Serveurs

Non mais des fois, je vous jure...

2008-11-09T21:20:07+01:00

Cela fait environ un mois, très exactement depuis que j'ai basculé sur la cooker pour tester en avance de phase Mandriva 2009.0, que je me retrouve sous Eclipse avec un bug des plus étonnant. Le symptôme est aussi simple qu'agaçant, chaque ouverture de fichier prend en gros 2 secondes... J'ai attendu patiemment la 2009.0 pour voir si le problème serait corrigé, mais rien à faire. Je me suis alors enfin décidé à chercher comme un grand et j'ai enfin mis la doigt sur le problème. Tout est la faute... de l'imprimante...

Premier round, le CPU...

J'ai d'abord cru à un CPU emballé mais oprofiler ne m'a pas donné raison. Aucun processus ne semble particulièrement occuper le CPU, ce qui est confirmé par un bête ntop.

Noter au passage que pour utiliser oprofiler de manière optimum, ce dernier a besoin de votre noyau sous sa forme non-compressée (vmlinux et non pas vmlinuz). Ne cherchez pas un moyen de décompresser votre /boot/vmlinuz en l'autre, cela n'existe pas. En fait vmlinuz est un peu comme ces exécutables compressés, une première partie contient le code du décompresseur et la seconde les données. la seul solution est d'aller dans les sources du kernel et de lancer un simple make vmlinux. Le fichier est alors compilé dans le dossier arch/x86.

Second round, latence...

La seconde possibilité est une latence, ou un timeout. Du coup je me lance sur un strace eclipse 2> logs pour afficher en temps réels les appels systèmes effectués par Eclipse. Dans une autre console je lance un tail -f log. Vu le volume d'informations, je suis rapidement passé à quelque chose de la forme tail -f /home/yoran/t | grep -v timeofday | grep -v poll | grep -v "read(3" | grep -v select | grep -v writev | grep -v futex. Du coup, beaucoup moins d'informations. J'ouvre alors un fichier et je regarde ce qui se passe.

Dans les traces, je vois clairement que le coco cherche à se connecter au réseau, bizarre pour une simple ouverture de fichier. Il établit une connexion avec mon serveur et échange des informations.

Du coup, j'arrêtes strace et je lance wireshark.

Troisième round, le réseau...

WireShark est un indispensable outil de monitoring réseau, il permet ainsi de capturer toutes les informations qui circulent. Il vaut mieux du coup fermer les applications "communicantes", histoire de ne pas être paumé dans un flot de données. Ceci fait, lancement d'Eclipse et observant lors de l'ouverture de ce maudit fichier...

Là c'est confirmé, une connexion est bien ouverte sur le serveur, suivi d'une série de transaction, sur le port 631, c'est à dire celui de... cups...

Quatrième round, pourquoi CUPS ?!?

Un peu surpris tout de même... Pour information, notre imprimante est déportée prés du serveur dans une autre pièce et nous imprimons donc via le réseau. Il y a un donc bien un service CUPS sur le serveur et juste les librairies en local.

Nouvelle observation des traces un peu avant la fameuse connexion au serveur, et là je me rend compte que lors de cette fameuse ouverture de fichier, Eclipse (ou une librairie partagée) va lire le fichier de configuration cups (/etc/cups/client.conf). Il y trouve mon serveur distante et va lui causer... Incompréhensible... Notez que j'ai refais le même test avec un utilisateur bidon, sur un compte totalement vierge, avec un eclipse tout frais sur une JVM SUN, rien n'y a fait, même résultat...

La solution la plus bidon au monde...

J'ai tout essayé et le seule moyen que j'ai trouvé est de déplacer /etc/cups, lancer eclipse, et remettre le dossier cups à sa place. De toute beauté...

Conclusion

Ce problème et sa solution ne va sûrement pas toucher grand monde, mais peut-être que la "démarche" peut intéresser ceux qui se trouvent face à cette famille de bug systémiques et vicieux. Le genre de bugs qui laisse google sans voix, jusqu'au moment où l'on a la solution et qu'on lui demande eclipse cups... No comments, ça me rappelle le codage de la bible cette histoire...

CRON et la planification de tâches

2008-11-08T20:06:39+01:00

Difficile de se passer d'un planificateur de tâche, que ce soit pour faire des sauvegardes, vérifier l'intégrité des systèmes, faire le ménage ou bêtement se réveiller le matin. Sous UNIX, le temps c'est le domaine du vénérable CRON.

Principe

CRON est un démon de l'ancien monde, à peu prés aussi vieux qu' UNIX lui-même. Et pour les connaisseurs, sachez qu'il n'a rien à voir avec la divinité cimmérienne, en toute banalité son nom vient du grec "chronos" (χρόνος), le temps.

CRON est un planificateur de tâches dont le rôle est simplement d'exécuter des commandes récurrentes, chacune sur une base de temps donnée (toutes les heures, à une heure particulière chaque jour, au début de chaque mois, etc...).

La version simplifiée

Comme nous allons le voir plus loin, ajouter une tâche dans CRON nécessite de connaître sa syntaxe et de modifier le bon fichier de planning. Cependant sur certaines distribution comme la Mandriva, CRON est pré-configuré de telle sorte que les commandes (ou plus généralement des liens symboliques vers des commandes) contenues dans les dossiers /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly et /etc/cron.monthly, soient exécutées respectivement tous les jours, toutes les heures, toutes les semaines et tous les mois.

Du coup si vous avez seulement besoin de récurrence de ce type (heure, jour, semaine et mois), pas la peine de sortir la grosse artillerie, un simple lien symbolique suffit à planifier la tâche :

# lancer la tâche backup tous les jours
root#ln -s /usr/bin/backup /etc/cron.daily
 
# vérifier le système toutes les heures
root#ln -s /usr/bin/check_system /etc/cron.hourly
root# 

Syntaxe des plannings

Bien que pratique, le système par liens symbolique ne répond pas à tous les besoins. Et pour programmer une tâche aussi spécifique que "tous dimanches à l'heure de la messe", il faut mettre un peu plus les mains dans le cambouis.

Les plannings de tâches sont constitués par de simple fichier texte utilisant une syntaxe particulière. Le planning principal est /etc/crontab que très logiquement seul l'utilisateur root peut modifier. Mais pour éviter que ce fichier ne deviennent trop gros et aussi gagner en modularité, il est préférable de créer des micros-plannings dans le dossier /etc/cron.d. La syntaxe sera rigoureusement la même.

Un fichier planning peut commencer par une section de définition de variable. Nous allons grâce à ces variables pouvoir définir dans le contexte d'un même planning : le chemin des exécutable (PATH), le shell à utiliser par défaut (SHELL), le dossier de démarrage (HOME) et l'adresse courriel à utiliser pour envoyer à un tiers le résultat de la commande (MAILTO).

Ces variables sont importante car vous ne savez par exemple jamais quelle est la valeur de la variable PATH au sein d'un CRON, ni quel sera le dossier de démarrage. Elles permettent donc de fixer le contexte de manière fiable.

Dans une autre idée MAILTO définit quant à elle à qui sera expédié le mail qui contient tout ce qui a été "écrit" par une commande (messages, erreurs, etc). Notre premier planning va donc pouvoir ressembler à cela :

  #! /bin/sh

# définition des variables spécifiques au planning

# ###################################################

SHELL=/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

MAILTO=mon_mail  @mon_domain.com

HOME=/root

# Une tâche du planning

*/1 * * * * root ls -la    
  
/etc/cron.d/mon_planing

Si votre système est correctement configuré, vous devriez dans la minute qui suit (les plannings sont automatiquement pris en compte) recevoir par mail à l'adresse le contenu du dossier /root (cf la variable HOME). Et ce, toutes les minutes... Lorsque vous aurez constaté que cela fonctionne, vous pouvez éditer à nouveau ce planning pour mettre la ligne qui lance la commande ls en commentaire en ajoutant un # en tête.

Comme vous le voyez le fichier planning contient une ligne par tâche planifiée. Chaque ligne est d'abord composée de 5 champs permettant de déterminer le moment du lancement. Suit ensuite l'identifiant l'utilisateur qui sera utilisé pour lancer cette commande, puis la commande elle-même comprenant tout ce qui se trouve après l'identifiant de l'utilisateur. Chaque champs est séparé par des espaces ou des tabulations.

Les 5 champs qui définissent le moment du lancement sont :

minutes: Une valeur numérique allant de 0 à 59.
heure: Une valeur numérique allant de 0 à 23.
jour du mois: Une valeur numérique allant de 1 à 31.
mois: Une valeur numérique allant de 1 à 12.
jour de la semaine: Une valeur numérique de 1 à 7.

Pour les deux derniers champs, la dernière valeur (12 et 7) et 0 sont généralement synonymes mais il est plus simple de ne pas trop y compter. Enfin ces valeurs peuvent aussi être les 3 premières lettres du mois ou du jour de la semaine. Mais là aussi, d'un UNIX à l'autre, c'est de l'anglais ou du français. De plus certains ne prennent pas en charge cette notation pour les listes et les intervalles (voir plus loin).

Chaque champ peut prendre une valeur précise, ou un intervalle de valeur. L'intervalle le plus simple est * signifiant "tout". Ainsi pour lancer une tâche tous les mois, toutes les semaines, tous les jours et à la 2ième minute de chaque heure, cela donne :

  02 * * * * gaston /usr/bin/ma_command
  
/etc/cron.d/exemples

Il est aussi possible de spécifier une liste de valeur en séparant chacune par une virgule. Par exemple pour lancer la même commande que plus haut mais à la 2ième et 42ième minute :

  02,42 * * * *  gaston /usr/bin/ma_command
  
/etc/cron.d/exemples

L'étoile spécifie un intervalle complet, mais nous pouvons aussi utiliser un intervalle restreint. Par exemple une commande lancée la 2ième minute de chaque heure mais de cette fois de 10h du matin à 6h du soir, cela donnerait :

  02 10-18 * * *  gaston /usr/bin/ma_command
  
/etc/cron.d/exemples

Et comme pour les valeurs simples, vous pouvez définir des listes d'intervalles. Par exemple si l'on veut exclure l'heure du déjeuné, cela nous fait deux intervalles :

  02 10-12,14-18 * * * gaston /usr/bin/ma_command
  
/etc/cron.d/exemples

Dernier point, il est possible de dire des choses du genre "toutes les deux heures" en ajoutant un pas à l'intervalle sous la forme intervalle/pas. Pour par exemple effectuer une tâche toutes les 15 minutes, nous affecterons le pas "15" à l'intervalle complet *, soit :

  */15 * * * * gaston /usr/bin/ma_command
  
/etc/cron.d/exemples

Cette notation de "pas" ne change en rien les propriétés de l'intervalle. Il est donc possible, de faire des listes d'intervalles avec pas. Par exemple toutes des 2 h, de 8h à 12h et de 14h à 18h, à la 2ième minute se note :

  2 8-12/2,14-18/2 * * * gaston /usr/bin/ma_command
  
/etc/cron.d/exemples

Une fois que l'on a mémorisé les différents motifs (valeur, intervalle, liste et pas), l'ajout de nouvelles tâche est très simple. Par exemple pour envoyer un mail tous les jours ouvré à 1h du matin cela nous donne :

  0 1 * * 1-5 trichelieu echo "Il est une heure,% tout va bien !!" | mail -s "Rapport" compagnie@son_domaine.net
  
/etc/cron.d/tour_de_garde

A noter que le caractère % dans la commande est automatiquement changé en "retour chariot". Pour un vrai %, il faut taper \%.

CRON utilisateur

/etc/crontab ou /etc/cron.d ne sont accessible qu'à root. Il est cependant offert à chaque utilisateur la possibilité de disposer de sa propre planification de tâche qui sera alors stockée en /var/spool/cron/nom_utilisateur.

Ne pouvant pas éditer cela directement, il doit utiliser la commande crontab

crontab -l: Vérifier si une table existe déjà et la lister si c'est le cas.
crontab -e: Éditer la table avec vi. Si cet éditeur ne vous plaît pas, ce qui serait surprenant, faite un export EDITOR=gedit avant.
crontab nom_fichier: Pour importer une table existante.
crontab -r: Suppression de la table utilisateur.

A noter que certains utilisateurs peuvent être interdits, ou explicitement autorisés à utiliser leur crontab en modifiant les fichier /etc/cron.allow et /etc/cron.deny.

Conclusion

CRON fait parti de ces concepts UNIX indispensables à maîtriser et que pourtant beaucoup considèrent, à tord, comme complexe. J'espère que ce n'est maintenant plus le cas.

Mettre en oeuvre des scripts Sieve dans Cyrus-Imap

2008-11-04T01:40:43+01:00

Peu de monde connaît Sieve présent sur la majorité des serveurs IMAP, dont Dovecot et Cyrus. Pourtant il peut rendre d'immenses services comme trier automatiquement le spam, les publicités, ou même renvoyer un message d'absence lorsque vous êtes en vacance, le tout sans avoir à paramétrer le moindre client.

Qu'est-ce que sieve ?

Sieve est un langage de filtrage des courriels normalisé qui permet d'automatiser à peu prés tous les tris imaginables. Pour mieux comprendre ce qu'il peut vous apporter, prenons un petit exemple "parlant" :

  # Est-ce que spamassassin a mis le flag "SPAM" ?

if header :contains "X-Spam-Flag" "YES" {

    # on déplace le mail dans la benne à pourriels...

    fileinto "spams";

    stop;

}

Ici nous demandons à analyser l'en-tête de chaque message à la recherche de l'étiquette posée par un outil comme spamassassin. S'il s'agit bien d'un spam, le courriel est directement déplacé dans le dossier spams.

Sieve se place donc comme un excellent remplacement des classiques fonctions de filtrage présentes sur les clients de messagerie. Le gros avantage de son utilisation est que les règles de tris sont écrites une fois pour toutes et chaque client en bénéficie sans paramétrage.

Sieve dans cyrus

Dans l'outil Cyrus, sieve est intégré sous la forme d'un serveur qui écoute le port 2000. Il doit être activé en modifiant le fichier /etc/cyrus.conf de sorte à obtenir la ligne suivante :

sieve cmd="timsieved" listen="localhost:sieve" prefork=1

Ici l'écoute est forcée sur localhost seulement (127.0.0.1). Pour rendre sieve accessible du monde extérieur il suffit d'enlever localhost: (et de mettre en place un cryptage !!).

Ensuite il faut simplement relancer cyrus pour constater que le serveur sieve est bien actif

root#/etc/init.d/cyrus-imapd restart
Arrêt de cyrus-imapd :                                          [  OK  ]
Lancement de cyrus-imapd :                                      [  OK  ]
root#netstat -anlp | grep 2000
tcp        0      0 127.0.0.1:2000              0.0.0.0:*                   LISTEN      25047/timsieved
root# 

Premier script Sieve

Pour commencer, il va falloir créer notre premier script. Reprenons pour cela notre exemple en ajoutant la clause require (les librairies) qui lui manquait :

  require ["fileinto","envelope","reject","vacation","imapflags","relational","comparator-i;ascii-numeric","regex","notify"];

if header :contains "X-Spam-Flag" "YES" {

  fileinto "spams";

  stop;

}
  
mon_script.sieve

Pour ajouter un script il faut utiliser la commande sieveshell. Cet outil se connecte sur le serveur, s'authentifie et permet d'uploader un script, de downloader un script existant et de rendre un des scripts actif. Une sorte de FTP ultra basique :

root#sieveshell -u gaston -a gaston localhost
>put mon_script.sieve default
>list
default
>activate default
>list
default*
>quit
root#
root# 

A l'inverse, la commande get default mon_vieux_script.sieve va vider le script serveur default dans le fichier local mon_vieux_script.sieve.

Maintenant pour une édition régulière ce n'est pas très pratique. Le mieux serait un script bash qui permettrait d'éditer directement le script par défaut et de le sauver à la sortie. Pour y arriver, j'utilise une version améliorée par la communauté Debian de sieveshell. Pour l'utiliser il faut d'abord récupérer Shell.pm et sieveshell.pl. Ensuite vous devez remplacer les fichiers d'origines qui proviennent du paquet cyrus-imapd-utils pour sieveshellet perl-cyrus pour Shell.pm. Pour localiser ces fichiers, aidez-vous de la commande rpm -ql cyrus-imapd-utils et rpm -ql perl-cyrus.

Une fois le remplacement effectué, vous disposez d'un shell capable entre autre de prendre un mot de passe en paramètre. Le script est alors trivial :

  #! /bin/sh

server=$1

user=$2

password=$3

sieveshell -a $user -u $user -p $password --exec "get default /tmp/default" $server

vi /tmp/default

sieveshell -a $user -u $user -p $password --exec "put /tmp/default default" $server
  
sievedit

Il s'utilise simplement en passant le nom de serveur en premier paramètre (ex. localhost), le nom de l'utilisateur en second (ex. gaston) et enfin son mot de passe. Évidement vous n'êtes pas obligé d'utiliser vi

Brève introduction à la syntaxe Sieve

Un script sieve commence par la déclaration des librairies pré-requises :

  # importation des bibliothèques utiles

require ["reject", "fileinto", "comparator-i;ascii-numeric", "relational", "imapflags"];

Là c'est un peu "ceinture-bretelles", on inclut tout ou presque histoire d'être paré . Ensuite, vous pouvez insérez vos règles sous la forme de tests :

  if BLOC_CONDITION  {

   ACTION_1;

   ...

   ACTION_N;

}

Les actions les plus "utiles" sont :

discard: qui entraîne la destruction du courriel.
stop: qui arrête ici le traitement.
fileinto "NOM_BOITE": qui déplace le courriel dans une autre boîte IMAP.

BLOC_CONDITION quant à lui peut être une condition simple ou une composition de conditions simples liées entre elle par des ET (mot clef allof) ou des OU (mot clef anyof) :

  # condition simple

if CONDITION_SIMPLE {

  # liste des actions

}

# conditions liées par OU

if anyof (CONDITION_SIMPLE_1, CONDITION_SIMPLE_2, ..., CONDITION_SIMPLE_N) {

  # liste des actions

}

# conditions liées par ET

if allof (CONDITION_SIMPLE_1, CONDITION_SIMPLE_2, ..., CONDITION_SIMPLE_N) {

  # liste des actions

}

Une condition simple se compose d'un objet sur lequel porte la condition, d'un type de condition et de paramètres. La syntaxe globale d'une condition simple est donc (notez bien le : et le not optionnel) :

  [not] OBJET_CONDITION :TYPE_CONDITION PARAMÈTRE_CONDITION_1 ... PARAMÈTRE_CONDITION_N  
  

Les objets souvent utilisés sont :

header: Il s'agit des champs de l'en-tête du message (Received, Subject, etc...)
size: La taille du message

Les paramètres des conditions dépendent quant à eux beaucoup du type de condition. Cela peut être une chaîne (ex. "CHAINE"), une taille (ex. 1M pour 1mo), un tableau de chaînes (ex. ["CHAINE_1","CHAINE_2",...,"CHAINE_N"]), etc...

Enfin les grand types de condition sont :

objet contains P V: qui vérifie que l'objet à au moins une valeur V dans sa partie P. P et V pouvant être des chaînes ou des tableaux.
objet matches P V: Comme contains mis à part que V peut contenir des chaînes avec des "jockers" (ex. "*@karma-lab.net")
objet over V: Qui vérifie que la valeur de l'objet est "supérieur à" V

Quelques exemples

Pour que tout cela passe mieux, voyons quelques exemple classiques :

  if header :contains ["List-Id"] ["xorg.lists.freedesktop.org"] {

  fileinto "Mailling-Listes.xorg";

  stop;

}

On vérifie ici que la courriel est membre d'une mailling-liste donnée (champ List-Id du header) et on le déplace dans un dossier spécifique si tel est le cas.

  if header :contains ["From"] ["mon_client.com"] {

  fileinto "mon client";

  stop;

}

Si le courriel vient d'une adresse donnée, on le place dans un dossier spécial.

  if header :contains ["To"] [""] {

  fileinto "Publicites"; 

  stop;

}

Si le courriel est destiné à quelqu'un en particulier.

  if header :contains ["Received"] ["12.34.56.78"]  {

  fileinto "Societe Betadure";

  stop;

}

Si le courriel a été reçu via un serveur SMTP (relais) particulier.

  if size :over 1M {

  fileinto "gros courriels";

  stop;

}

Si le message est très gros, on le place dans un dossier particulier...

Les dossiers

Si vos messages ne sont pas filtrer et donc qu'une des règles semble échouer, il faut aller voir du côté des logs de votre serveur IMAP. Il se peut que vous ayez simplement un problème dans le nommage du dossier pour la commande fileinto du genre Invalid mailbox name ou mailbox doesn't exists. Les différentes pistes sont les suivantes :

L'encodage des accents. Certains serveur demande à ce que répondeur soit écrit deux.r&AOk-pondeur (ce n'est pas le cas de cyrus).
Le séparateur de dossiers. Selon les versions de cyrus, le séparateur doit être un . ou un /.
Racine de la boîte. Dans certaines version de cyrus les dossiers doivent commencer par la racine INBOX.
Racine des dossiers partagés. Selon le paramétrage de cyrus, la racine des dossiers partagée est la même que les dossiers standards ou doit être Shared Folders.

Conclusion

Voilà, fin du petit tour du petit langage sieve qui rend finalement de bien grands services.

Supervision domestique avec Nagios

2008-10-30T00:42:31+01:00

Lorsque l'on gère un petit réseau domestique avec une ou deux machines, on se retrouve malgré tout avec des problèmes de "grands" comme la nécessité d'être prévenu le plus vite lorsqu'un service tombe, et ce de la manière la plus automatisée possible. C'est à cette problématique que répond Nagios.

Présentation

Nagios, qui s'appelait précédemment NetSaint, est un outil de supervision pour parc de serveurs. Il permet d'auditer en permanence des machines, des services sur ces machines, de recevoir des alertes en cas de problème et de disposer d'un tableau de bord de l'état du système à un moment donnée.

Nagios s'architecture autour d'un moteur écrit en C chargé de la planification des différents audits à lancer à travers de le réseau et de l'agrégation des résultats dans une base de donnée. L'acquisition en elle-même est déléguée à une impressionnante librairie de greffons qui répondent à tous les besoins ou presque. Des modules qui sont souvent écrits en perl ou en bash, très simple à modifier et tout autant à imiter.

Le tout est contrôlable à travers une frontal Web basée sur le protocole CGI et accessible via n'importe quel serveur HTTP comme Apache.

Installation

Sous Mandriva il suffit d'installer le paquet nagios-www pour que le reste vienne avec par jeu de dépendance. Si vous avez gardé la configuration standard de Mandriva côté apache, l'installation a ajouté un fichier de configuration spécifique en /etc/httpd/conf/webapp.d. Pour les autres ce qui est à rajouter dans votre apache doit ressembler à cela :

  ScriptAlias /nagios/cgi-bin /usr/lib/nagios/cgi

 /usr/lib/nagios/cgi>

    Options ExecCGI

    order deny,allow

    deny from all

    allow from 127.0.0.1

>

Alias /nagios /usr/share/nagios

 /usr/share/nagios>

    Options None

    order deny,allow

    deny from all

    allow from 127.0.0.1

>

Le ScriptAlias permet d'accéder au CGI de Nagios, et l'Alias au dossier des éléments WEB. Tel quel l'Alias ne laisse passer que les utilisateurs locaux. A vous de modifier cela pour ajouter de l'authentification, du SSL, etc.

Ensuite pour que cela fonctionne, nous allons faire une très vilaine chose, à savoir virer l'authentification du côté CGI de nagios. Pourquoi ? Disons qu'il n'y a pas grand intérêt à authentifier un service qui n'est accessible que localement ou alors est encrypté et authentifié. Du moins pour un usage domestique aucun. Pour faire cela, il faut simplement modifier la configuration /etc/nagios/cgi.cfg et mettre à 0 la valeur de use_authentication.

Ceci fait, nous pouvons redémarrer apache, puis démarrer le service nagios et enfin aller faire un tour sur le serveur à l'url /nagios pour voir la plus horrible interface que le monde ait connu depuis le WEB 0.1. Heureusement il est possible d'arranger cela en installant un look un peu plus moins-pire avec le paquet nagios-theme-nuvola.

Comme vous le voyez, nagios fonctionne "out of the box" avec une série de service (cpu, disques) en écoute de la machine locale. Voyons maintenant comment aller plus loin.

Configuration

Alors je vous préviens, le paramétrage de cet outil peut se révéler être une véritable expérience Kafkaïenne mais une fois réalisé, on dispose de quelque chose de fonctionnel, et pour longtemps.

Pour débuter, prenons un exemple simple. Imaginons que nous ayons un serveur nommé gaston et que nous voulions auditer la bonne marche de son service HTTP.

Nous allons commencer par créer un fichier /etc/nagios/servers/gaston.cfg chargé de décrire le serveur

  define host{

  use                     linux-server

  host_name               gaston

  alias                   Le serveur Gaston

  address                 192.168.0.155

}
  
/etc/nagios/servers/gaston.cfg

Notre host est de type linux-server qui un template nagios qui porte bien son nom. Alias est le nom "humain" du serveur, il peut contenir des espaces mais c'est à peu près tout. Pas d'accents, pas de parenthèses, bref un véritable ascétisme syntaxique tendance ethno-centré US.

Autre détail, ne pensez même pas à formater le code à votre convenance. Par exemple, mettre la première accolade à la ligne entraînera un refus brutal de démarrage...

Pour tester notre configuration, plutôt que de relancer tout de suite le service nagios, nous pouvons d'abord la tester à la main :

root#nagios -v /etc/nagios/nagios.cfg
Nagios 3.0.3
Copyright (c) 1999-2008 Ethan Galstad (http://www.nagios.org)
Last Modified: 06-25-2008
License: GPL
 
Reading configuration data...
 
Running pre-flight check on configuration data...
 
Checking services...
Checked 8 services.
Checking hosts...
Checked 1 hosts.
Checking host groups...
Checked 1 host groups.
...
Total Warnings: 0
Total Errors:   0
 
Things look okay - No serious problems were detected during the pre-flight check
root# 

Là ça passe où ça casse mais au moins cela donne la ligne où ça plante. Une fois que tout est correcte, on peut redémarrer proprement le service nagios.

Il suffit ensuite d'aller sur l'URL de nagios, de faire un refresh pour voir un nouveau host apparaître. Dans un premier temps il apparaît en gris car la mise à jour des status est encore en file d'attente. Mais au bout de quelque temps cela devrait passer au vert.

Deuxième étape, ajouter un service à gaston en éditant à nouveau notre fichier gaston.cfg :

  define service{

  use                             local-service

  host_name                       gaston

  service_description             Audit du site web de Gaston

  check_command                   check_http_text!Ceci est le site Web de Gaston

}
  
/etc/nagios/servers/gaston.cfg

L'idée de ce service est de vérifier si le serveur HTTP fonctionne sur gaston et que la page renvoyé contient la chaîne de caractère Ceci est le site Web de Gaston. En l'état cela ne marchera pas car il va encore falloir créer la commande Nagios check_http_text.

En effet Nagios est fournit avec une foultitude de plugins permettant de tester un grand nombre de services. Ces plugins, qui sont de simple exécutables stockés dans /usr/lib/nagios/plugins, ne sont pas reconnus directement. Il faut préalablement les déclarer dans le fichier /etc/nagios/objects/commands.cfg.

Ceci dit, là, nous cherchons la difficulté car une grande partie des plugins de base sont déjà configurés en commandes directement utilisable et nous aurions pu par exemple utiliser commande check_http, qui ne teste que la présence d'un serveur web, à la place check_http_text.

Mais pour nous faire la main, disons que nous avons absolument besoin de quelque chose de plus spécifique. Pour ajouter cette nouvelle commande, nous allons donc étendre le fichier commands.cfg :

  define command{

        command_name    check_http_text

        command_line    $USER1$/check_http -H $HOSTADDRESS$  -R "$ARG1$"

        }
  
à la fin de /etc/nagios/objects/commands.cfg

La commande check_http_text va invoquer le plugin check_http avec comme premier paramètre l'adresse IP du serveur, et en second paramètre une expression régulière à vérifier dans la page de garde. Ce paramètre correspond à ce qui se trouve après le point d'exclamation dans le service que l'on a écrit un peu plus haut (check_http_text!Ceci est le site Web de Gaston). A noter que si nous avions créé une commande avec plusieurs paramètres, nous aurions rajouté des $ARG2$ ou $ARG3$ et aussi rajouté dans le service des paramètre précédé de leur point d'exclamation. Oui je sais, c'est totalement idiot comme formalisme...

Maintenant, on redémarre le service nagios et là sur la page WEB devrait apparaître notre nouveau service.

A ce stade, vous avez presque toute les billes pour configurer Nagios. C'est long, c'est fastidieux, on se trompe souvent mais on y arrive, du moins pour les service locaux et les services distants mais publiques (ex. http, ssh, etc.). Reste le cas des services locaux, d'un serveur distant.

Audit de services internes à distance

Imaginons que cette fois nous voulions connaître l'espace disque sur le serveur gaston. Pour réaliser une telle chose nous allons devoir passer par une couche de transport prise en charge par le paquet nrpe.

NRPE est un petit serveur qui va se mettre en écoute sur un port sur la machine distante et répondre aux requêtes de votre serveur Nagios. Lorsqu'il reçoit une demande, il va exécuter un plugin local et transmettre sa réponse à Nagios. Conséquence directe, nrpe a son propre fichier de configuration qui n'a rien à voir avec celui de nagios. Donc si vous pensiez pouvoir paramétrer cela à distance c'est raté.

Pour auditer à distance l'état des disques du serveur gaston, nous allons devoir commencer par y installer le service nrpe avec le paquet nrpe-plugin. Et sur la machine qui exécute Nagios, nous allons installer le plugin ET la commande nrpe provenant du paquet nagios-check_nrpe.

Sur la machine gaston, nous allons éditer le fichier /etc/nagios/nrpe.cfg et localiser la ligne contenant command[check_disk1]. Vous commencez à comprendre, cette ligne publie via nrpe un paramétrage spécifique du plugin check_disk qui pour l'instant utilise la partition /dev/hda1. Changer la référence de la partition pour, par exemple, auditer le répertoire /var en /dev/sda3. On remplace donc hda1 par sda3. Le reste ne change pas. Ensuite il faut sauver et redémarrer nrpe.

Maintenant nous allons ajouter un nouveau service à /etc/nagios/servers/gaston.cfg :

  define service{

  use                             local-service

  host_name                       gaston

  service_description             Etat de la partition /var

  check_command                   check_nrpe!check_disk1

}
  
/etc/nagios/servers/gaston.cfg

Notez le paramètre !check_disk1, il va être transmis à la commande et remplacer l'argument $ARG1$ avant que le plugin nrpe soit exécuté. Le serveur gaston va recevoir la demande de plugin check_disk1 et va donc exécuter en local le plugin check_disk sur la partition /dev/sda3. Le résultat est renvoyé à nrpe, qui le revois au plugin nrpe sur la machine nagios qui va le rendre à nagios lui-même. ouf ! Dans la série pourquoi faire simple lorsque l'on peut faire compliqué...

Passage par SSH

Une manière de se passer de NRPE est d'utiliser SSH et une authentification par clef pour les deux deux utilisateurs nagios des deux machines. L'idée est assez simple, il s'agit de lancer, via ssh le plugin nagios distant par le biais d'une commande nagios conçue pour cela. Il faut toujours configuré de nouvelles commandes mais au moins cette configuration reste centralisée sur le serveur nagios et ne demande pas l'ouverture de ports supplémentaires.

Pour commencer, nous devons créer un plugin capable de relayer une commande sur une machine distante

  #! /bin/sh

host=$1

shift

command=$*;

command=/usr/lib/nagios/plugins/$plugins$command

ssh $host "$command"
  
/usr/lib/nagios/plugins/ssh_check

Pas très sorcier. Ensuite disons que nous voulions auditer l'espace disque, nous allons ajouter une nouvelle commande :

    define command{

  command_name    check_disk

  command_line    $USER1$/ssh_check $HOSTADDRESS$  /check_disk -w 10% -c 5% -p /var -p /tmp -p /storage -p /  home -p /

}
  
objects/commands.cfg

Ceci fait, la commande s'utilise comme les autres et renvoie à Nagios les résultats distants sans broncher.

conclusion

Nagios n'est clairement pas un outil pour newbies. Mais une fois le paramétrage en main il se révèle être d'une grande souplesse. De plus son système de greffons permet de l'étendre très simplement. Si vous comptez aller plus loin avec Nagios, je vous conseille d'aller regarder par ici.

Mise en place d'un service NIS

2008-10-22T11:10:54+02:00

Après avoir utilisé pendant un temps LDAP, j'en arrive à la conclusion que ce type de serveur est parfait pour une grande structure mais totalement ridicule pour un réseau domestique. D'un autre côté, on a aussi autre à faire de son temps que de s'amuser à répliquer les comptes, les droits, les groupes sur 5 machines. La solution intermédiaire est un bon vieux retour au source avec NIS.

Principe

NIS est un protocole d'origine SUN dont le but est de publier sur un réseau UNIX à peu prés toutes les bases de données traditionnelles au format ndbm et ainsi les rendre disponibles pour des clients, UNIX eux aussi.

Ces bases de données sont tout simplement /etc/passwd, /etc/shadow, /etc/group, /etc/hosts, /etc/services, /etc/protocols, etc. En utilisant les 3 premières citées, de la même manière qu'avec un serveur LDAP, ce protocole permet de s'authentifier partout sur le réseau. Et en utilisant /etc/hosts il serait aussi possible de se passer, plus ou moins de Bind mais il est souvent délicat de se passer de DNS, même pour une petite infrastructure.

Techniquement NIS, aussi appelé Yellow Pages, utiliser le même canal RPC que les transactions NFS. NFS, pour ceux qui ne le savent pas, est aussi un système d'origine SUN, permettant le partage de dossier dans le monde UNIX à l'instar de SMB/CIFS dans le monde Windows.

Lorsque l'on ne compte QUE des machines UNIX dans son réseau, et que ce réseau n'est pas composé de what-milles bécanes, NIS est une très bonne alternative à LDAP/Bind. Non pas qu'il soit plus performant, loin de là, mais surtout parce qu'il est simple, stable, vieux, solide, il ne bouge plus ou presque. Et surtout il ne menace pas de vous planter à chaque mise à jour parce qu'un ingénieur de chez Mandriva (ou autre) a décidé qu'il était absolument intolérable que le serveur bidulo ne soit chrooté dans /var avec des ACLs sécurisés par des jetons Kerberos 5 et encapsulé dans des transactions chiffrées vous obligeant à passer la nuit à tenter de comprendre pourquoi vous êtes devenu un inconnu sur votre propre système...

NIS se contente très simplement d'utiliser ces bons vieux fichiers pour en faire des bases de données toute bêtes et de les publier à la demande aux clients qui en ont besoin.

Installation du serveur

Pour commencer, une brassée de paquets à installer : portmap (si vous n'avez pas déjà un serveur NFS), ypserv, yp-tools et nscd. Ce dernier permet d'ajouter un cache configuré par défaut pour retenir les login/mot de passe un certain temps. Cela permet de limite les requêtes faites sur le serveur pour connaître le group ou l'uid de tel ou tel utilisateur.

Première étape, déclarer un nom de réseau NIS. Pour cela il faut modifier votre fichier /etc/sysconfig/netword :

  HOSTNAME=mon_serveur.mon_domaine.net

NETWORKING=yes

NETWORKING_IPV6=NO

# mon nom de domaine

NISDOMAIN=mon_domaine.net
  
/etc/sysconfig/network

Le serveur qui va distribuer les informations est ypserv. Son fichier de paramétrage est /etc/ypserv.conf et généralement il contient déjà tout ce qu'il faut, vérifiez seulement que vous avez au moins cela :

  dns: no

files: 30

slp: no

slp_timeout: 3600

xfr_check_port: yes

* : * : shadow.byname : port

* : * : passwd.adjunct.byname : port
  
/etc/ypserv.conf

Faites un man ypserv.conf pour les deux dernières lignes si vous voulez blinder un peu la sécurité. Personnellement, dans un LAN domestique totalement étanche, je m'en moque un peu.

Maintenant il nous faut initialiser notre serveur principal

root#/usr/lib/yp/ypinit -m
At this point, we have to construct a list of the hosts which will run NIS
servers.  nephilia.karma-lab.net is in the list of NIS server hosts.  Please continue to add
the names for the other hosts, one per line.  When you are done with the
list, type a .
next host to add:  mon_serveur.mon_domaine.net
next host to add:CTRL-D
The current list of NIS servers looks like this:
 
mon_serveur.mon_domaine.net
 
Is this correct?  [y/n: y]y
We need a few minutes to build the databases...
Building /var/yp/karma-lab.net/ypservers...
Running /var/yp/Makefile...
gmake[1]: entrant dans le répertoire « /var/yp/karma-lab.net »
Updating passwd.byname...
...
Updating shadow.byname...
gmake[1]: quittant le répertoire « /var/yp/karma-lab.net »
 
mon_serveur.mon_domaine.net has been set up as a NIS master server.
root#
root# 

Là je n'ai donc que faire répondre oui à la question, rien de bien sorcier. Et... c'est tout... Le serveur est techniquement configuré Maintenant un bon ami administrateur m'a un jour expliqué que ce n'était pas parce que Linux n'avait à peu prés jamais besoin de redémarrer qu'il ne fallait pas le faire pour vérifier que tout se lançait correctement, surtout sur un serveur. Et il a grandement raison, donc maintenant, redémarrage. Tant pis pour le record d'uptime .

Une fois le serveur redémarré, vous pouvez regarder si tout semble en place

root#avons nous le bon domaines ?
mon_domaine
 
# le service Yellow Pages est-il public sur le service RPC ?
root#rpcinfo -p localhost
program no_version protocole  no_port
100000    2   tcp    111  portmapper
100000    2   udp    111  portmapper
100024    1   udp  55448  status
100024    1   tcp  34159  status
100004    2   udp    646  ypserv
100004    1   udp    646  ypserv
100004    2   tcp    649  ypserv
100004    1   tcp    649  ypserv
600100069    1   udp    677  fypxfrd
600100069    1   tcp    679  fypxfrd
100009    1   udp    679  yppasswdd
...
root# 

Tout semble bon, passons au paramétrage des clients. Si vous utilisez un serveur dhcpd, vous pouvez aussi ajouter la ligne option nis-domain "karma-lab.net"; dans votre subnet de sorte à réduire ne pas avoir à régler ce domaine sur les clients.

Paramétrage des clients UNIX

Cette fois nous devons installer ypbind, yp-tools et toujours portmap. Vous l'aurez compris, ypbind est le client de ypserv et son paramétrage se fait par le fichier /etc/yp.conf dans lequel nous allons indique notre domaine et l'adresse IP de notre serveur NIS.

  domain mon_domaine.net  server 10.0.0.100
  
/etc/yp.conf

NIS se contente de distribuer l'information. Le choix de la source d'authentification en elle-même passe par glibc et est paramétrée par le fichier /etc/nsswitch.conf. C'est dans ce fichier que nous allons indiquer les sources à utiliser par ordre de priorité et par type d'action voulue :

passwd: files nis
shadow: files nis
group: files nis
hosts: file dns

/etc/nsswitch.conf

Ainsi configuré, pour chacune des 3 clefs de recherche nous cherchons en priorité dans le fichier local puis si rien n'y est trouvé, la source NIS.

Dans mon cas, vu que je conserver le serveur DNS/Bind, le service hosts n'utilise pas nis. Pour faire autrement, intercalez seulement nis entre file et dns. N'oubliez pas non plus de modifier /etc/hosts.conf pour ajouter nis à la liste order.

Le paramétrage est terminé dans le cas où vous utilisez un serveur dhcp (voir plus haut) et presque terminé dans le cas contraire où il nous faut encore modifier /etc/sysconfig/network pour ajouter la même entrée NISDOMAIN=mon_domaine que pour le serveur.

Là il s'agit de la version longue. Dans la version courte, utilisez simplement l'outil mandriva drakauth, sélectionnez NIS, donnez le nom du domaine et l'adresse IP du serveur et validez. L'outil se charge de récupérer les paquets manquants et de tout configurer. Coût de l'opération, 5 secondes...

Ceci fait, il ne nous reste plus qu'à tester :

# nous n'avons pas encore redémarré le client donc le domaine NIS
# n'est pas encore initialisé, on le fait à la main
root#nisdomainname mon_domaine.net
 
# démarrage du service ypbind
root#service ypbind start
Recherche du nom de domaine NIS...                              [  OK  ]
Recherche d'un serveur de domaine NIS : mon_serveur.mon_domaine.net
 
# vérifions que nous avons bien accès aux données, par exemple passwd
root#ypcat passwd
gaston:x:1010:1010::/home/gaston:/bin/bash
...
 
# et Si vous utilisez en plus les hosts...
root#ybcat hosts
10.0.0.11		tagazok.mon_domaine.net
...
 
# on ping pour voir si la résolution se fait correctement
ping tagazok.mon_domaine.net
64 bytes from tagazok.mon_domaine (10.0.0.11): icmp_seq=1 ttl=64 time=0.015 ms
...
root# 

Après il faut bien sur tester une authentification mais tout devrait marcher sans problèmes.

Mise à jour des bases de données

Un point appréciable avec NIS est que c'est aussi simple à maintenir qu'à configurer. Voyons sur le serveur en combien de temps nous pouvons ajouter un utilisateur, son groupe, et sa machine (si vous utilisez la publication de /etc/hosts) :

# ajout d'un groupe et d'un utilisateur
root#groupadd totoches
root#useradd josette -g totoches
 
# ajout d'un nouveau host (si vous avez publié /etc/hosts)
root#echo "10.0.0.12 machine_josette.mon_domaine.net" >> /etc/hosts
 
# Maintenant la formule magique pour propager les nouveautés :
root#make -C /var/yp
gmake[1]: entrant dans le répertoire « /var/yp/mon_domaine.net »
Updating passwd.byname...
Updating passwd.byuid...
Updating group.byname...
Updating group.bygid...
Updating hosts.byname...
Updating hosts.byaddr...
Updating netid.byname...
Updating shadow.byname...
gmake[1]: quittant le répertoire « /var/yp/mon_domaine.net »
root# 

En gros cela a du prendre 10 à 30 secondes selon votre rapidité à taper les commandes. Pour vérifier que ce n'est pas du bleuf, un petit tour sur une machine cliente s'impose :

# vérification de l'utilisateur josette
root#id josette
uid=1011(josette) gid=1011(totoches) groupes=1011(totoches)
 
# vérification du nouveau host (si vous avez publié /etc/hosts)
root#ping machine_josette.mon_domain.net
64 bytes from machine_josette.mon_domaine (10.0.0.12): icmp_seq=1 ttl=64 time=0.015 ms
root# 

Voilà, terminé. Maintenant il faut comparer cela au temps que cela aurait pris avec un serveur LDAP avec myLdapAdmin ou mieux... à la main en ligne de commande...

Pour les portables

Le soucis avec les authentification centralisée et les portables c'est que ce dernier ne sont pas toujours connecté au réseau. Du coup, impossible de contacter le serveur NIS et par voir de conséquence impossible de s'authentifier.

Pour régler ce problème de manière élégante nous allons utiliser nscd de manière plus avancée en modifiant un peu sa configuration. L'idée est d'obtenir quelque chose comme cela pour son fichier de configuration /etc/nscd.conf

  reload-count            unlimited

paranoia                no

enable-cache            passwd          yes

positive-time-to-live   passwd          604800

negative-time-to-live   passwd          20

suggested-size          passwd          211

check-files             passwd          yes

persistent              passwd          yes

shared                  passwd          yes

enable-cache            group           yes

positive-time-to-live   group           604800

negative-time-to-live   group           60

suggested-size          group           211

check-files             group           yes

persistent              group           yes

shared                  group           yes

enable-cache            hosts           no  
  
/etc/nscd.conf

Ainsi configuré, le cache va être persistant, maintenu autant que fois que nécessaire (reload-count), d'une durée de vie de 7 jours (604800 secondes) et ce pour les tables passwd et group. A noter que passwd indique ce que c'est la table /etc/passwd distante qui est mise en cache, celle qui ne contient pas les mots de passe.

L'effet de cette configuration est qu'une fois nscd relancé, un utilisateur connecté au réseau qui s'authentifie peut continue à travailler sur sa machine même s'il est déconnecté du réseau. En revanche, s'il met fin à sa session, comme shadow n'est pas en cache, il ne pourra plus s'authentifier.

Pour pouvoir ouvrir une session hors du réseau la seule solution est... de ne pas utiliser de mot de passe et préférer une authentification par empreinte digitale, par clef usb, etc.

Conclusion

J'étais passé de NIS à LDAP il y a un peu plus d'un an, pensant que ça allait me simplifier la vie. J'avoue que cela a été instructif car LDAP est un monde à part entière qu'il est pertinent d'au moins connaître un peu. Mais ce retour à NIS a été un vrai soulagement car même si c'est un petit réseau local, une partie de la complexité (le groupe d'accès à telle ou telle ressource via le net, le pote bidulo de passage sur le réseau, le bon ami à qui l'on crée un compte pour qu'il mate la machine pendant qu'on se dore la pilule, l'ajout de droits temporaire à la copine bidulette pour télécharger une vidéo, etc.) reste la même que pour un réseau plus grand à la différence que l'on a autre chose à faire de son temps que de jouer les administrateurs système...

Maîtriser le temps...

2008-10-21T16:14:02+02:00

Garder son PC à l'heure ou synchroniser plusieurs machines sur la même base de temps n'est pour diverses raisons pas toujours évident. Et pourtant c'est primordiale lorsque l'on est plusieurs à accéder à une même ressource, ou simplement pour éviter de louper un rendez-vous...

Les distributions règlent généralement ce problème en collant un serveur NTP en mémoire mais c'est un peu prendre un marteau pour écraser une mouche et surtout cela manque de souplesse. Voyons donc comment fonctionne le temps sur un PC, et sur GNU/Linux en particulier.

Horloge Système

Depuis que le PC est PC, il y a toujours eu deux horloges, l'une logicielle et l'autre matérielle.

L'horloge logicielle des premiers PC et PC/XT, était prise en charge par une puce Intel 8253 relevée avec les PC/AT par la 8254. Ces puces "timer-counter" étaient programmées par le BIOS pour générer une interruption toutes les 54.936 secondes, soit environ 18.206 fois par secondes. A l'époque le manque de précision impliquant que l'horloge se désynchronisait avec la réalité en perdant en gros une minute par jours. Aujourd'hui les sources sont beaucoup plus précise avec des puces comme les PIT (Programmable Interrupt Timer) utilisé notamment par Linux (clock=pit au démarrage du kernel).

La commande pour lire et écrire dans cette horloge est donc :

# réglage de l'horloge, petite remontée dans le temps...
root#date --set="9/22/96 16:45:05"
dim. sept. 22 16:45:05 CEST 1996
 
# lecture du l'horloge système
root#date
dim. sept. 22 16:45:17 CEST 1996
root# 

Mais même si elle sont plus précise, les horloges logicielles gardent une lacune de taille, elle ne savent pas compter le temps lorsque le PC est éteint.

Horloge Matérielle

Cette horloge là est dite RTC (Real Time CLock) et prise en charge par un composant spécifique sur la carte mère (dans le temps, la fameuse "Dallas") même si aujourd'hui elle est de plus en plus intégrée au southbridge. Cette horloge est généralement basée sur un quartz qui oscille, comme celui des montres, à une fréquence de 32768Hz, soit 2¹⁵ fois par secondes, ce qui est pratique pour le comptage binaire. Ce circuit a sa propre alimentation, par une simple pile au lithium ou un supercondensateur . Le résultat en est une horloge relativement précise qui tourne tout le temps, même PC éteint. C'est aussi grâce à ce composant que l'on peut, via le BIOS, allumer un PC à une heure précise.

Pour lire et écrire dans l'horloge matérielle la commande est

# lecture de l'horloge (on remarque que c'est bien une heure différente de celle de "date")
root#hwclock --show
mar. 21 oct. 2008 15:24:57 CEST  -0.408169 secondes
 
# Réglage de l'heure hardware
root#hwclock --set --date="9/22/98 16:45:05"
 
# vérification
root#hwclock --show
dim. 22 sept. 1998 16:45:09 CEST  -0.751474 secondes
root# 

Vous avez constaté en lançant ces commandes que la réaction n'est pas instantanée, en lecture comme en écriture, ce qui explique sûrement (mais je n'en suis pas bien sur) pourquoi les OS n'utilisent pas uniquement cette horloge.

Maintenant voyons comment synchroniser l'horloge matérielle avec l'horloge logicielle et inversement :

# Horloge interne -> système en utilisant le temps universel
root#hwclock --hctosys --utc
 
# L'horloge système est maintenant en 1998
 
# Horloge système -> interne en utilisant le temps universel
root#hwclock --systohc --utc
root# 

Horloge distante

Maintenant nos deux horloges sont bien sympathique mais qu'en est-il du "vrai" temps qui passe ? L'idéal pour être à l'heure est de la demander à un serveur qui sait de quoi il parle. Ce sont les serveurs NTP (Net Time Protocol). Et il y'en a de nombreux de disponible, alors autant en profiter.

Le seul problème est que la majorité des distributions passent par une usine à gaz pour récupérer le temps sur un serveur distant en passant par l'installation locale d'un service ntpd alors que là aussi, il existe une commande faite pour cela.

Cette commande c'est ntpdate du paquet ntp-client et son rôle est simplement de mettre à jour l'horloge système avec un serveur NTP distant. Ce serveur distant peut être sur Internel, mais aussi installé par vos soins.

Une fois que vous votre adresse, ici j'utilise fr.pool.ntp.org, vous pouvez lancer la commande de synchronisation :

# récupération de l'heure du serveur NTP
root#ntpdate -s -b fr.pool.ntp.org
 
# Vérification de la synchronisation avec l'horloge système
root#date
mar. oct. 21 15:40:27 CEST 2008
 
# Et l'horloge matérielle est quant à elle encore en 1998
root#hwclock --show
dim. 22 sept. 1998 16:59:15 CEST  -0.251837 secondes
root# 

Mise en musique

Maintenant nous n'avons plus qu'à mettre tout cela dans un script

    #! /bin/sh

  # synchronisation serveur NTP -> horloge logicielle

  /usr/sbin/ntpdate -s -b fr.pool.ntp.org

  # Quelque chose c'est mal passé ? 

  if [ $? != 0 ] ; then

    echo "Erreur lors de la synchronisation de l'heure" > /dev/stderr

  else

    # synchronisation horloge logicielle -> horloge matérielle 

    /sbin/hwclock --systohc --utc

  fi
  
/sbin/sync-clock.sh

Ce script peut être lancé à la main en cas de besoin ou mieux, être collé dans le CRON pour être exécuté sur une base journalière. Mais Comme le fait très justement remarquer Axone dans un commentaire un peu plus bas ce n'est pas très sympathique pour les serveurs distant su tout le monde les appelle à heure entière (ex. xx:00). Donc nous allons faire cela plus intelligemment en créant un fichier /etc/cron.d/time-sync :

  17 23 * * * /sbin/sync-clock.sh
  
/etc/cron.d/time-sync

Ainsi la mise à jour est faite tous les jours à 23:17, ce qui limite bien les risques.

Conclusion

Voilà, pas de grosse artillerie donc pour simplement s'assurer que deux machines fonctionnent sur la même base de temps ou que votre portable ne vous fait pas louper un rendez-vous...

Créer un environnement de test 'la(p|m)p' avec Chroot

2008-10-03T12:31:12+02:00

Lorsque l'on a besoin de créer un environnement de test il est nécessaire que sa composition soit strictement contrôlé (paramétrages, applications et services disponibles et lancées, etc). Il n'est du coup généralement pas conseillé d'utiliser sa machine de travail, sauf si elle ne sert qu'à cela, sous peine d'en détériorer le fonctionnement en cas de test malheureux ou de modifier sans le vouloir le comportement de ce que l'on cherche à tester. Nous sommes alors contraints d'avoir soit une machine virtuelle dédiée aux tests, soit une machine physique supplémentaire.

Ce serait sans compter sur la commande chroot qui permet dans certaines conditions d'obtenir un environnement de test ou d'intégration identique à celui en production, sans machine physique supplémentaire et sans que la machine principale soit ralentie ou compromise.

Qu'est-ce qu'un chroot?

Comme vous le savez sûrement déjà, le système fichier d'un *NIX est construit autour d'une racine (le /) sur laquelle les partitions sont ensuite "montées" formant ainsi l'espace de fichier accessible. Ce que l'on sait moins c'est que cette racine est un paramètre du processus. Tout processus lancé peut avoir pour racine un chemin arbitraire issu de celle de son processus parent. Si ce paramètre n'est pas définit, ce qui est généralement le cas, c'est '/' qui est utilisé par défaut, en quelque sorte la racine de la racine du parent. La commande chroot permet de lancer une commande et dans la foulée de définir ce paramètre pour le processus engendré.

La commande chroot peut donc avoir deux paramètres principaux : un chemin dans l'arborescence et une commande. Ainsi, si en tant qu'utilisateur root nous lançons chroot /lapp /bin/bash, voilà ce qui se passe :

La commande chroot engendre un processus qui a pour racine la même que celle de son processus parent, généralement le / (mais rien n'empêche de faire des poupées russes...).
En interne, chroot appel de la fonction kernel chroot("/lapp"). Le kernel va donc modifier la valeur de la racine pour ce processus et lui associer la valeur /lapp.
Le processus de chroot, exécute la commande passée en 2nd paramètre, /bin/bash. Comme la racine de chroot a été changée, c'est en quelque sorte bien le /bin/bash à partir de la nouvelle racine /lapp qui va être exécuté.
Cette exécution débouche sur la création d'un processus fils de celui du chroot qui hérite donc de cette nouvelle racine.
Tout ce que /bin/bash lancera par la suite héritera de cette nouvelle racine jusqu'à ce que l'on tape exit qui mettra fin au processus /bin/bash, et par domino à celui du chroot qui a permis son lancement.

Le premier constat que nous pouvons tire de cela est qu'il faut que notre dossier /lapp contienne un bin/bash, mais aussi toutes les librairies dont a besoin bash pour fonctionner, ainsi que tous les dossiers systèmes qui lui sont nécessaire et qu'il s'attend à trouver comme sous une "vraie" racine. Ainsi la seule problématique posée sera le peuplement de notre nouvelle racine.

Le second constat est qu'un chroot n'est pas une virtualisation. Une virtualisation définit des conteneurs bien hermétiques avec leur mémoire propre, leur espace disque propre, leurs périphériques propres, etc. Le chroot ne fait rien de tout cela. La mémoire, le CPU, les périphériques (réseau, disque, écran, etc) sont partagées par l'environnement racine et chrooté. C'est d'ailleurs pour cela qu'un chroot est aussi rapide que si tout était lancé sur la racine principale.

Chroot ne fait donc que "faire croire" à un processus qu'il travaille sous la "vraie racine" alors qu'il n'est que dans un sous-dossier. Ainsi la seule garantie que fournit le chroot est l'étanchéité des fichiers dans le sens enfant-parent. C'est pour cet aspect que le chroot est d'ailleurs généralement utilisé, pour "mettre en prison" des applications critiques (serveur web, serveur mail, etc.) de sorte à ce que si une vulnérabilité permet à un cracker de casser le serveur, il ne puisse atteindre les fichiers se trouvant hors du chroot et ainsi limiter les dégâts. A noter que ce billet ne traite pas de cette utilisation critique du chroot et que d'un point de vue général il existe nombre d'exploits permettant de s'échapper de cette prison.

Malgré ses limitations, le chroot est juste parfait pour une utilisation : la création d'un environnement de test et/ou d'intégration pour des applications WEB. Il permet en effet très facilement de créer une configuration LA(P|M)P (Linux-Apache-Postgres/MySQL-PHP), facile à maintenir, facile à recréer, testable de la machine principale sans modification particulière comme si tout était installé "localement".

Mise en oeuvre

Notre but est donc ici de créer un environnement chrooté comprenant un Linux de base, Apache, Postgresql et PHP. La première étape est donc de créer notre future racine. Je le fait en /lapp mais cela pourrait être virtuellement n'importe où, y compris sur le dossier d'une clef mémoire ou sur un espace volatile type tmpfs.

  sudo mkdir /lapp
  

Maintenant vient le moment de peupler notre racine. Là, il y a trois approches possibles.

Nous avons l'approche dite "bourrine" consistant à dupliquer sauvagement son environnement principal :

  cp -a /usr /bin /lib /sbin /var /lapp
  

L'inconvénient est que c'est souvent très volumineux et peu adapté à un environnement de test contrôlé dans la mesure où des tas de choses inutiles sont injectées dans la nouvelle racine.

Ensuite il y a l'approche "minimaliste" qui cherche à ne copier que ce qui est nécessaire. Cela peut se faire à la main avec la commande ldd ou beaucoup plus simplement, comme me l'a indiqué Guyou, avec les outils makejail ou chrootbin. Mais cette technique est plus adaptée au lancement d'un serveur dans une prison chroot qu'à notre besoin.

Enfin nous avons l'approche "raisonnable" consistant à utiliser les outils fournis par les debian's et autres mandriva's qui permettant d'installer tout simplement sur une racine arbitraire une distribution complète. C'est clairement dans notre cas cette approche qui s'impose.

Sous mandriva (et distributions dérivées), l'installation d'un linux de base sur une racine se fait simplement par la commande suivante :

sudo urpmi basesystem urpmi locales-fr --root /lapp

Simple et diablement efficace. Comme vous l'aurez noté, ce sont trois paquets qui sont ici installés: le linux de base, la langue française et le système de gestion de paquets. Ce dernier point nous offrira beaucoup de souplesse car au sein même du chroot il sera du coup possible d'installer, désinstaller ou même mettre à jour la distribution.

A noter que ce n'est pas du "one shot", il est toujours possible d'ajouter des paquets à la racine "de l'exterieur" par :

sudo urpmi un_paquer --root /lapp

Les distributions basées sur debian disposent elle aussi d'une méthode très efficace pour créer une racine minimale en utilisant cette fois la commande debootsrap.

    sudo debootstrap --arch i386  --include=locales-all  sid /lapp http://ftp.fr.debian.org/debian
  

Vous pouvez remplacer sid par toute distribution debian disponible (etch, sarge, etc..). Pour le reste cela fonctionne comme la méthode précédente a la différence que la gestion de paquet n'est pas optionnelle et vous aurez donc automatiquement accès à apt-get dans le chroot.

Un détail intéressant est que la commande debootstrap est aussi disponible sous Mandriva et vous permet sans aucun problème, d'installer une racine de debian dans une mandriva.

Notre racine étant maintenant peuplée et les utilitaires que nous avons utilisé ont normalement pris soin de créer à la "racine" les dossier vitaux tmp, var, dev, sys et proc. Si ce n'est pas le cas, faites le vous-même.

Maintenant comme vous le savez, certains dossiers de Linux ne sont pas de "vrais" dossier mais une vue sur des variables du système. C'est le cas de /proc, /sys et /dev. Si nous lancions maintenant notre nouvelle racine, ces dossiers seraient donc vides provoquant des erreurs sur certaines fonctions. Il nous faut donc avant monter ces dossiers. Pour ce faire, nous allons simplement les "relier" (mount --bind) aux mêmes dossiers de la vraie racine.

  sudo mount -bind /dev /lapp/dev 

sudo mount -bind /proc /lapp/proc

sudo mount -bind /sys /lapp/sys

Concernant le réseau dans un chroot, la configuration sera la même que celle de l'environnement parent. Tout fonctionnera donc sans avoir à faire quoi que ce soit. En revanche il est important de vérifier que la résolution de noms se fait correctement. Pour cela nous allons simplement recopier le fichier /etc/resolv :

  cp /etc/resolv.conf /lapp/etc/resolv.conf
  

Maintenant tout est en place, c'est le moment du lancement.

  sudo chroot /lapp /bin/bash
  

Voilà, une fois ceci exécuté, nous sommes "prisonnier" de la nouvelle racine et toutes les commandes qui suivent sont contrainte dans cet espace. Pour en sortir il suffit de faire un "exit". Comme vous le voyez tout fonctionne, vous pouvez utiliser le réseau, installer des paquets, etc. C'est ce que nous allons faire pour mettre en place notre environnement de test :

urpmi apache-mod_php postgresql-server

Ceci fait, vous pouvez constater que votre système fonctionne en lançant les services :

  /etc/init.d/httpd start

/etc/init.d/postgresql start

Maintenant, en allant, sur votre environnement principal aidé d'un navigateur web sur l'adresse http://localhost, vous devriez avoir accès à la page de test du serveur Apache. Pour le reste, à vous de jouer...

Automatisation

Comme vous l'aurez constaté, le chroot n'effectue pas, et heureusement, un démarrage réel du linux installé à la nouvelle racine. Il se contente d'exécuter /bin/bash ce qui vous oblige de votre côté à lancer les services à la main.

Pour rendre cela beaucoup plus simple à utiliser sur une base quotidienne, le plus propre reste de créer un service dédié au lancement de notre racine qui va créer le montages et lancer apache, postgres, etc... Son arrêt ferra l'inverse :

  #!/bin/sh

# chkconfig: 345 56 50

# description: This startup script launches Chroot Starter

### BEGIN INIT INFO

# Provides: lappd

# Required-Start: 

# Required-Stop: 

# Default-Start: 345

# Short-Description: Chroot Starter

# Description: This startup script launches Chroot Starter

### END INIT INFO

PATH=/usr/sbin:/usr/bin:/sbin:/bin

NAME=lapp

DESC="Chroot Starter for $NAME"

ROOT=/$NAME

# Source function library.

. /etc/init.d/functions

case "$1" in

  start)

    if [ ! -z "$(mount | grep $ROOT)" ] ; then

      gprintf "$NAME is already started\n"

      exit 3

    fi

    gprintf "Starting chroot for %s" "$NAME"

    mount --bind /proc $ROOT/proc

    mount --bind /dev $ROOT/dev

    mount --bind /sys $ROOT/sys

    chroot $ROOT /init.sh start

    echo_success

    echo

    ;;

  stop)

    if [ -z "$(mount | grep $ROOT)" ] ; then

      gprintf "$NAME is already stopped\n"

      exit 3

    fi

    gprintf "Stopping chroot for %s" "$NAME"

    chroot $ROOT /init.sh stop

    umount $ROOT/proc 

    if [ $? -ne 0 ] ; then

      echo_failure

      echo

      exit 3;

    fi

    umount $ROOT/dev

    if [ $? -ne 0 ] ; then

      echo_failure

      echo

      exit 3;

    fi

    umount $ROOT/sys

    if [ $? -ne 0 ] ; then

      echo_failure

      echo

      exit 3;

    fi

    echo_success

    echo

    exit 0

    ;;

  restart|force-reload)

    $0 stop

  sleep 1

    $0 start

    ;;

esac

exit 0
  
/etc/init.d/lapp

Ensuite dans notre racine il faut rajouter, et rendre exécutable, un fichier /init.sh contenant le démarrage/arrêt des services httpd et postgresql, et qui prendra en paramètre start ou stop :

  #! /bin/sh 

/etc/init.d/httpd $1

/etc/init.d/postgresql $1
  
/init.sh

Après, vous pouvez rendre le lancement de ce service automatique (avec chkconfig ou l'outil dédié à cela pour votre distribution), ou faire cela à la main :

# lancement du service
gaston$sudo /etc/init.d/lapp start
Starting chroot for lapp                                        [  OK  ]
 
# ouverture d'une session sur la racine
gaston$sudo chroot /lapp /bin/sh
# ...
# exit
 
# extinction du service
gaston$sudo /etc/init.d/lapp stop
Starting chroot for lapp                                        [  OK  ]
gaston$ 
exemple d'utilisation

Personnellement j'ai mis ce service en démarrage manuel et ajouté un profile dans gnome-terminal qui me lance directement la commande chroot /lapp /bin/sh.

Conclusion

La commande chroot ne manque donc pas d'intérêt en restant très simple à mettre en oeuvre si on en saisi bien les fondamentaux. C'est une bonne alternative à la "lourdeur" de la virtualisation et permet de créer à une vitesse record des environnements de développement rapides, efficaces et non-polluant pour le reste du système.