HOAB

History of a bug

Monitoring des processus

Rédigé par gorki Aucun commentaire

Le problème :

Légèrement décrit ici : http://hoab.fr/shaarli/?TrwlkA

En réalité suivant le mode de protection, la solution ci-dessus ne marche pas.

Solution :

Si on a un noyau normal, alors hidepid n'est pas *encore* activé par défaut. Dans ce cas, tous les utilisateurs voient les processus et le problème n'existe pas.

Si le mode hidepid a été activé, l'activation de l'option gid permet d'avoir un groupe priviligé qui permet ceci.

Si le patch grsecurity est activé (si on trouve un -grs dans le nom du noyau "uname -a") c'est plus compliqué :

  • si le noyau a été compilé avec un groupe priviligié : retrouver ce groupe et on a le même comportement que le hidepid
  • sinon :
    • recompiler le noyau pour l'ajouter
    • changer de noyau pour avoir une version sans grs
    • utiliser les mécanismes des sudoers (http://hoab.fr/shaarli/?qBeGWA)

J'ai choisi la dernière solution dans un premier temps, le problème étant de reprendre un noyau avec les mêmes options que celui qui existe...

 

Zabbix et monitoring - configurer le monitoring

Rédigé par gorki Aucun commentaire

Le problème :

La suite de cet article : http://hoab.fr/zabbix-et-monitoring-installation

Solution :

On a zabbix qui tourne et ensuite ?

Astuce générale : le bouton Refresh / Actualiser = Sauvegarder la configuration...

Plein de petites choses :

  • ajouter un agent sur une machine (la même ou une distante)
  • créer un serveur à monitorer : Configuration > Hôtes
  • lui ajouter des templates (des listes de choses à surveiller) Hôte > monHôteAMoi > Templates
  • pour mysql, vérifier que les métriques remontent bien depuis l'agent. Sur la machine qui héberge l'agent :
    • créer le user zabbix qui peut observer la base :
mysql -uroot -p -e"GRANT USAGE ON *.* TO 'zabbix'@'127.0.0.1' IDENTIFIED BY '123456'";
mysql -uroot -p -e"GRANT USAGE ON *.* TO 'zabbix'@'localhost' IDENTIFIED BY '123456'";
mysql -uroot -p -e"flush privileges"
mysql -uzabbix -p123456 -e"status"
  • continuer sur la machine qui héberge l'agent :
    • vérifier qu'il y a un fichier : /etc/zabbix/zabbix_agentd.d/userparameter_mysql.conf
    • pour ajouter des choses spéciques à la connexion au serveur mysql, ce que j'ai trouvé le mieux c'est un script spécifique
    • dans le userparameter_mysql.conf
UserParameter=mysql.status[*],echo "show global status where Variable_name='$1';" | /home/admin/monitortools/zabbix/mysql_zabbix.sh -N | awk '{print $$2}'
  • toujours pour mysql, sur le serveur qui héberge l'agent
    • dans le fichier /home/admin/monitortools/zabbix/mysql_zabbix.sh
      #/bin/bash
      mysql --defaults-extra-file=/home/admin/monitortools/zabbix/.my1.cnf -S /var/run/mysqld/mysqld1.sock $*

       

  • cela peut se tester avec (http://hoab.fr/shaarli/?aPEmew) : zabbix_agentd -t mysql.status[Com_begin]
  • vérifier que les métriques remontent dans Monitoring > Latest Data
    • choisir le serveur configuré plus haut dans les filtres, appliquer
  • si les métriques remontent bien, vous pouvez créer des graphiques et des écrans Monitoring > Ecran
  • maintenant il reste à configurer les alertes
    • Administration > Type de Media : configurer comment vous voulez être notifié
      • pour les emails, cette page configure l'email émetteur ainsi que le serveur SMTP qui accepte d'émettre des emails pour cette adresse. Moi j'avais un serveur SMTP sur mon serveur, je me suis créé un compte et voilà. Sinon utiliser un email et un compte ailleurs. Attention pour les versions Zabbix 2.x c'est un peu galère, il n'y a pas beaucoup d'options
    • Administration > User > myUser > Media
      • c'est là où vous configurer le ou les adresses destinatrices qui vont recevoir les alertes
    • Configuration > Action : les actions à réaliser lorsque les triggers se déclenchent. L'action par défaut prévient l'administrateur de tout, après on peut réaliser des filtres assez avancé suivant les triggers
  • Ajouter des alertes personnalisées
    • Configuration > Template > leTemplateQuiContientLaMétrique > Triggers > Create Trigger (en haut à droite)
    • Les expressions de triggers ne sont pas simples, heureusement il y a un éditeur ! (qui s'ouvre d'une popup à côté)
    • Exemple : dans Configuration > Template > Template OS Linux > Triggers > Create Trigger
      • Déclenchement si CPU Idle < 20% pendant 5 secondes : {Template OS Linux:system.cpu.util[,idle].avg(5s)}<20
      • Qui peut se faire via le bouton "constructeur d'expression"

 

Voilà mes notes pour un début. Ca l'air bien complet avec des triggers de type "tendance" et c'est ce que je cherchais.

Pas très compliqué à mettre en place, j'ai un peu galéré pour les triggers mysql parce que j'ai deux instances de bases sur mon serveur, mais avec l'astuce du shell tout va bien. Et puis surtout ce p*#! de bouton "Actualiser" qui veut dire "Sauvegarder"....

 

Zabbix et monitoring - installation

Rédigé par gorki Aucun commentaire

Le problème :

Ne pas passer son temps à réagir au problème et être prévenu à l'arrache.

Solution :

Du monitoring évidemment. J'ai eu l'occasion de voir Zabbix, c'était l'occation de tester.

Installation presque simple (je suis sous une Debian Jessie) :

  1. Ajout du repository Zabbix dans APT
wget http://repo.zabbix.com/zabbix/3.2/debian/pool/main/z/zabbix-release/zabbix-release_3.2-1+<codename>_all.deb
dpkg -i zabbix-release_3.2-1+<codename>_all.deb
apt-get update
apt-get install zabbix-server-mysql
apt-get install zabbix-frontend-php

 

  1. Soit on a une base de données qu'on veut utiliser, dans ce cas, vérifier qu'on a bien mysql-client (ou mariadb-client) d'installé. cf ici : "zabbix-server-mysql packages has dependency "mysql-client" or "virtual-mysql-client"."
  2. Soit on en a pas et zabbix va installer un mysql... je vous laisse trouver la littérature sur le sujet si vous voulez mieux maitriser l'installation de la base. Sinon c'est debian, ça marche tout seul
  3. On créé l'utilisateur zabbix, la base et les tables pour la partie zabbix-server (là où seront stockés les métriques, les alertes etc...). Je ne sais pas trop quel place çà va prendre sur le disque. A surveiller (via zabbix ^^). Ca se passe par ici pour la base et l'utilisateur
  4. Création des tables, ça change pas mal suivant les versions, pour la 3.2 c'est :
zcat /usr/share/doc/zabbix-server-mysql/create.sql.gz | mysql -uzabbix -p<password> zabbix
  1. Normalement le apt ajoute la configuration pour Apache, sinon, le voilà :
# Define /zabbix alias, this is the default
<IfModule mod_alias.c>
    Alias /zabbix /usr/share/zabbix
</IfModule>

<Directory "/usr/share/zabbix">
    Options FollowSymLinks
    AllowOverride None
    Order allow,deny
    Allow from all

    <IfModule mod_php5.c>
        php_value max_execution_time 300
        php_value memory_limit 128M
        php_value post_max_size 16M
        php_value upload_max_filesize 2M
        php_value max_input_time 300
        php_value always_populate_raw_post_data -1
        # php_value date.timezone Europe/Riga
    </IfModule>
    <IfModule mod_php7.c>
        php_value max_execution_time 300
        php_value memory_limit 128M
        php_value post_max_size 16M
        php_value upload_max_filesize 2M
        php_value max_input_time 300
        php_value always_populate_raw_post_data -1
        # php_value date.timezone Europe/Riga
    </IfModule>
</Directory>

<Directory "/usr/share/zabbix/conf">
    Order deny,allow
    Deny from all
    <files *.php>
        Order deny,allow
        Deny from all
    </files>
</Directory>

<Directory "/usr/share/zabbix/app">
    Order deny,allow
    Deny from all
    <files *.php>
        Order deny,allow
        Deny from all
    </files>
</Directory>

<Directory "/usr/share/zabbix/include">
    Order deny,allow
    Deny from all
    <files *.php>
        Order deny,allow
        Deny from all
    </files>
</Directory>

<Directory "/usr/share/zabbix/local">
    Order deny,allow
    Deny from all
    <files *.php>
        Order deny,allow
        Deny from all
    </files>
</Directory>
  1. Connexion sur http://<mon ip>/zabbix
  2. On suit l'assistant de connexion
  3. La suite plus tard

Convertir les utilisateurs vpopmail/qmail vers postfix

Rédigé par gorki Aucun commentaire

Le problème :

Convertir en masse une liste d'utilisateurs vpopmail vers postfix

Solution :

J'avais référencé ce script mais il ne fonctionne pas (il manque des includes).

D'abord je créé le domaine voulu : mondomaine.Com

Et ce petit script qui parcours le fichier vpasswd et génère les insert SQL qui vont bien dans la table postfix.mailbox

#!/bin/bash

SAVEIFS=$IFS

CONVERT_DOMAIN="<mondomaine.com>"
DATE=`date "+%Y-%m-%d %H:%M:%S"`

while IFS='' read -r line || [[ -n "$line" ]]; do
    IFS=': ' read -r -a array <<< "$line"
	
	echo "INSERT INTO mailbox (username, password, name, maildir, quota, local_part, domain, created, modified, active) VALUES('${array[0]}@$CONVERT_DOMAIN', '${array[1]}', '${array[0]}', '${array[0]}@$CONVERT_DOMAIN/', 0, '${array[0]}', '$CONVERT_DOMAIN', '$DATE', '$DATE', 1);"

    IFS=''
done < "vpasswd"

IFS=$SAVEIFS

Et ensuite j'insère tout ça directement dans ma base SQL, vérification avec postfixadmin.

Migration Courier-imap/qmail vers Postfix/dovecot

Rédigé par gorki Aucun commentaire

Le problème :

Je veux migrer en douceur et de manière transparente un serveur de courier d'un serveur A vers un serveur B.
Le serveur A est un qmail/vpopmail/courier-imap.
Le serveur B est un postfix/dovecot
Go !

Solution :

Pour palier au temps de propagation des DNS qui peut être rapide ou pas, l'idée est donc :

Serveur B : préparation

<domaine.com> mail._domainkey.<domaine.com>
  1. créer dans postfixadmin sur le serveur B le nom de domaine à gérer
  2. générer la clé DKIM pour ce nouveau domaine (cf configuration DKIM multi-domaine)
  3. vérifier le domaine (cf post 10/10)
  4. créer les boites aux lettres, j'en ai peu, mais il y a des scripts de migration à partir des vpasswd a priori (ou ça en fait)
  5. via thunderbird portable, et mes configurations, je créé des comptes et je teste l'envoi et la réception
IMAP
ip du serveur (le DNS n'est pas migré), port 143, STARTTLS, mot de passe non chiffré

SMTP
ip du serveur (le DNS n'est pas migré), port 587, STARTTLS, mot de passe non chiffré

Serveur A : relay

Le serveur B étant prêt à gérer les mails, on redirige le trafic SMTP du serveur A vers le B pour ce domaine.

Un guide ici.

  1. Vérifier la présence de <domaine.com> dans /var/qmail/control/rcpthosts
  2. Supprimer la référence à <domaine.com> dans /var/qmail/control/smtproutes
  3. Ajouter la redirection dans : /var/qmail/control/smtproutes
<domaine.com>:<IP serveur B>
  1. redémarrer qmail
  2. Tester l'envoi d'un email en utilisant le DNS mail.<domaine.com>, il passe par serveur A et est forwardé au serveur B

DNS : bascule

Modifier les DNS

Serveur A/B : recopier les boites aux lettres

Via un rsync plusieurs jours avant si les boites sont volumineuses, c'est la copie qui est longue, la conversion est rapide (quelques fichiers à modifier).

Le script de migration est ici : http://wiki.dovecot.org/Migration/Courier

Donc :

  1. recopier les boites courier-map
# Serveur A
cd /home/vpopmail/domains
tar zcf <domaine.com>.tgz <domaine.com>
scp <domaine.com>.tgz <Serveur B>:/home/vmail/<domaine.com>/tmp_migrate

# OU rsynch
cd /home/vpopmail/domains
rsync -razh --delete root@<serveur A>:/home/vpopmail/domains/<domaine.com> .

 

  1. les extraire
# Serveur B
cd /home/vmail/<domaine.com>/tmp_migrate
tar zxf <domaine.com>.tgz
  1. les convertir
 ./courier-dovecot-migrate.pl <domaine.com> --recursive 
# si ok
 ./courier-dovecot-migrate.pl <domaine.com> --recursive --convert
  1. les transférer dans la nouvelle boite
chown -R <user dovecot:user dovecot> *
cp -r <domaine.com>/* /home/vmail/<domaine.com>/
Fil RSS des articles