Archives de catégorie : Système

Gestion avec BIND et nssec.dedibox.fr de nom de domaine en .fr

Déclaration du nom de domaine sur nssec.dedibox.fr

Pour commencer, comme cela prend 24h pour que nssec.dedibox.fr se mette à jour, vous devez ajouter votre domaine en .fr dans l’interface dedibox le plus tôt possible.

Note du relecteur : L’installation initiale du domaine secondaire prends 24 heures environs (toutes les nuits à 2h45 du matin), ensuite les mises à jour sont effectuées dans le délais “refresh” indiqué dans la SOA du DNS primaire de votre nom de domaine.

Aprés avoir sélectionne votre serveur, dans l’onglet “Dns secondaire”.

A présent, cliquez sur Gestion DNS secondaire. Vérifiez que le serveur DNS primaire est bien celui qui doit gérer les DNS. Rajouter votre nom de domaine (sans http ni www).

Configuration de BIND

Le fichier de configuration général

Si vous utilisez un panel de gestion, commencez par installer le domaine avec le panel de gestion. Pour configurer BIND vous devez vous logger en root en ssh sur votre dedibox et éditer 2 fichiers.

Editez le fichier de configuration général de bind /etc/bind/named.conf. Placez-vous à la suite (ou sur la configuration faite par le panel) pour que la configuration de votre domaine ressemble à ceci (remplacer domaine.fr par votre domaine) :

zone "domaine.fr" {
       type master;
       notify yes;
       allow-transfer { 88.191.254.7; };
       file "/var/cache/bind/domaine.fr.db";
};

Comme vous l’avez surement remarqué le allow-transfer n’est pas configuré sur 88.191.254.71, l’ip de nssec.dedibox.fr, mais sur 88.191.254.7 car c’est ce serveur qui s’occupe de gerer les AXFR. Dans cet exemple le fichier de zone sera contenu dans /var/cache/bind/domaine.fr.db

Le fichier de zone

A présent il faut éditer le fichier pointé par le file. Dans cet exemple ce sera donc /var/cache/bind/domaine.fr.db Editer votre fichier pour qu’il ressemble à ceci :

$TTL 86400
@       IN      SOA     sd-xxxx.dedibox.fr. root.domaine.fr. (
                        2006081720
                        8H
                        2H
                        4W
                        1D )
        IN      NS      sd-xxxx.dedibox.fr.
        IN      NS      nssec.dedibox.fr.
        IN      MX      10 mail.domaine.fr.

domaine.fr.    A       88.191.xx.xx
ns             IN      A       88.191.xx.xx
mail           IN      A       88.191.xx.xx
www            CNAME   domaine.fr.
ftp            CNAME   domaine.fr.

Remplacer domaine.fr par votre propre nom de domaine. Remplacer sd-xxxx.dedibox.fr par le nom de votre dedibox. Remplacer 88.191.xx.xx par l’ip de votre dedibox. Faite bien attention de laisser les ”.” comme ils sont indiqués. Metter à jour le numero de serie.

A présent il vous reste à relancer BIND pour prendre en compte les modifications.

# /etc/init.d/bind9 reload

L’Afnic arg…

Avant de vous rendre sur le site de l’afnic pour tester votre domaine, pensez à créer un mail en postmaster (faite un catch-all) sur le domaine en .fr.

Après avoir attendu les 24h réglementaires, il vous reste l’étape si redoutée du passage du test zonecheck de l’afnic ici http://www.afnic.fr/outils/zonecheck/form

* Dans « zone » rentrer votre domaine sans www, ni http.
* Dans « primaire » rentrer le reverse (sd-xxxx.dedibox.fr) de votre dedibox et son IP.
* Dans « secondaire » rentrer nssec.dedibox.fr et 88.191.254.71 pour IP.

Si le test provoque des erreurs lisez les messages d’erreur générés par le zonecheck et corrigez les problèmes.

Sinon, si le test affiche SUCCES c’est que tout est bon, vous pouvez vous rendre chez votre registrar pour modifier vos serveurs de nom. Votre registrar enverra la demande à l’afnic qui procédera à la mise à jour du lundi au vendredi 9h-12h et 14h-17h…

Bref pour ce qui concerne la migration des DNS d’un nom de domaine en .fr, la meilleure des qualités c’est d’être patient. 😀

Merci à Mickael Moreira, Raphael Clerc, et achtungbaby pour leurs conseils.

Celui que j’avais écris pour le support ce trouve ici : http://documentation.dedibox.fr/doku.php?id=admin:dns

Des vieux articles sur documentation.dedibox.fr

Je viens de retrouver des vieux tuto que j’avais écris pour le support de dedibox.fr http://documentation.dedibox.fr/doku.php

Le premier traite de l’utilisation d’un firewall (iptables) pour un serveur dédié de façon très basique. Et le second sur la configuration de bind pour validé les ndd en .fr qui est plus rigoureuse que celles des .com/.net/.org.

Je vais un peu les rafraichir et les mettres sur le blog 😀

du -h –max-depth=N

Alors si il y a bien des commandes que j’oublie c’est bien celle la. Le bon du qui est une vrai merveille, peut s’avérer vite illisible sans les bonnes options.

Alors tout le monde connait le -h pour rendre le résultat lisible par un humain (les geek eux ils ont pas besoin).

Et le –max-depth=N permet de définir la profondeur d’exploration des dossier. Donc si on veut uniquement les dossier N-1 en lecture humaine. Cela donne :

du -h –max-depth=1

rpmdb: Lock table is out of available locker entries

L’erreur : rpmdb: Lock table is out of available locker entries

Quand le rpm accéde à sa BDD type Berkeley, il crée un « lock » temporaire lors de sa recherche de donnée. Si durant ce processus un crontol-c est fait, le processus est donc arreter, le lock n’est jamais relâché et cette erreur peut se produire.

Pour résoudre le problème :
On commence par faire le backup de /var/lib/rpm au cas ou on casse quelque chose :

# tar cvzf rpmdb-backup.tar.gz /var/lib/rpm

On supprime la base berkeley lié aux rpm:

# rm /var/lib/rpm/__db.00*

On recrée la bdd rpm (cela peut prendre un certain temps):

# rpm –rebuilddb

Enfin, on verifie que les rpm sont correct :

rpm -qa | sort

Serveur vpn PPTP sous debian en MS-CHAPv2

Ayant besoin d’un VPN en pptp pour un client qui ne supporte par openvpn, j’ai essayé et réussis d’installer une serveur pptp sur un de mes serveur dédié.
Donc pour tous ceux qui ont des dedibox, kimsufi et autre serveur ovh et qui veulent un serveur vpn plus simple à mettre en place que openvpn et moins sécurisé ce tuto est pour vous ! Dans cet exemple j’utilise le MS-CHAPv2 mais le CHAP ou le PAP sont aussi disponible.

Pour ceux qui préfère openvpn (moi) voici le liens pour mon tuto openvpn : http://www.artiflo.net/2008/05/ubuntu-openvpn/

J’ai réalisé l’installation sous debian etch mais cela devrait être le même concept pour les autres distribution.

Installation du serveur pptpd :

# apt-get install pptpd

Configuration du serveur :

# nano /etc/pptpd.conf

Il faut décommenter les 2 lignes localip et remonteip. Vous indiqué l’ip du votre serveur et ensuite la plage d’adresse d’ip locale que vous voulez attribué au pc qui se connecteront au VPN

localip IP.DE.VOTRE.SERVEUR
remoteip 192.168.0.234-238,192.168.0.245

A présent nous allons configurer la méthode d’authentification. Nous allons utiliser le MS-CHAPv2. Mais les autres protocole que ce soit pap ou chap sont aussi possible c’est a vous de le configurer.

# nano /etc/ppp/options

Il faut rajouter ces lignes a la fin du fichier :

refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
lock
nobsdcomp 

Maintenant il reste a créer les utilisateurs.

# nano /etc/ppp/chap-secrets

Cela se présente ainsi :

artiflo pptpd artiflopassword "*"

* est pour signifier que les utilisateurs peuvent se connecter de n’importe quel ip. Dans le cas contraire spécifié l’ip.

Et enfin, pour ce concerne le firewall il faut en premier que vous autoriser le port 1723 et le protocole GRE ainsi :

# iptables -A INPUT -p tcp –dport 1723 -j ACCEPT
# iptables -A INPUT -p gre -j ACCEPT

Et ensuite il faut configurer le routage en spécifiant que toutes les adresse locale que vous avez définis toutes a l’heure doivent être rediriger sur l’adresse de la carte eth0. Et en activant l’ip forwarding.

# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to IP.DE.VOTRE.SERVEUR

Redémarrer pptp et cela doit fonctionner 🙂

# /etc/init.d/pptpd restart

Je n’explique pas dans ce billet la configuration du client pour Windows XP ou Vista car c’est du clic-clic.

Migration de site de plesk à plesk

La migration doit être lancé à partir du serveur qui va recevoir le site.

1 / Aller dans server > gestionnaire de migration. « Puis lancer une nouvelle migration ».

Il faut bien cocher « migration » et rentrer les information du serveur qui héberge le site à migrer. Comme les transactions se font en ssh il faut que le serveur cible est son serveur ssh configurer avec le port 22.

On sélectionne le répertoire locale qui va recevoir temporairement les fichiers. Dans mon cas /var/temp.

Cliquez sur suivant.

2 / Dans la seconde étape. Aller dans « avancé » et sélectionné le template que vous voulez appliquer pour les nouveaux domaines.

Cliquez sur suivant.

3 / Sélectionner le ou les domaines que vous volez migrer. Et le ou les configuration client que vous voulez migrer dans « avancé ».

Cliquez sur suivant.

4 / Choisissez le compte client local a qui affecté le site qui va être transférer.

Cliquez sur suivant.

5 / Vérifier que les ip sélectionnés sont les bonnes.

Cliquez sur suivant.

6 / Etre patient durant la migration. Ne cliquez pas sur « annuler ».

7 / Le log s’affiche est indique comment la procédure c’est déroulé. Vous pouvez cliquer sur terminer et changer les dns en conséquence.

Centos 5 et backup-manager

J’ai récupéré le tuto écrit sur fedora-fr.org pour fédora mais à la sauce centos

On créer le fichier qui va contenir le script :

nano install-backup-manager.sh

#! /bin/sh

#*************************************************************************#
# installation de backup manager
# Script by TitaX
#*************************************************************************#

##########variables##########
#choix de la version de backup-manager a installer
#commenter la version que vous ne voulez pas
#############################
#version stable
#VERSION= »0.6.2″
#version dev (par defaut)
VERSION= »0.7.4″
#############################
WGET= »/usr/bin/wget »
TAR= »/bin/tar »
YUM= »/usr/bin/yum »
#recupere la version de perl si vous avez une meilleure technique je suis preneur
PERLV=$(perl -v | grep built | awk ‘{ print $4 }’ | sed ‘s/v//;’)

##########fin de variables##########

#########debut du script##########
# petit nettoyage d’ecran
clear

# seul root peux executer ce script
if test `id -u` != « 0 »; then
echo « il faut etre root pour executer ce script »
else

echo -e  » \E[32;40m\033[1m################################################\033[0m  »
echo  » debut de l’installation de backup-manager version $VERSION  »
echo  » merci de patienter … ceci peut prendre quelques minutes … »
echo -e  » \E[32;40m\033[1m################################################\033[0m  »

#telechargement de l’archive de backup-manager
echo -e  » \E[32;40m\033[1m################################################\033[0m  »
echo  » telechargement de backup-manager  »
echo -e  » \E[32;40m\033[1m################################################\033[0m  »
$WGET http://www.backup-manager.org/download/backup-manager-$VERSION.tar.gz

#decompression de backup-manager
$TAR xvfz backup-manager-$VERSION.tar.gz

#changement de repertoire
cd backup-manager-$VERSION

#installation de backup-manager
echo -e  » \E[32;40m\033[1m################################################\033[0m  »
echo « installation de backup-manager »
echo -e  » \E[32;40m\033[1m################################################\033[0m  »
make install

#création du fichier de conf
echo -e  » \E[32;40m\033[1m################################################\033[0m  »
echo « creation du fichier de configuration »
echo -e  » \E[32;40m\033[1m################################################\033[0m  »
cp /usr/share/backup-manager/backup-manager.conf.tpl /etc/backup-manager.conf

#installation des dépendances
echo -e  » \E[32;40m\033[1m################################################\033[0m  »
echo « installation des depedances requises »
echo -e  » \E[32;40m\033[1m################################################\033[0m  »
$YUM -y install perl gettext

#installation des librairies perl
echo -e  » \E[32;40m\033[1m################################################\033[0m  »
echo « installation des librairies perl requises »
echo -e  » \E[32;40m\033[1m################################################\033[0m  »
cp -r BackupManager/ /usr/lib/perl5/site_perl/$PERLV/i386-linux-thread-multi

##fin de l’installation ##
echo «  »
echo -e  » \E[31;40m\033[1m################################################\033[0m  »
echo  » l’installation de backup-manager version $VERSION est terminee »
echo  » n’oubliez pas d’editer le fichier /etc/backup-manager.conf pour configurer vos sauvegardes »
echo -e  » \E[31;40m\033[1m################################################\033[0m  »
fi
#########fin du script##########

Suffit maintenant de rendre le script exécutable grâce à la commande :

chmod +x install-backup-manager.sh

Et enfin vous pouvez l’exécuter en root :

sh install-backup-manager.sh

L’ensemble de la configuration de Backup-Manager se fait via le fichier /etc/backup-manager.conf

Nous allons procéder à la configuration d’une sauvegarde incrémentielle (seul ce qui a été modifié sera sauvegardé) des répertoires /home /root /etc et /var à l’exclusion du sous-répertoire /var/archives qui va contenir nos sauvegardes. La période de rétention sera de 5 jours et les sauvegardes envoyées sur un serveur via le protocole FTP.

Cet exemple de configuration pourra être aisément adapté à vos besoins. Je rappelle que cela est fait à titre d’exemple vous pouvez personnaliser cela rapidement en éditant le fichier /etc/backup-manager.conf, je ne m’intéresserais qu’aux lignes importante de ce fichier.

Modifions donc notre fichier /etc/backup-manager.conf pour arriver à notre politique de sauvegarde :

Notez ici le chemin où seront stockées vos sauvegardes :

export BM_REPOSITORY_ROOT= »/var/archives »

Précisez le nombre de jours de rétention de vos sauvegardes :

export BM_ARCHIVE_TTL= »5″

Le nom de la machine sera aussi le nom de vos fichiers de sauvegarde :

export BM_ARCHIVE_PREFIX= »$HOSTNAME-« 

On va sélectionner une sauvegarde incrémentielle (enregistre que ce qui n’a été modifié depuis la dernière sauvegarde).

export BM_ARCHIVE_METHOD= »tarball-incremental »

Si jamais vous avez une base de données Mysql à sauvegarder il vous suffit de modifier la ligne comme suit :

export BM_ARCHIVE_METHOD= »tarball-incremental mysql »

Modifions le nom du fichier d’archive pour le rendre plus court et plus lisible :

export BM_TARBALL_NAMEFORMAT= »short »

Importante sur cette variable est sur « true » Backup-Manager peut ne pas marcher (vu sur le Bugzilla) :

export BM_TARBALL_OVER_SSH= »false »

On sélectionne les dossiers à sauvegarder :

BM_TARBALL_TARGETS[0]= »/etc »
BM_TARBALL_TARGETS[1]= »/root »
BM_TARBALL_TARGETS[2]= »/var »
BM_TARBALL_TARGETS[3]= »/home »

On exclue des répertoires de la sauvegarde

export BM_TARBALL_BLACKLIST= »/dev /sys /proc /tmp /var/archives »

Les sauvegardes sont maintenant configurées ( n’oubliez pas d’éditer aussi la partie mysql si vous voulez sauvegarder vos bases de données ).

Continuons la configuration avec l’upload de nos sauvegardes sur un serveur ftp On continue donc l’édition du fichier /etc/backup-manager.conf :

On choisit notre methode d’export, pour nous ftp mais scp ou encore ssh sont aussi disponible :

export BM_UPLOAD_METHOD= »ftp »

On indique l’adresse du serveur ftp :

export BM_UPLOAD_HOSTS= »ftp.exemple.fr »

On oublie pas de préciser le chemin ou seront stockées les sauvegardes sur le serveur ftp :

export BM_UPLOAD_DESTINATION= »/backup/archives »

On indique l’utilisateur pour la connexion au serveur ftp :

export BM_UPLOAD_FTP_USER= »thierry »

Notons ici le mot de passe pour la connexion au serveur ftp :

export BM_UPLOAD_FTP_PASSWORD= »p@ssw0rd »

on indique ici que l’on souhaite purger le fichier distant, cette fonction peut aussi être désactivée en notant « false » :

export BM_UPLOAD_FTP_PURGE= »true »