Catégorie : Réseau

21 juin 2019 /

DRBD fait référence aux périphériques en mode bloc conçus pour former des clusters haute disponibilité (HA). Pour ce faire, un périphérique de bloc entier est mis en miroir via le réseau. DRBD peut être compris comme un raid-1 réseau.

Le problème est le suivant, DRBD ne se connecte pas à tous ses volumes réseaux suite à une panne d’un des contrôleurs de la baie de disques.

Après la remise en état du contrôleur, je me retrouve avec l’erreur suivante:

[pastacode lang= »bash » manual= »drbd-overview » message= »Supervision de l’etat des volumes DRBD depuis la baie n° 1″ highlight= » » provider= »manual »/]

0:datastores/0 Connected Primary/Secondary UpToDate/UpToDate
1:datastores/1 Connected Primary/Secondary UpToDate/UpToDate
2:images-stores02/0 StandAlone Primary/Unknown UpToDate/DUnknown 
3:images-stores03/0 Connected Primary/Secondary UpToDate/UpToDate
4:images-storesHS/0 StandAlone Primary/Unknown UpToDate/DUnknown

[pastacode lang= »bash » manual= »drbd-overview » message= »Supervision de l’etat des volumes DRBD depuis la baie n° 2″ highlight= » » provider= »manual »/]

0:datastores/0 Connected Secondary/Primary UpToDate/UpToDate
1:datastores/1 Connected Secondary/Primary UpToDate/UpToDate
2:images-stores02/0 WFConnection Primary/Unknown UpToDate/DUnknown
3:images-stores03/0 Connected Secondary/Primary UpToDate/UpToDate
4:images-storesHS/0 WFConnection Primary/Unknown UpToDate/DUnknown

Pour réparer cela:

[pastacode lang= »bash » manual= »drbdadm%20secondary%20images-stores02%2F0%0Adrbdadm%20disconnect%20images-stores02%2F0%0Adrbdadm%20connect%20–discard-my-data%20images-stores02%2F0%0A%0Adrbdadm%20secondary%20images-storesHS%2F0%0Adrbdadm%20disconnect%20images-storesHS%2F0%0Adrbdadm%20connect%20–discard-my-data%20images-storesHS%2F0″ message= »Depuis la baie n° 2″ highlight= » » provider= »manual »/]

[pastacode lang= »bash » manual= »drbdadm%20primairy%20mages-storesHS%2F0%0Adrbdadm%20disconnect%20images-storesHS%2F0%0Adrbdadm%20connect%20images-storesHS%2F0%0A%0Adrbdadm%20primairy%20images-stores02%2F0%0Adrbdadm%20disconnect%20images-stores02%2F0%0Adrbdadm%20connect%20images-stores02%2F0″ message= »Depuis la baie n°1″ highlight= » » provider= »manual »/]

On verifie que syncronisation s’est bien lancée:

[pastacode lang= »bash » manual= »cat%20%2Fproc%2Fdrbd » message= »Depuis la baie n°1 ou n°2″ highlight= » » provider= »manual »/]

version: 8.4.3 (api:1/proto:86-101)
srcversion: 1A9F77B1CA5FF92235C2213
0: cs:Connected ro:Secondary/Primary ds:UpToDate/UpToDate C r—–
ns:0 nr:0 dw:0 dr:0 al:0 bm:0 lo:0 pe:0 ua:0 ap:0 ep:1 wo:f oos:0
1: cs:Connected ro:Secondary/Primary ds:UpToDate/UpToDate C r—–
ns:0 nr:59608 dw:232804 dr:0 al:0 bm:23 lo:0 pe:0 ua:0 ap:0 ep:1 wo:f oos:0
2: cs:SyncTarget ro:Secondary/Primary ds:Inconsistent/UpToDate C r—–
ns:0 nr:888388 dw:888376 dr:972 al:0 bm:477 lo:3 pe:0 ua:3 ap:0 ep:1 wo:f oos:1404644
[===>…………….] sync’ed: 22.3% (1404644/1800120)K
finish: 0:13:30 speed: 1,724 (1,716) want: 102,400 K/sec
3: cs:Connected ro:Secondary/Primary ds:UpToDate/UpToDate C r—–
ns:0 nr:436052 dw:3326216 dr:0 al:0 bm:196 lo:1 pe:0 ua:0 ap:0 ep:1 wo:f oos:0
4: cs:SyncTarget ro:Secondary/Primary ds:Inconsistent/UpToDate C r—–
ns:0 nr:8702052 dw:8700428 dr:992 al:0 bm:606 lo:2 pe:0 ua:2 ap:0 ep:1 wo:f oos:4173260
[============>…….] sync’ed: 67.5% (4072/12488)Mfinish: 0:01:32 speed: 44,952 (36,060) want: 0 K/sec

Une fois la syncronisation terminée, vous devriez avoir cela:

[pastacode lang= »bash » manual= »cat%20%2Fproc%2Fdrbd » message= » » highlight= » » provider= »manual »/]

version: 8.4.3 (api:1/proto:86-101)
srcversion: 1A9F77B1CA5FF92235C2213
0: cs:Connected ro:Secondary/Primary ds:UpToDate/UpToDate C r—–
ns:0 nr:0 dw:0 dr:0 al:0 bm:0 lo:0 pe:0 ua:0 ap:0 ep:1 wo:f oos:0
1: cs:Connected ro:Secondary/Primary ds:UpToDate/UpToDate C r—–
ns:0 nr:183320 dw:356516 dr:0 al:0 bm:23 lo:0 pe:0 ua:0 ap:0 ep:1 wo:f oos:0
2: cs:Connected ro:Secondary/Primary ds:UpToDate/UpToDate C r—–
ns:0 nr:7518312 dw:7518312 dr:972 al:0 bm:1437 lo:0 pe:0 ua:0 ap:0 ep:1 wo:f oos:0
3: cs:Connected ro:Secondary/Primary ds:UpToDate/UpToDate C r—–
ns:0 nr:1377700 dw:4267864 dr:0 al:0 bm:196 lo:0 pe:0 ua:0 ap:0 ep:1 wo:f oos:0
4: cs:Connected ro:Secondary/Primary ds:UpToDate/UpToDate C r—–
ns:0 nr:23442304 dw:23442288 dr:992 al:0 bm:1936 lo:1 pe:0 ua:1 ap:0 ep:1 wo:f oos:0

[pastacode lang= »bash » manual= »drbd-overview » message= »Depuis la baie n°1″ highlight= » » provider= »manual »/]

0:datastores/0 Connected Primary/Secondary UpToDate/UpToDate
1:datastores/1 Connected Primary/Secondary UpToDate/UpToDate
2:images-stores02/0 Connected Primary/Secondary UpToDate/UpToDate
3:images-stores03/0 Connected Primary/Secondary UpToDate/UpToDate
4:images-storesHS/0 Connected Primary/Secondary UpToDate/UpToDate

[pastacode lang= »bash » manual= »drbd-overview » message= »Depuis la baie n°2″ highlight= » » provider= »manual »/]

0:datastores/0 Connected Secondary/Primary UpToDate/UpToDate
1:datastores/1 Connected Secondary/Primary UpToDate/UpToDate
2:images-stores02/0 Connected Secondary/Primary UpToDate/UpToDate
3:images-stores03/0 Connected Secondary/Primary UpToDate/UpToDate
4:images-storesHS/0 Connected Secondary/Primary UpToDate/UpToDate

 

23 mai 2019 /

Création d’un partage entre un hyperviseur KVM et une de ses machines virtuelles

[pastacode lang= »bash » manual= »systemctl%20enable%20smb%20nmb%0Asystemctl%20start%20smb%20nmb » message= »Activation de samba » highlight= » » provider= »manual »/]

[pastacode lang= »bash » manual= »ip%20a%20show%20dev%20virbr0″ message= »Virbr0 est le bridge linux créé par libvirt lors de son installation, il faut l’identifier » highlight= » » provider= »manual »/]

[pastacode lang= »bash » manual= »virsh%20net-edit%20default » message= »SI on veut modifier l’adresse de virbr0″ highlight= » » provider= »manual »/]

[pastacode lang= »bash » manual= »mkdir%20%2Fpartage_vm%0Auseradd%20-m%20-d%20%2Fpartage_vm%20partage%0Achown%20-R%20partage%20%2Fpartage_vm%0Achmod%20g%2Bw%20%2Fpartage_vm%0Asmbpasswd%20-a%20partage » message= »On crée le partage et le compte utilisateur pour s’y connecter » highlight= » » provider= »manual »/]

[pastacode lang= »bash » manual= »%5Bglobal%5D%0A%20%20%20%20%20%20%20workgroup%20%3D%20WorkGroup%0A%20%20%20%20%20%20%20netbios%20name%20%3D%20Host%0A%20%20%20%20%20%20%20server%20string%20%3D%20serveur%20%25h%20(Samba%20%25partagevm)%0A%20%20%20%20%20%20%20%23%20On%20souhaite%20n’autoriser%20l’acc%C3%A8s%20que%20via%20certaines%20interfaces%20r%C3%A9seau%0A%20%20%20%20%20%20%20bind%20interfaces%20only%20%3D%20Yes%0A%20%20%20%20%20%20%20interfaces%20%3D%20127.0.0.1%2C%20192.168.122.1%0A%20%20%20%20%20%20%20log%20file%20%3D%20%2Fvar%2Flog%2Fsamba%2Flog.%25m%0A%20%20%20%20%20%20%20max%20log%20size%20%3D%20100%0A%0A%5Bpartage_vm%5D%0A%20%20%20%20%20%20%20path%20%3D%20%2Fpartage_vm%2F%0A%20%20%20%20%20%20%20public%20%3D%20no%0A%20%20%20%20%20%20%20browsable%20%3D%20yes%0A%20%20%20%20%20%20%20valid%20users%20%3D%20partage%0A%20%20%20%20%20%20%20guest%20ok%20%3D%20no%0A%20%20%20%20%20%20%20writable%20%3D%20yes%0A%20%20%20%20%20%20%20printable%20%3D%20no%0A%20%20%20%20%20%20%20hide%20files%20%3D%20%2Flost%2Bfound%2F%0A%20%20%20%20%20%20%20hide%20unreadable%20%3D%20yes%0A%20%20%20%20%20%20%20%23%20on%20force%20les%20permissions%0A%20%20%20%20%20%20%20create%20mask%20%3D%20777%0A%20%20%20%20%20%20%20force%20create%20mode%20%3D%20777%0A%20%20%20%20%20%20%20security%20mask%20%3D%20777%0A%20%20%20%20%20%20%20force%20security%20mode%20%3D%20777″ message= »On declare le partage dans le ficher /etc/samba/smb.conf » highlight= » » provider= »manual »/]

[pastacode lang= »bash » manual= »systemctl%20restart%20nmb.service%20smb.service%20%0Afirewall-cmd%20–add-service%3Dsamba%20–permanent%20–add-source%3D192.168.122.1%2F24″ message= »On redemarre samba et on ouvre les ports samba » highlight= » » provider= »manual »/]

[pastacode lang= »bash » manual= »smbclient%20%2F%2F192.168.122.1%2Fpartage_vm%20-U%20partage » message= »Test du serveur depuis l’hyperviseur » highlight= » » provider= »manual »/]

[pastacode lang= »bash » manual= »semanage%20fcontext%20-a%20-t%20samba_share_t%20’%2Fpartage_vm(%2F.*)%3F’%0Arestorecon%20-R%20%2Fpartage_vm%0A » message= »Si SELinux est actif dans un dossier specifique » highlight= » » provider= »manual »/]

[pastacode lang= »bash » manual= »setsebool%20-P%20samba_enable_home_dirs%20on » message= »Si SELinux est dans /home » highlight= » » provider= »manual »/]

[pastacode lang= »bash » manual= »ls%20-Z%20%2Fpartage_vm%0A-rw-rw-r–.%20partage%20partage%20unconfined_u%3Aobject_r%3Asamba_share_t%3As0%20truc.txt » message= »Pour vérifier le contexte de SELinux » highlight= » » provider= »manual »/]

Sur la VM, le dossier est accessible à l’adresse \\ip_de_virbr0\partage_vm

 

23 mai 2019 /

[pastacode lang= »bash » manual= »for%20i%20in%20%7B1..65535%7D%3B%20do%20(echo%20%3C%20%2Fdev%2Ftcp%2F127.0.0.1%2F%24i)%20%26%3E%2Fdev%2Fnull%20%26%26%20printf%20%22%5Cn%5B%2B%5D%20Port%20Ouvert%20%5Cn%3A%20%5Ct%25d%5Cn%22%20%22%24i%22%20%7C%7C%20printf%20%22.%22%3B%20done » message= » » highlight= » » provider= »manual »/]

28 mars 2019 /

Tout d’abord, assurez-vous que tous vos paquets système sont à jour en exécutant les commandes apt-get suivantes dans le terminal

[pastacode lang= »bash » manual= »sudo%20apt%20update%0Asudo%20apt%20upgrade » message= » » highlight= » » provider= »manual »/]

On va désactiver l’IPv6 via sysctl

[pastacode lang= »bash » manual= »vi%20%2Fetc%2Fsysctl.conf » message= » » highlight= » » provider= »manual »/]

On ajoute les lignes suivantes à la fin du fichier

[pastacode lang= »bash » manual= »net.ipv6.conf.all.disable_ipv6%20%3D%201%0Anet.ipv6.conf.default.disable_ipv6%20%3D%201%0Anet.ipv6.conf.lo.disable_ipv6%20%3D%201%0Anet.ipv6.conf.%3Cnom_de_linterface%3E.disable_ipv6%20%3D%201″ message= » » highlight= » » provider= »manual »/]

Pour que les modifications soient prises en compte

[pastacode lang= »bash » manual= »sysctl%20-p » message= » » highlight= » » provider= »manual »/]

On peut également le désactiver via GRUG

[pastacode lang= »bash » manual= »vi%20%2Fetc%2Fdefault%2Fgrub » message= » » highlight= » » provider= »manual »/]

On modifie les paramètres  « GRUB_CMDLINE_LINUX » et « GRUB_CMDLINE_LINUX_DEFAULT » pour ajouter « ipv6.disable = 1″

[pastacode lang= »bash » manual= »GRUB_CMDLINE_LINUX%3D%22ipv6.disable%3D1%22%0AGRUB_CMDLINE_LINUX_DEFAULT%3D%22ipv6.disable%3D1%22″ message= » » highlight= » » provider= »manual »/]

On met à jour la configuration de GRUB et on redémarre

[pastacode lang= »bash » manual= »update-grub%0Asystemctl%20reboot%20″ message= » » highlight= » » provider= »manual »/]

24 janvier 2019 /

Le 22 janvier 2019, Debian a publié un avis de sécurité (Référence: CERTFR-2019-ALE-001) indiquant que leur gestionnaire de paquets était vulnérable à une injection de code.

Par défaut, les mises à jour sont récupérées en HTTP. Toutefois des vérifications sont effectuées en local afin de vérifier l’intégrité des fichiers récupérés.

Un attaquant en position d’intercepteur actif (Man In The Middle) peut injecter un paquet malveillant qui sera considéré comme valide. Cette vulnérabilité n’est présente que dans le cadre de l’utilisation de redirections par APT.

Le logiciel APT s’exécute avec un niveau de privilège élevé, une attaque réussie garanti donc à l’attaquant une compromission totale du système.

Il s’agit donc d’une vulnérabilité sérieuse, d’autant plus qu’elle impacte directement le mécanisme de mise à jour. Il est nécessaire d’appliquer le correctif tout en minimisant les risques d’exploitation.

[pastacode lang= »bash » manual= »%0Aapt%20-o%20Acquire%3A%3Ahttp%3A%3AAllowRedirect%3Dfalse%20update%3B%0Aapt%20-o%20Acquire%3A%3Ahttp%3A%3AAllowRedirect%3Dfalse%20upgrade » message= »Uniquement dans le cadre de cette mise à jour, Debian recommande de désactiver les redirections par les commandes suivantes » highlight= » » provider= »manual »/]

Toutefois, cela peut ne pas fonctionner lorsque l’on est placé derrière un proxy et que l’on cherche à atteindre le miroir security.debian.org.

Dans ce cas, il est possible d’utiliser la source suivante : http://security-cdn.debian.org/debian-security/

Si la mise à jour d’APT sans la désactivation des redirections est impossible, il est alors recommandé de télécharger manuellement le paquet. Il convient ensuite d’effectuer la vérification d’intégrité avant de l’installer.

Source