FRsAG August 2010

frsag@frsag.org

59 participants
16 discussions

Du bon usage du mail...
by Dominique Rousseau 29 Sep '11

29 Sep '11

Le Tue, Jul 20, 2010 at 12:14:25PM +0200, Vincent Carpentier [vincent.carpentier(a)cegedim.fr] a écrit: > [...] Dites, là, sur une liste neuve, ça serait bien de prendre directement de bonnes habitudes, et d'éviter les dérives de sujet sans changer de fil, le goret-quoting et le top-posting. Merci. -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 50, rue Riolan 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop

17 23

Technos utilisées pour les images disques en environnement virtualisé KVM
by Florian MAURY 15 Feb '11

15 Feb '11

Bonjour, Simple question autour de la virtualisation avec KVM : comment partagez vous les disques entre plusieurs systèmes hôte, afin de pouvoir faire du live-migration ou du start on failure (équivalent Vmware HA) ? NFS ? DRBD ? ISCSI ? autre système de partage de fichier ? Si vous disposez d'un SAN, prenez vous le pari d'open-iscsi, ou montez vous un opensolaris à coté qui repartage après en NFS/whatever ? Je pose cette question saugrenue car il me semble avoir entendu dire que l'implémentation de iscsi sous solaris est plus stable (est ce vrai ?) Par ailleurs, comment faites vous pour obtenir du thin provisionning ? Utilisez vous cette astuce :http://www.njcrawford.com/2010/01/21/growing-a-kvm-raw-hard-drive-image-file/ ? J'ai rencontré des problèmes avec cette méthode en cas de sauvegarde avec compression puisqu'au moment de la décompression la copie prend la place prévue et non la place "thin provisionnée". Peut etre il y a t il des options de compression que j'ai raté. Le format qcow2 semble permettre ce genre de chose, mais est visiblement, d'après la documentation de KVM incompatible avec virtio, faisant perdre des performances. Merci. Florian MAURY

33 49

[RESOLU] truc de dingue, mail from hotmail to IN A avant IN MX
by neo futur 25 Oct '10

25 Oct '10

depuis quelques jours, un des domaines de mes clients ne recevai plus les emails en provenance de hotmail retour en erreur immediat dans hotmail : This is an automatically generated Delivery Status Notification. Delivery to the following recipients failed. avec en piece jointe : Reporting-MTA: dns;blu0-omc3-s12.blu0.hotmail.com Received-From-MTA: dns;BLU139-W6 Arrival-Date: Mon, 19 Jul 2010 23:38:53 -0700 Final-Recipient: rfc822;admin(a)p*****rs.com Action: failed Status: 5.7.1 Diagnostic-Code: smtp;554 5.7.1 <admin(a)p*****rs.com>: Relay access denied Final-Recipient: rfc822;info(a)p*****rs.com Action: failed Status: 5.7.1 Diagnostic-Code: smtp;554 5.7.1 <info(a)p*****rs.com>: Relay access denied je sais que mes DNS et MX sont 100 % cleans ( zonecheck entre autres ) apres une longue enquete je finis enfin par trouver : http://windowslivehelp.com/thread.aspx?threadid=b27e8335-2d5b-4d2b-8510-83e… voir le commentaire de "I run servers that work" qui m a donne la solution ainsi que le mien que j ai rajoute au thread This is caused by microsoft's failure to follow mail standards. The only fix (short of getting MS to do something) is to convince the person who runs the domain you are trying to email to (hilariously) block hotmail's IP's from sending mail to there web server. I did this for my linux mail server with the following; iptables -A INPUT -s 65.52.0.0/14 -p tcp -j REJECT --reject-with icmp-port-unreachable Note: you may have to add more IP's to this range, I am unsure if msn, live, etc use other IP's --Technical explanation-- First MS for some reason pull's your domain's A record and attempts to deliver to it. EG.... dig hotmail.com A +short 64.4.20.186 64.4.20.169 64.4.20.174 64.4.20.184 If those IP's do not host a mail server it will pull the MX record and deliver mail appropriately. dig hotmail.com MX +short 5 mx1.hotmail.com. 5 mx2.hotmail.com. 5 mx3.hotmail.com. 5 mx4.hotmail.com. This will cause issues ANY time you have an email server on your web server if it is not also your email server. Such as; An outgoing server (as mine was) A filtering service A shared host An authentication required mail server effectivement en regardant les logs du serveur concernen , qui nest PAS un des MX de ce domaine , j ai effectivement vu que hotmail essayai de se connecter a ce serveur , et evidemment le postfix du serveur refusai les mails, vu qu il ne gere pas les mails de ce domaine, et n est pas un MX de ce domaine apres un drop de 65.52.0.0/16 65.55.0.0/16 sur le serveur en question hop ca marche hotmail n ayant pas trouve de port 25 sur le IN A de parcours.com est finalement alle chercher le DNS et les IN MX du domaine , et envoie dorenavant les emails aux vrais MX du domaine voila, je tenais a partager ca : 1 pour que quand ca vous arrivera vous ayez la solution, j ai perdu quelques heures a chercher 2 pourfoutre la honte a microsoft hotmail, hesitez pas a faire tourner l info : http://windowslivehelp.com/thread.aspx?threadid=b27e8335-2d5b-4d2b-8510-83e… je suis pas le premier a qui ca arrive . . . -- Cordialement ----------------------------------- William Waisse http://waisse.org | http://neoskills.com http://cahierspip.ww7.be | http://feeder.ww7.be Computers are like air conditionners. They work better when you close windows.

14 21

Serveurs & SSD
by Benjamin Billon 15 Sep '10

15 Sep '10

Je reprends un sujet récemment lancé sur FRnOG, parce que ce sujet, il est trop bien. Pour ceux portés un peu plus sur les DBs qu'autre chose, Percona a publié un article intéressant sur le sujet : http://www.ssdperformanceblog.com/2010/07/free-space-and-write-performance/ Plus généralement, Percona ne publie que des articles intéressants sur ses blogs, http://www.ssdperformanceblog.com/ ou http://www.mysqlperformanceblog.com/ -- Benjamin

12 22

Système de backup journalière pour réseau interne
by Sky Gunning 10 Sep '10

10 Sep '10

Bonjour à tous. J'ai un réseau interne d'une 12aine de machines de machines qui tourne sous windows (xp, vista et seven), linux (ubuntu) et plusieurs mac avec des version différentes selon leurs ages ... Assez hétéroclite :) Je voudrez mettre en place une sauvegarde journalière de l'ensemble des machines, mais pas du disque entier, juste un répertoire par ordinateur. Type de sauvegarde : incrémentale sur 1 mois. J'ai un petit serveur de stockage (un NAS en faite) qui a largement de quoi comme espace disque pour couvrir les besoins de sauvegarde. Vu les différents système, je pensez partager un répertoire sur chaque ordinateur et que la sauvegarde soit effectué par une petite tour sous linux. Comment faire ? Je m'essaye à rsync, sans trop de succès jusqu'a présent. Si vous avez une idée d'une autre organisation... Merci d'avance pour votre temps et expertise. Sky_G

10 13

Apache > restriction de traffic
by Nicolas Steinmetz 01 Sep '10

01 Sep '10

Bonsoir, Au bureau, pour protéger des sites publics de l'aspiration des données de station par des applications codées parfois de façon assez étrange / bourrine, notre RSSI avait codé un script bash qui tourne au niveau des reverse proxys (sous Apache 2.2 + Mod_proxy). Si le client dépasse un certain seuil de consultations pour une heure donné, il est blacklisté jusqu'à ce que son traffic sur l'heure glissante redescende en dessous du fameux seuil. Comme nous allons prochainement utilisé les services d'un CDN, il nous faut modifier ce script et personne n'a envie ni le temps de le mantenir. Je me pose alors la question de repartir sur un module apache. Je me suis rappelé de mod_evasive [1] mais il n'a plus l'air maintenu. mod_security ne me semble pas adapté pour ce que je souhaite faire : autoriser la consultation d'une url dans la limite d'un seuil donné. Avez-vous des pistes à me conseiller ? Merci, Nicolas -- Nicolas Steinmetz http://www.steinmetz.fr - http://nicolas.steinmetz.fr/

7 10

Architecture trois tiers scalable
by Jerome Benoit 29 Aug '10

29 Aug '10

Salut, Je travaille actuellement à la conception d'une architecture en trois tiers qui devra être scalable. * Architecture logique simplifiée : ----------- | Clients | ----------- ---------- | | DNS RR | REST HTTP (GET, POST, XML dans le BODY) ---------- | ------------------------- | Cluster des services | ------------------------- | | ------------------ --------------- | NoSQL cluster | | DFS cluster | ------------------ --------------- |________________| NoSQL peut être Cassandra ou Hbase ou éventuellement mongodb ou couchdb. DFS (Distributed File System) comme PVFS2, XtreemFS, HDFS. * Architecture physique simplifiée : Ça n'aura échapper à personne c'est une architecture SOA distribuée comme on en trouve chez Google, Facebook, Amazon et compagnie :) 1) Routage des requêtes HTTP clients : Elle est effectuée par les serveurs DNS sur des critères comment la géolocalisation, la disponibilité, la charge des serveurs de services. Je suis preneur d'information et de retour d'expérience sur toute implémentation de ce type de serveur DNS (REST étant stateless, autant en profiter pour éviter de mettre en place du load balancing sur la couche de transport, c'est tellement mieux et plus simple sans :)) 2) Cluster de services : Leur boulot est de satisfaire les requêtes des clients via du REST HTTP, de les filtrer un peu également si besoin (authentification et ACL par HMAC-SHA1, HMAC-MD5, etc.), de faire du push en XML si besoin. C'est pas du distribué au sens strict du terme (mais c'est pas loin, disons que les données nécessaires à la reprise d'une session ne sont pas réparties intelligemment entre les nœuds mais juste copiées sur chaque nœuds et les calculs sont locaux à un nœud), leur localisation sera différente pour éviter les SPoF. Le framework JBoss est pré-senti. Cette brique fonctionnelle représente la brique métier et implémente la couche d'abstraction nécessaire à la manipulation des données pour les clients (lecture, écriture, modification, le tout en fonction des types de données). Elle implémente de fait le worflow. Le type des échanges avec le dernier tiers seront dépendants du choix des logiciels qui vont le composer (MapReduce ou pas ?) ... Il sera composé de serveur relativement costaud (~20000 MIPS) et du périphérique blocs rapides et redondés. 2 Ethernet 1000BaseT. 3) Cluster de données/stockage : Pourquoi donc est ce que il y a du DFS et du NoSQL ? J'en suis pas bien sur moi même mais il y a des chances que des limitation de taille dans la partie NoSQL ne permette pas s'insérer directement une vidéo HD de 15 Go. Et suivant le choix du logiciel qui fait du NoSQL, il lui faudra un accès à un FS. Le type de cluster ici est composé de machines d'entrée de gamme avec un unique périphérique de type bloc le plus rapide possible (SSD), de trois cartes réseaux 1000BaseT si possible multiqueue (communication entre nœuds par trunking éventuel, communication avec le tiers supérieur). Les réseaux des communications internes aux cluster par type de nœuds seront dans un VLAN différent si sur même site physique. Le paradigme de fonctionnement des DFS est sensiblement le même : des nœuds pour maintenir les métadonnées et la distribution des calculs nécessaires pour la phase "gather" vers les nœuds qui hébergent les blocs qui composent un fichier pour le "servir", idem (ou presque) pour les écritures. Vu du tiers supérieur, c'est un FS, vu des nœuds NoSQL aussi. Pour les NoSQL distribués, je suis preneur de retour d'expérience et de conseils, j'ai zéro expérience avec contrairement à certains DFS (Column Families, Key Value / Tuple Store, Document Store, etc.) ... Cette partie fait du vrai distribué au sens strict (tout est repartie entre les nœuds, calcul aussi sur un DFS ou un NoSQL distribué digne de ce nom), scalable à souhait. rockscluster est pré-senti pour son administration et sa mise en place (réalisation de rool spécifique nécessaire). Le cœur de réseau sera de l'Ethernet 1000BaseT, j'ai pas encore creusé la question en détail ... * Les principes architecturaux : Règles d'or pour la HA : -> Répartition sur au moins deux sites des nœuds par type, le NoSQL et le DFS devra être capable de le gérer. -> Redondance des DNS internes et externes sur plusieurs AS pour les externes, primaires et secondaires. -> Cœur de réseau Ethernet redondée pour les communications locales et inter-tiers sur même site physique. Règle d'or pour la scalabilité des tiers 2 et 3 : -> Totalement distribué : calcul, stockage, etc. -> L'ajout de nœuds étend la capacité de calcul, de stockage, etc (pour le tiers 2, je la viole légèrement). -> Cœur de réseau Ethernet qui garantie du PPS (je dois encore calculer combien) Les attentes en temps de réponse sont très bas pour des tests unitaires fait en local, de l'ordre d'une seconde pour une écriture de 2Mo, et moins en lecture. Merci d'avance pour vos réponses. a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D

5 14

apache mod_security : retours d'expérience
by frsag＠webmail.fr 28 Aug '10

28 Aug '10

Bonjour, Ici, existe il des gens qui utilisent mod_security ? Dans quel cas de figure, et pour filtrer quoi ? Avez vous des ressources "sympa" qu'on ne trouve pas par google ? J'aimerai trouver des informations utiles pour améliorer la sécurité face à un script php "mal codé", qui permettrai des injections sql ou des failles XSS, sans passer 3h à le configurer. Une proposition ? Merci d'avance,

3 3

Antivirus Multi-sites
by Tr4sK 27 Aug '10

27 Aug '10

Bonjour, Je profite de mon premier message pour me présenter à la liste. Alexandre, 24 ans, assistant responsable informatique. J'aurais besoins de conseil vis à vis d'un antivirus multi-sites. La structure actuel, 60 utilisateurs sous WinXP. 5 sites dont : - 25 à Paris - 25 à Soissons - 5 à Pierrelattes - 5 à St Astier Tout est relié via une connexion VPN Orange, en 2Mb/s Nos serveurs sont dans un local à Soissons. L'antivirus que nous utilisons est G-DATA. Mais depuis quelques temps, il nous plombe le réseau quotidiennement en effectuant les màj des postes client. On a alors décidé de mettre un poste qui répercutera les màj sur chaque site. Mais rien n'y fait. Les màj continue à faire planter le réseau. Quelqu'un à déjà eu ce genre de soucis ? Un conseil pour un autre antivirus ? Merci -- Tr4sK.

6 8

DNAME records
by Greg 26 Aug '10

26 Aug '10

Bonjour, j'ai la problématique suivante: plus de 10000 zones ayant toute la même config (A, MX, CNAMES...). Jusqu'à présent il n'y avait qu'une seule entrée A. Mais je commence à mettre en place de la répartition DNS RR multi-sites, donc 3 entrées A pour @ et www. Mon soucis sera le jour ou je voudrais changer la répartition, il faudra que je mette à jour toutes ces zones. Je pourrais faire un script générant les zones, ou utiliser des $INCLUDE, mais je cherchais une méthode plus propre/élégante : @ IN CNAME vip.domaine.fr. mais ce n'est pas RFC compliant pour moultes raisons. Je suis donc tomber sur le type d'enregistrement DNAME qui pourrait répondre à mon problème : 1 domaine "référent" avec la config des CNAMES et des multiples A les autres domaines n'ont qu'un enregistrement NS et un DNAME sur ce domaine référent : @ IN DNAME domaine.fr. J'ai fais quelques tests: ça fonctionne. Mais comme je ne connais pas ce type de record (et wikipedia FR non plus) j'aimerais avoir votre avis: est-ce que ça se fait pour ce type d'utilisation ? L'avez vous pratiqué ? Est-ce qu'un IE5 sous Windows 98 sera capable de résoudre ce type d'enregistrement ? Pour info ça donne ça avec dig : ; <<>> DiG 9.4.2-P2.1 <<>> toto.mon_domaine.ch ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39365 ;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 2, ADDITIONAL: 0 ;; QUESTION SECTION: ;toto.mon_domaine.ch. IN A ;; ANSWER SECTION: mon_domaine.ch. 600 IN DNAME mon_domaine.fr. toto.mon_domaine.ch. 600 IN CNAME toto.mon_domaine.fr. toto.mon_domaine.fr. 600 IN CNAME www.mon_domaine.fr. www.mon_domaine.fr. 600 IN CNAME vip.mon_domaine.com. vip.mon_domaine.com. 590 IN A 1.1.1.1 (j'ai pas encore configuré avec les deux enregistrements A) -- Greg

3 3

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

FRsAG August 2010