Today i finally found how to stop vi to insert tab or comment my text when i paste something:
simply input the command
:set paste
then paste what you want to paste and
:set nopaste

Hoo and by the way, from now on, i will start posting only in english

Comme promis voici le 2èm post de la journée pour compléter le tutorial d’installation d’une machine debian chez ovh.
Nous venons juste de voir comment installer et configurer un firewall pour protéger notre machine, Voyons maintenant comment utiliser munin et monit pour surveiller notre serveur.
Munin nous fourni des graphs sur l’état de notre machine: ressources utilisées, traffic, queue du serveur postfix et j’en passe.
Monit lui monitor nos process et nous informe si quelque chose ne va pas. De plus il est capable de redémarrer tout seul un service qui ne fonctionne pas comme il faut.

On install d’abord munin:
apt-get install munin munin-node
Puis on edite le fichier de configuration pour rajouter le nom de notre machine:
vi /etc/munin/munin.conf
Ca doit ressembler à ca:
# a simple host tree
[nsxxxxx.ovh.net]
address 127.0.0.1
use_node_name yes
Il ne nous reste plus qu’à proteger l’accès a munin avec un htaccess:
vi /var/www/munin/.htaccess
en voici le contenu
AuthType Basic
AuthName "Admin Only"
AuthUserFile /var/www/.htpasswd
<limit GET PUT POST>
require valid-user
</limit>
puis on crée le password:
htpasswd -c /var/www/.htpasswd admin
Voila, si tout va bien on peut maintenant se connecter à http://nsxxxxx.ovh.net/munin à l’aide du user admin et du pass qu’on viens de choisir ! Par contre il faut attendre au moins 5 a 10 minutes pour voir quelque chose sur les graphs.

Passsons maintenant a Monit
Comme toujours, installation super simple:
apt-get install monit
Puis on edite le fichier de configuration
vi /etc/monit/monitrc
Voici le fichier de configuration dont on a besoin pour surveiller notre machine debian et tous les services que nous avons installés dans mon premier tutorial sur debian ovh.
set daemon 60
set logfile syslog facility log_daemon
set mailserver localhost
set mail-format { from: monit@yourdomain.com }
set alert yourmail@yourdomain.com
set httpd port 2812 and
allow admin:yourmonitpass
# check FTP server
check process proftpd with pidfile /var/run/proftpd.pid
start program = "/etc/init.d/proftpd start"
stop program = "/etc/init.d/proftpd stop"
if failed port 21 protocol ftp then restart
if 5 restarts within 5 cycles then timeout
# check SSH server
check process sshd with pidfile /var/run/sshd.pid
start program "/etc/init.d/ssh start"
stop program "/etc/init.d/ssh stop"
if failed port 22 protocol ssh then restart
if 5 restarts within 5 cycles then timeout
# check MySQL
check process mysql with pidfile /var/run/mysqld/mysqld.pid
group database
start program = "/etc/init.d/mysql start"
stop program = "/etc/init.d/mysql stop"
if failed host 127.0.0.1 port 3306 then restart
if 5 restarts within 5 cycles then timeout
# check WEB server
check process apache with pidfile /var/run/apache2.pid
group www
start program = "/etc/init.d/apache2 start"
stop program = "/etc/init.d/apache2 stop"
if failed host ns28885.ovh.net port 80 protocol http
and request "/monit/token" then restart
if cpu is greater than 60% for 2 cycles then alert
if cpu > 80% for 5 cycles then restart
if totalmem > 500 MB for 5 cycles then restart
if children > 250 then restart
if loadavg(5min) greater than 10 for 8 cycles then stop
if 3 restarts within 5 cycles then timeout
# check MAIL server
check process postfix with pidfile /var/spool/postfix/pid/master.pid
group mail
start program = "/etc/init.d/postfix start"
stop program = "/etc/init.d/postfix stop"
if failed port 25 protocol smtp then restart
if 5 restarts within 5 cycles then timeout


il faut encore éditer le fichier /etc/default/monit pour que monit puisse démarrer:
vi /etc/default/monit
On change startup à 1
startup=1

pour pouvoir monitor apache et vérifier que les sites web répondent on cree un fichier que monit viendra check:
mkdir /var/www/monit
echo "Hello" > /var/www/monit/token

Et finalement on lance monit:
/etc/init.d/monit start
Et voila ! On peut maintenant se connecter a l’interface web de monit a l’url suivante: http://nsxxxxx.ovh.net:2812

Nous avons maintenant une machine debian prète à héberger nos sites et emails. N’hésitez pas à me poser des questions si quelque chose n’est pas clair.

Aujourd’hui 2 petits post qui vont venir completer mon premier post sur mon installation debian chez ovh. Le premier tout de suite avec la configuration d’un firewall simple pour notre machine.

On verifie si iptables est installé sur la machine (normalement oui)
iptables -v
iptables v1.3.6: no command specified
Try `iptables -h' or 'iptables --help' for more information.

si on obtiens un resultat comme celui la c’est ok et on verifie si il existe déjà des règles:
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

aucun règle actuellement: notre firewall accepte donc tout le traffic.
créons nos regles dans le fichier /etc/init.d/firewall
vi /etc/init.d/firewall
#!/bin/sh
# les regles de mon firewall
IPT=/sbin/iptables
case "$1" in
start)
$IPT -F INPUT
$IPT -I INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port ftp -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port ssh -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port smtp -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port pop3 -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port domain -j ACCEPT
$IPT -A INPUT -i eth0 --proto udp --destination-port domain -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port http -j ACCEPT
$IPT -A INPUT -i eth0 --proto tcp --destination-port https -j ACCEPT
$IPT -A INPUT -i eth0 --proto icmp -j ACCEPT
$IPT -A INPUT -i eth0 -j DROP
exit 0
;;
stop)
$IPT -F INPUT
exit 0
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop}"
exit 1
;;
esac
Pour faire simple on accepte toutes les connection déjà établies et on authorise les connections à nos services: FTP, SSH, SMTP, POP3, DNS et HTTP.
On rajoute les droits d’éxecution au fichier et on démarre notre firewall
chmod +x /etc/init.d/firewall
/etc/init.d/firewall start

Il ne nous reste plus qu’à installer ce script au boot pour que notre firewall se relance automatiquement. Attention ne faire cette manipulation que si vous êtes sur d’avoir access à votre machine par ssh !
update-rc.d firewall defaults

Et voila ! Simple non ? prochain post: monitoring de notre machine avec munin et monit

Le prix qui sert a rien

http://fr.wikipedia.org/wiki/Prix_Ig_Nobel 

Voila je suis a l’aéroport et dans qqes minutes je monte dans l’avion pour bordeaux. Ca doit faire au moins 5 ans que je n’y ai pas mis les pieds, ca va me faire bizarre!

Je continue mon post sur l’installation debian dès que je rentre. Je pars seulement pour 2 jours pour ceux qui attendent la fin avec impatience

Bon petite mise à jour: je suis à paris et j’ai raté la correspondance pour bordeaux !

et voil plus que 3 heures à attendre!

Description étape par étape de mon installation à partir d’une installation debian minimale chez OVH.

serveur DNS: bind9
Serveur Web: Apache2+php5+mysql+phpmyadmin
Serveur mail: postfix+courrier avec antivirus et antispam
Serveur FTP: ProFTPD

Avant tout il serait bon de jeter un coup d’oeil a mon post précédant sur Putty afin de pouvoir se connecter a notre machine a l’aide de clef SSH.

Maintenant on se connecte a notre machine avec le pass recu par email pour le compte root juste apres la réinstallation de la machine et on copie notre clef publique (voir tutorial putty).
vi ~/.ssh/authorized_keys2
Normalement on doit deja trouver la clef de ovh donc on copie la notre a la fin du fichier juste apres celle de ovh.
On test maintenant de se connecter avec notre clef et si tout se passe bien on peut maintenant désactiver l’authentification par mot de passe.
vi /etc/ssh/sshd_config
on modifie les 2 lignes suivantes
PasswordAuthentication no
UsePAM no
attention il faudra absolument avoir votre clef sur vous pour vous connecter à votre machine !

On met à jour notre system avec les 2 lignes suivantes:
apt-get update
apt-get upgrade

Puis on installe quelques outils necessaires pour la suite:
apt-get install build-essential bison flex dpkg-dev

On install Quota et on modifie le fichier /etc/fstab pour activer le quota sur notre partition /
apt-get install quota
vi /etc/fstab
on rajoute simplement ,errors=remount-ro,usrquota,grpquota juste après defaults pour la partition /
puis
touch /quota.user /quota.group
chmod 600 /quota.*
mount -o remount /
quotacheck -avugm
quotaon -avug

Pages: 1 2 3 4 5

Je faisais un peu de skate etant plus jeune mais la …

Nouveau record mondial de transmission de données: 25,6 terabit par seconde soit l’équivalent de plus de 600 DVD à la seconde !

plus de details ici

Comme vous le savez peut être, je suis le créateur de isranetshop une boutique israélienne de produits judaica, article religieux et autre produits d’israël.

Suite a la demande de nombreux clients, nous avons rajouté depuis quelques jours une nouvelle catégorie a notre catalogue: les pendentifs en argent.

quelques exemples ?

Sympa non ?

L’utilisation de clefs pour se connecter à un système unix par ssh peut être non seulement pratique (pas besoin de taper un password à chaque reconnection) mais aussi plus sécurisé que l’authentification traditionelle par mot de passe (si on désactive cette dernière!)

Depuis notre station windows il nous faut les logiciels Putty, Puttygen et pageant disponible sur la page de téléchargement de Putty.

On lance putty et on crée un nouveau profil pour notre serveur et on sauve la session avant de s’y connecter.

On lance puttygen pour générer notre paire de clefs, on choisi SSH-2 RSA de 1024 bits et on clic sur generate. Une fois nos clef générées on tape notre email dans le champs key comment, on choisi une passphrase que l’on confirme une 2ème fois et on clic sur save public key et save private key. On prends bien soins de ranger les clefs dans un endroit sûr !

On copie la clef dans la fenêtre de puttygen juste en dessous de la phrase “Public key pasting into OpenSSH authorized_keys file:”

Normalement vous devez avoir un shell ouvert avec putty sur votre serveur: on doit y coller notre clef publique:
mkdir ~/.ssh
chmod 700 ~/.ssh
vi ~/.ssh/authorized_keys2

On colle notre clef précédement copiée de puttygen, on sauvegarde et on quitte puis
chmod 600 ~/.ssh/authorized_keys2

Testons maintenant ! On ouvre un autre putty et on load le profile pour notre serveur.
On va dans connection et on tape notre username dans le champ Auto-login username.
on va ensuite sur SSH et on choisi 2 dans preferred SSH protocol version.
puis dans SSH -> Auth on clic sur Browse et on indique le fichier de notre clef privée.
On reviens sur session et on sauvegarde nos changements.

On peut maintenant tester notre première connection SSH à l’aide de clefs !
On clic sur Open donc, et normalement le serveur nous demande notre passphrase puis nous identifie .

Si c’est le cas on peut alors désactiver l’authentification par mot de passe :
vi /etc/ssh/sshd_config
On change PasswordAuthentication no et UsePAM no puis on reload notre serveur ssh
/etc/init.d/sshd reload

Si vous obtenez un mesage du style
Trying public key authentication.
Key is of wrong type (PuTTY SSH2 private key)
C’est que vous essayez de vous connecter à un serveur ssh en utilisant le protocole SSH1. Vérifiez bien dans les options de votre profile putty pour ce serveur que vous avez coché “2″ ou “only 2″ dans preferred protocol version et ajoutez dans votre /etc/ssh/sshd_config
Protocol 2

Tout fonctionne ? ok mais il faut quand même taper la passphrase à chaque connection et si vous vous connectez plusieurs fois par jours ( voir par heure) cela peut devenir pénible. Heureusement Pageant est la pour nous identifier à chaque fois que c’est nécessaire ! On essaie ?

On double click sur Pageant, on click sur Add Key et on indique notre clef privée. On donne à Pageant notre passphrase et on click sur Close. Tant que Pageant tourne nous pouvons nous connecter à notre serveur sans avoir besoin de saisir la passphrase.

Simple et pratique non ?