Geek or not

Fermeture automatique des processus inutilises VNC de xen guest

b3nj — 2008-01-31T19:37:03Z

Le pourquoi

J'ai remarqué que sur les machines de virtualisation à base de xen (que l'on nommera xen host par la suite), dans le cas précis où les xen guests fonctionnent en HVM et nécessitent donc un processus VNC pour pouvoir accès à la console, et que les xen guests sont démarrés/redémarrés, il arrive que les processus en attente de connection VNC en relation avec le xen guest précédemment redémarré restent actifs même s'il n'existe plus.

Le comment

Voici donc le script qui va : * lister les xen guests effectivement en fonctionnement * lister les processus VNC en fonctionnement * tuer les processus qui ne sont pas dans l'intersection logique des deux listes


 #!/bin/env bash
 active_xen_domUs=$(xm list | awk '{print "-"$2"-"}' | grep -v ID | tr '\n' '|')
 active_xen_domUs="(${active_xen_domUs%'|'})"
 tokill=$(ps faux | grep -v grep | grep xen-vncfb | awk '{print $2 "-"$16"-"}')
 echo "Process to kill :"
 for i in $tokill; do
 echo $i | egrep -v $active_xen_domUs | cut -d "-" -f 1 | xargs kill -9
 done

C'est un peu barbare, mais ça fonctionne bien. Vous pouvez enregistrer ce script dans /usr/local/sbin/ et créer un job cron s'exécutant à votre guise.


		Le script n'est pas parfait, mais a le merite d'exister et n'utilise que tres peu de ressources.



Apache et SuExec, execution de php en tant que script CGI
b3nj — 2007-12-29T21:40:08Z
L'interet de la mise en place d'une telle solution est de changer les droits avec lesquels le serveur apache fonctionne avec les droits d'utilisateurs differents et plus restreints.
		Execution de scripts CGI avec SuEXEC
Qu'est-ce que SuExec ?
 SuExec est la fonctionnalité apache permettant d'executer les processus fils avec d'autres droits d'utilisateur/de groupe.
 Comment savoir si mon installation apache dispose du mécanisme SuExec ?
 Par défaut, sous gentoo, du tant que vous n'avez pas compilé apache avec le use flag no-suexec, cette fonctionnalité est disponible.
Il est important de spécifier dans le fichier de configuration de démarrage d'apache /etc/conf.d/apache2 l'option -D SUEXEC ce qui peut être par exemple : APACHE2_OPTS="-D DEFAULT_VHOST -D INFO -D LANGUAGE -D MANUAL -D SUEXEC -D PHP5".
 Pour vérifier si le mécanisme est actif lors du démarrage d'apache, vous trouverez dans le fichier /var/log/apache2/error.log quelque chose de similaire à suEXEC mechanism enabled (wrapper: /usr/sbin/suexec).
 Spécifier les droits corrects sur le logiciel établissant le mécanisme
 Il est important de changer les droits sur le wrapper suexec :

 chown root:apache /usr/bin/suexec
 chmod 4750 /usr/bin/suexec


Mise en place du mécanisme SuExec pour un vhost
 Commençons par créer un groupe auxquels appartiendront tous les utilisateurs suexec et également un utilisateur avec les droits restreints :

 groupadd webusers
 useradd -c "Suexec user 1" -g webusers -s /sbin/nologin webuser1
Pour changer l'utilisateur utilisé pour faire fonctionner les scripts cgi, il faut spécifier dans la configuration du vhost la directive SuexecUserGroup [1] suivie du nom d'utilisateur et du nom du groupe à utiliser.
 Vous obtiendrez une configuration pour votre vhost similaire à ceci :
 
 <VirtualHost *:80>
 ServerName domain.tld
 ServerAlias *.domain.tld
 DocumentRoot /var/www/geekz.fr/htdocs/
 ErrorLog /var/www/domain.tld/logs/error.log
 CustomLog /var/www/domain.tld/logs/access.log combined
 SuexecUserGroup webuser1 webusers
 <Directory "/var/www/domain.tld/htdocs">
 AllowOverride All
 Order deny,allow
 Allow from all
 Options FollowSymLinks
 </Directory>
 <IfModule alias_module>
 ScriptAlias /cgi-bin/ /var/www/domain.tld/cgi-bin/
 </IfModule>
 <Directory "/var/www/domain.tld/cgi-bin">
 AllowOverride None
 Order deny,allow
 Allow from all
 Options +ExecCGI
 </Directory>
 </VirtualHost>


Il est bien sur nécessaire de modifier les droits des propriétaires des fichiers dans le répertoire cgi-bin :
 chown -R webuser1:webusers /var/www/domain.tld/cgi-bin
 Relancez apache (après avoir validé la configuration ;)) et hop, vos scripts cgi fonctionnent avec des droits différents.
 Voici un exemple de ce que l'on peut voir niveau processus lors de l'execution d'un script cgi :
 root 2082 0.0 4.5 185748 11564 ? Ss 20:49 0:00 /usr/sbin/apache2 -D DEFAULT_VHOST -D INFO -D LANGUAGE -D MANUAL -D SUEX
 apache 2945 0.0 2.5 185748 6436 ? S 21:01 0:00 \_ /usr/sbin/apache2 -D DEFAULT_VHOST -D INFO -D LANGUAGE -D MANUAL -D
 1003 4048 4.0 0.5 17580 1416 ? S 21:39 0:00 | \_ bash dig-short.cgi google.com,TXT,80.92.65.30
 1003 4061 0.0 0.2 17580 536 ? S 21:39 0:00 | \_ bash dig-short.cgi google.com,TXT,80.92.65.30
 1003 4062 0.0 0.7 13108 1888 ? S 21:39 0:00 | \_ /usr/bin/dig +time=2 +short TXT google.com @80.92.65.30
 1003 4063 0.0 0.2 3828 552 ? S 21:39 0:00 | \_ /bin/sed s/$/<br \/>/g


Nous voyons bien que le script cgi fonctionne avec l'uid 1003.
 
Configuration d'apache pour faire interpréter les scripts php en tant que script cgi
Faisant suite à la première partie de cet article, il faire fonctionner l'interpréteur php en mode cgi nous permet d'appliquer une certaine restriction de droits à un vhost.
 Mise en place
 Pour ce faire, il vous suffit d'avoir un php compilé avec l'option cgi (use flag cgi sous gentoo) et vous disposerez du binaire php-cgi dans /usr/bin. Il est nécessaire pour ce setup de copier /usr/bin/php-cgi dans le répertoire cgi-bin [2] :
 cp /usr/bin/php-cgi /var/www/domain.tld/cgi-bin/
 chown -R webuser1:webuser /var/www/domain.tld/cgi-bin/


Puis il faut maintenant créer un handler personnalisé pour les fichiers ayant l'extension php avec la directive AddHandler [3] :
 AddHandler suexec-script .php
 Il suffit maintenant de spécifier quel doit être le programme est relatif au handler créé précédemment avec la directive Action [4] :
 Action suexec-script /cgi-bin/php-cgi
 Il va sans dire qu'il faut modifier le propriétaire des fichiers .php pour qu'il n'y ait pas d'erreurs.
 Considérations
  Il est interressant de noter que l'utilisation de php en mode cgi est probablement plus lent que l'utilisation standard car chaque appel de page charge l'interpréteur php. Cette différence est certes minimes mais peut être notable dans certains cas.
 J'ai constaté certains problèmes à l'utilisation de cgi dans certains cas. En effet, sur mon projet dotnul.com, j'utilise une fonctionnalité de mod_rewrite qui permet de définir des variables d'environnement avec une rule. Hors il n'y a pas de communication des variables car elles sont créés avec les droits apache:apache et l'interpréteur php, fonctionnant avec des droits différents. Il est aussi possible que la définition de CGI 1.1 [5] indique que ce genre de variables n'existent pas.
		
		[1] http://httpd.apache.org/docs/2.2/mod/mod_suexec.html#suexecusergroup
 [2] En fait, à chaque upgrade/recompilation de php, il faudra le refaire
 [3] http://httpd.apache.org/docs/2.2/mod/mod_mime.html#addhandler
 [4] http://httpd.apache.org/docs/2.2/mod/mod_actions.html#action
 [5] http://hoohoo.ncsa.uiuc.edu/cgi/env.html
		Cette configuration vous permet de securiser quelque peu votre serveur web. C'est un bon complement de mon article sur les vhosts.


Hello World en C en utilisant ncurses
b3nj — 2007-12-29T12:54:57Z
Testé sous linux gentoo avec GCC version gcc 4.2.2 (Gentoo 4.2.2 p1.0) POSIX.
 Source
 A mettre dans test.c

 #include <ncurses.h>
 #include <string.h>
 
 int main()
 {
 int row,col,i=0;
 char part1[]="# # ####### # # ####### # # ####### ###### # ###### #";
 char part2[]="# # # # # # # # # # # # # # # # # #";
 char part3[]="# # # # # # # # # # # # # # # # # #";
 char part4[]="####### ##### # # # # # # # # # ###### # # # #";
 char part5[]="# # # # # # # # # # # # # # # # # #";
 char part6[]="# # # # # # # # # # # # # # # # # ";
 char part7[]="# # ####### ####### ####### ####### ## ## ####### # # ####### ###### #";
 initscr();
 getmaxyx(stdscr,row,col);
 if(col<strlen(part1))
 {
 mvprintw(1,1,"Sorry, your screen is way to small to fit the requirements of this super program");
 refresh();
 getch();
 }else {
 int millieu=(col-strlen(part1))/2;
 while(i<row/2)
 {
 clear();
 mvprintw(i-7, millieu, "%s", part1);
 mvprintw(i-6, millieu, "%s", part2);
 mvprintw(i-5, millieu, "%s", part3);
 mvprintw(i-4, millieu, "%s", part4);
 mvprintw(i-3, millieu, "%s", part5);
 mvprintw(i-2, millieu, "%s", part6);
 mvprintw(i-1, millieu, "%s", part7);
 sleep(1);
 refresh();
 i+=1;
 }
 refresh();
 getch();
 }
 endwin();
 return 0;
 }


Compilation
 cc -lncurses -o test test.c
 Utilisation
 legeek@anubis /home/geek $ ./test


Hello World en C
b3nj — 2007-11-30T18:24:41Z
Testé sous linux gentoo avec GCC version gcc 4.2.2 (Gentoo 4.2.2 p1.0) POSIX.
 Source

 ## source a mettre dans pleup.c
 #include <stdio.h>
 
 int main(int argc, char* argv)
 {
 printf("Hello World !\n");
 return 0;
 }


Compilation
 legeek@anubis /home/geek $ g++ -o pleup pleup.c
 Utilisation
 
 legeek@anubis /home/geek $ ./pleup
 Hello World !




Gentoo portage Elog mysql wrapper
b3nj — 2007-11-25T00:52:43Z
L'idée
Portage permet de logger les paquets emergés ainsi que les logs relatifs au merge.
 Les différentes façons que portage propose pour gérer les logs sont les suivantes :
  echo : affiche les messages quand le merge du paquet est terminé
 save : sauvegarde le contenu du log relatif au merge dans une fichier situé dans $PORT_LOGDIR
 syslog : envoie les informations dans le syslog
 mail : envoie les informations par email pour chaque paquet
 save_summary : même chose que save, mais sauvegarde tous les logs dans un fichier unique, $PORT_LOGDIR/elog/summary.log
 mail_summary : même chose que mail, mais envoie un email avec le résumé des merges faits dans la session.
 custom : lance un programme défini par l'utilisateur et sauvegarde les logs du merge dans $PORT_LOGDIR
Le fait est que je souhaite monitorer mon serveur a partir d'une interface web et que si les données sont présentes dans une table d'une base de données, cela m'arrangerait plus.
 C'est donc pourquoi j'ai entrepris de créer un petit wrapper qui me permet de logger les informations de portage dans la base de données.
 Le truc
Configuration de portage
 La configuration de portage pour ELOG est simple, il suffit d'ajouter les lignes suivantes dans votre fichier /etc/make.conf :
 
 PORTAGE_ELOG_CLASSES="warn error log info"
 PORTAGE_ELOG_SYSTEM="custom"
 PORTAGE_ELOG_COMMAND="/usr/local/sbin/elogmysql '\${PACKAGE}' '\${LOGFILE}'"


Création d'une base de données
 Maintenant créons une base de données et un utilisateur juste pour cette petite application :
 
 CREATE DATABASE portagelog;
 GRANT INSERT,UPDATE,SELECT,CREATE on portagelog.* TO 'portagelog'@'localhost' identified by 'plop plop';
 flush privileges;


Vous pouvez bien entendu modifier le systeme a partir duquel le script peut se connecter pour centraliser plusieurs logs.
 Création du script
 Voici donc le petit script :
 
 #!/bin/bash
 #
 # MYSQL portage elog wrapper
 # KRAFT Benjamin <benjamin@wearegeeks.info>
 # http://www.wearegeeks.info
 #
 # Last updated : Sat Nov 24 19:22:33 CET 2007
 #
 ################################################
 MYSQL=/usr/bin/mysql
 ELOGDBNAME=portagelog
 ELOGUSERNAME=portagelog
 ELOGPASS="plop plop"
 CURRENT=$(date +"%Y%m")
 
 if [ -z $1 ];
 then
 echo "usage : elogmysl package logfile"
 exit 0;
 fi
 
 if [ -z $2 ];
 then
 echo "usage : elogmysl package logfile"
 exit 0;
 fi
 
 $MYSQL --database=$ELOGDBNAME --user="$ELOGUSERNAME" --password="$ELOGPASS" << EOF
 CREATE TABLE IF NOT EXISTS \`$CURRENT\` (id int auto_increment, edate varchar(35), package varchar(100), logfile varchar(200), PRIMARY KEY (id));
 INSERT INTO \`$CURRENT\` VALUES(NULL, '$(date)', '$1', '$2');
 EOF
 
 # END


Lorsque le script est lancé, il va créer une table ayant pour nom YYYYMM [1] si elle n'exite pas déjà.
 N'oubliez pas de changer les droits du script pour le rendre executable comme par exemple chmod 750 /usr/local/sbin/elogmysql et changer le propriétaire du script pour que les membres du groupe portage puissent l'executer également : chown root:portage /usr/local/sbin/elogmysql
 Voici un exemple de ce que vous pourrez trouver dans la base de données :

 mysql> select * from `200711`;
 | id | edate | package | logfile |
 | 1 | Sat Nov 24 23:48:20 CET 2007 | sys-apps/iproute2-2.6.22.20070710 | /var/log/portage/elog/sys-apps:iproute2-2.6.22.20070710:20071124-224820.log |
 1 row in set (0.00 sec)


		
		[1] où YYYY est l'année sur 4 chiffres et MM est le mois sur 2 chiffres
		Je ferais éventuellement un article sur chaque mode disponible par ELOG, mais pas immédiatement.


Installation et configuration de pure-ftpd
b3nj — 2007-10-15T17:11:49Z

Avant-propos
L'article s'appuie sur le package net-ftp/pure-ftpd-1.0.21-r1 sur gentoo, comme d'habitude.
 Aucune connaissance spécifique n'est requise.
 1. Démarrage et configuration rapide
1.1 Installation
 Les use flags à utiliser pour une utilisation standard sont les suivants : mysql pam postgres ssl pour activer le support :
  mysql : permettre la gestion des utilisateurs dans une base de données mysql
 pam : permettre l'authentification standard linux
 postgresql : permettre la gestion des utilisateurs dans une base de données postgresql
 ssl : permettre les connections ssl au serveur
1.2 Configuration standalone
 Voici une méthode pour faire fonctionner le serveur ftp en mode "standalone", c'est à dire, sans utiliser autre chose que le fichier de configuration standard.
 Le fichier de configuration est /etc/conf.d/pure-ftpd, éditons le pour le configurer.
  Décommentez la ligne #IS_CONFIGURED="yes"
 Spécifiez si le serveur doit [1] : Ecouter sur toutes les interfaces réseau SERVER="-S 21"
 Ecouter sur une adresse ip spécifique SERVER="-S 192.168.100.101,21"
 Ecouter sur un hostname spécifique SERVER="-S www2.wearegeeks.info,21"
 Spécifiez le nombre maximal de connections simultanées MAX_CONN="-c 30"
 Spécifiez le nombre maximal de connections simultanées par adresse IP MAX_CONN_IP="-C 10"
 Spécifiez au serveur de démarrer en arrière plan DAEMON="-B"
 Spécifiez en chiffre le pourcentage maximal d'utilisation du disque dur ou se trouve le répertoire de connection de l'utilisateur au dessus duquel le serveur FTP n'accepte plus l'upload. DISK_FULL="-k 90%"
 Spécifiez si votre machine est derrière un routeur ou est directement sur internet USE_NAT="-N"
 Spécifiez comment l'authentification des utilisateurs est réalisée. Dans cette partie du howto, c'est avec l'authentification unix standard AUTH="-l unix"
 Spécifiez le temps en minutes après lequel, si aucune activité n'est détectée, les connections actives sont déconnectées TIMEOUT="-I 5"
 Pureftpd a par défaut quelques options qu'il convient de laisser MISC_OTHER="-A -x -j -R -Z" -A signifie que le processus lié à chaque connection fonctionne avec les droits de l'utilisateur se connectant. Par exemple root 7704 0.0 0.0 5604 968 ? Ss 22:14 0:00 pure-ftpd (SERVER)
 legeek 7718 0.2 0.0 6076 1544 ? S 22:16 0:00 \_ pure-ftpd (DOWNLOAD)
 -x signifie que les utilisateurs authentifiés peuvent écrire/lire les fichiers commençant par un ".". Les utilisateurs non authentifiés peuvent les lire, mais pas les écrire/créér, même s'ils ont les bons droits
 -j si le répertoire de base de l'utilisateur n'existe pas, le créer automatiquement
 -R ne pas autoriser l'utilisation de la commande chown (changement de propriétaire)
 -Z idem que -R
1.3 Et maintenant ?
 Et bien si vous démarrez le serveur, tous les utilisateurs avec un compte utilisateur pourront se connecter.
 Par exemple si vous créez un utilisateur de test anubis ~ # useradd -c "test user" -d /home/testuser -m -s /bin/bash testuser, que vous définissez un mot de passe anubis ~ # passwd testuser.
 Et donc, voici un test de connection :

 legeek@anubis /home/geek $ ftp localhost
 Trying 127.0.0.1...
 Connected to localhost (127.0.0.1).
 220- Welcome to Pure-FTPd [privsep] [TLS] -
 220-You are user number 1 of 30 allowed.
 220-Local time is now 11:43. Server port: 21.
 220-IPv6 connections are also welcome on this server.
 220 You will be disconnected after 15 minutes of inactivity.
 Name (localhost:legeek): testuser
 500 This security scheme is not implemented
 SSL not available
 331 User testuser OK. Password required
 Password:
 230-User testuser has group access to: testuser
 230 OK. Current restricted directory is /
 Remote system type is UNIX.
 Using binary mode to transfer files.
 ftp>


Le désavantage de ce mode de fonctionnement, c'est que les utilisateurs ayant un accès FTP ont donc forcément un accès SSH à la machine. Cette solution n'est pas viable dans un environnement de production sérieux. C'est donc pour cela qu'il est préférable d'utiliser un autre mode d'authentification des utilisateurs en les plaçant dans une base de données mysql ou postgresql, ou dans un fichier différent spécifique.
 
2. Utilisateurs Virtuels avec PureDB
2.1. Opérations standard
 L'avantage des utilisateurs virtuels par rapport aux utilisateurs unix de la configuration précédente, c'est que l'on peut configurer par utilisateur les options suivantes :
  Limite de vitesse de download
 Limite de vitesse d'upload
 Nombre maximal de fichiers
 Taille maximale
 Ratio d'upload
 Ratio de download
 Autorisation/refus de connection à partir de tel ou tel hôte
 Nombre maximal de connections simultanées
 Définir une plage horaire
Pour que ce mécanisme d'authentification fonctionne, le système à besoin de deux fichiers, un fichier password plain/text que vous pourrez éditer à la main, et un fichier de database utilisée par le serveur.
 Dans notre cas, nous allons utiliser un fichier /etc/pureftpd.passwd qui sera le fichier plain/text et un fichier /etc/pureftpd.pdb qui sera le fichier utilisé par le serveur pour gérer les utilisateurs.
 Pour commencer, créons un utilisateur et un groupe système. Tous les utilisateurs virtuels utiliseront les droits de ce compte vis à vis du système.
 groupadd ftpgroup
 useradd -g ftpgroup -d /dev/null -s /etc ftpuser


Pour créer/supprimer ou modifier un utilisateur avec ce mécanisme d'authentification, pure-ftpd inclut un programme pure-pw donc voici, à titre d'information, la syntaxe :
 
 pure-pw useradd <login> [-f <passwd file>] -u <uid> [-g <gid>]
 -D/-d <home directory> [-c <gecos>]
 [-t <download bandwidth>] [-T <upload bandwidth>]
 [-n <max number of files>] [-N <max Mbytes>]
 [-q <upload ratio>] [-Q <download ratio>]
 [-r <allow client ip>/<mask>] [-R <deny client ip>/<mask>]
 [-i <allow local ip>/<mask>] [-I <deny local ip>/<mask>]
 [-y <max number of concurrent sessions>]
 [-z <hhmm>-<hhmm>] [-m]


Créons maintenant un compte utilisateur virtuel pureftpd ayant pour nom kiki et comme home directory /var/ftpusers/kiki/, et fonctionnant sous les droits de l'utilisateur système créé plus tôt.
 pure-pw useradd kiki -u ftpuser -d /var/ftpusers/kiki
 Notes :
  Le mot de passe pour l'utilisateur vous sera demandé deux fois de suite à l'appel du programme useradd
 Si le serveur pure-ftpd fonctionne avec l'option -j, vous n'avez pas besoin de créer le répertoire utilisateur
 Si vous souhaitez que l'utilisateur kiki soit limité uniquement au home directory spécifié, utilisez -d, sinon, pour un accès au système de fichiers entier, utilisez -D.
Si nous regardons le contenu du fichier /etc/pureftpd.passwd, nous voyons que l'utilisateur est ajouté dans le fichier :
 anubis ~ # cat /etc/pureftpd.passwd
 kiki:$1$tFm2t7G0$SbO/NPe7z8CbpqVU.T6.10:1002:2713::/var/ftpusers/kiki/./::::::::::::
Pour faire une modification du compte utilisateur virtuel, utilisez la commande pure-pw usermod dont voici la syntaxe :
 
 pure-pw usermod <login> -f <passwd file> -u <uid> [-g <gid>]
 -D/-d <home directory> -[c <gecos>]
 [-t <download bandwidth>] [-T <upload bandwidth>]
 [-n <max number of files>] [-N <max Mbytes>]
 [-q <upload ratio>] [-Q <download ratio>]
 [-r <allow client ip>/<mask>] [-R <deny client ip>/<mask>]
 [-i <allow local ip>/<mask>] [-I <deny local ip>/<mask>]
 [-y <max number of concurrent sessions>]
 [-z <hhmm>-<hhmm>] [-m]


Informations utiles pour désactiver :
  les quotas de nombre de fichiers, utilisez pure-pw usermod <user> -n ''
 les quotas de taille totale, utilisez pure-pw usermod <user> -N ''
 les ratios, utilisez pure-pw usermod <user> -q " -Q "
 -* les limites de vitesse de téléchargement, utilisez <code>pure-pw usermod <user> -t ''
 les limites de vitesse d'upload, utilisez pure-pw usermod <user> -T ''
 les filtrages d'IP, utilisez pure-pw usermod <user> <-i, -l, -r ou -R>
 les limites d'horaires, utilisez pure-pw usermod <user> -z ''
 le nombre de sessions concurrentes, utilisez pure-pw usermod <user> -y
Pour supprimer un utilisateur :
 pure-pw userdel <login> [-f <passwd file>] [-m]
 Pour modifier le mot de passe d'un utilisateur :
 pure-pw passwd <login> [-f <passwd file>] [-m]
 2.2. Application des changements
 Vous pouvez ajouter, modifier et supprimer les utilisateurs avec les commandes précédentes ou en modifiant le fichier /etc/pureftpd.passwd à la main, le fait est que le serveur FTP ne prendra pas les modifications en compte tant que vous ne les appliquez pas.
 Appliquer les modifications signifie qu'un nouveau fichier est créé à partir du fichier /etc/pureftpd.passwd [2]. Ce nouveau fichier est un fichier PureDB. Il contient exactement la même information que l'autre fichier. Mais dans ce fichier, les comptes sont triés et indexés pour un accès rapide, même avec des milliers de comptes. Les fichiers PureDB sont binaires, n'essayez donc pas de les éditer ou de les voir ou votre terminal ne cessera pas de beeper.
 Créons maintenant un fichier PureDB à partir du fichier /etc/pureftpd.passwd. Le fichier indexé sera appelé /etc/pureftpd.pdb (comme toujours, choisissez le nom que vous souhaitez pour le fichier).
 La commande pour créer le fichier en question est pure-pw mkdb, ceci lit le contenu de /etc/pureftpd.passwd et crée le fichier /etc/pureftpd.passwd par défaut, mais pour lire un autre fichier, ajoutez le fichier pdb, optionnellement suivi par -f <fichier mot de passe>.
 Toutes les modifications que vous avez fait sur la base de données des utilisateurs virtuels seront commitées automatiquement, tous les nouveaux comptes seront activées au même moment et tous les utilisateurs supprimés ne seront plus capables de se connecter dès l'instant où vous avez appuyé sur la touche entrée.
 Il n'est pas nécessaire de redémarrer le serveur pour que les modifications soient appliquées.
 Vous pouvez également changer quelque chose dans le fichier texte de mots de passe (ajouter un utilisateur, changer un mot de passe, supprimer un utilisateur, etc) et exécuter automatiquement la commande d'application des modifications automatiquement. Pour faire ainsi, utilisez l'option -m. Ainsi la commande pure-pw useradd kiki2 -u ftpuser -d /var/ftpusers/kiki2 -m ajoute l'utilisateur kiki2 et applique la modification directement dans le fichier PureDB.
 2.3 Activer ce mode d'authentification
 Bien sur, pour utiliser ce mode d'authentification, vous devez activer ce mode d'authentification dans le serveur FTP lui même. Au moment de la compilation, c'est faisable en spécifiant l'option --with-puredb à ./configure.
 Puis, modifiez le paramètre AUTH dans le fichier /etc/conf.d/pure-ftpd de la façon suivante :
 AUTH="-l puredb:/etc/pureftpd.pdb"
 Redémarrez le service FTP et la modification sera active.
 Nous pouvons donc nous connecter avec l'utilisateur kiki créé dès le départ :
 
 legeek@anubis /home/geek $ ftp localhost
 Trying 127.0.0.1...
 Connected to localhost (127.0.0.1).
 220- Welcome to Pure-FTPd [privsep] [TLS] -
 220-You are user number 1 of 30 allowed.
 220-Local time is now 22:04. Server port: 21.
 220-IPv6 connections are also welcome on this server.
 220 You will be disconnected after 15 minutes of inactivity.
 Name (localhost:legeek): kiki
 500 This security scheme is not implemented
 SSL not available
 331 User kiki OK. Password required
 Password:
 230-User kiki has group access to: 2713
 230 OK. Current directory is /
 Remote system type is UNIX.
 Using binary mode to transfer files.
2.4. Convertir les utilisateurs Unix en utilisateurs PureDB
 Pour convertir les utilisateurs Unix existants en utilisateurs dans le fichier de mots de passe pureftpd, utilisez la commande pure-pwconvert qui produira en sortie les utilisateurs ayant accès à la machine.
 Voici ce que cela donne chez moi :

 anubis src # pure-pwconvert --help
 legeek:$1$e/uZRTKl$.AqDP2cW07kMMv4YTIvre1:1000:1000:Ze Geek:/home/geek//./
 testuser:$1$..YTDhdu$EvKgjVIT/QoKq/MEbXTCi1:1001:2712:test user:/home/testuser/./


Il suffit d'éditer le fichier /etc/pureftpd.passwd et d'y ajouter la sortie de la commande précédente, puis de commiter ces changements afin qu'ils soient pris en compte pour que les utilisateurs Unix aient le même compte d'accès au serveur FTP que leur compte FTP.
 
3. Utilisateurs virtuels avec MySQL
La configuration et l'utilisation d'utilisateurs virtuels MySQL avec PureFTPD est rapide et facile, de plus, c'est vraiment plus facilement automatisable.
 3.1 Création de la base de données et de la table mysql
 Pour que PureFTPD puisse authentifier les utilisateurs avec MySQL, il est nécessaire de créer une table dans laquelle il pourra lire les données. Pour mieux faire, créons une base de données à part et un utilisateur uniquement dédié à l'authentification des utilisateurs.
 Connectez vous au serveur de base de données et créez la base de données comme par exemple :
mysql> CREATE DATABASE FTP;
 Query OK, 1 row affected (0.00 sec)
Maintenant, créez un utilisateur ayant tous les droits sur la base de données FTP à partir de l'hote local uniquement :
mysql> GRANT ALL ON FTP.* TO 'pureftpd'@'localhost' IDENTIFIED BY 'superDuperWOOTER PASSWORD <3';
 Query OK, 0 rows affected (0.00 sec)
Puis créez la table suivante :
CREATE TABLE users (
 User VARCHAR(16) BINARY NOT NULL,
 Password VARCHAR(64) BINARY NOT NULL,
 Uid INT(11) NOT NULL default '-1',
 Gid INT(11) NOT NULL default '-1',
 Dir VARCHAR(128) BINARY NOT NULL,
 QuotaFiles INT(11) NOT NULL default '0',
 QuotaSize INT(11) NOT NULL default '0',
 ULRatio INT(11) NOT NULL default '0',
 DLRatio INT(11) NOT NULL default '0',
 ULBandwidth INT(11) NOT NULL default '0',
 DLBandwidth INT(11) NOT NULL default '0',
 PRIMARY KEY (User)
 );
Ou :
  User contient le nom d'utilisateur
 Password contient le mot de passe
 Uid contient l'user id dont les fichiers créés auront les droits
 Gid contient le group id dont les fichiers créés auront les droits
 Dir contient le chemin du répertoire de l'utilisateur
 QuotaFiles contient le nombre maximal de fichiers que l'utilisateur pourra stocker dans son répertoire
 QuotaSize contient l'utilisation disque maximale en megabytes
 ULRatio contient le taux maximal d'upload
 DLRatio contient le taux maximal de download
 ULBandwidth contient la bande passante maximale d'upload
 DLBandwidth contient la bande passante maximale de download

Puis créez un utilisateur pour tester : INSERT INTO users(User, Password, Uid, Gid, Dir) VALUES('benj', 'woot woot **', 1000, 1000, '/home/geek/') ; Query OK, 1 row affected (0.00 sec)

Créez maintenant le fichier de configuration que le serveur PureFTPD utilisera pour savoir comment trouver les informations dans la base de données puis dans la table.


 MYSQLServer localhost
 MYSQLPort 3306
 MYSQLUser pureftpd
 MYSQLPassword superDuperWOOTER PASSWORD <3
 MYSQLDatabase FTP
 MYSQLCrypt cleartext
 MYSQLGetPW SELECT Password FROM FTP.users WHERE User="\L"
 MYSQLGetUID SELECT Uid FROM FTP.users WHERE User="\L"
 MYSQLGetGID SELECT Gid FROM FTP.users WHERE User="\L"
 MYSQLGetDir SELECT Dir FROM FTP.users WHERE User="\L"
 MySQLGetQTAFS SELECT QuotaFiles FROM FTP.users WHERE User="\L"
 MySQLGetQTASZ SELECT QuotaSize FROM FTP.users WHERE User="\L"
 MySQLGetRatioUL SELECT ULRatio FROM FTP.users WHERE User="\L"
 MySQLGetRatioDL SELECT DLRatio FROM FTP.users WHERE User="\L"
 MySQLGetBandwidthUL SELECT ULBandwidth FROM FTP.users WHERE User="\L"
 MySQLGetBandwidthDL SELECT DLBandwidth FROM FTP.users WHERE User="\L"

Et modifiez la ligne AUTH le fichier de configuration de PureFTPD /etc/conf.d/pure-ftpd de la façon suivante :

AUTH="-l mysql:/etc/pureftpd-mysql.conf"

Redémarrez le serveur FTP, et c'est déjà fini :

legeek@anubis /home/geek $ ftp localhost
 Trying 127.0.0.1...
 Connected to localhost (127.0.0.1).
 220- Welcome to Pure-FTPd [privsep] [TLS] -
 220-You are user number 1 of 30 allowed.
 220-Local time is now 17:21. Server port: 21.
 220-IPv6 connections are also welcome on this server.
 220 You will be disconnected after 15 minutes of inactivity.
 Name (localhost:legeek): benj
 500 This security scheme is not implemented
 SSL not available
 331 User benj OK. Password required
 Password:
 230-User benj has group access to: svnusers vmware gdm messageb legeek
 230- ldap utmp portage locate users usb apache cdrw
 230- postgres mysql games video tape sshd dialout cdrom
 230- audio console cron man uucp news mail floppy
 230- wheel kmem mem lp disk tty adm sys
 230- bin root
 230 OK. Current restricted directory is /
 Remote system type is UNIX.
 Using binary mode to transfer files.
 ftp>

Voilà voilà...

4. Utilisateurs virtuels avec PostgreSQL

La configuration et l'utilisation d'utilisateurs virtuels PostgreSQL avec PureFTPD est rapide et facile, de plus, c'est vraiment plus facilement automatisable.

3.1 Création de la base de données et de la table postgresql

Pour que PureFTPD puisse authentifier les utilisateurs avec PostgreSQL, il est nécessaire de créer une table dans laquelle il pourra lire les données. Pour mieux faire, créons une base de données à part et un utilisateur uniquement dédié à l'authentification des utilisateurs.

Connectez vous au serveur de base de données et créez la base de données comme par exemple :

postgres@anubis ~/data $ psql
 Bienvenue dans psql 8.2.4, l'interface interactive de PostgreSQL.
 
 Tapez: \copyright pour les termes de distribution
 \h pour l'aide-mémoire des commandes SQL
 \? pour l'aide-mémoire des commandes psql
 \g ou point-virgule en fin d'instruction pour exécuter la requête
 \q pour quitter
 postgres=# CREATE DATABASE pureftp;
 CREATE DATABASE

Créez maintenant un utilisateur spécialement pour l'authentification PureFTP et donnez lui les droits :

postgres=# CREATE USER pureftp WITH PASSWORD 'YAY password <3';
 CREATE ROLE
 postgres=# GRANT ALL ON DATABASE pureftp TO pureftp;
 GRANT

Maintenant, créez la table suivante :


 pureftp=> CREATE TABLE public.users (
 pureftp(> "User" VARCHAR(16) NOT NULL,
 pureftp(> "Password" VARCHAR(64) NOT NULL,
 pureftp(> "Uid" INTEGER NOT NULL default '-1',
 pureftp(> "Gid" INTEGER NOT NULL default '-1',
 pureftp(> "Dir" VARCHAR(128) NOT NULL,
 pureftp(> "QuotaFiles" INTEGER NOT NULL default '0',
 pureftp(> "QuotaSize" INTEGER NOT NULL default '0',
 pureftp(> "ULRatio" INTEGER NOT NULL default '0',
 pureftp(> "DLRatio" INTEGER NOT NULL default '0',
 pureftp(> "ULBandwidth" INTEGER NOT NULL default '0',
 pureftp(> "DLBandwidth" INTEGER NOT NULL default '0',
 pureftp(> PRIMARY KEY ("User")
 pureftp(> );
 NOTICE: CREATE TABLE / PRIMARY KEY will create implicit index "users_pkey" for table "users"
 CREATE TABLE

Insérez maintenant un utilisateur FTP :


 pureftp=> INSERT INTO users VALUES('BenjBenj', 'Incredible Pass', 1000, 1000, '/home/legeek');
 INSERT 0 1

Créez maintenant le fichier /etc/pureftpd-postgresql.conf [3] :

PGSQLServer localhost
 PGSQLPort 5432
 PGSQLUser pureftp
 PGSQLPassword YAY password <3
 PGSQLDatabase pureftp
 PGSQLCrypt cleartext
 PGSQLGetPW SELECT "Password" FROM "users" WHERE "User"='\L'
 PGSQLGetUID SELECT "Uid" FROM "users" WHERE "User"='\L'
 PGSQLGetGID SELECT "Gid" FROM "users" WHERE "User"='\L'
 PGSQLGetDir SELECT "Dir" FROM "users" WHERE "User"='\L'
 PGSQLGetQTAFS SELECT "QuotaFiles" FROM "users" WHERE "User"='\L'
 PGSQLGetQTASZ SELECT "QuotaSize" FROM "users" WHERE "User"='\L'
 PGSQLGetRatioUL SELECT "ULRatio" FROM "users" WHERE "User"='\L'
 PGSQLGetRatioDL SELECT "DLRatio" FROM "users" WHERE "User"='\L'
 PGSQLGetBandwidthUL SELECT "ULBandwidth" FROM "users" WHERE "User"='\L'
 PGSQLGetBandwidthDL SELECT "DLBandwidth" FROM "users" WHERE "User"='\L'

Modifiez maintenant le fichier /etc/conf.d/pureftpd et changez le paramètre AUTH de la façon suivante : AUTH="-l pgsql:/etc/pureftpd-postgresql.conf".

Redémarrez le serveur PureFTP et le tour est joué. Testons avec l'utilisateur créé :

legeek@anubis /home/geek $ ftp localhost
 Trying 127.0.0.1...
 Connected to localhost (127.0.0.1).
 220- Welcome to Pure-FTPd [privsep] [TLS] -
 220-You are user number 1 of 30 allowed.
 220-Local time is now 17:17. Server port: 21.
 220-IPv6 connections are also welcome on this server.
 220 You will be disconnected after 15 minutes of inactivity.
 Name (localhost:legeek): BenjBenj
 500 This security scheme is not implemented
 SSL not available
 331 User BenjBenj OK. Password required
 Password:
 230-User BenjBenj has group access to: svnusers vmware gdm messageb
 230- legeek ldap utmp portage locate users usb apache
 230- cdrw postgres mysql games video tape sshd dialout
 230- cdrom audio console cron man uucp news mail
 230- floppy wheel kmem mem lp disk tty adm
 230- sys bin root
 230 OK. Current restricted directory is /
 Remote system type is UNIX.
 Using binary mode to transfer files.
 ftp>

Well done

5. Activer l'authentification SSL/TLS pour le serveur FTP

L'intérêt d'activer une telle authentification est que les noms d'utilisateurs et mot de passe ne sont pas envoyés en clair au serveur.

Voici par exemple ce que l'on peut sniffer sur le réseau lors d'une authentification FTP :


 No. Time Source Destination Protocol Info
 1 0.000000 192.168.100.105 192.168.100.106 TCP 1576 > ftp [SYN] Seq=0 Len=0 MSS=1460
 2 0.000125 192.168.100.106 192.168.100.105 TCP ftp > 1576 [SYN, ACK] Seq=0 Ack=1 Win=5840 Len=0 MSS=1460
 3 0.000152 192.168.100.105 192.168.100.106 TCP 1576 > ftp [ACK] Seq=1 Ack=1 Win=65535 [TCP CHECKSUM INCORRECT] Len=0
 4 0.041118 192.168.100.106 192.168.100.105 FTP Response: 220- Welcome to Pure-FTPd [privsep] [TLS] -
 5 0.054374 192.168.100.105 192.168.100.106 FTP Request: USER testuser
 6 0.054460 192.168.100.106 192.168.100.105 TCP ftp > 1576 [ACK] Seq=270 Ack=16 Win=5840 Len=0
 7 0.054530 192.168.100.106 192.168.100.105 FTP Response: 331 User testuser OK. Password required
 8 0.058269 192.168.100.105 192.168.100.106 FTP Request: PASS 123456
 9 0.068799 192.168.100.106 192.168.100.105 FTP Response: 230-User testuser has group access to: testuser
 10 0.074619 192.168.100.105 192.168.100.106 FTP Request: SYST
 11 0.074723 192.168.100.106 192.168.100.105 FTP Response: 215 UNIX Type: L8
 12 0.128437 192.168.100.105 192.168.100.106 FTP Request: FEAT
 13 0.128603 192.168.100.106 192.168.100.105 FTP Response: 211-Extensions supported:
 14 0.148750 192.168.100.105 192.168.100.106 FTP Request: PWD
 15 0.148867 192.168.100.106 192.168.100.105 FTP Response: 257 "/" is your current location
 16 0.173256 192.168.100.105 192.168.100.106 FTP Request: TYPE I
 17 0.173396 192.168.100.106 192.168.100.105 FTP Response: 200 TYPE is now 8-bit binary
 18 0.173760 192.168.100.105 192.168.100.106 FTP Request: PASV
 19 0.173835 192.168.100.106 192.168.100.105 FTP Response: 500 Unknown command
 20 0.185815 192.168.100.105 192.168.100.106 FTP Request: PORT 192,168,100,105,6,41
 21 0.186023 192.168.100.106 192.168.100.105 FTP Response: 200 PORT command successful
 22 0.186583 192.168.100.105 192.168.100.106 FTP Request: LIST

On voit donc très bien que le mot de passe défini pour l'utilisateur testuser est 123456. Ceci peut donc poser un petit problème de sécurité.

Pour sécuriser les échanges de mot de passe, il est nécessaire pour le serveur de disposer d'un certificat, que nous pouvons générer nous même.

anubis ~ # openssl req -x509 -nodes -newkey rsa:1024 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem
 
 Generating a 1024 bit RSA private key
 ........................++++++
 .............................++++++
 writing new private key to '/etc/ssl/private/pure-ftpd.pem'
 -
 You are about to be asked to enter information that will be incorporated
 into your certificate request.
 What you are about to enter is what is called a Distinguished Name or a DN.
 There are quite a few fields but you can leave some blank
 For some fields there will be a default value,
 If you enter '.', the field will be left blank.
 -
 Country Name (2 letter code) [AU]:FR
 State or Province Name (full name) [Some-State]:FRANCE
 Locality Name (eg, city) []:Thionville
 Organization Name (eg, company) [Internet Widgits Pty Ltd]:wearegeeks
 Organizational Unit Name (eg, section) []:geek
 Common Name (eg, YOUR name) []:www2.wearegeeks.info
 Email Address []:spam@wearegeeks.info

Lors de la saisie du paramètre Common Name, spécifiez le FQDN [4] de votre serveur.

Modifiez la valeur de la variable MISC_OTHER dans le fichier de configuration /etc/conf.d/pure-ftpd, ajoutez y l'option -Y suivie de la valeur :

0 : Si vous voulez désactiver l'authentification SSL/TLS [5]
1 : Si vous souhaitez que l'authentification SSL/TLS soit facultative
2 : Si vous souhaitez que l'authentification SSL/TLS soit obligatoire

Voici maintenant ce que l'on peut sniffer quand on se connecte sur le serveur avec l'authentification SSL/TLS d'activée :


 No. Time Source Destination Protocol Info
 1 0.000000 192.168.100.105 192.168.100.106 TCP 1632 > ftp [SYN] Seq=0 Len=0 MSS=1460
 2 0.000116 192.168.100.106 192.168.100.105 TCP ftp > 1632 [SYN, ACK] Seq=0 Ack=1 Win=5840 Len=0 MSS=1460
 3 0.000144 192.168.100.105 192.168.100.106 TCP 1632 > ftp [ACK] Seq=1 Ack=1 Win=65535 [TCP CHECKSUM INCORRECT] Len=0
 4 0.038364 192.168.100.106 192.168.100.105 FTP Response: 220- Welcome to Pure-FTPd [privsep] [TLS] -
 5 0.051921 192.168.100.105 192.168.100.106 FTP Request: AUTH TLS
 6 0.052026 192.168.100.106 192.168.100.105 TCP ftp > 1632 [ACK] Seq=270 Ack=11 Win=5840 Len=0
 7 0.052053 192.168.100.106 192.168.100.105 FTP Response: 234 AUTH TLS OK.
 8 0.066446 192.168.100.105 192.168.100.106 FTP Request: \026\003\001\000=\001\000\0009\003\001F\376.\263\213\315\037QNr\220\347\333\277\004\026U\000\237!\267,\310;\f\327B\333\177`\310\343\000\000\022\000/\000
 9 0.066869 192.168.100.106 192.168.100.105 FTP Response: \026\003\001\000*\002\000\000&\003\001F\376.!3\214(8\337g\266\253\021\207\314\265N\230\376\334\266\016}\020\251\245aB\223\342\005[\000\000/\000\026\003\001\003\312\v\000\003\306\000\003\303\000\003\3000\202\003\2740\202\003%\240\003\002\001\002\002\t\000\350^\332\221\264Q\350#0
 10 0.078692 192.168.100.105 192.168.100.106 FTP Request: \026\003\001\000\206\020\000\000\202\000\2007\224\216g\023\352_@\366x\243\313\225\226\245\035}\265\017\367P\2712m\027U\216T5\222\325*\250t\024\332s`\233[\357\360E9\210\241RR&\032\357g\201
 11 0.115119 192.168.100.106 192.168.100.105 TCP ftp > 1632 [ACK] Seq=1319 Ack=216 Win=6432 Len=0
 12 0.115154 192.168.100.105 192.168.100.106 FTP Request: \024\003\001\000\001\001\026\003\001\000\360\3117\267\200k\315s\243\027n\320[4r\025\244\_\241i\016B\337xE\222\335U\303\272\374\321\t\023\022N\365<\260\2078\306\032k\275\236'iFz6H\023\332 \331=]\032\203f\230\2027\2462\221\267S\366\3420\016 @nqw,4\204\215\360\262Z\307S\326\315]\321\242=\321i\203\211\364\tJ\303\265\225X\346\256\277(OJ9\246\203b}c\222\212\275\347\313\325\351\207 #\250N\255\202h\312\025\257}\354\235\257\221\330\270\353\236>\240\000\256\257\200\266I\344\324Y"9i\301\316#\374@\235\376\\000\000Luxk+\375\250\203:\366\336\004\324\271\263\\347\264.d\020
 13 0.115280 192.168.100.106 192.168.100.105 TCP ftp > 1632 [ACK] Seq=1319 Ack=467 Win=7504 Len=0
 14 0.115407 192.168.100.106 192.168.100.105 FTP Response: \024\003\001\000\001\001\026\003\001\0000\233\231I#w\232\341\212\027\330s\002\003\221\037\342\235\000\016\311\037\215\302D\333\342\337\216\3609\226\v\233\304\354\225#\232%Ta\262\222,\337\351/n
 15 0.278873 192.168.100.105 192.168.100.106 TCP 1632 > ftp [ACK] Seq=467 Ack=1378 Win=64158 [TCP CHECKSUM INCORRECT] Len=0
 16 6.380383 192.168.100.105 192.168.100.106 FTP Request: \027\003\001\000\360\364\b^H\271\355+\311\026\263\335I\264\222\353\260\031\331\207\t\376 M\343\336\246\2043\002q\230u\371\341\235\016\203I\270I2\334\353~\217W\303\036\272\vzB\035\226?%<nRs\342
 17 6.380638 192.168.100.106 192.168.100.105 FTP Response: \027\003\001\000@\366\306:\346\223(\337y\376\332\3030\026v\271\2729RT\2126\354\257\320\3246!\035'\331\264\230\361\005x\016Oy\261)\033,\022\214\301\363\t\231\276\371\021\376\016\247\252I\234Y\322\245ag\356\002
 18 6.383513 192.168.100.105 192.168.100.106 FTP Request: \027\003\001\000@\000 \367\323.\0208i\336E\346\004\262\026\211,6\212\a\373IY\022a\032\356\250\003\002\003\316\201\224\312\2277\2118+\310]\352.\314\257j`\213\207\240\211\330\374345\373\354\262r\303bh\330
 19 6.387754 192.168.100.106 192.168.100.105 FTP Response: \027\003\001\000P\251\264\026\000\233f\315#\332q\034OL\252\033\353Q\202|\253\316\332\255w\372\341S1\350\263\306\3371\362\037\270G\273\034\255\353gjH\250\370\375[\266\025\347w= \b\355\255\212\335\321'/\373#\362}\304\277^\206Y\240\331+Z\335 y'\006\027\003\001\000@\356\204\023B\vla
 20 6.394624 192.168.100.105 192.168.100.106 FTP Request: \027\003\001\000\260\bW\367\264\323\307O'\345\242\0240\334\373Nd\251NFQK\022\337Q\3437\215S;\255n\031v\266\206z>\252\204?>\177r\3774\204\023G\357>2\021\343M\355\217\250_\a\367<\336\337\351W\266\233a\001O=\373\004j\234~\\3255+\017\004\216\231\270r4\037I\357\3251\241\356\324)\034lj\332V\026\b\375\357\252\001z\f\227\326`pW\350\220\344\334A0\373\027N\332\353\263Nh{\276\021 \233F\250\346\275\026W\214\301\317\261\312xl\032\034\320\211\212\017aA
 21 6.394782 192.168.100.106 192.168.100.105 FTP Response: \027\003\001\0000j\0268\243<Y\245\236\005B\347\200\237`]
 22 6.398510 192.168.100.105 192.168.100.106 FTP Request: \027\003\001\000P.\367\267\2730\224\201K:XK\036s\332\260m\223\002*\223\272\335\367,=\223\262[\f\230Z\361\221\372]H\306\237;o\363\264\261S
 23 6.398697 192.168.100.106 192.168.100.105 FTP Response: \027\003\001\000\300\223'\323g\b\005\376\212\204/G@\246\236\357:\267\251/\2351o\322Z9\263\016'\263\374u\311\321\310\216\266\353Pt\236`\363\362\252\302\003\004\314J\217\205\3211\2778\325\335\354q\002}\260\217>@\324\246\024\211(\330\200\017\235Q\t9\241\276\364u!\204\352\344\231\350\220Vq\003\243pw\366\200\325\017\000F\003\230w\006e\016\352\022R\037\021\373\340\210\346\023i\312\235H\303\261\370I\022B2\202`\016rd\262\370\340\302\360ARx\037\017D\346D\350\3566\232o+\250\273\342\030\361\321Q\270\263HZ\a\353a\264B\226\213\204\025 \267>D/_
 24 6.414756 192.168.100.105 192.168.100.106 FTP Request: \027\003\001\00007~EH\324\262\333\352\321g\322\a\205\361Z\274\250`UF\207\342\210
 25 6.414883 192.168.100.106 192.168.100.105 FTP Response: \027\003\001\0000V\370\344\267`\216\367\361\364v^SY\234\332\350\254Lq\025vL\000\364\212q\236l\223s\240\216D\314\035\272\034\303JD\027\364\264\217,\333\271?
 26 6.418509 192.168.100.105 192.168.100.106 FTP Request: \027\003\001\000 #\335\326R\022\351\212\031\225\371\334S{\224\355\002\345&\037\004`\020Zm\v\235\000\353S\314\266
 27 6.418623 192.168.100.106 192.168.100.105 FTP Response: \027\003\001\0000EJ5eCO2\005\333\353S\036\327j7\366\375p\311\017\025\177\275\275\324\251\221\322S\370-m\233\341\307\321\3165\021k\260{\274\312\252\002\242q
 28 6.425150 192.168.100.105 192.168.100.106 FTP Request: \027\003\001\000P\320z\261\266YY\332{\210\005\021\312\315\232a\305\275a^\211\v\024
 29 6.425276 192.168.100.106 192.168.100.105 FTP Response: \027\003\001\000@\027\234Q\214\255\332\203d\357\235S\3426\365\343E\376\006\306\206/>8\023g\374\304k\346\323D\327\370n\245\2520GH\271\265\220\221qj\251\005\036\212\fA=\272\325\205\234@\362\205\360/\301H\213
 30 6.429298 192.168.100.105 192.168.100.106 FTP Request: \027\003\001\0000qy%C\266b PA\002\260\360E\312\352\274\224\331\037\371\245\005\016\203\264\231cF5F\000&\372,=]\355
 31 6.429422 192.168.100.106 192.168.100.105 FTP Response: \027\003\001\000@\203c&!8!)\343\030V\321\252Q(\321`S\214\244h\342G\334\227S\222:\365\257!\356\005\313\366<\033\234\203\222k\260j\3641\216\334.c\323m\303 F\200\213\250\246\304\364\001\320\235\374\211
 32 6.433298 192.168.100.105 192.168.100.106 FTP Request: \027\003\001\000\220\262\346\315k\256\336\002\347\000\201\330\004\375\255>\t\334$*\217\250C\004q\257e\353\027\337H|\221\200+\244\272\006R\270x\000\304(n\000\305\035C\2303\230\316\227\311+y|\227\177\226-;Or!\004t\301\241d\215\220N_ \270a4_\325jq\245\334\225@{b\231r\242\t\242?k\022\037KTUlD\273\030"L>/\261\224J\370\265\223\022\225\340\262eG\bx\211W\212\215\357kb4
 33 6.433435 192.168.100.106 192.168.100.105 FTP Response: \027\003\001\0000+\236\363s.\364\210\2663\027\374C\300w\372\315\322\aD\300}\021
 34 6.443471 192.168.100.105 192.168.100.106 FTP Request: \027\003\001\000\320M\270\301\366\337\300?5'\363\360\000t8[\205\300\362$\001]\220\333\316B\274\206\332\240\365\300\2038\243jwUZ\266\022\352\230\352S\235\\237J}\241P3\241T\242\313\026\237\220\354\301\252\254\253\223\363\021\363\364(;6\0200\3140\361\320@\312X9?\361\352\374\357\327V\224\330\310\240\370\321\005=\f\355\343\005@\244\200B\206\314sx*\031\344\311\221\177\314\226\214\020H0\212\375\261\200\210\037\372I\211\335\310#s\237\0272\364\322\272\177\367\330e0\005\223l\327^hdh\355(\324PH\276\227\307%\227Q\215\262\217\313o\025\215\372\214\335=l|b\354j\260hj\357\2376\033\201\345\f\213\371\260\t\330\246G\217\241\205\032\336"5\267\021$C
 35 6.443701 192.168.100.106 192.168.100.105 FTP Response: \027\003\001\000@\t\240\262N?\036\260\200\270\020e\350\236c\203\31597X\367;S\334*\325;\273\274\220\210\245\202,\030\376G\270\021\207'\016
 36 6.444804 192.168.100.105 192.168.100.106 FTP Request: \027\003\001\000\260\214\305\241,\3259\347r\323s@Z\364\000-W\177\333\031g\352\231\350
 37 6.444952 192.168.100.106 192.168.100.105 TCP ftp-data > 1633 [SYN] Seq=0 Len=0 MSS=1460 TSV=1864762 TSER=0 WS=7
 38 6.445010 192.168.100.105 192.168.100.106 TCP 1633 > ftp-data [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460 WS=0 TSV=0 TSER=0
 39 6.445079 192.168.100.106 192.168.100.105 TCP ftp-data > 1633 [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=1864762 TSER=0
 40 6.445120 192.168.100.106 192.168.100.105 FTP Response: \027\003\001\000@h\003\337\020s#\351\202h\373\300\a\375\006\373)\305\a\236\031\313\206\264\360S\021\333T\003\021\267\322NKG2\341\367\311\357;6\202\3151\271u\261\276C\275\377\236\340\345\022\232_\270\342\234^Wr
 41 6.445268 192.168.100.106 192.168.100.105 FTP-DATA FTP Data: 71 bytes
 FTP Data
 42 6.445279 192.168.100.106 192.168.100.105 TCP ftp-data > 1633 [FIN, ACK] Seq=72 Ack=1 Win=5888 Len=0 TSV=1864762 TSER=0
 43 6.445301 192.168.100.105 192.168.100.106 TCP 1633 > ftp-data [ACK] Seq=1 Ack=73 Win=65464 [TCP CHECKSUM INCORRECT] Len=0 TSV=63662 TSER=1864762
 44 6.445313 192.168.100.106 192.168.100.105 FTP Response: \027\003\001\000 Q\2140\357^\301ev}\333\266\234\bxa\342?-\306\302\032\270\223l\345\0352\235=\371\216\260\027\003\001\0000\243\336E\325\272\3460\344a\263=\246v\216\034N5\035\207\342=\346\2511Z\264\364Ls\262\222\366\035\341n\237\215\264\310^G\316 \355\277\3668c\027\003\001\0000t)\207\376v\201\316+|8\332\363pk6'=~\264\314@\177\344n\273\002v\027YD\365 \243\337\216\000\352\217Y\204EN\006EU\024P\260
 45 6.445335 192.168.100.105 192.168.100.106 TCP 1632 > ftp [ACK] Seq=1818 Ack=2466 Win=64670 [TCP CHECKSUM INCORRECT] Len=0
 46 6.449689 192.168.100.105 192.168.100.106 TCP 1633 > ftp-data [FIN, ACK] Seq=1 Ack=73 Win=65464 [TCP CHECKSUM INCORRECT] Len=0 TSV=63662 TSER=1864762
 47 6.449768 192.168.100.106 192.168.100.105 TCP ftp-data > 1633 [ACK] Seq=73 Ack=2 Win=5888 Len=0 TSV=1864763 TSER=63662

Les échanges de mot de passe et de nom d'utilisateur sont cryptés et la confidentialité des connection est améliorée.

6. Modification du logging des actions

Par défaut, le log de toutes les actions FTP sont stockées dans /var/log/messages, au même endroit que tous les autres logs systême. Comme je ne vais pas m'amuser a expliquer le fonctionnement de syslog-ng, suffit donc de modifier le fichier /etc/syslog-ng/syslog-ng.conf de la façon suivante :

# $Header:
 /var/cvsroot/gentoo-x86/app-admin/syslog-ng/files/syslog-ng.conf.gentoo,v
 1.5 2005/05/12 05:46:10 mr_bones_ Exp $
 #
 # Syslog-ng default configuration file for Gentoo Linux
 # contributed by Michael Sterrett
 
 options {
 chain_hostnames(off);
 sync(0);
 
 # The default action of syslog-ng 1.6.0 is to log a STATS line
 # to the file every 10 minutes. That's pretty ugly after a while.
 # Change it to every 12 hours so you get a nice daily update of
 # how many messages syslog-ng missed (0).
 stats(43200);
 };
 
 source src { unix-stream("/dev/log"); internal(); pipe("/proc/kmsg"); };
 
 destination ftp { file("/var/log/pure-ftpd"); };
 filter f_ftp { facility(ftp); };
 
 destination messages { file("/var/log/messages"); };
 filter f_messages { level(info..warn) and not facility(ftp); };
 
 filter f_emergency { level(emerg); };
 filter f_info { level(info); };
 filter f_notice { level(notice); };
 filter f_warn { level(warn); };
 filter f_crit { level(crit); };
 filter f_err { level(err); };
 filter f_failed { match("failed"); };
 filter f_denied { match("denied"); };
 
 # By default messages are logged to tty12...
 destination console_all { file("/dev/tty12"); };
 # ...if you intend to use /dev/console for programs like xconsole
 # you can comment out the destination line above that references /dev/tty12
 # and uncomment the line below.
 #destination console_all { file("/dev/console"); };
 
 log { source(src); filter(f_ftp); destination(ftp); };
 log { source(src); filter(f_messages); destination(messages); };
 log { source(src); destination(console_all); };

[1] Syntaxe : -S adresseip,port

[2] ou n'importe quel autre fichier spécifié

[3] Contient la même chose que le fichier pour MySQL

[4] Fully qualified domain name

[5] C'est la valeur par défaut

Mise en oeuvre d'IPv6 sous Windows 2003 Server

Dumble — 2007-09-21T20:10:14Z

Le dernier système d'exploitation de Microsoft supporte le protocole IPv6 de manière native depuis ses versions XP-SP1 et 2003 Server. La version Vista intègre un support plus poussé de la configuration, cependant, celle-ci ne sera pas abordée ici pour des raisons matérielles ;)

Installation du protocole

Pour activer la prise en charge de ce protocole avec Windows 2003, il faut aller dans le panneau de configuration, choisir connexions réseau puis cliquer sur la connexion réseau sur laquelle on désire installer la prise en charge du protocole IPv6 :

Une fois la connexion sélectionnée, dans la fenêtre qui apparaît, cliquer sur propriétés :

Puis dans Installer, choisir Protocole, Ajouter et enfin « Microsoft TCP/IP version 6 »

Et enfin, la commande « ipconfig » nous permet de vérifier que l'installation s'est effectuée correctement :

Configuration

Actuellement, la configuration d'IPv6 sous Windows ne peut se faire qu'en ligne de commande à l'aide de l'utilitaire netsh. Il s'agit d'une sorte d'interface permettant d'accéder à tout la configuration réseau de Windows qui ne devrait pas trop dépayser les personnes ayant déjà manipulé du matériel Cisco.

Configuration des adresses IP

L'ajout / suppression d'une adresse IP se fait à l'aide de la commande :

netsh
interfaces
ipv6
add address <nom de la connexion> <adresse IP>
del address <nom de la connexion> <adresse IP>

Configuration des DNS

L'ajout / suppression d'un serveur DNS se fait avec les commandes :

netsh
interfaces
ipv6
add dns <nom de la connexion> <adresse IP du serveur DNS>
add del <nom de la connexion> <adresse IP du serveur DNS>

Configuration du routage

L'ajout et la suppression des routes se font à l'aide des commandes suivantes :

netsh
interfaces
ipv6
add route <préfixe du réseau distant> <nom de la connexion> <adresse de la passerelle>
del route <préfixe du réseau distant> <nom de la connexion> <adresse de la passerelle>

Apache 2 et les vhosts

b3nj — 2007-09-12T17:32:20Z

Prérequis et avant-propos

1. Système d'exploitation et version

Pour commencer, comme la plupart des articles que j'ai pu écrire, je me base sur le système d'exploitation Linux/Gentoo, toutefois, avec quelques aménagements, il doit être facilement portable.

Le serveur web utilisé dans ce document est Apache 2 (apache-2.0.58) et doit être valable à quelques aménagements près avec les futures versions, voir même apache 2.2.

2. Définitions et éclaircissements utiles

Le terme Virtual Host ou vhost [1] nous réfère au fait de faire fonctionner plus d'un site web (www.societe1.fr, www.societe2.be, etc) sur une seule machine.

Les Virtual Host peuvent être "Ip-based" (basé sur une addresse ip), signifiant que vous avez besoin d'une adresse Ip pour chaque hôte virtuel fonctionnant sur le site web. Ils peuvent également être "name-based" (basé sur le nom), c'est à dire que pour chaque adresse Ip sur le serveur, plusieurs sites nommés fonctionnent simultanément. Le fait que plusieurs hôtes virtuels fonctionnent simultanément sur le même serveur est totalement transparent pour l'utilisateur final.

Apache était un des premiers serveurs à supporter les ip-based vhosts dès le départ. Les version ultérieures à 1.1 supportent les vhosts ip-based et name-based.

Installation et configuration d'apache 2

1 Options/Modules à choisir

Voici les use flags que je conseillerai d'utiliser pour avoir une installation polyvalente d'apache qui permette une utilisation tant soit pour héberger un seul site web que pour un hébergement mutualisé.

apache 2 : Permet de spécifier que l'on souhaite une version 2.x à la place de la version 1.3 qui est encore proposée car encore utilisée en production sur beaucoup de serveurs et à fait ses preuves en terme de sécurité/stabilité.
threads : Permet de faire fonctionner apache en mode threadé ce qui lui permet de traiter un grand nombre de requêtes en utilisant moins de ressources système qu'un serveur apache n'utilisant uniquement le mode multiprocessus.
mpm-worker [2] : Ce use flag n'est pas nécessaire pour un serveur qui ne va pas héberger beaucoup de sites web. mpm-worker introduit un fonctionnement hybride car il fait fonctionner un serveur apache avec plusieurs processus qui eux même sont multithreadés.
ssl : Permet l'implémentation d'une interface à la librairie OpenSSL, qui fournit une encryption forte en utilisant les protocoles SSL [3] ou TLS [4].

Avec ce genre d'options, vous êtes tranquilles pour un hébergement mutualisé.

2 Modification du fichier de configuration par défaut

La configuration par défaut d'apache doit être légèrement modifiée pour être utilisée dans un environnement de production, pour qu'elle ne divulgue pas d'informations susceptibles d'être utilisées à des fins néfastes ainsi que pour configurer le mod worker afin que le serveur fonctionne au mieux en nécessitant le moins de ressources possible.

Le fichier de configuration à modifier est /etc/apache2/httpd.conf.

Concernant mpm-worker, voici un exemple de configuration :


 # worker MPM [DEFAULT IF USE=threads]
 # StartServers: nombre initial de processus serveur à démarrer
 # MaxClients: nombre maximal de connexions client simultanées maximum
 # MinSpareThreads: nombre minimal de threads worker qui sont gardés en stock
 # MaxSpareThreads: nombre maximal de threads worker qui sont gardés en stock
 # ThreadsPerChild: nombre constant de threads worker par processus server
 # MaxRequestsPerChild: nombre maximal de requêtes qu'un processus server traite
 <IfModule worker.c>
 StartServers 5
 MaxClients 320
 MinSpareThreads 200
 MaxSpareThreads 320
 ThreadsPerChild 64
 MaxRequestsPerChild 0 #illimité
 </IfModule>

Les paramètres vraiment intéressants à configurer pour le fonctionnement de worker sont ThreadsPerChild et MaxClients.

Il est toutefois interressant de suivre une certaine logique :

MaxClients doit être un multiple de ThreadsPerChild pour que chaque processus serveur ait le même nombre de threads
MaxClients n'a aucun intérêt à être configuré à une valeur supérieure a StartServers multiplié par ThreadsPerChild car il ne peut logiquement pas y avoit plus de clients que le nombre de threads total.
MaxSpareThreads doit être égal à MaxClients pour que les threads soit toujours prêts.

Voici des paramètres qu'il est intéressant de configurer :

Listen 0.0.0.0:80

Permet au serveur apache d'écouter sur toutes les adresses ip du serveur.

ServerAdmin benjamin@wearegeeks.info

Spécifie l'adresse email de l'administrateur du serveur.

ServerName horus

Si ce paramètre n'est pas spécifié, il est déterminé automatiquement, mais il peut y avoir des problèmes dans le cas ou le processus apache n'arrive pas à déterminer le nom de la machine.

ServerTokens Prod

Par défaut, les headers de réponse HTTP sont Full, qui donne beaucoup trop d'informations concernant le système d'exploiration et les modules compilés d'apache. Prod est un mode de réponse beaucoup moins verbeux et convient, comme son nom l'indique, mieux à des environnements de production.

ServerSignature Off

Permet de ne pas afficher de signature en bas des pages générés par apache automatiquement (pages d'erreur interne, listings ftp, etc)

Avec ça, on est prêt pour faire fonctionner un serveur web suffisant.

3 Vérification de la configuration

Avant de lancer le serveur apache, assurez vous de n'avoir pas d'erreur de syntaxe dans les fichiers de configuration en lançant la commande :

horus ~ # /etc/init.d/apache2 configtest
 * Checking Apache Configuration ... [ ok ]

Maintenant lançons le serveur :

horus ~ # /etc/init.d/apache2 start
 * Starting apache2 ... [ ok ]

Regardons maintenant dans les processus si l'on retrouve bien les 5 processus server que nous avons configuré :

horus ~ # ps faux
 USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
 apache 28148 0.0 0.0 16212 216 ? S 11:07 0:00 \_ /usr/sbin/apache2 -D DEFAULT_VHOST -D PHP5 -d /usr/lib/apache2 -f /etc/apache2/httpd.con
 apache 28152 0.0 0.1 558752 268 ? Sl 11:07 0:00 \_ /usr/sbin/apache2 -D DEFAULT_VHOST -D PHP5 -d /usr/lib/apache2 -f /etc/apache2/httpd.con
 apache 28154 0.0 0.1 558752 272 ? Sl 11:07 0:00 \_ /usr/sbin/apache2 -D DEFAULT_VHOST -D PHP5 -d /usr/lib/apache2 -f /etc/apache2/httpd.con
 apache 28156 0.0 0.1 558752 272 ? Sl 11:07 0:00 \_ /usr/sbin/apache2 -D DEFAULT_VHOST -D PHP5 -d /usr/lib/apache2 -f /etc/apache2/httpd.con
 apache 28163 0.0 0.1 558752 272 ? Sl 11:07 0:00 \_ /usr/sbin/apache2 -D DEFAULT_VHOST -D PHP5 -d /usr/lib/apache2 -f /etc/apache2/httpd.con
 apache 28165 0.0 0.1 558752 272 ? Sl 11:07 0:00 \_ /usr/sbin/apache2 -D DEFAULT_VHOST -D PHP5 -d /usr/lib/apache2 -f /etc/apache2/httpd.con

Nous voyons donc bien que notre configuration est prise en compte :

Le processus lancé par l'utilisateur root est celui qui forke les processus, il est le parent de tous les autres processus. S'il venait à mourrir, tous les processus qui en dépendent mourriraient aussi [5].
Le processus qui à le statut S est le serveur principal apache, en dehors des directives worker [6].
Les 5 autres processus sont les processus liés à mod_worker, ce sont les processus serveur qui sont multithreadés [7].

Vous pouvez voir que les threads sont bien présents en consultant le retour d'une des commandes suivantes :

horus ~ # ps -eLf ou horus ~ # ps axms

Nous voilà donc avec un apache fonctionnel.

4 Vérification du fonctionnement

La seule façon de vérifier le bon fonctionnement du serveur web est de s'y connecter soit par son adresse ip, soit par son hostname [8].

Le site par défaut à son DocumentRoot dans /var/www/localhost/htdocs, j'ai donc placé un fichier index.html ayant un contenu reconnaissable pour la suite de l'article.

Apache ne répondra donc avec la configuration actuelle qu'a un seul site web. Pour faire de l'hébergement de masse, il n'est donc pas pratique d'avoir un serveur par site web, d'où l'intérêt d'utiliser les vhosts.

Méthode de reconnaissance des virtual host par apache

1 Fonctionnement de l'analyse des fichiers de configuration

Il existe un serveur principal qui consiste en toutes les déclarations dans les fichiers de configuration apparaissant en dehors des sections et il existe les serveurs virtuels, appelés vhosts, qui sont définis dans les sections .

Les directives Listen [9], ServerName [10], ServerPath [11] and ServerAlias [12] peuvent apparaitre n'importe ou dans la définition d'un serveur. Il est important de noter que chaque occurence de la déclaration outrepasse la précédente occurence à l'intérieur du serveur.

La directive Listen du serveur principal a deux fonctions. La première est de déterminer le port réseau sur lequel Apache va écouter. La seconde est de spécifier le numéro de port qui sera être utilisé en des URI absolus durant les redirections.

A contrario du serveur principal, les ports des vhosts n'affectent pas les ports sur lesquels Apache écoute pour des connections.

Chaque adresse apparaissant dans la directive VirtualHost peut avoir un port optionnel. Si le port n'est pas spécifié, il est affecté à la valeur la plus récente de la directive Listen du serveur principal. Le port spécial * indique un caractère spécial qui correspond à tous les ports du serveur. collectivement, le jeu entier des adresses (incluant plusieurs enregistrements A résultant de la résolution DNS) est ajouté au jeu d'adresses du vhost.

Tant qu'il n'y a pas de directive NameVirtualHost d'utilisée pour une adresse IP spécifique, le premier vhost avec cette adresse est traité en tant que vhost basé sur l'ip. L'ip peut également être le caractère spécial *.

Si des vhosts basés sur le nom doivent être utilisés, alors une directive NameVirtualHost doit apparaitre avec l'adresse IP spécifiée pour les dites vhosts. En d'autre mots, vous devez spécifier l'adresse ip qui contient les alias [13] du nom d'hôte pour vos vhosts basés sur le nom à la directive NameVirtualHost dans votre fichier de configuration.

Plusieurs directives NameVirtualHost peuvent être utilisées avec un certain nombre de directives VirtualHost, mais une seule directive NameVirtualHost peut être utilisée pour chaque paire spécifique adresse ip:port.

L'ordre d'apparition des directives NameVirtualHost et VirtualHost n'est pas important, ce qui fait que les deux exemples suivants sont identiques (seul l'ordre des directives VirtualHost pour une adresse est important) :

exemple 1 :


 NameVirtualHost 111.22.33.44
 <VirtualHost 111.22.33.44>
 # server A
 ...
 </VirtualHost>
 <VirtualHost 111.22.33.44>
 # server B
 ...
 </VirtualHost>
 
 NameVirtualHost 111.22.33.55
 <VirtualHost 111.22.33.55>
 # server C
 ...
 </VirtualHost>
 <VirtualHost 111.22.33.55>
 # server D
 ...
 </VirtualHost>

exemple 2 :


 <VirtualHost 111.22.33.44>
 # server A
 </VirtualHost>
 <VirtualHost 111.22.33.55>
 # server C
 ...
 </VirtualHost>
 <VirtualHost 111.22.33.44>
 # server B
 ...
 </VirtualHost>
 <VirtualHost 111.22.33.55>
 # server D
 ...
 </VirtualHost>
 
 NameVirtualHost 111.22.33.44
 NameVirtualHost 111.22.33.55

Pour améliorer la lisibilité de vos fichiers de configuration, il est toutefois préférable d'utiliser une syntaxe similaire à celle de l'exemple 1.

Après avoir parsé la directive VirtualHost, le serveur vhost reçoit un port par défaut égale a celui assigné au premier nom dans sa directive VirtualHost.

La liste complète des noms dans la directive VirtualHost est traitée de la même façon qu'une directive ServerAlias [14] si tous les noms sont résolus sur le même set d'adresses. Il est interressant de noter que s'il existe des paramètres Listen définis dans ce vhost, ils n'affecteront pas les ports assignés dans le set d'adresses.

Lors de l'initialisation et pour chaque adresse ip, une liste est générée et insérée dans un tableau d'association. Si l'adresse IP est utilisée dans une directive NameVirtualHost, la liste contient tous les vhosts basés sur le nom pour l'adresse ip correspondante. S'il n'y a pas de vhosts définie pour l'adresse en question, la directive NameVirtualHost est ignorée et l'erreur loggée. Pour un vhost basé sur l'ip, la liste d'association est vide.

Grâce à la grande vitesse de la fonction de recherche d'association, lors d'une requête le temps nécessaire pour trouver les vhosts correspondants est minimal et quasiment inexistant. De plus, il est interressant de noter que la table est optimisée pour les adresses ip variant sur le dernier octet.

Pour chaque vhost, plusieurs valeurs par défaut sont définies. En particulier :

Si un vhost n'a pas de directive ServerAdmin [15], ResourceConfig [16], AccessConfig [17], Timeout [18], KeepAliveTimeout [19], KeepAlive [20], MaxKeepAliveRequests [21], ReceiveBufferSize [22] ou encore senBufferSize [23] alors les valeurs du serveur principal sont respectivement héritées et ce, peu importe la valeur héritée.
Les valeurs par défaut qui définissent les permissions pour un vhost sont mixées avec celles du serveur principal. Ceci inclut chaque information de configuration par répertoire pour chaque module.
Les configurations par serveur pour chaque module du serveur principal sont mixées dans le vhost.

De façon générale, le serveur principa est traité comme "défaut" ou une "base" sur laquelle construire un vhost. Mais la position des définitions de ce serveur principal n'est pas significative, car la configuration entière du server principal à été analysée au moment ou le fusionnement final à lieu. Donc, peu importe si une définition relative au serveur principal apparaît après une définition d'un vhost, cela pourrait appliquer la définition du vhost.

Si le serveur principal n'a pas de ServerName à ce moment, alors le nom de la machine sur lequel httpd est en fonctionnement sera utilisée à la place. Nous appelerons le jeu d'adresses IP du serveur principal les adresses retournées par une résolution DNS sur le ServerName du serveur principal.

Chaque fois qu'une directive ServerName n'est pas définie, un vhost basé sur le nom reçoit l'adresse donnée dans la directive définissant le vhost.

Chaque vhost incluant le mot magique _default_ reçoit la même valeur de que le server principal.

2 Méthode de détermination du virtual host

Le serveur détermine quel vhost utiliser de la façon suivante :

2.1 Consultation du tableau d'association

Lorsque la connection est établie par un client, l'adresse ip sur laquelle c'est connectée le client est recherchée dans le tableau d'association.

Si la recherche échoue (l'adresse Ip n'a pas été trouvée), la requête est traitée par le vhost _default_ s'il n'y a pas un tel vhost pour le port sur lequel le client à envoyé la requête. S'il n'y a pas de vhost _default_, la requête est traitée par le serveur principal.

Si l'adresse IP n'est pas trouvée dans le tableau d'association, alors la correspondance par rapport au numéro de port peut également résulter en un résultat correspondant à NameVirtualHost *, qui est gérée comme un autre vhost basé sur le nom.

Si la recherche c'est déroulée avec succès, (une liste correspondante pour l'adresse ip à été trouvée), la prochaine étape est de décider si l'on à a faire avec un vhost basé sur le nom ou à un vhost basé sur l'ip.

2.2 Vhost basé sur l'ip

Si l'entrée que l'on a trouvé a une liste de noms vide, alors nous avons trouvé un vhost basé sur le nom, et aucune action supplémentaire n'est nécessaire et la requête est traitée par le vhost.

2.3 Vhost basé sur le nom

Si l'entrée correspond a un vhost basé sur le nom, la liste de noms contient une ou plusieures structures de vhost. Cette ligne contient les vhosts dans le même ordre que l'order selon lequel les directives VirtualHost apparaissent dans le fichier de configuration.

Le premier vhost sur la list (le premier vhost dans le fichier avec l'adresse IP spécifiée) à la plus haute priorité et reçoit toutes les requêtes destinées à un serveur inconnu du système ou aux requêtes sans header Host:.

Si le client a fourni un header Host:, la liste est parcourue pour un vhost correspondant et le premier hit sur un ServerName ou ServerAlias est pris et la requête sera traitée à partir du dit vhost. Un header Host: peut contenir un numéro de port, mais Apache établit toujours une correspondance avec le port réel auquel le client à envoyé la requête.

Si le client à envoyé une requete HTTP/1.0 sans header Host:<code>, nous ne savons pas à quel serveur le client à essayé de se connecter et chaque <code>ServerPath est analysé pour voir s'il correspond à l'URI de la requête. Le premier chemin correspondant dans la liste est utilisé et la requête sera traitée par le vhost correspondant.

Si aucun vhost correspondant n'a été trouvé, la requête est traitée par le premier vhost avec un numéro de port correspondant qui est dans la liste sur l'IP à laquelle le client c'est connecté (comme mentionné plus tôt).

2.4 Connections persistantes

La recherche IP décrite plus haut est uniquement faite une fois pour une session TCP/IP particulière alors que la recherche de noms est faite à chaque requête pendant une connection KeepAlive/persistante. En d'autres termes un client peut demander des pages de différents vhosts basés sur le nom pendant une connection persistante unique.

2.5 URI Absolue

Si l'URI de la requête est une URI absolue, et son nom d'hôte et port correspondent au serveur principal ou un des vhosts configuré correspond à l'adresse et au port à laquelle le client à envoyé la requête, alors le schema/nom d'hôte/prefixe est supprimé et l'URI relative restante est traitée par le serveur principal ou le vhost correspondant. Si cela ne fonctionne pas, alors l'URI reste inchangée et la requête est prise comme une requête de proxy.

Mise en place de vhosts

1. Vhosts basés sur le nom

1.1 Syntaxe

Après avoir installé et configuré votre apache comme indiqué plus haut, il est maintenant temps de créer vos vhosts. Pour ce faire, apache loade sous gentoo tous les fichiers de configuration finissant en .conf dans le répertoire /etc/apache2/vhosts.d/ [24].

Les directives et paramètres syntaxiques principaux d'un vhost sont les suivants :

DocumentRoot : correspond au chemin ou sont stockés les fichiers de votre site web
NameVirtualHost
ServerAlias : correspond aux noms secondaires auxquels le serveur virtuel réponds aux requêtes lui étant adressées
ServerName : nom principal auquel le serveur virtuel répond aux requêtes lui étant adressées
ServerPath : facultatif, utilisé pour les anciens browsers [25]

La configuration d'un vhost est relativement aisée, en utilisant un minimum de paramètres, on arrive a un système fonctionnel


 <VirtualHost *:80>
 ServerName www2.wearegeeks.info
 ServerAlias www3.wearegeeks.info www4.wearegeeks.info
 DocumentRoot /var/www/www2.wearegeeks.info/htdocs
 ErrorLog /var/www/www2.wearegeeks.info/logs/error.log
 CustomLog /var/www/www2.wearegeeks.info/logs/access.log combined
 </VirtualHost>

ErrorLog est un fichier contenant les erreurs éventuelles que pourrait rencontrer le vhost.

CustomLog est un fichier qui contient les logs d'accès au site web, utilisables par awstats.

Pour configurer un autre vhost, ajoutez simplement à la suite du premier vhost un autre une nouvelle configuration utilisant la même syntaxe que le premier.

1.2 Démarrage et outils utiles

Dans un environnement de production, il est vraiment important d'éviter les downtime et donc à chaque modification du fichier de configuration, il est important de vérifier que la syntaxe du fichier de configuration est correcte car sinon apache risque de ne pas vouloir démarrer.

Et c'est pour cette raison que les gentils devs d'apache ont inclu un outil pour manipuler le serveur qui se nomme apache2ctl [26] [27].

Pour tester la validité du fichier de configuration que nous venons de créer plus haut, tapons simplement apache2ctl configtest et nous nous apercevons que nous avons bêtement omis de créer le répertoire ou doivent être stockés les fichiers du site web [28] !

anubis ~ # apache2ctl configtest
 Warning: DocumentRoot [/var/www/www2.wearegeeks.info/htdocs] does not exist
 Syntax OK

Il ne nous reste plus qu'à créer les dossiers htdocs et logs avec les propriétaires adéquats [29] :

anubis ~ # mkdir -p /var/www/www2.wearegeeks.info/htdocs /var/www/www2.wearegeeks.info/logs 
 anubis ~ # chown -R apache:apache /var/www/www2.wearegeeks.info

Nous voyons maintenant que le test de configuration d'apache2ctl ne nous retourne plus d'erreur :

anubis ~ # apache2ctl configtest
 Syntax OK

Maintenant que nous nous sommes assurés que la configuration est correcte, il est possible pour des modifications mineures, comme l'ajout d'un vhost, de simplement recharger la configuration en tapant la configuration apache2ctl graceful. Votre modification est maintenant active.

Après avoir placé les fichiers de notre site web sur le serveur, nous voyons dans les logs que nous accédons bien au vhost en question :

192.168.100.100 - - [11/Sep/2007:23:11:17 +0200] "GET / HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6"
 192.168.100.100 - - [11/Sep/2007:23:11:21 +0200] "GET / HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6"
 192.168.100.100 - - [11/Sep/2007:23:11:23 +0200] "GET / HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6"

Avec apache2ctl, les fonctions principales sont start et stop permettant comme leur nom l'indique de stopper et démarrer le serveur.

1.3 Options annexes

Voici une vue rapide et non exhaustive des options annexes qu'il est possible de configurer dans la définition de votre vhost :

ServerAdmin permettant de spécifier l'adresse email de l'administrateur du vhost. Ceci n'est généralement pas utilisé car cette adresse n'est pas affichée avec notre configuration de ServerTokens globale.
ServerTokens permettant de redéfinir localement la verbosité du vhost concernant les informations sur la version d'apache et la configuration du système.
RLimitCPU : permet de limiter la consommation en terme d'utilisation processeur du vhost
RLimitMEM : permet de limiter la consommation en terme de mémoire utilisée du vhost
RLimitPROC : permet de limiter le nombre de process enfants créés pour le vhost

Il est également interressant de noter l'existance de la possibilité de redéfinir pour un vhost des valeurs de la configuration de php via la directive php_admin_value.

Cette fonctionnalité est interressante pour limiter les valeurs d'open_basedir ou de session.save_path afin de bien séparer les vhosts. Toutefois libre à vous de configurer chacune des directives du fichier php.ini.

Attention toutefois à ne pas compromettre la sécurité de votre hosting en configurant safe_mode à on et register_globals à on.

2. Vhosts basés sur l'IP

Pour mettre en place un serveur virtuel basé sur l'ip, rien de plus simple, il suffit d'avoir un demon par adresse IP. Pour chaque installation, il faut spécifier la directive Listen comme par exemple Listen www2.wearegeeks.info:80.

Pour éviter les problèmes de dns, il vaut mieux configurer les vhosts basés sur le nom de la même façon que pour les vhosts nommés :

 <VirtualHost 127.0.0.1>
 ServerName www2.wearegeeks.info
 ServerAdmin benjamin@wearegeeks.info
 DocumentRoot /var/www/www2.wearegeeks.info/htdocs
 </VirtualHost>

Ce qui présente l'avantage de contrer les problèmes lors du démarrage d'apache car si l'on spécifie un nom de domaine a la place de l'adresse IP dans la directive <VirtualHost >, il y a des risques que si le nom de domaine correspond a une adresse ip ne correspondant pas à l'IP du vhost basé sur l'IP, le service ne démarre pas.

Spécifier la directive ServerName est interressant car si elle est omise, apache effectuera une recherche DNS inverse sur l'adresse IP et affectera le nom d'hote correspondant a l'enregistrement PTR au vhost, ce qui n'est pas toujours souhaitable car il n'est pas toujours possible de spécifier un PTR (c'est généralement le fournisseur d'accès à l'internet qui a accès à la zone correspondante).

[1] Hôte virtuel

[2] http://httpd.apache.org/docs/2.0/mod/worker.html

[3] Secure Sockets Layer, pour couche de sockets sécurisés

[4] Transport Layer Security, pour sécurité sur la couche transport

[5] Rs veut dire fonctionnant et est un leader de session

[6] S veut dire que le processus est en état d'attente interruptible, comprennez par la qu'il attend des connections ou un signal

[7] S veut dire que le processus est en état d'attente interruptible, comprennez par la qu'il attend des connections ou un signal, l signifique le processus est multi threadé

[8] Si vous fonctionnez dans un environnement de test, vous pouvez simuler un hostname pour ce serveur en ajoutant une entrée dans le fichier host (/etc/hosts sous linux ou %systemroot%\system32\drivers\etc\hosts) de la machine se connectant au serveur

[9] http://httpd.apache.org/docs/2.0/mod/mpm_common.html#listen

[10] http://httpd.apache.org/docs/2.0/mod/core.html#servername

[11] http://httpd.apache.org/docs/2.0/mod/core.html#serverpath

[12] http://httpd.apache.org/docs/2.0/mod/core.html#serverpath

[13] CNAME

[14] Mais ces noms ne sont pas écrasés par des déclarations ServerAlias

[15] http://httpd.apache.org/docs/2.0/mod/core.html#serveradmin

[16] http://httpd.apache.org/docs/2.0/fr/mod/core.html#resourceconfig

[17] http://httpd.apache.org/docs/2.0/fr/mod/core.html#accessconfig

[18] http://httpd.apache.org/docs/2.0/fr/mod/core.html#timeout

[19] http://httpd.apache.org/docs/2.0/fr/mod/core.html#keepalivetimeout

[20] http://httpd.apache.org/docs/2.0/fr/mod/core.html#keepalive

[21] http://httpd.apache.org/docs/2.0/fr/mod/core.html#maxkeepaliverequests

[22] http://httpd.apache.org/docs/2.0/fr/mod/core.html#receivebuffersize

[23] http://httpd.apache.org/docs/2.0/fr/mod/core.html#sendbuffersize

[24] Si ce n'est pas le cas, ajoutez Include /etc/apache2/vhosts.d/*.conf en bas de votre fichier de configuration /etc/apache2/httpd.conf

[25] ceux qui n'envoient pas de header Host: dans leur requêtes

[26] http://httpd.apache.org/docs/2.0/programs/apachectl.html

[27] Pour les versions <1.3 du fichier de configuration, c'est apachectl

[28] Il est toutefois interressant de noter que ce n'est qu'un warning

[29] Sous gentoo l'utilisateur utilisé par apache s'appelle apache ...

Il y a tellement a dire encore ... mais ceci est un base utile permettant de créer vos vhosts

Mise en oeuvre d'IPv6 sous Linux

Dumble — 2007-09-07T20:21:41Z

Le support d'IPv6 dans le noyau Linux a été implémenté pour la première fois dans un noyau de la série 2.2. Sans que je puisse le garantir, les manipulations présentées ci-après devraient fonctionner sans problème sur un noyau 2.4 avec peut-être quelques adaptations.

Mise en oeuvre sur un système Linux 2.6

Ajout du support du protocole IPv6 dans le noyau
Le noyau fourni par la plupart des distributions modernes offre le support de l'IPv6. Pour vous en assurer, il suffit, en tant que super-utilisateur (root) de saisir les commandes suivantes :

 modprobe ipv6 ifconfig | grep inet6

Si la deuxième commande affiche quelque chose, c'est que le support est activé, sinon, il faudra recompiler le noyau.

Options du noyau
Sur un noyau 2.6, les options relatives à IPv6 se trouvent dans :

Device Drivers ---> Networking Support ---> Networking Options --->

Les options à activer sont :

The IPv6 Protocol : Activation de la pile IPv6
IPv6 : Privacy Extensions (RFC 3041) support : Activation du système d'autoconfiguration
IPv6 : Router Preference (RFC 4191) support : Support pour les informations avancées des routeurs
IPv6 : Route Information (RFC 4191) support
IPv6 : AH transformation : Support pour l'authentification IPSec
IPv6 : ESP transformation : Support pour le cryptage IPSec
IPv6 : IPComp transformation : Support pour la compression des données pour IPSec
IPv6 : tunnel transformation : Support pour la création de tunnels IPv6 dans IPv6
IPv6 : IPv6-in-IPv4 tunnel : Support pour la création de tunnels IPv6 dans IPv4
IPv6 : IPv6-in-IPv6 tunnel : Support pour la création de tunnels IPv6 dans IPv6
IPv6 : Mobility : Support de la mobilité
IPv6 : IPsec transport mode : Support pour le mode transport d'IPSec
IPv6 : IPsec tunnel mode : Support pour le mode tunnel d'IPSec
IPv6 : IPsec BEET mode : Support du mode BEET d'IPSec
IPv6 : MIPv6 route optimization mode : Système d'optimisation des routes
IPv6 : Multiple Routing Tables

Pour l'activation de la version IPv6 de NetFilter (le firewall de Linux), il faut activer les options qui se trouvent dans :

 Device Drivers ---> Networking Support ---> Networking Options ---> Network packet filtering ---> IPv6 : Netfilter Configuration --->

Une fois ces options activées (en module ou en dur), il suffit de recompiler le noyau à l'aide des commandes classiques.

Enfin, après redémarrage et chargement (éventuel) du module, la commande "ifconfig" permet de vérifier que le support d'IPv6 est bien chargé : Il suffit d'avoir au minimum l'adresse de portée "lien local" (celle commençant par FE80).

eth0 Lien encap:Ethernet HWaddr 00:0A:E4:FC:E7:83 inet adr:192.168.0.4 Bcast:192.168.0.255 Masque:255.255.255.0 adr inet6 : fe80 ::20a:e4ff:fefc:e783/64 Scope:Lien adr inet6 : fec0 ::4/64 Scope:Site

Configuration des paramètres IPv6
Configuration des adresses
La plupart des distributions proposent déjà la possibilité de configurer les adresses IPv6 dans les fichiers de configuration, pour savoir comment faire, il faudra se reporter à leurs documentations respectives. Cependant, la procédure manuelle et universelle est présentée ci-dessous.

La configuration d'une adresse IPv6 se fait à l'aide de la commande "ifconfig" (en supposant que eth0 est l'interface à configurer) :

 ifconfig eth0 add fec0:1 ::ab5:1/64

De même, la suppression d'une adresse IPv6 se fait avec :

 ifconfig eth0 del fec0:1 ::ab5:1/64

Renseignement du serveur DNS
La configuration du serveur DNS auquel le poste s'adressera se fait de la même manière qu'en IPv4. La syntaxe du fichier /etc/resolv.conf est la même, on indique seulement une adresse IPv6 au lieu de l'adress IPv4

Par exemple :

 nameserver [fec0 ::4]

Configuration du routage
La manipulation des tables de routage se fait à l'aide de la commande "route" à laquelle il faut passer le paramètre "—inet6" en plus des autres paramètres :

L'affichage des routes disponibles se fait à l'aide de la commande suivante :

 route -A inet6

L'ajout et la suppression d'une route vers un réseau distant se fait avec les commandes suivantes :

 route —inet6 add <réseau>/<longueurpréfixe> gw <adresseipv6> route —inet6 del <réseau>/<longueurpréfixe> gw <adresseipv6>

On peut également remplacer "<réseau>/<longueurpréfixe>" par "default" si on veut ajouter une route par défaut. Par exemple : (en supposant que FEC0:2 ::/64 est le réseau à atteindre et FEC0:1 ::1 est l'adresse du routeur)

 route —inet6 add fec0:2 ::/64 gw fec0:1 ::1 route —inet6 del fec0:2 ::/64 gw fec0:1 ::1

L'activation du routage pour IPv6 peut être fait de manière contrôlé interface réseau par interface réseau ou bien toutes les interfaces en même temps. Cela se fait avec les commandes :

 sysctl net.ipv6.conf.eth0.forwarding=1

Configuration avancée d'IPv6
Mise en place de l'autoconfiguration
Le système d'autoconfiguration d'IPv6 nécessite la présence d'un routeur. Nous allons donc configurer notre système Linux pour qu'il se comporte comme un routeur sans toutefois entrer dans une configuration avancée du routage, inutile ici.
Configuration du routeur :
L'autoconfiguration des postes distants est réalisée par le programme Radvd qu'il faudra donc installer. Il est fourni avec la plupart des distributions, sinon, sa compilation ne devrait pas poser de problème pour le Linuxien avancé que vous êtes.

Il faut d'abord commencer par activer le routage IPv6 au niveau du noyau comme expliqué dans la section sur le routage. Ensuite, la configuration de radvd s'effectue en éditant le fichier /etc/radvd.conf :

interface eth0 <--- Interface à configurer  AdvSendAdvert on ; prefix fec0:1 ::/64 <— préfixe de à annoncer réseau et masque  AdvOnLink on ; AdvAutonomous on ;  ;  ;

Un certain nombre d'autres options sont possible, la page de manuel de radvd contient toutes les informations nécessaires pour effectuer une configuration avancée.
Le démon pourra être lancé avec la commande :

/etc/init.d/radvd start

Configuration sur les postes clients :
Aucune configuration n'est nécessaire sur les postes clients. Il suffit seulement que le support IPv6 soit activé et le système effectuera tout seul la recherche du routeur distant.

Utilisation de LVM

b3nj — 2007-02-11T08:15:06Z

Notions basiques

Comme dit dans le chapeau, LVM2 vous permet de pouvoir créer des partitions s'étendant sur plusieurs disques en les regroupant en volumes virtuels. Il permet également de pouvoir agrandir la taille des partitions existantes facilement [1]. Cela permet d'avoir une gestion de disque bien plus scalable car l'ajout ou la suppression d'espace est très facile et permet d'agrandir les ressources disponibles sur un système sans avoir à repartitionner toute la machine (et la plupart du temps réinstaller la machine).

Physical volumes and volume groups

La méthode utilisée par LVM2 pour permettre de gérer plusieurs disques en tant qu'une seule même unité est de regrouper toutes les partitions que l'on souhaite utiliser avec LVM2 dans un ou plusieurs "volume groups".

Pour cela, il est nécessaire de créer un "physical volume", opération qui premet de préparer une partition, un disque entier dans un format que LVM2 utilisera plus tard pour stocker les données.

Cela se fait au moyen de la commande pvcreate.

Par exemple si j'ai un disque de 6.4Go situé en /dev/hdb et un disque de 40Go en /dev/hde, je les initialiserais de la façon suivante :


 osiris ~ # pvcreate /dev/hdb
 Physical volume "/dev/hdb" successfully created
 osiris ~ # pvcreate /dev/hde
 Physical volume "/dev/hdb" successfully created

Nous pouvons vérifier que les deux physical volumes sont bien préparés en utilisant la commande pvdisplay ce qui retournerait :


 livecd ~ # pvdisplay
 --- NEW Physical volume ---
 PV Name /dev/hde
 VG Name
 PV Size 37.27 GB
 Allocatable NO
 PE Size (KByte) 0
 Total PE 0
 Free PE 0
 Allocated PE 0
 PV UUID f0iIbU-ayPe-kpoy-d3bP-hfDP-JqPO-5MVLT7
 
 --- NEW Physical volume ---
 PV Name /dev/hdb
 VG Name
 PV Size 6.01 GB
 Allocatable NO
 PE Size (KByte) 0
 Total PE 0
 Free PE 0
 Allocated PE 0
 PV UUID yV0Qht-jGSe-jdDo-jErn-cgYi-tbR6-ITqrz1

Nous avons donc deux disques préparés pour l'utilisation dans un volume group. Il est maintenant nécessaire de créer un volume group de la façon suivante (nous lui donnerons le nom lvmspace)


 osiris ~ # vgcreate lvmspace /dev/hdb
 Volume group "lvmspace" successfully created

Le volume group est maintenant créé et totalise une taille de 6.01Go, ce que nous pouvons vérifier avec la commande vgdisplay :


 osiris ~ # vgdisplay
 --- Volume group ---
 VG Name lvmspace
 System ID
 Format lvm2
 Metadata Areas 1
 Metadata Sequence No 1
 VG Access read/write
 VG Status resizable
 MAX LV 0
 Cur LV 0
 Open LV 0
 Max PV 0
 Cur PV 1
 Act PV 1
 VG Size 6.00 GB
 PE Size 4.00 MB
 Total PE 1537
 Alloc PE / Size 0 / 0
 Free PE / Size 1537 / 6.00 GB
 VG UUID W7zp0w-pYZk-xkg1-9u37-9kiI-30uM-yA6Yji

La prochaine opération permettra d'étendre la taille du volume group avec la taille du disque /dev/hde.


 osiris ~ # vgextend lvmspace /dev/hde
 /dev/cdrom: open failed: Read-only file system
 /dev/cdrom: open failed: Read-only file system
 Attempt to close device '/dev/cdrom' which is not open.
 Volume group "lvmspace" successfully extended

Ne prêtez pas attention aux messages concernant le lecteur cd.

Voici une représentation de l'opération que l'on vient de réaliser, à savoir cumuler les deux espaces disques physiques dans un disque virtuel.

Nous pouvons donc vérifier que la taille du volume group à bien été augmentée :


 osiris ~ # vgdisplay
 --- Volume group ---
 VG Name lvmspace
 System ID
 Format lvm2
 Metadata Areas 2
 Metadata Sequence No 2
 VG Access read/write
 VG Status resizable
 MAX LV 0
 Cur LV 0
 Open LV 0
 Max PV 0
 Cur PV 2
 Act PV 2
 VG Size 43.27 GB
 PE Size 4.00 MB
 Total PE 11078
 Alloc PE / Size 0 / 0
 Free PE / Size 11078 / 43.27 GB
 VG UUID W7zp0w-pYZk-xkg1-9u37-9kiI-30uM-yA6Yji

On peut voir maintenant avec pvdisplay que les disques ont été totalement affectés au volume group.


 osiris ~ # pvdisplay
 --- Physical volume ---
 PV Name /dev/hdb
 VG Name lvmspace
 PV Size 6.00 GB / not usable 0
 Allocatable yes
 PE Size (KByte) 4096
 Total PE 1537
 Free PE 1537
 Allocated PE 0
 PV UUID yV0Qht-jGSe-jdDo-jErn-cgYi-tbR6-ITqrz1
 
 --- Physical volume ---
 PV Name /dev/hde
 VG Name lvmspace
 PV Size 37.27 GB / not usable 0
 Allocatable yes
 PE Size (KByte) 4096
 Total PE 9541
 Free PE 9541
 Allocated PE 0
 PV UUID f0iIbU-ayPe-kpoy-d3bP-hfDP-JqPO-5MVLT7

Maintenant que nous avons un espace disque virtuel utilisable, nous allons pouvoir créer des partitions sur cet espace afin de pouvoir les utiliser. Commençons par créer une partition, que l'on appelle logical volume lorsque l'on utilise LVM, nommée home d'une taille de 7Go avec la commande lvcreate.


 osiris ~ # lvcreate -L 7G -n home lvmspace
 Logical volume "home" created

Nous pouvons voir les détails du résultat de l'opération précédente avec la commande lvdisplay.


 osiris ~ # lvdisplay
 --- Logical volume ---
 LV Name /dev/lvmspace/home
 VG Name lvmspace
 LV UUID icrus5-H10v-GqTG-NW0L-cwUR-FW2P-T5eqy1
 LV Write Access read/write
 LV Status available
 # open 0
 LV Size 7.00 GB
 Current LE 1792
 Segments 2
 Allocation inherit
 Read ahead sectors 0
 Block device 253:0

Nous pouvons également constater que le logical volume créé plus tot occupe tout l'espace de /dev/hdb et une petite partie de /dev/hde.


 osiris ~ # pvdisplay
 --- Physical volume ---
 PV Name /dev/hdb
 VG Name lvmspace
 PV Size 6.00 GB / not usable 0
 Allocatable yes (but full)
 PE Size (KByte) 4096
 Total PE 1537
 Free PE 0
 Allocated PE 1537
 PV UUID yV0Qht-jGSe-jdDo-jErn-cgYi-tbR6-ITqrz1
 
 --- Physical volume ---
 PV Name /dev/hde
 VG Name lvmspace
 PV Size 37.27 GB / not usable 0
 Allocatable yes
 PE Size (KByte) 4096
 Total PE 9541
 Free PE 9286
 Allocated PE 255
 PV UUID f0iIbU-ayPe-kpoy-d3bP-hfDP-JqPO-5MVLT7

Créons maintenant un logical volume de 20Go nommée var.


 osiris ~ # lvcreate -L 20G -n var lvmspace
 Logical volume "var" created

Voyons le résultat de la commande précédente :


 osiris ~ # lvdisplay
 --- Logical volume ---
 LV Name /dev/lvmspace/home
 VG Name lvmspace
 LV UUID icrus5-H10v-GqTG-NW0L-cwUR-FW2P-T5eqy1
 LV Write Access read/write
 LV Status available
 # open 0
 LV Size 7.00 GB
 Current LE 1792
 Segments 2
 Allocation inherit
 Read ahead sectors 0
 Block device 253:0
 
 --- Logical volume ---
 LV Name /dev/lvmspace/var
 VG Name lvmspace
 LV UUID GNPaI1-7jlr-oUYZ-6qot-1cS8-gN8G-Ig6cJ2
 LV Write Access read/write
 LV Status available
 # open 0
 LV Size 20.00 GB
 Current LE 5120
 Segments 1
 Allocation inherit
 Read ahead sectors 0
 Block device 253:1

Nous voyons donc bien que 27Go sont occupés dans le volume group lvmspace.


 osiris ~ # vgdisplay
 --- Volume group ---
 VG Name lvmspace
 System ID
 Format lvm2
 Metadata Areas 2
 Metadata Sequence No 4
 VG Access read/write
 VG Status resizable
 MAX LV 0
 Cur LV 2
 Open LV 0
 Max PV 0
 Cur PV 2
 Act PV 2
 VG Size 43.27 GB
 PE Size 4.00 MB
 Total PE 11078
 Alloc PE / Size 6912 / 27.00 GB
 Free PE / Size 4166 / 16.27 GB
 VG UUID W7zp0w-pYZk-xkg1-9u37-9kiI-30uM-yA6Yji

Créons maintenant un logical volume de 3Go nommé tmp et un dernier logical volume de 13.27Go pour remplir tout l'espace disque disponible.


 osiris ~ # lvcreate -L 3G -n tmp lvmspace
 Logical volume "tmp" created
 osiris ~ # lvcreate -L 13.27G -n portage lvmspace
 Rounding up size to full physical extent 13.27 GB
 Logical volume "portage" created

Nous voyons donc maintenant qu'il n'y a plus d'espace disque disponible dans le volume group.


 osiris ~ # vgdisplay
 --- Volume group ---
 VG Name lvmspace
 System ID
 Format lvm2
 Metadata Areas 2
 Metadata Sequence No 6
 VG Access read/write
 VG Status resizable
 MAX LV 0
 Cur LV 4
 Open LV 0
 Max PV 0
 Cur PV 2
 Act PV 2
 VG Size 43.27 GB
 PE Size 4.00 MB
 Total PE 11078
 Alloc PE / Size 11078 / 43.27 GB
 Free PE / Size 0 / 0
 VG UUID W7zp0w-pYZk-xkg1-9u37-9kiI-30uM-yA6Yji

Le schéma actuel est le suivant :


 osiris ~ # ls /dev/lvmspace/
 home portage tmp var

Nous allons donc maintenant créer des systèmes de fichier sur les logical volumes afin de pouvoir les utiliser comme des partitions standard.


 osiris ~ # mkfs.ext3 /dev/lvmspace/tmp -L "/tmp"
 osiris ~ # mkfs.ext3 /dev/lvmspace/var -L "/var"
 osiris ~ #mkfs.reiserfs /dev/lvmspace/portage -l "/usr/portage"
 osiris ~ # mkfs.reiserfs /dev/lvmspace/home -l "/home"

Nous avons donc le schéma suivant :

Nous allons dans la prochaine partie voir à quel point l'utilisation de LVM2 est un avantage.

Redimensionnement des logical volumes

Imaginons que nous souhaitions ajouter un disque dur pour utiliser son espace disque.

Préparation du physical volume :


 osiris ~ # pvcreate /dev/hdg
 Physical volume "/dev/hdg" successfully created

On étend maintenant le volume group [2] :


 osiris ~ # vgextend lvmspace /dev/hdg
 /dev/cdrom: open failed: Read-only file system
 Attempt to close device '/dev/cdrom' which is not open.
 Volume group "lvmspace" successfully extended

osiris ~ # vgdisplay
 --- Volume group ---
 VG Name lvmspace
 System ID
 Format lvm2
 Metadata Areas 3
 Metadata Sequence No 7
 VG Access read/write
 VG Status resizable
 MAX LV 0
 Cur LV 4
 Open LV 0
 Max PV 0
 Cur PV 3
 Act PV 3
 VG Size 81.62 GB
 PE Size 4.00 MB
 Total PE 20894
 Alloc PE / Size 11078 / 43.27 GB
 Free PE / Size 9816 / 38.34 GB
 VG UUID W7zp0w-pYZk-xkg1-9u37-9kiI-30uM-yA6Yji

Nous allons maintenant étendre le logical volume home de 3Go. Maintenant il est très important de saisir que nous allons étendre ce qui fait office de lecteur virtuel, pas la partition que nous avons créé dessus, et il sera nécessaire de redimensionner le système de fichiers pour que le lecteur puisse être utilisé dans sa totalité. Le shéma suivant vous illustrera la différence.

osiris ~ # lvextend -L +3G /dev/lvmspace/home
 Extending logical volume home to 10.00 GB
 Logical volume home successfully resized

Nous voyons bien maintenant que le logical volume à une taille de 10Go.

osiris ~ # lvdisplay /dev/lvmspace/home
 --- Logical volume ---
 LV Name /dev/lvmspace/home
 VG Name lvmspace
 LV UUID icrus5-H10v-GqTG-NW0L-cwUR-FW2P-T5eqy1
 LV Write Access read/write
 LV Status available
 # open 0
 LV Size 10.00 GB
 Current LE 2560
 Segments 3
 Allocation inherit
 Read ahead sectors 0
 Block device 253:0

Nous allons maintenant étendre le système de fichiers existant sur home en utilisant la commande spécialement mise à disposition pour cela concernant le système de fichiers reiserfs appelée resize_reiserfs. Il est important de noter que cette opération doit se faire sur une partition non montée !.

osiris ~ # resize_reiserfs -s+3G /dev/lvmspace/home
 resize_reiserfs 3.6.19 (2003 www.namesys.com)
 
 ReiserFS report:
 blocksize 4096
 block count 2621440 (1835008)
 free blocks 2613149 (1826741)
 bitmap block count 80 (56)
 
 Syncing..done
 
 resize_reiserfs: Resizing finished successfully.

Nous allons maintenant faire la même opération sur le lecteur var en étendant la logical volume et le système de fichiers ext3 qui est dessus (grâce à la commande resize2fs) de 5Go.

osiris ~ # lvextend -L +5G /dev/lvmspace/var
 Extending logical volume var to 25.00 GB
 Logical volume var successfully resized

osiris ~ # resize2fs /dev/lvmspace/var 25G
 resize2fs 1.38 (30-Jun-2005)
 Resizing the filesystem on /dev/lvmspace/var to 6553600 (4k) blocks.
 The filesystem on /dev/lvmspace/var is now 6553600 blocks long.

Voici donc maintenant la situation :

Rétrecissement d'un logical volume

Admettons maintenant que nous souhaitions ne plus avoir 10Go sur home pour une raison quelconque. La méthode à suivre pour pouvoir procéder au rétrécissement du logical volume est d'abord de redimensionner à la baisse le système de fichiers existant dessus puis de redimensionner à la baisse le logical volume.

Redimensionnement du système de fichiers :

osiris ~ # resize_reiserfs -s-1G /dev/lvmspace/home
 resize_reiserfs 3.6.19 (2003 www.namesys.com)
 
 You are running BETA version of reiserfs shrinker.
 This version is only for testing or VERY CAREFUL use.
 Backup of you data is recommended.
 
 Do you want to continue? [y/N]:y
 Processing the tree: 0%....20%....40%....60%....80%....100% left 0, 0 /sec
 
 nodes processed (moved):
 int 0 (0),
 leaves 1 (0),
 unfm 0 (0),
 total 1 (0).
 
 check for used blocks in truncated region
 
 ReiserFS report:
 blocksize 4096
 block count 2359296 (2621440)
 free blocks 2351013 (2613149)
 bitmap block count 72 (80)
 
 Syncing..done
 
 resize_reiserfs: Resizing finished successfully.

Redimensionnement du logical volume :

osiris ~ # lvresize -L -1G /dev/lvmspace/home
 WARNING: Reducing active logical volume to 9.00 GB
 THIS MAY DESTROY YOUR DATA (filesystem etc.)
 Do you really want to reduce home? [y/n]: y
 Reducing logical volume home to 9.00 GB
 Logical volume home successfully resized

Vous savez maintenant agrandir et reduire des logical volume, étendre des volume groups, vous êtes donc capables de faire pas mal de choses avec cette technologie géniale qu'est LVM.

Liens

[1] Attention, seulement si le système de fichiers le permet

[2] Ne prêtez pas attention aux messages de warning concernant le cdrom