« Sysadmin_Fr » : le Reddit de la communauté des sysadmins francophones

 

reddit2

Reddit vous connaissez ?

Pour ma part j’ai (re)découvert ce service il y a maintenant quelques mois (au travers de /r/RdvTech animé par le podcasteur Patrick Beja). Ce fût pour moi l’occasion de suivre un subreddit anglophone dédié aux sysadmins avec des échanges particulièrement intéressants et une communauté très active (/r/sysadmin)

Malheureusement ce type de groupe n'existe pas en version francophone. Partant de ce constat, nous avons décidé avec @jeanmigaillard (l'un de mes collègues de travail) et  @xhark (le blogueur derrière l'excellent Blogmotion) d'initier la création d'un subreddit dédié (/r/sysadmin_fr). Le but étant de regrouper au sein d'un lieu unique (neutre et sans pub) la communauté des administrateurs systèmes francophones (professionnels ou amateurs). Il ne s'agit pas d'un forum mais plutôt d'un espace d'expression linéaire (permettant de publier des news mais également d'échanger sur un sujet donné).

Au sein de ce groupe nous allons parler  de : Linux, OpenBSD, FreeBSD, Windows Server, réseaux, firewall, sécurité, routage, BGP, monitoring, scripting, webperf ... bref de tout ce qui compose notre quotidien 🙂

Quelques utilisations possibles de ce reddit :

  • partager des news
  • voter pour les news qui vous semblent les plus pertinentes
  • poser des questions techniques
  • assister certains membres qui rencontrent des difficultés
  • demander des avis aux membres sur certains produits ou services
  • poster une alerte en cas de dysfonctionnement de certains services de l'internet (et obtenir le retour d'autres utilisateurs)
  • poster des offres d'emploi
  • ...

Le post de news en anglais est bien entendu autorisé, toutefois tous les échanges (commentaires, discussions ...) doivent impérativement être réalisés en français. Les posts à caractère publicitaires seront systématiquement rejetés (les réponses à un membre à la recherche d'un produit/service sont toutefois tolérées).

Nous souhaitons également limiter l'accès à ce groupe aux seules personnes réellement impliquées dans les activités d'administration système. Loin de nous l'idée d'être élitistes (ou trop fermés) il s'agit simplement là d'un filtre permettant de garantir une bonne qualité des échanges.

Nous avons préparé un petit formulaire (pas d'inquiétude il ne s'agit là que de quelques questions très basiques / vous ne devriez en avoir que pour quelques minutes) nous permettant de valider votre inscription :

https://sysadminfr.typeform.com/to/dwVVYg

Il ne vous reste plus qu'à vous inscrire et à participer !

Centralisez vos rapports de sauvegarde dans un seul mail quotidien

central_reportComme beaucoup d'administrateurs système vos journées commencent probablement par la consultation d'une longue liste de mails intégrant les différents rapports de sauvegarde générés par vos serveurs.

Pourquoi ne pas utiliser ClosetoShop pour simplifier la consultation et l'analyse de ces messages en les intégrant automatiquement dans un digest ? Comment procéder ? C'est très simple : il suffit de créer une adresse "@cts.lu" pour chaque nouveau job de sauvegarde et de mentionner cette dernière comme destination des rapports.

Vous recevrez chaque matin un mail de synthèse regroupant tous les rapports générés lors des 24 dernières heures. Vous pouvez bien entendu consulter le contenu de chaque message d'un simple clic.

digest_tech_report_kr

Vous recherchez la liste des rapports en relation avec un serveur spécifique ? Il suffit d'utiliser la fonction de filtre disponible au sein du back-office pour retrouver instantanément tous les rapports archivés.

Autre avantage d'utiliser ClosetoShop : vos rapports de sauvegarde ne seront jamais classés "spam" par notre système. Vous ne passerez plus à côté d'une erreur de sauvegarde.

Si vous utilisez déjà ClosetoShop mais que vous ne souhaitez pas mélanger vos news habituelles avec les rapports de sauvegarde n'hésitez pas à créer un compte dédié !

Pour créer (gratuitement) votre compte c'est par ICI

1 serveur SSH – 1 mot de passe trivial – quelle durée de vie ?

honeypotTout le monde le sait : il ne faut jamais exposer un serveur SSH sur le net avec un mot de passe "trivial". Mais dans les faits, en combien de temps un tel serveur est-il exploité par des personnes mal intentionnées ? C'est ce que j'ai essayé de déterminer en mettant en place un petit honeypot ...

Le test  a été réalisé sur un serveur installé spécifiquement pour cette opération (Debian 7) en utilisant une adresse IP publique inexploitée depuis plusieurs années. J'ai modifié mon .bashrc pour recevoir un email lorsqu'une session SSH était active sur ce serveur (utilisateur connecté en "root"). Afin de ne pas prendre de risques, ce serveur était également paramétré pour s'éteindre automatiquement dès qu'une session SSH était active (on ne sait jamais ...). Enfin j'ai tout simplement choisi (pour le compte "root")  le mot de passe le plus utilisé en 2014 : "123456". Difficile de faire moins sécurisé 🙂

Le serveur a été mis en ligne le 27 mars à 17h20. La première connexion SSH détectée  (et réussie) a eu lieu le 28 mars à 5h40. Le serveur a donc été repéré, testé et accédé en 12h et 20mn !

Cette expérience montre que le choix d'un mot de passe complexe est particulièrement important. En matière de connexion SSH, l'usage de clés (et l'interdiction des mots de passe) me semble même être un impératif.

Goodbits.io : gérez facilement votre newsletter

bandeau_goodbits

Depuis quelques semaines j'ai décidé de partager ma veille au travers d'une newsletter hebdomadaire. J'ai commencé à la gérer avec Evernote (en utilisant le web clipper chaque fois qu'une infos m’intéressait). Je fusionnais à la fin de la semaine toutes les notes collectées de cette manière et partageais le résultat. Pas mal, mais pas très ergonomique ni esthétique ...

J'ai ensuite découvert Goodbits.io qui permet de gérer toutes les opérations de collecte, de mise en page et de routage (Goodbits se connecte en effet à votre compte MailChimp). Vous n'avez plus qu'à vous focaliser sur le travail de veille.

goodbits_symbol_and_wordmark_vectorL'utilisation est très simple :

  • vous créez (gratuitement) un compte
  • vous liez votre compte MailChimp
  • vous collectez tout au long de la semaine les news qui vous intéressent grâce à une Bookmarklet simple et efficace (une adresse email dédiée vous est également fournie afin de collecter facilement par email - pratique à partir d'un smartphone ou d'une tablette)

goodbits_boorkmarklet

  • à la fin de la semaine, vous vous connectez sur l'interface web de Goodbits pour retrouver l'intégralité des news collectées, les intégrer très facilement au sein de votre newsletter et de lancer le routage. Difficile de faire plus simple !

Goodbits vous fait parvenir, chaque semaine,  un petit rappel par mail pour ne pas oublier de préparer votre newsletter.

Si vous envisagez de créer une newsletter de curation, je vous conseille vivement d'aller faire un tour du côté de Goodbits.

Pour ceux qui souhaiteraient voir ce que donne le résultat (j'utilise le template "de base"  mais il est visiblement possible de personnaliser pas mal de trucs ...) allez jeter un œil ICI

Et bien sûr si vous n'êtes pas encore inscrit aux "Liens Tech de la semaine" c'est par ICI 😉 Vous pouvez également consulter notre nouvel annuaire de newsletters (sélectionnées par @yoandm et moi-même) : MesNewsletters.fr

RunAbove / DigitalOcean : nouveau comparatif des performances

Logos RunAbove et DigitalOcean

Il y'a quelques mois je vous présentais un comparatif des performances offertes par deux fournisseurs de VPS : RunAbove (assez fraichement lancé lors du premier test) et DigitalOcean. J'ai décidé de renouveler ce comparatif afin de voir  comment ont évolué ces deux hébergeurs (en sélectionnant cette fois ci les offres les moins coûteuses de chaque prestataire).

J'ai également modifié mon protocole de test en particulier pour Fio (qui me permet de mesurer l'efficacité des accès disques). Désormais je lance trois tests successifs permettant de mesurer :

  • la bande passante et le nombre d'IO par seconde sur des accès aléatoires en mixant écriture et lecture (ratio de 50% écriture / 50% lecture) - "randRW" dans le tableau de résultats
  • la bande passante et le nombre d'IO par seconde sur des accès aléatoires uniquement en lecture - "randRead"
  • la bande passante et le nombre d'IO par seconde sur des accès aléatoires uniquement en écriture - "randWrite"

Ces trois tests Fio sont réalisés sur un fichier de 1Go et par blocs de 16Ko. Les fichiers de tests sont systématiquement régénérés avant chaque test.

Le test de débit est, quand à lui, réalisé en lançant, à trois reprises, speedtest_cli.py à destination du serveur de test de Neo Telecoms (localisé en France). Une moyenne est ensuite calculée pour l'upload et le download. J'ai choisi Neo Telecoms pour ne pas avantager l'un des deux hébergeurs testés.

Le test de performance "processeur" est toujours réalisé à l'aide de UnixBench

Enfin, les VPS ont été commandés (et utilisés) uniquement pour les tests. Nous sommes donc sur la base d'une machine standard telle qu'elle est livrée, par défaut, par ces deux prestataires.

Les VPS utilisés pour ces tests présentent les caractéristiques suivantes :

RunAbove (Offre "CloudSandBox" / Offre "M")

  • Ram : 2Go
  • Processeur : 1 Core
  • Disque : 20Go SSD
  • OS : Linux Debian 7 (installation "neuve")
  • Datacenter : OVH / Strasbourg
  • Prix mensuel : 2,5$

DigitalOcean (Offre "premier niveau")

  • Ram : 512Mo
  • Processeur : 1 Core
  • Disque : 20Go SSD
  • OS : Linux Debian 7 (installation "neuve")
  • Datacenter : DigitalOcean / Londres
  • Prix mensuel : 5$

Les résultats (cliquez pour une image plus nette)

Pour tous les tests : plus la valeur est élevée meilleur est la performance

Tebleau comparatif des performances entre DigitalOcean et RunAbove

L'analyse des résultats montrent des performances assez proches entre les deux hébergeurs. RunAbove a réellement fait un bon boulot au niveau de l'optimisation des accès disques (le point faible lors du dernier test). Si j'ai bien compris, cette amélioration est probablement due à l'adoption de disques SSD locaux (au moins pour les offres "SandBox" & "1VM/HOST"). Au final RunAbove remporte la partie en étant gagnant pour 9 critères sur 11 au total et tout ça pour un coût inférieur de 50%.

Quelques points complémentaires pour modérer (un peu) cette analyse :

  • l'offre RunAbove semble être une sorte de Beta (on parle des "Labs"). J'espère que cette offre sera pérenne (si des membres de l'équipe de RunAbove passent par ici qu'ils n'hésitent pas à nous en dire un peu plus ...)
  • j'aime beaucoup l'interface d'administration de RunAbove qui pour moi est une vraie réussite (simple, complète et efficace ...). Il manque toutefois une fonction INDISPENSABLE qui est la génération automatique (et à chaud)  des backups sous la forme de snapshots. Certes il est actuellement possible de créer des Snapshot mais manuellement, à la demande et en stoppant la VM. J'espère que cette fonction sera bientôt proposée ...
  • Les offres DigitalOcean sont disponibles ICI
  • Les offres RunAbove sont disponibles ICI

Yubikey : sécurisez vos accès SSH (sous Debian) avec une double authentification [HowTo]

Yubikey

C'est désormais une certitude, les simples mots de passe ne sont plus suffisants pour assurer l'accès à des services critiques. En ce qui me concerne j'utilise, dès que cette option existe, le système de double authentification ("authentification à facteurs multiples"). Le principe est d'associer un mot de passe classique avec un deuxième identifiant à usage unique. Beaucoup utilisent Google Authenticator, ou bien la réception d'un SMS pour obtenir cette information.

Il existe une solution un peu moins connue mais particulièrement intéressante :  Yubikey. Il s'agit d'une petite clé usb (cf. la photo d'illustration de ce billet) particulièrement robuste, légère et ne nécessitant pas de pile. Il suffit de l’insérer dans un port USB et d'appuyer sur le bouton central. La Yubikey se comporte alors comme un clavier (pas besoin de driver spécifique) et génère automatiquement le code à usage unique. Cette clé est vendue sur le net à un tarif abordable (environ 23€ sur Amazon). Certaines sociétés (comme OVH,  par exemple) ont adopté massivement ce dispositif afin de sécuriser l'accès à leur système d'information.

J'utilise une Yubikey depuis quelques mois et je dois reconnaître que cette dernière est particulièrement pratique (pour sécuriser l'accès à mon compte LastPass par exemple). J'ai également commencé à sécuriser l'accès SSH de certains de mes serveurs avec ce dispositif et j'ai décidé de créer ce how-to pour aider ceux qui souhaiteraient faire de même.

Comme d'habitude, ce tuto est basé sur Debian 7, mais il devrait être assez facilement utilisable avec d'autres distributions.

Avertissement important : durant toutes ces opérations ne redémarrez pas le service SSH (ni votre serveur), vous risqueriez de ne plus pouvoir vous connecter ! Une fois la configuration achevée (et le service SSH relancé) conservez votre session SSH ouverte et testez en lançant une nouvelle connexion en parallèle : si les choses tournent mal (connexion impossible) vous conserverez ainsi un accès 🙂

La première opération à réaliser est d'installer la librairie PAM pour Yubico/Ybikey

apt-get install libpam-yubico

Il faut ensuite créer le fichier qui va contenir la liste des Yubikey habilitées à se connecter avec un compte utilisateur donné

mkdir ~/.yubico
vim ~/.yubico/authorized_yubikeys

Pour mémoire le "~" représente le home directory de l'utilisateur actuellement connecté. Si vous êtes connecté en root, le fichier sera donc créé dans "/root/.yubic/authorized_yubikeys"

et d'y placer la liste des Yubikey autorisées à se connecter de la façon suivante

username:token_ID

Le username correspond à votre login Unix (root par exemple) et le token_ID peut être récupéré à cette adresse.

Rendez-vous sur cette page, insérez votre Yubikey sur un port USB, sélectionnez "OTP" (1) dans "source format" et générez une clé en appuyant sur le bouton de votre clé (2).

yubi_screen1

Vous obtiendrez en retour une "input string" composé de 12 caractères et commençant par 6 fois la lettre "c". De la forme "ccccccabcdef". Cette chaine est votre "token_ID". Ajuster le fichier "authorized_yubikeys" avec cette valeur. On obtient donc quelque chose comme "root:ccccccabcdef".

yubi_screen2

Si vous devez donner l'accès à plusieurs Yubikey pour le même login vous pouvez accumuler les Token_ID avec quelque chose du type "root:token_yubikey1:token_yubikey2..."

On édite ensuite le fichier

/etc/pam.d/sshd

Ajoutez la ligne suivante après "@include common-auth"

auth required pam_yubico.so id=16

Si vous préférez devoir générer votre code à usage unique avant d'avoir à mentionner votre mot de passe placez cette ligne avant "@include common-auth" (à vous de décider ce que vous souhaitez faire).

Éditez ensuite le fichier

/etc/ssh/sshd_config

Afin de modifier la directive suivante

ChallengeResponseAuthentication yes

Redémarrez SSH

/etc/init.d/ssh restart

Essayez d'ouvrir une nouvelle session (conservez la session en cours active - on ne sait jamais ...). Vous devriez obtenir ça

yubi_screen3

 

  • Commander une Yubikey sur Amazon : ICI
  • Plus d'information sur Yubikey : ICI

 

 

Monitority : recevez gratuitement une alerte SMS lorsque votre site est down !

monitorityIl existe une multitude de services proposant de superviser vos sites web. Ceux qui vous permettent de monitorer un nombre illimité d'URL (avec une fréquence rapide) et de vous alerter gratuitement par SMS sont par contre beaucoup plus rares ...

C'est justement ce que propose Monitority, un service qui vient de voir le jour. Parmi les fonctionnalités proposées :

  • tests possibles :  HTTP, HTTPS & FTP (avec recherche d'une chaine de caractères au sein de la page)
  • nombre de sites testés : illimité
  • tests réalisés à partir de plusieurs localisations dans le monde (ces emplacements ne sont toutefois pas précisés)
  • alertes gratuites par SMS, email et Twitter
  • système "anti-flood de notification" en cas d'alerte
  • intervalle entre les tests : < 1 minute
  • interface simple et ergonomique (10s suffisent à paramétrer un nouveau test)

Bref ce système semble être parfait. J'ai toutefois un doute sur le modèle économique. Certes les créateurs de Monitority donnent quelques informations à ce sujet (voir ci-dessous) mais j'ai quand même un peu de mal à comprendre leurs motivations et on peut légitimement se poser quelques questions sur la viabilité à long terme de la solution.

The question we hear most: How is it free?
We have a network of servers worldwide running various services (not related to Monitority) that we are able to harness, keeping our actual monitoring cost very low. Email is close to zero, so we are only left with SMS as a big expense. SMS prices are also on the decline especially when you ramp up volume.
We strongly feel that this niche industry is about to change - we plan to be in the forefront of this disruption.

En attendant, pourquoi ne pas profiter de la gratuité du système tout en sachant que les informations que vous fournissez à Monitority restent limitées.

Debian : ne passez plus à côté d’une mise à jour importante

debian_update

Comme tout SysAdmin vous êtes conscient que la sécurité de vos serveurs passe par une bonne politique de mise à jour du système. Il n'est toutefois pas toujours simple de se tenir informé de la mise à disposition de nouveaux correctifs. Bien entendu vous pouvez vous abonner à la liste de diffusion dédiée. Il existe toutefois une solution plus simple : Apticron.

Ce script, lancé quotidiennement par un cron vous adressera automatiquement un email dès que des mises à jours seront disponibles pour votre système (en tenant compte des paquets rééllement installés).

Si vous souhaitez utiliser Apticron c'est très simple (sur une distribution Debian ou Ubuntu) :

  • Installer Apticron

apt-get install apticron

  •  Editez ensuite le fichier : /etc/apticron/apticron.conf
  •   Ligne 6 modifiez :

EMAIL="votre@adresse.email"

  • Vous pouvez aussi modifier (facultatif) :
  •  Ligne 85

CUSTOM_SUBJECT="Votre sujet personnalise"

  • Ligne 100

CUSTOM_FROM="Votre adresse d'expéditeur personnalisée"

  •  Et pour finir lancez une première fois Apticron avec la commande :

apticron

Vous recevrez désormais un email d'alerte dès qu'une mise à jour sera disponible pour votre système. Vous n'avez pas besoin de modifier manuellement la crontab, cette tâche est réalisée automatiquement lors de l'installation.

 Petite info complémentaire : pour qu' Apticron fonctionne correctement votre système doit bien entendu être capable d'envoyer des emails. Si au lancement d'Apticron vous recevez un message du type "/usr/lib/sendmail: No such file or directory // message not sent" pensez à installer un MTA (Postfix, Exim ...).

 

Newsletter : « Les liens Tech de la semaine »

links_newsletterVous aimez l'actu tech mais vous n'avez pas le temps (ou tout simplement l'envie) de suivre quotidiennement ce type d'informations ?

J'ai peut être une solution pour vous. Depuis des années, je réalise quotidiennement une veille en suivant une multitude de sources d'informations (plus de 200 flux RSS, newsletters, réseaux sociaux, podcasts ...).

J'ai décidé de partager, chaque semaine, au travers d'une newsletter, l'intégralité des liens qui ont retenu mon attention. Le principe est simple : chaque fois qu'une information attire ma curiosité je l'intégre à ma sélection. Il ne s'agit pas systématiquement d'actualité mais plus généralement de tout type de contenus qui m’intéresse.

Vous recevrez chaque semaine le recueil de ces liens. Pas de bla-bla dans cette newsletter : juste les titres et les liens. A vous ensuite de creuser si l'info vous intéresse ...

Bien entendu cette sélection ne conviendra pas à tout le monde et n'a pas vocation à couvrir l'actualité d'une manière exhaustive. Toutefois si vos centres d’intérêts sont proches des miens vous devriez y trouver votre compte et économiser pas mal de temps.

S'inscrire à une nouvelle newsletter peut également être une excellente occasion de découvrir ClosetoShop 😉 . Si vous ne connaissez pas encore ce service n'hésitez pas à créer gratuitement un compte sur ClosetoShop.com (vous éviterez ainsi tout risque de spam et resterez productifs en évitant les distractions tout au long de la journée ...)

Recevez "Les liens Tech de la semaine"



  • Pour consulter les archives c'est ICI

Recevez les alertes de votre NAS Synology par SMS avec les forfaits d’OVH

sms_phone

Vous possédez un NAS Synology et vous souhaitez être avertis rapidement (et d'une manière fiable) lorsque certains événements se produisent (disque dur HS, température trop elevée ...) ? La notification par SMS est certainement la meilleure solution.

J'ai récemment eu à paramétrer ce type de notification et je voulais partager avec vous cette petite configuration qui pourra peut être en intéresser certains.

OVH propose un ensemble de forfaits permettant d'envoyer des SMS à un tarif assez avantageux (à partir  de 8€ HT pour 100 SMS). L'hébergeur propose également un ensemble d'API permettant de générer des SMS à partir de vos propres scripts. Pour ce how-to nous utiliserons "HTTP2SMS" dont le fonctionnement est détaillé à cette adresse.

Pour commencer, connectez vous à votre manager OVH (rubrique "SMS") afin de :

  • Récupérer votre identifiant OVH de compte SMS (format "sms-nic-X") -> (1) sur le screenshot

scr1

  • Créer un nouvel utilisateur SMS (dans la suite de cet exemple cet utilisateur est "testsms")

scr2

  • Créer un nouvel expéditeur pour vos SMS. Vous disposez de plusieurs méthodes afin de vous identifier auprès d'OVH. Choisissez ce qui vous convient le mieux.

scr4

scr5

  • Connectez-vous ensuite à l'interface d'administration de votre NAS et sélectionnez "Control Pannel" (ou un truc qui doit ressembler à "panneau de configuration" si vous utilisez une interface en français...)

scr6

  • Puis ensuite la rubrique "Notification"

scr7

  • Sélectionnez l'onglet "SMS" , cochez "Enable SMS notifications" et cliquez ensuite sur "Add SMS service provider"

scr8

  • Copiez-collez la chaine fournie ci-dessous au sein de la zone "SMS URL" (en prenant soin de remplacer "sms-AB12345-1" par votre identifiant OVH de compte SMS récupéré au tout début de ce tuto et "EXPEDITEUR" par votre identifiant d'expéditeur défini lors de votre connexion au manager OVH - cf. ci-dessus)

https://www.ovh.com/cgi-bin/sms/http2sms.cgi?account=sms-AB12345-1&login=LOGIN_ACCOUNT&password=PASS_ACCOUNT&from=EXPEDITEUR&to=DESTINATAIRE&noStop=1&message=MESSAGE_ALERTE

scr9

  • Cliquez sur "NEXT" et paramétrez l'écran suivant de la manière suivante

scr10

  • Validez puis remplissez l'écran suivant avec vos informations définies au début de ce tuto : nom d'utilisateur sms (attention : différent de votre identifiant OVH de compte SMS) et son mot de passe associé. Il faut également préciser le numéro de téléphone sur lequel seront envoyées les alertes (bien respecter le format tel qu'il est présenté ci-dessous)

scr11

Validez, il ne vous reste plus qu'à générer un sms de test et de valider votre configuration !

N'oubliez pas d'aller jeter un coup d’œil dans l'onglet "Advanced" afin de définir quel type d'alertes vous souhaitez recevoir par SMS.

scr12