Gestion des clefs SSH avec Rudder

Rudder est un outil que j’utilise depuis quelques années maintenant et qui évolue régulièrement. Voici un exemple de ce qu’il est possible de faire avec pour gérer ses clefs SSH.

Rudder, c’est quoi ?

Rudder est un outil de configuration continue et d’audit. Pour résumer, nous lui donnons des directives (règles, configurations, etc…) et il s’assurent qu’elles soient tout le temps appliquées de la façon dont nous les avons définies.

Gestion des clefs SSH :

Lorsque nous devons gérer un parc de machines Linux et que nous devons y autoriser nos clefs SSH, il est fastidieux d’établir une bonne gestion sans outils. Voici comment utiliser Rudder afin de déployer nos clefs SSH sur un groupe de machines.

Continuer la lecture de Gestion des clefs SSH avec Rudder

Virtualisation, récupérer de l’espace disque.

Pour faire suite à un précédent article sur l’optimisation des disques virtuels et après plusieurs mois d’utilisation, je vous conseil d’utiliser régulièrement la commande fstrim pour récupérer de l’espace disque physique sur vos hyperviseurs.

Voici un petit playbook ansible :

hosts: debian
 become: yes
 tasks:
       - name: list
         shell: fstrim -v /
         register: depot   - debug: var=depot.stdout_lines

la partie hosts est bien entendue à modifier pour coller à votre configuration.

Voici un exemple de retour de ce playbook exécuté avec la commande ansible-playbook fstrim.yml :

ssh sudo git … let’s go !

Comment utiliser Git sur une machine distante en SSH et via la commande sudo ?

Voici la problématique en détail pour mieux comprendre le principe.

Vous êtes sur votre ordinateur et vous vous connectez sur un serveur distant via SSH. Pas de problème votre clef est utilisée et vous êtes sur le shell. Maintenant vous devez utiliser la commande git dans un dossier qui n’est accessible que par le compte root et c’est là que le problème intervient. En utilisant la commande sudo, vous exécutez la commande en tant que root et non en tant que votre utilisateur … Voici la procédure à suivre pour faire le tout sans vous prendre la tête.

Connexion SSH

La connexion ssh à une machine avec une authentification par clef est très simple (la configuration du serveur n’est pas abordée ici). Vous aurez tout d’abord dû copier votre clef via la commande :

$ ssh-copy-id user@monserveur

Première chose à faire pour vous connecter à votre serveur est d’utiliser l’option -A de d’OpenSSH :

$ ssh -A user@monserveur

Elle permet d’emporter avec vous votre identité.

Commande sudo

Une fois sur votre machine distante, vous utilisez la commande sudo qui permet entre autre de réaliser des commandes qui nécessites d’être root.

Pour lui dire d’importer avec elle votre identité qui est nécessaire pour utiliser git, vous devez utiliser le paramètre -E comme ceci :

$ cd /etc/myrepo
$ sudo -E git pull

Conclusion

Pour résumer, vous vous connectez en ssh en emportant votre identité puis vous vous servez de la commande sudo pour jouer avec git tout en important également votre identité qui vous permet de vous connecter à vos repos git.

SSH -> SUDO -> GIT


Déploiement d’applications Windows via RemoteApp (Windows Server 2016)

Voici ce nouvel article sur le déploiement d’application via Microsoft RemoteApp actualisé pour la version Windows Server 2016 ! Nous allons aller de l’installation à la mise à disposition d’applications en passant par les différentes étapes de configurations.

Techniquement, nous allons tout installer sur un seul et même serveur virtualisé sous Proxmox.

Continuer la lecture de Déploiement d’applications Windows via RemoteApp (Windows Server 2016)

Utiliser PowerShell via SSH

Voici une solution permettant d’interagir avec un ordinateur sous Windows depuis un ordinateur sous Linux ou MacOS. La solution utilisée reste relativement simple à mettre en place et utilise des standards. Nous utiliserons Windows Server 2012R2 et un client Linux.

Installation côté Windows

PowerShell :

Récupérez la dernière version de PowerShell pour Windows ici : https://github.com/PowerShell/PowerShell Ici nous utiliserons la version 6.0.4 dans toute la suite de l’article. L’installeur Windows va placer les fichiers ici : C:\Program Files\PowerShell\6.0.4\

OpenSSH :

Récupérez la dernière version de PowerShell pour Windows ici : https://github.com/PowerShell/Win32-OpenSSH/releases/download/v7.7.2.0p1-Beta/OpenSSH-Win64.zip Pour l’installer, je vous recommande de dé-zippez son contenu à la racine du disque sur C:\. Ouvrez une invite de commande PowerShell en mode administrateur et effectuez les commandes suivantes :

PS: cd C:\OpenSSH-Win64\
PS: powershell.exe -ExecutionPolicy Bypass -File install-sshd.ps1
PS: cmd /c /D mklink c:\pwsh "C:\Program Files\PowerShell\6.0.4"

Il faut aller éditer le fichier de configuration sshd_config situé dans le dossier C:\ProgramData\ssh\ et assurez vous d’avoir les paramètres suivants :

PasswordAuthentication yes
Subsystem powershell c:\pwsh\pwsh.exe -sshs -NoLogo -NoProfile

Maintenant il suffit de lancer le service

PS: net ssh start

Path OpenSSH

Il est aussi indispensable de configurer la variable d’environnement « path » pour que les commandes SSH soient reconnues par le système. Pour cela, rendez-vous dans l’application « Modifier les variables d’environnement système ».

Sélectionnez ensuite « path » et cliquez sur « Modifier… ».

Rajoutez le texte suivant à la fin de la ligne (sans oublier le ; ) et validez.

;C:\OpenSSH-Win64\

Installation côté Linux

Pour la partie Linux, pas besoin de SSH il est normalement déjà installé sur votre machine d’administration. La méthode d’installation de PowerShell est la méthode universelle mais sachez que des paquets pour diverses distributions existes (Debian, Red-Hat).
Téléchargez la version stable en cours ici :

https://github.com/PowerShell/PowerShell/releases/tag/v6.0.4

Les commandes suivantes suffisent :

$ wget https://github.com/PowerShell/PowerShell/releases/download/v6.0.4/powershell-6.0.4-linux-x64.tar.gz
$ tar -xvzf powershell-6.0.4-linux-x64.tar.gz
$ cd powershell-6.0.4-linux-x64

Utilisation

Maintenant que tout est installé, voici comment accéder en ssh à votre serveur Windows et y exécuter des commandes via PowerShell. Cette partie reprend la documentation officielle de Microsoft.

Dans le dossier où se trouve PowerShell, lancez le script pwsh

./pwsh
PS /powershell-6.0.4-linux-x64>

Créez ensuite la connexion au serveur :

> $session = New-PSSession -HostName srv.example.com -UserName Administrateur

Vous allez devoir accepter le certificat la première fois et indiquer votre mot de passe. Vérifions que la sessions est bien là :

> $session

Si vous souhaitez vous connecter sur le Shell distant, voici la commande :

> Enter-PSSession $session

Et si vous souhaitez exécuter votre script « script.ps » situé à la racine du disque C sur la machine distante, voici ce qu’il faut faire :

> Invoke-Command $session -ScriptBlock { C:\script.ps1 }

Convertir vos tables MyISAM en InnoDB

Lors d’une mise à jour de GLPI, j’ai du migrer manuellement plus de 300 tables de MyISAM à InnoDB.

Voici un petit script rapide en PHP permettant de faire cette modification automatiquement :

<?php
try
{
            $bdd = new PDO('mysql:host=localhost;dbname=glpi;charset=utf8', 'glpi', 'glpipassword');
}

catch(Exception $e)
{
                die('Erreur : '.$e->getMessage());
}

$response = $bdd->query("SELECT TABLE_NAME FROM INFORMATION_SCHEMA.TABLES
WHERE TABLE_SCHEMA = 'glpi'
AND ENGINE = 'MyISAM'");

while($data = $response->fetch())
{
        $base = $data['TABLE_NAME'];
        $bdd->exec("ALTER TABLE $base ENGINE=INNODB");
}

$reponse->closeCursor();
?>

Remplacez les paramètres de connexion ainsi que le nom de la base dans la première requête et laissez tourner le script.

php script.php

Ce script est bien sur réversible en modifier les types de moteurs.

Proxmox 5 : Comment ré-activer le NAT ?

Depuis la version 5.1-52 de Proxmox VE, la possibilité de choisir une interface réseau de type NAT via l’interface web à disparu.

Voici le commit responsable : https://git.proxmox.com/?p=pve-manager.git;a=commit;h=fe8323a0b450c93c83c3c50cd386be2d839bd98f

L’équipe a décidé ce choix par rapport à une confusion de certains utilisateurs novices, et le fait que le NAT n’est fait que pour du test et jamais pour de la production. Dans les faits et dans mon utilisation, le NAT ne me sert qu’à la création de machines virtuelles et n’est plus utilisé ensuite.

Interface :

Avant :

Après :

Réglage du NAT :

Néanmoins, le mode NAT n’est absent que depuis cette interface web. Pour pouvoir le réactiver, il suffit de passer par la ligne de commande (CLI). Une fois votre machine virtuelle créée, éditez son fichier de configuration comme ceci :

vim /etc/pve/nodes/node1/qemu-server/105.conf

Dans cette exemple, node1 est à remplacer par le nom de votre node et 105 est ici l’id de votre machine virtuelle.

Une fois dans ce fichier, repérez la ligne concernant votre carte réseau et supprimer la partie ,bridge=vmbr1.

net0: virtio=52:54:00:10:22:a7,bridge=vmbr0,firewall=1

net0: virtio=52:54:00:10:22:a7,firewall=1

Vous pouvez redémarrer votre machine et le NAT sera actif.

 

Visite de DC4, un Data-Bunker.

Aujourd’hui, j’ai eu le privilège de pouvoir visiter DC4, un des data-center d’Online.net. Je tiens tout d’abord à remercier Arnaud, Guillaume et Imen pour cette visite.

DC4 à pour particularité d’avoir une partie de ses installations à 30 mètres sous terre dans un abri antiatomique. Une fois l’escalier descendu, nous sommes plongés dans un décors de métros parisiens avec les fameux carreaux blancs et les voutes. Même en étant sous terre, la sécurité y est fortement présente avec tout une série de solutions qui en font un lieu physiquement protégé.

Continuer la lecture de Visite de DC4, un Data-Bunker.

RDS-Shield – compagnon de votre RemoteApp

Le montage et la maintenance d’une infrastructure RemoteAPP n’est pas la chose la plus facile. J’ai déjà évoqué dans les articles précédents le montage complet d’un système RDS/RemoteAPP. Le logiciel RDS-Shield va vous permettre de gagner du temps et d’obtenir des fonctionnalités supplémentaires.

Informations pratiques :

RDS-Shield est disponible en français sur : http://rds-shield.fr/

et en anglais sur : http://rds-shield.com/

Le tarif est de 280 € par serveur et vous disposez d’une période d’essai d’1 mois.

Présentation :

A l’ouverture du logiciel, vous disposez d’un panneau d’accueil comprenant les 6 fonctionnalités proposées.

Continuer la lecture de RDS-Shield – compagnon de votre RemoteApp

Optimiser la taille des disques virtuels de Proxmox

Cet article vous explique comment réduire l’espace disque physique occupé par vos disques de stockage virtuels. Sous Proxmox, les disques durs virtuels sont dynamiques, c’est à dire que lorsque vous définissez un disque dur de 100 Go par exemple, en réalité, sur la machine hôte, il n’occupe que quelques Go une fois le système installé. Ce qui évite d’occuper directement les 100 Go et de perdre du temps à la création de celui-ci.

Problématique

Ce système fonctionne bien sauf qu’une fois que l’espace disque à été alloué, il restera occupé même une fois vidé.

Par exemple, nous ajoutons 50 Go de données à notre machine qui en contenait déjà 10, la taille physique du disque virtuel est donc montée à 60 Go. Si nous supprimons ensuite ces 50 Go, la taille physique ne change pas et n’est donc pas réduite. Il faut le voir comme un cliquet ( que l’on ne peux que monter ). Cet espace non utilisé ne pose pas de problème directement, peut vite ralentir les sauvegardes Proxmox en utilisant des dizaines voir centaines de Go qui ne sont plus utilisés réellement.

Solution

  • disque SCSI

Pour pouvoir réduire l’espace disque physique, il faut avoir au préalable configuré le disque dur en SCSI et avoir coché l’option Discard.

Ensuite, dans votre machine virtuelle, il suffit d’utiliser la commande fstrim (beaucoup plus connue maintenant avec l’utilisation des SSD).

Continuer la lecture de Optimiser la taille des disques virtuels de Proxmox