julienB56 a écrit 22 commentaires

Etonnant car sur le mien osx El capitan, il l'est par défaut via terminal.

Déjà fait et résultat identique. C'est bien mon mac le "soucis". Rien de bien méchant non plus mais très curieux. Même avec un outil de type wireshark, je n'arrive pas a comprendre pourquoi car de ce que je constate il cible bien mon vps avec une commande de type nc nmap ou telnet.

Merci de ta réponse. Je ne sais pas si tu as vu mon post suivant ou je réponds que le 'problème' de port fantome ouvert vient en fait du mac. Depuis un autre ordinateur (Linux Fedora), j'obtiens le même résultat que toi (commande nmap). Je vais donc me pencher sur le mac avec des traceroute et autre voir ce qu'il se passe. Merci de ton aide.

Merci de ton point de vue.

De mon coté j'avance sur cette bizarerie !!!

Dans le doute j'ai allumé un deuxième ordinateur (Linux Fedora) et relancé la commande nmap -Pn sur mon vps. J'obtiens le même résultat que toi (a savoir ouverture unique des ports 22,25,587 et 993) ce qui est rassurant car c'est ce que je veux).

Je reviens donc sur l'ordi (un mac) sur lequel je lançais la commande nmap initialement. J'obtiens à nouveau le résultat décrit dans le post précédemment.

Conclusion :

-mon FAI n'a rien à voir la dedans.
-Le VPS est bien configuré
-Le Mac pour je ne sais quelles raisons voit ces ports "fantome" ouverts. Pire un telnet vps:80 pour lui pas de soucis, il se connecte :-) . Evidemment depuis le pc Linux je n'ai pas de connexion.

résultat commande netcat lancée depuis chez moi.
nc vps255752.ovh.net 25
220 mail.tual.ovh

Résultat telnet
telnet vps255752.ovh.net 25
Trying 164.132.231.218…
Connected to vps255752.ovh.net.
Escape character is '^]'.
220 mail.tual.ovh

Coté configuration réseau local, je n'ai rien de particulier. Je n'ai d'ailleurs jamais rien configuré.

Tu peux m'envoyer le résultat d'un nmap lancé depuis chez toi ? Si tu n'obtiens pas le même résultat et que celui-ci est conforme à ce qui est réellement ouvert sur mon VPS, je suspecte mon FAI de m'induire en erreur. Comment je ne sais pas.

Par contre je ne comprend pas non plus pourquoi depuis chez toi le port 25 est fermé. Comme le montre le résultat de la commande netstat lancée sur le VPS, celui-ci est bien ouvert.

Effectivement, ce message d'erreur est un faux positif.

J'ai continué mes tests en créant coté serveur un utilisateur (unix et samba). Coté machine cliente (qui fait office de filer) est configuré un partage pour cet utilisateur. Depuis un poste client Windows une demande de connexion au //filer1/partage_utilisateur, après avoir rentré les credentials, de l'utilisateur fonctionne parfaitement. Les log du samba client montrent clairement la bonne communication avec le contrôleur pour valider l'authentification. De plus si je supprime l'utilisateur du contrôleur SAMBA, l'accès au partage ne fonctionne plus. La mécanique fonctionne donc parfaitement.

Mon problème était du au fait que les services 'nmb' n'était pas démarrés sur le serveur et sur le client SAMBA. Sinon mes fichiers de configurations sont bons (peut être à optimiser ceci-dis)!

Merci pour ta réflexion.

Merci de ta réponse.

Effectivement ma commande DD est "reglée" avec un bs=1M car mon montage NFS depuis le poste client est avec les options wsize et rsize de 1M (commande nfsstat -m). Donc effectivement la commande DD est raccord avec avec les options rsize et wsize (surtout wsize :) ) du point de montage donc ça dépote pas mal.

J'aurai du me douter que les BS de la commande CP était différent d’où une baisse de perf.

En revanche merci pour le strace

Merci pour l'astuce de time

Je l'ai déjà fait et la encore les résultats sont complétements différents entre la commande DD et la commande CP.

D'après toi la commande DD compresse au vol ?

Lolop,

Ok donc actuellement tu n'utilises pas non plus de NFSv4 puisque tu utilises des ACL Posix ?

Actuellement, il y a deux solutions.

-Utilisation ACL posix + NFSv3 (on oublie le NFSv4).
-Utilisation NFSv3 + v4 (on oublie les ACL).

Je suis en environnement Linux (Redhat 4,5 et 6) + Windows. Ça me surprend tes casses de droits. Si je reste uniquement en CIFS + NFSv3 + ACL Posix, je ne rencontre aucun soucis.

Lolop,

Comment fais-tu (si tu as ce cas de figure) pour appliquer une matrice de droit digne de ce nom sur une arbo Linux (ext4) ?

++

Merci de ton avis.

Effectivement je constate que le mapping n'est pas consistant. Actuellement, effectivement seul le système de fichier XFS supporte les ACL NFSv4. Un patch expérimental est en cours pour le support par ext4 mais ça reste expérimental. En même temps le jour ou cela sera opérationnel, le problème se posera toujours. l'utilisation d'ACL NFSv4 obligera à forcer les montages en NFSv4.

Bon je me répond à moi même au cas ou cela servirait à quelqu’un.

Actuellement seul le système de fichier ZFS supporte nativement les acl nfsV4. D’où la nécessité d'avoir un répertoire déjà exporté en nfsv4 pour appliquer des acl natives.

Ceux qui de mon point de vue n'est pas exploitable en production ni même à la maison ou alors en test (si qlq1 à un avis contraire qu'il n'hésites pas)car cela signifie que des acl de ce type ne sont applicables que depuis un poste client avec montage nfsv4 (ce qui est un comble puisque le but est de proposer un répertoire sécurisé à ce poste client).

La bidouille sur le serveur consisterait à effectuer un montage local en nfsv4 pour appliquer ces acl (testé et fonctionnel) mais quid de l'export nfs d'un répertoire qui lui même est un point de montages NFSv4.

Pour ma part je laisse tomber les acl native nfs4 pour me concentrer sur le couple acl posix + NFS4.

bonjour,

pas de no_acl dans le fichier exports.

Tu as bien compris ma problématique. Je pense que je n'ai pas bien saisie la manière d'utiliser des acl native nfsV4. Dans le cadre d'une acl posix (qui s'applique directement sur un système de fichier local (ext3,4…)) les commandes se font directement sur le serveur NFS. Avec les acl native nfsV4 les commandes s'exécutent sur un répertoire qui lui même est sur un point de montage NFSv4.La je m'y perd :

-De mon point de vue, le montage nfsv4 doit s'effectuer sur un poste client. c'est le serveur qui propose ce répertoire grâce au fichier export. Il me paraitrait donc logique d'appliquer les acl sur le répertoire à exporter qu'héberge le serveur NFS.

-Faut-il effectuer un montage (local) nfsV4 sur le serveur lui même ? cela revient à dire que le serveur est également son propre client.

Tu peux m'éclairer sur la marche à suivre ?

Merci

Ouais c'est violent t'as raison. Non je ne pense pas avoir besoin de cette certif pour trouver du taf mais ça peut aider. J'aimerai simplement travailler les cours et l'avoir, ça m’intéresse beaucoup. Un coup de fil me permettra peut être de savoir si il y a des centres de passage sur Nantes.

Je vous tiens au ju

Ouais a force de chercher, j'ai trouvé une adresse à la défense. C'est quand même abusé de ne pas avoir toutes ces infos sur le site de RedHat. C'est quand même la base. Lieu, date (bon ça y est), horaire.

J'appel demain le site de paris.

Merci

:-) oui bien sur que tu as les dates quand tu cliques sur show all. Le problème est que tu n'as pas ni horaire ni endroit.Quand tu viens de Nantes, pour l'organisation c'est pas génial.

Oui j'ai vu ces liens.

Les villes que tu cites sont celle ou se déroule les exams (quand tu veux :-) ) j'ai l'impression.

Par contre si tu regarde ce lien (Certification qui m’intéresse) :

http://fr.redhat.com/training/dates/EX200&country=col_FR

Tu verras qu'en France il existe Paris, Lyon et Nice.

En tout cas c'est vraiment pas clair tout ça.

Bon je suis allé jusqu'au bout de l'inscription.

Effectivement, tu t'inscris, tu indiques comment tu paies. Un message t'indique que tu vas recevoir un mail. Ce mail pour t'indiquer que pour confirmer l'inscription a la certification tu dois payer.

-Je ne connais toujours pas l'adresse exact du lieu de passage
-Idem pour l'heure de passage.
-Chose ironique, pour le paiement (comme indiqué dans le mail) tu n'as aucune indication ni lien. Tu ne sais pas ou te rendre pour payer.

Je crois que je vais tel a paris car c'est un vrai labyrinthe a croire qu'ils font exprès.

Julien

Ok pour la réponse a un post :-)

Je vais réessayé l'inscription en allant plus loin.

J'ai débuté l'inscription jusqu'au moment ou il te demande qui tu est et comment tu paies. Je ne veux pas payer et donc m'inscrire avant de connaitre l'adresse et l'heure de passage de l'exam. Je suis de Nantes et si vraiment faut aller sur Paris, il faut que je m'organise (billet de train, hébergement si exam tôt le matin etc … ).

L'inscription ne parle que du passage de l'exam et pas du tout de la formation (je ne compte pas la faire et bosser chez moi).

Merci