+ | |||
+ | Firmware Information | ||
+ | Name : iDRAC6 | ||
+ | Version : 1.57 | ||
+ | |||
+ | Radin sur le matos et paresseux dans les mises à jour :) | ||
+ | |||
+ | |||
+ | Démarrer l'interface web: | ||
+ | # service dsm_om_connsvc start | ||
+ | Et puis go: | ||
+ | # lynx https://localhost:1311/ | ||
+ | ;) | ||
+ | |||
+ | Rendre le démarrage du web pérenne: | ||
+ | # update-rc.d dsm_om_connsvc defaults | ||
+ | Mais comme ça marche pas bien, modifier l'entete du fichier **''/etc/init.d/dsm_om_connsvc''** en corrigeant pour avoir: | ||
+ | # Default-Start: 2 3 4 5 | ||
+ | # Default-Stop: 0 1 6 | ||
+ | |||
+ | L'interface fonctionne, et LOL: | ||
+ | La version du micrologiciel est obsolète. | ||
+ | Version du micrologiciel 07.01.33.00 | ||
+ | Version de micrologiciel minimale requise 07.02.42.00 | ||
+ | |||
+ | === snmp et Nagios === | ||
+ | |||
+ | Pour que "check_openmanage" de "Nagios" fonctionne, entre autre, il faut apporter quelques modifs aux services ''snmpd'' ... | ||
+ | |||
+ | Modifier le fichier **''/etc/default/snmpd''** pour avoir : | ||
+ | # snmpd options (use syslog, close stdin/out/err). | ||
+ | # TJ ------------ | ||
+ | #SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -g snmp -I -smux -p /var/run/snmpd.pid' | ||
+ | SNMPDOPTS='-LS5d -Lf /dev/null -u snmp -g snmp -p /var/run/snmpd.pid' | ||
+ | # --------------- | ||
+ | |||
+ | Et dans **''/etc/snmp/snmpd.conf''** : | ||
+ | # Snmpd ouvert a tous | ||
+ | agentAddress udp:161 | ||
+ | # Acces pour nagios | ||
+ | rocommunity <MOT_DE_PASSE> <IP_DU_SERVEUR_NAGIOS> | ||
+ | |||
+ | ==== FailOver ==== | ||
+ | |||
+ | Lien: http://howto.landure.fr/gnu-linux/debian-4-0-etch/mettre-en-oeuvre-la-solution-ip-failover-proposee-par-la-societe-ovh | ||
+ | |||
+ | J'ai commandé une IP supplémentaire :-) ... pas gratuite... OOOOOoooh... | ||
+ | |||
+ | Ceci fait, via la console, on dirige la nouvelle IP vers son serveur. | ||
+ | |||
+ | (Il peut y avoir de longues minutes d'attente entre les differentes étapes...) | ||
+ | |||
+ | Sur le serveur Linux, on ajoute la nouvelle IP juste pour voir: | ||
+ | |||
+ | # ip addr add dev eth0 <IP>/32 label "eth0:1" | ||
+ | |||
+ | (Adapter les règles de FireWall au préalable) | ||
+ | |||
+ | Ok. Ça répond au ping :-) | ||
+ | |||
+ | On nettoie ça en virant ce qu'on vient de tester: | ||
+ | # ip addr del dev eth0 <IP>/32 | ||
+ | |||
+ | ... et on refait une conf plus classique dans **''/etc/network/interfaces''** . | ||
+ | |||
+ | auto eth0:fo1 | ||
+ | iface eth0:fo1 inet static | ||
+ | address <IP> | ||
+ | netmask 255.255.255.255 | ||
+ | |||
+ | "fo1" pour "Fail Over 1" ... | ||
+ | |||
+ | Et voila. On a une 2ieme IP. | ||
+ | On peut l'utiliser comme IP public pour divers trucs... |