Ne connaissant pas LVS, je ne peux pas te répondre précisément. Par contre, je peux partager mon expérience passée en HA.
Stocker des sessions PHP sur disque est contre-performant et s'oppose au principe de HA/répartition de charge. Tu peux utiliser une base de données, ceci réglera ton problème de répartition mais pourra te mener à de plus graves soucis : plus ton trafic augmentera, plus la base de données sera sollicitée, et c'est sûrement l'un des points les plus difficiles à solutionner dans une archi HA. Je te conseille de regarder du coté de memcache et php5-memcache. Tu peux en 2 lignes de conf utiliser un stockage memcache (redondé ou pas) pour les sessions.
Pour le load balancing ssl sans persistance, il n'existe qu'une seule solution : utiliser des certificats ssl multi-domaines (plusieurs SubjectAltName).
Pour ton souci de load-balancing, je te conseille de regarder Haproxy. Tu assures ça redondance avec heartbeat ou ucarp.
Nginx est un très bon soft, je l'ai utilisé pour délivrer du contenu statique et dans un pool de reverse proxy ssl et j'en ai été tres satisfait.
- reverse : certaines choses sont perfectibles, comme la détection de bon fonctionnement des backends qui reste en dessous de celle de Haproxy (qui est un chef d'oeuvre) ou de relayd, mais tu pourras rewriter par exemple
- web : tu ne retrouveras pas toutes les fonctionnalités fournies par apache et ses nombreux modules mais les perfs seront au rendez-vous
En bref, il est à essayer, sa configuration est assez simple et la wikidoc est correcte.
A vérifier qu'il puisse piloter ton autoloader ...
C'est un très bon outil que j'utilise actuellement sur des plateformes de prod, j'ai un peu modifié sa façon de fonctionner car je n'utilise pas de bande mais sauvegardes fichier.
Il utilise une base de données (postgresql ici) permettant de facilement s'y retrouver dans ses backups.
Il en existe plein d'autres (pgcluster, bucardo ...)
Fût un temps où je les ai testé, aucun ne m'a apporté satisfaction, je me suis rabattu sur du drbd/heartbeat qui fonctionne bien.
je confirme pour la marge, certains produits prennent x10 au niveau de leur prix lors du passage des frontières et notamment les cadres photos (j'étais à Shenzhen la semaine dernière où j'ai pu constater ce phénomène).
Le man chroot ne laisse pas entendre ceci, et donne même un exemple pour s'évader de la prison (si user root je l'accorde).
chroot n'est pas un gage de sécurité et n'est pas son but d'ailleurs.
Maintenant, avec un certain patch kernel centré sur la sécurité (et non mainline), c'est déjà un peu mieux.
Peut-on passer de qemulator à virt-manager (ou inverse) sans modifier les "images" des OS utilisés ?
J'utilise actuellement virtualbox pour virtualiser un OS sale mais me permettant de créer une connexion IPSEC avec des OpenBSD (afin d'utiliser des interfaces web bourrées d'ActiveX, pas le choix).
Je suis rentré de vacances il y a quelques jours, et virtualbox sur sid ne démarre plus à cause d'un souci de compatibilité de virtualbox et du module kernel (je n'ai pas intérêt à jouer avec mon kernel, j'utilise un laptop avec chiffrement complet - /boot sur clef usb).
Ceci est peut être dû au passage à Lenny (Sid étant mis en retrait pour l'instant), mais du coup j'ai du mal à utiliser mon VPN.
L'un des avantages de vbox est aussi d'être disponible sur plusieurs OS et donc de pouvoir partager les images mais en réalité, d'obscures problèmes sont apparus lorsque j'ai voulu faire tourner des images linux grsecurity sur du windows.
Tout ceci et cette article/discussion me donne envie de passer à qemu avec un mode clickodrome. N'ayant pas envie de comparer (pour l'instant) les diverses interfaces, l'idéal serait de pouvoir switcher entre elles et virer vbox.
Stockage: centralisation à un endroit des logs (dans son cas il parle d'une seule machine mais ...)
Rotation: à lui de bien définir son modèle et aussi d'utiliser les capacités de la base de données qu'il aura choisi. Perso, j'ai un système de partitionnement de table et des fonctions pl/pgsql (à choisir) pour manipuler le tout (créer les tables filles par exemple).
Recherche: un enregistrement d'une table de log comporte énormément d'information permettant à une requête sql de bien mieux trier qu'un grep.
Pour le choix de la base de données, chacun ses goûts mais il faut penser qu'elle sera fortement sollicitée (surtout en écriture). Pour le stockage, il est recommandé de choisir un espace de stockage conséquent et rapide.
Et enfin syslog-ng vs rsyslog, si on mets à part les problèmes de licence / mode de développement du premier, le deuxième me semble plus adapté:
- gestion natives des bases de données
- et surtout plusieurs niveaux de tampons permettant de bien mieux gérer les afflux de logs sur une base chargée.
Sinon il existe trickle dont voici la description :
Trickle is a voluntary, cooperative bandwidth shaper. it works entirely in userland and is very easy to use.
The most simple application is to limit the bandwidth usage of programs.
si vous choisissez de mauvais outils tels que ce sgbd alors qu'il en existe un bien meilleur sous tous points de comparaison ....
sinon, faire des backups sur la machine même ça sert presque à rien ...
et puis dans ton cas (remonter un serveur identique), la backup de la configuration de la plateforme peut aussi être très utile.
Tu regardes trop la télé et véhicule des images fausses.
Tu en plaisantes sûrement mais c'est quand même une image de la Thaïlande largement répandu.
Je crois bien que la pédophilie est interdit et en tout cas tres mal vue ....
Tu pourras me dire que c'est quand même possible mais en France aussi, sauf qu'il faut payer plus cher.
Cherche mieux dans mon précédent commentaire et tu trouveras.
Sinon, y a quoi dans les routeurs / switchs .... des diverses marques ?
Y a bien des OS là dedans (souvent dérivés de certains autres OS que l'on connait bien), et bien qu'on ne puisse pas les utiliser tel quels, ils existent et méritent la comparaison quand on parle de réseau.
A part le fait que je préfère grsecurity (+pax) à SELinux et que je préfère quand les fonctionnalités offertes par grsec+pax sont intégrées directement au noyau (genre un OS ayant du piquant) , la phrase "Son projet est de faire de Linux le top de la sécurité comme Linux est le top pour le réseau" me fait bien rire.
En quoi Linux est le top pour le réseau ? (note que je n'ai pas dit qu'il est mauvais).
J'ai plusieurs machines full raid1 sans partition boot et dont le bootloader est grub.
J'ai utilisé l'installeur debian pour un serveur, ce qui a tres bien fonctionnée.
Pour une autre machine, j'ai tout fait à la main en créant un raid dégradé sur le nouveau dd et ensuite des cpio sur toutes les partitions vers les nouvelles. On redémarre sur le raid dégradé et on lui ajoute enfin l'ancien disque.
Tout ça pour dire qu'il te faut utiliser le raid software de ton noyau et que tu as dû faire une erreur quelque part car ça fonctionne bien.
Ce RescueCD m'a l'air bien sympathique, il est en passe de devenir mon Rescue/Live CD de secours mais il manque un outil (je ne l'ai pas vu dans la liste des packages): cryptsetup avec les options Luks.
Ce genre d'outils de chiffrement peut s'avérer indispensable pour la récupération de données, il me semble qu'ils ont leur place dans ce genre de CD.
"extinction brutale parce que j'étais super pressé" <- faut pas se plaindre après ... alors qu'il suffit de faire un simple halt et fermer l'écran, ça aurait été aussi rapide.
J'utilise xfs sur un serveur perso (full xfs sur du raid1 software) et je n'ai jamais eu un seul problème avec malgré quelques arrêts brutaux (panne de courant et onduleur mal configuré). De plus, la commande xfsdump est des plus pratiques pour faire des sauvegardes (complètes, incrémentales, ...).
Tu as l'air décidé, tu as envie de changer de FS (et ta distrib, tu la gardes ?) alors je te propose JFS et si le coeur t'en dis, regardes du coté de EVMS.
Je les ai installé sur ma machine perso, EVMS révolutionne la gestion des disques/partitions/... , avec lui, fini les prises de têtes pour gérer un conteneur lvm2 sur du raid1 par exemple ( http://tigrou3tac.org/index.php?current=3&suite=1&ar(...) ).
J'ai donc utilisé jfs comme système de fichiers sur cette machine,evms et jfs provenant tous les deux de IBM. Je n'ai aucun reproche à lui faire, malgré là aussi quelques coupures brutales du PC (surchauffe dûe au ventilateur du processeur qui n'était pas assez puissant), il a toujours réussi à rattraper les erreurs.
Maintenant, quelque soit le système de fichiers que tu choisiras, évites de couper ton OS comme un porc.
si ce n'est que pour améliorer les chroots de base sous linux, je pense qu'une solution de type grsecurity est meilleure que les vservers qui servent plus à proposer des services mutualisés.
D'ailleurs, si je me rappelle bien, les auteurs du patch vserver proposaient il y a quelques temps leur patch avec grsecurity intégré. On se demande pourquoi ? :)
Pour sécuriser une machine, je commence par installer ma distribution favorite (Debian) avec le minimum requis pour un système de base en configurant bien tout ce qui est installé.
Ensuite, j'installe un kernel grsecurity ( http://www.grsecurity.org(...) ) patché par mes soins, je trouve que c'est l'un des meilleurs "patchs" pour la sécurité niveau noyau, mais il demande du temps afin de comprendre / analyser / configurer ses nombreuses options. Attention à bien choisir les options du noyau, que ce soit pour la configuration de grsecurity ou pour celles des options de base du noyau (ça ne sert à rien d'avoir des fonctionnalités en trop, par habitude, je n'utilise jamais les modules, je n'active pas leur support ...)
Apres l'étape de configuration du noyau, une bonne chose à faire est de passer gradm en mode "apprenant", de restreindre les privilèges / accès / ... de certains programmes ... (grsecurity permet vraiment beaucoup de chose, voici une documentation bien qu'elle date un peu : http://tigrou3tac.org/index.php?current=3&suite=1&article=3(...) )
Ensuite, je configure le firewall (iptables + IMQ pour la qos) qui ne laissera passer que ce qui est autorisé et ce dans les 2 sens.
Viens ensuite la configuration des services. J'essaye d'en chrooter le maximum possible, et c'est là qu'intervient grsecurity, il "renforce" les chroots ( je pense qu'un chroot n'est valable que sur une machine grsecurity, peut être avec d'autres patchs noyau aussi mais je ne les connais pas). Ne pas oublier de bien configurer ces services et de définir leur portée (réseau local ou disponible depuis internet ?) , les utilisateurs autorisés à s'y connecter ... Dans le cas où plusieurs programmes sont en concurrence pour proposer un service, une bonne démarche à suivre serait d'étudier leur mode de fonctionnement, de savoir quelle politique sécuritaire ils utilisent (par exemple pour proposer un service ftp, à-t-on besoin de toutes les options de proftpd ? vsftpd ne serait pas plus adapté ?).
A présent que tous les services sont installés, configurés et sécurisés au maximum de leurs possiblités, il faut penser à espionner la machine, ce qui passe par l'installation d'un NIDS, de processus de surveillance ... en vrac, j'utilise snort (avec oinkmaster pour la mise à jour des règles), cacti et nagios pour superviser un peu le réseau, tiger pour un audit de sécurité du système.
Une fois la machine proprement installée, il ne faut pas oublier de faire les mises à jour, de consulter les listes de bugs/vulnérabilités/... de tous les composants du système (noyau, prog, ...) et d'étudier les logs générés (qui peuvent être assez conséquent si vous activez les bonnes options de grsecurity, mais rien ne pourra vous échapper :)
Voilà pour mes habitudes de configuration au niveau de la sécurité, ce n'est surement pas la meilleure solution mais je pense que ça m'apporte une bonne protection, surtout pour un particulier.
Tout ça pour dire que j'aime bien grsecurity, que je le recommande et que j'aimerais bien avoir des retours d'expérience de son utilisation avec des noyaux 2.6.x.y .
Il existe aussi DRBD dans le même genre mais ENBD semble mieux avec son driver "raid intelligent" mais j'aime pas les modules et j'ai pas réussi à le mettre en dur dans mon noyau.
Et comme dit plus haut, je ne sais pas si c'est une bonne idée de répliquer les configurations entre deux machines: tu auras 2 machines "identiques" donc si tu as un problème de configuration sur l'une tu l'auras sur l'autre, ça peut être problèmatique ...
Si tu veux faire du HA, je te propose une solution que je vais tester dans pas longtemps:
. Un linux avec LVS qui sera le chef d'orchestre du cluster HA (on peut "protéger" celui-ci avec une autre machine et hearbeat)
. et 2 -> X (X < 20 si tu utilises le nat) machines derrières et fournissant les services désirés. A toi de synchroniser ces services, j'entends par là l'arborescence d'un site web par exemple. Il n'est pas interdit de varier ces machines "esclaves", par exemple avec du Linux, du FreeBSD ... voir du Windows si tu veux.
En conclusion, et pour répondre simplement à ta question et sans chercher à t'en dissuader, tu peux regarder du coté de rsync, unison et consort pour la synchro de fichiers.
Apres avoir lu tous les commentaires, je m'étonne de n'avoir vu aucune mention sur EVMS.
EVMS est un projet développé par IBM et qui avait pour but principal de devenir le successeur de LVM, mais les dev noyau ont choisi LVM2.
L'équipe EVMS a choisi de continuer le projet et propose des patchs noyaux (bien qu'il ne soit pas obligatoire de patcher son noyau pour utiliser EVMS) et un utilitaire présent sous différent aspect ( evms en mode console, evms-gui en graphique et aussi une version ncurses). Il propose aussi une image initrd afin de démarrer les outils spécifiques à EVMS afin que le noyau reconnaisse les nouvelles partitions.
EVMS permet grâce à un seul outil de gérer du RAID/LVM(2)/FS(jfs,xfs ...).
En gros, tu te serais fait autant chier à installer tout ça, mais apres c'est que du bonheur car un seul outil. Néanmoins, les utilitaires raid et mdadm par exemple reste compatibles, EVMS utilisant le driver MD du noyau.
Je te décris ma situation:
station de travail avec 2 disques SATA 160Go chacun
pas de disque dur IDE
noyau 2.6.10-ck5-udm1 (patch con Kolivas et patch evms)
j'ai choisi grub comme bootloader
objectif:
/boot <- raid1 ( /dev/sda2 et /dev/sdb2)
swap <- raid0 ( /dev/sda3 et /dev/sdb3)
une grosse partition (50Go, partition logique) en raid1 (/devsda5 et /dev/sdb5), cette partition est ensuite déclarée en lvm2, puis je "découpe" en volume logique / /usr /var /home et encore un peu de place pour les agrandir si besoin se fait sentir.
le tout en jfs (sauf la swap biensur :)
je boot avec grub:
root (hd0,1)
kernel /vmlinuz-2.6.10-ck5-udm1 root=/dev/evms/root ramdisk=8192
initrd /evms-2.5.1-1....
et quand j'en ai envie je peux modifier ponctuellement cette configuration pour root (hd1,1) qui correspond à la partition /boot mais stocké sur le deuxième disque.
Tout ça pour dire que le mode commande de grub est relativement puissant. Jusqu'à maintenant, il m'a toujours rendu les meilleurs services possibles ( evms, jfs, xfs, ext2/3 ...).
Une chose est sûre, si tu bidouilles ta distrib (plusieurs noyaux, possibilité de passer plusieurs paramètres au noyau lors du boot ...) , grub se révèlera plus puissant que lilo.
# HA
Posté par Fabien (site web personnel) . En réponse au message Répartition de charge avec LVS. Évalué à 2.
Stocker des sessions PHP sur disque est contre-performant et s'oppose au principe de HA/répartition de charge. Tu peux utiliser une base de données, ceci réglera ton problème de répartition mais pourra te mener à de plus graves soucis : plus ton trafic augmentera, plus la base de données sera sollicitée, et c'est sûrement l'un des points les plus difficiles à solutionner dans une archi HA. Je te conseille de regarder du coté de memcache et php5-memcache. Tu peux en 2 lignes de conf utiliser un stockage memcache (redondé ou pas) pour les sessions.
Pour le load balancing ssl sans persistance, il n'existe qu'une seule solution : utiliser des certificats ssl multi-domaines (plusieurs SubjectAltName).
Pour ton souci de load-balancing, je te conseille de regarder Haproxy. Tu assures ça redondance avec heartbeat ou ucarp.
[^] # Re: nginx ?
Posté par Fabien (site web personnel) . En réponse au journal La fin du monde. Évalué à 5.
- reverse : certaines choses sont perfectibles, comme la détection de bon fonctionnement des backends qui reste en dessous de celle de Haproxy (qui est un chef d'oeuvre) ou de relayd, mais tu pourras rewriter par exemple
- web : tu ne retrouveras pas toutes les fonctionnalités fournies par apache et ses nombreux modules mais les perfs seront au rendez-vous
En bref, il est à essayer, sa configuration est assez simple et la wikidoc est correcte.
# Bacula
Posté par Fabien (site web personnel) . En réponse au message Sauvegarde depuis linux sur autochargeur de bande. Évalué à 2.
C'est un très bon outil que j'utilise actuellement sur des plateformes de prod, j'ai un peu modifié sa façon de fonctionner car je n'utilise pas de bande mais sauvegardes fichier.
Il utilise une base de données (postgresql ici) permettant de facilement s'y retrouver dans ses backups.
[^] # Re: du flou...
Posté par Fabien (site web personnel) . En réponse au journal Au coeur de la cyberguerre. Évalué à 1.
Et d'autres options permettent de renforcer la sécurité générale des serveurs.
[^] # Re: PostgreSQL master/master
Posté par Fabien (site web personnel) . En réponse à la dépêche Répartition de charge : axes de réflexion et quelques exemples de solutions libres. Évalué à 3.
Fût un temps où je les ai testé, aucun ne m'a apporté satisfaction, je me suis rabattu sur du drbd/heartbeat qui fonctionne bien.
[^] # Re: tablet firefox :)
Posté par Fabien (site web personnel) . En réponse au journal Un nouveau concept, le prototype de Techcrunch.. Évalué à 5.
[^] # Re: Parce que
Posté par Fabien (site web personnel) . En réponse au message Pourquoi chrooter bind ?. Évalué à 3.
chroot n'est pas un gage de sécurité et n'est pas son but d'ailleurs.
Maintenant, avec un certain patch kernel centré sur la sécurité (et non mainline), c'est déjà un peu mieux.
[^] # Re: virtualbox
Posté par Fabien (site web personnel) . En réponse au journal qemu 0.10 is out \o/. Évalué à 1.
J'utilise actuellement virtualbox pour virtualiser un OS sale mais me permettant de créer une connexion IPSEC avec des OpenBSD (afin d'utiliser des interfaces web bourrées d'ActiveX, pas le choix).
Je suis rentré de vacances il y a quelques jours, et virtualbox sur sid ne démarre plus à cause d'un souci de compatibilité de virtualbox et du module kernel (je n'ai pas intérêt à jouer avec mon kernel, j'utilise un laptop avec chiffrement complet - /boot sur clef usb).
Ceci est peut être dû au passage à Lenny (Sid étant mis en retrait pour l'instant), mais du coup j'ai du mal à utiliser mon VPN.
L'un des avantages de vbox est aussi d'être disponible sur plusieurs OS et donc de pouvoir partager les images mais en réalité, d'obscures problèmes sont apparus lorsque j'ai voulu faire tourner des images linux grsecurity sur du windows.
Tout ceci et cette article/discussion me donne envie de passer à qemu avec un mode clickodrome. N'ayant pas envie de comparer (pour l'instant) les diverses interfaces, l'idéal serait de pouvoir switcher entre elles et virer vbox.
[^] # Re: No problemo
Posté par Fabien (site web personnel) . En réponse au message Redirection de logs sous MySql via Syslog-ng. Évalué à 2.
Rotation: à lui de bien définir son modèle et aussi d'utiliser les capacités de la base de données qu'il aura choisi. Perso, j'ai un système de partitionnement de table et des fonctions pl/pgsql (à choisir) pour manipuler le tout (créer les tables filles par exemple).
Recherche: un enregistrement d'une table de log comporte énormément d'information permettant à une requête sql de bien mieux trier qu'un grep.
Pour le choix de la base de données, chacun ses goûts mais il faut penser qu'elle sera fortement sollicitée (surtout en écriture). Pour le stockage, il est recommandé de choisir un espace de stockage conséquent et rapide.
Et enfin syslog-ng vs rsyslog, si on mets à part les problèmes de licence / mode de développement du premier, le deuxième me semble plus adapté:
- gestion natives des bases de données
- et surtout plusieurs niveaux de tampons permettant de bien mieux gérer les afflux de logs sur une base chargée.
[^] # Re: Super sympa !
Posté par Fabien (site web personnel) . En réponse au journal CSS spéciale Ubuntu 8.10 : explication. Évalué à 5.
# Générique
Posté par Fabien (site web personnel) . En réponse au message transfert de fichiers avec limitation de débit. Évalué à 1.
Trickle is a voluntary, cooperative bandwidth shaper. it works entirely in userland and is very easy to use.
The most simple application is to limit the bandwidth usage of programs.
[^] # Re: Les bits de sécurité ?
Posté par Fabien (site web personnel) . En réponse à la dépêche Sortie du noyau Linux 2.6.26. Évalué à 2.
merci grsecurity
# en même temps ...
Posté par Fabien (site web personnel) . En réponse au journal Migration foirée. Évalué à -7.
sinon, faire des backups sur la machine même ça sert presque à rien ...
et puis dans ton cas (remonter un serveur identique), la backup de la configuration de la plateforme peut aussi être très utile.
[^] # Re: le coté parano
Posté par Fabien (site web personnel) . En réponse au journal Le disque, le loup et le phoque. Évalué à 1.
Tu en plaisantes sûrement mais c'est quand même une image de la Thaïlande largement répandu.
Je crois bien que la pédophilie est interdit et en tout cas tres mal vue ....
Tu pourras me dire que c'est quand même possible mais en France aussi, sauf qu'il faut payer plus cher.
[^] # Re: LSM
Posté par Fabien (site web personnel) . En réponse au journal Le nouveau SeLinux. Évalué à 0.
Sinon, y a quoi dans les routeurs / switchs .... des diverses marques ?
Y a bien des OS là dedans (souvent dérivés de certains autres OS que l'on connait bien), et bien qu'on ne puisse pas les utiliser tel quels, ils existent et méritent la comparaison quand on parle de réseau.
[^] # Re: LSM
Posté par Fabien (site web personnel) . En réponse au journal Le nouveau SeLinux. Évalué à 2.
En quoi Linux est le top pour le réseau ? (note que je n'ai pas dit qu'il est mauvais).
[^] # Re: Share and enjoy
Posté par Fabien (site web personnel) . En réponse au journal Détection de rootkit. Évalué à 1.
kernel 2.6.22.9 2007-09-26 18:10 UTC
kernel 2.6.23-rc9-git1 2007-10-02 19:01 UTC
pas si en retard que ça.
Je recommande aussi ce projet
[^] # Re: Installer mandriva :)
Posté par Fabien (site web personnel) . En réponse au message RAID et Debian. Évalué à 2.
J'ai utilisé l'installeur debian pour un serveur, ce qui a tres bien fonctionnée.
Pour une autre machine, j'ai tout fait à la main en créant un raid dégradé sur le nouveau dd et ensuite des cpio sur toutes les partitions vers les nouvelles. On redémarre sur le raid dégradé et on lui ajoute enfin l'ancien disque.
Tout ça pour dire qu'il te faut utiliser le raid software de ton noyau et que tu as dû faire une erreur quelque part car ça fonctionne bien.
# partitions chiffrées ?
Posté par Fabien (site web personnel) . En réponse à la dépêche SystemRescueCD 0.3.1. Évalué à 2.
Ce genre d'outils de chiffrement peut s'avérer indispensable pour la récupération de données, il me semble qu'ils ont leur place dans ce genre de CD.
# EVMS + JFS ?
Posté par Fabien (site web personnel) . En réponse au journal XFS: demain j'arrête.... Évalué à 5.
J'utilise xfs sur un serveur perso (full xfs sur du raid1 software) et je n'ai jamais eu un seul problème avec malgré quelques arrêts brutaux (panne de courant et onduleur mal configuré). De plus, la commande xfsdump est des plus pratiques pour faire des sauvegardes (complètes, incrémentales, ...).
Tu as l'air décidé, tu as envie de changer de FS (et ta distrib, tu la gardes ?) alors je te propose JFS et si le coeur t'en dis, regardes du coté de EVMS.
Je les ai installé sur ma machine perso, EVMS révolutionne la gestion des disques/partitions/... , avec lui, fini les prises de têtes pour gérer un conteneur lvm2 sur du raid1 par exemple ( http://tigrou3tac.org/index.php?current=3&suite=1&ar(...) ).
J'ai donc utilisé jfs comme système de fichiers sur cette machine,evms et jfs provenant tous les deux de IBM. Je n'ai aucun reproche à lui faire, malgré là aussi quelques coupures brutales du PC (surchauffe dûe au ventilateur du processeur qui n'était pas assez puissant), il a toujours réussi à rattraper les erreurs.
Maintenant, quelque soit le système de fichiers que tu choisiras, évites de couper ton OS comme un porc.
JFS: http://jfs.sourceforge.net/
EVMS: http://evms.sourceforge.net/
PS: ce commentaire est une pub pour EVMS
[^] # Re: Linux Jaily
Posté par Fabien (site web personnel) . En réponse au journal Linux sécurisé, GRsecurity, RSBAC, PaX, SSP, libsafe, SElinux,.... Évalué à 2.
D'ailleurs, si je me rappelle bien, les auteurs du patch vserver proposaient il y a quelques temps leur patch avec grsecurity intégré. On se demande pourquoi ? :)
# Ma sécurité
Posté par Fabien (site web personnel) . En réponse au journal Linux sécurisé, GRsecurity, RSBAC, PaX, SSP, libsafe, SElinux,.... Évalué à 3.
Ensuite, j'installe un kernel grsecurity ( http://www.grsecurity.org(...) ) patché par mes soins, je trouve que c'est l'un des meilleurs "patchs" pour la sécurité niveau noyau, mais il demande du temps afin de comprendre / analyser / configurer ses nombreuses options. Attention à bien choisir les options du noyau, que ce soit pour la configuration de grsecurity ou pour celles des options de base du noyau (ça ne sert à rien d'avoir des fonctionnalités en trop, par habitude, je n'utilise jamais les modules, je n'active pas leur support ...)
Apres l'étape de configuration du noyau, une bonne chose à faire est de passer gradm en mode "apprenant", de restreindre les privilèges / accès / ... de certains programmes ... (grsecurity permet vraiment beaucoup de chose, voici une documentation bien qu'elle date un peu : http://tigrou3tac.org/index.php?current=3&suite=1&article=3(...) )
Ensuite, je configure le firewall (iptables + IMQ pour la qos) qui ne laissera passer que ce qui est autorisé et ce dans les 2 sens.
Viens ensuite la configuration des services. J'essaye d'en chrooter le maximum possible, et c'est là qu'intervient grsecurity, il "renforce" les chroots ( je pense qu'un chroot n'est valable que sur une machine grsecurity, peut être avec d'autres patchs noyau aussi mais je ne les connais pas). Ne pas oublier de bien configurer ces services et de définir leur portée (réseau local ou disponible depuis internet ?) , les utilisateurs autorisés à s'y connecter ... Dans le cas où plusieurs programmes sont en concurrence pour proposer un service, une bonne démarche à suivre serait d'étudier leur mode de fonctionnement, de savoir quelle politique sécuritaire ils utilisent (par exemple pour proposer un service ftp, à-t-on besoin de toutes les options de proftpd ? vsftpd ne serait pas plus adapté ?).
A présent que tous les services sont installés, configurés et sécurisés au maximum de leurs possiblités, il faut penser à espionner la machine, ce qui passe par l'installation d'un NIDS, de processus de surveillance ... en vrac, j'utilise snort (avec oinkmaster pour la mise à jour des règles), cacti et nagios pour superviser un peu le réseau, tiger pour un audit de sécurité du système.
Une fois la machine proprement installée, il ne faut pas oublier de faire les mises à jour, de consulter les listes de bugs/vulnérabilités/... de tous les composants du système (noyau, prog, ...) et d'étudier les logs générés (qui peuvent être assez conséquent si vous activez les bonnes options de grsecurity, mais rien ne pourra vous échapper :)
Voilà pour mes habitudes de configuration au niveau de la sécurité, ce n'est surement pas la meilleure solution mais je pense que ça m'apporte une bonne protection, surtout pour un particulier.
Tout ça pour dire que j'aime bien grsecurity, que je le recommande et que j'aimerais bien avoir des retours d'expérience de son utilisation avec des noyaux 2.6.x.y .
# C'est pas conseillé
Posté par Fabien (site web personnel) . En réponse au journal ENBD ou Équivalent ?. Évalué à 1.
Et comme dit plus haut, je ne sais pas si c'est une bonne idée de répliquer les configurations entre deux machines: tu auras 2 machines "identiques" donc si tu as un problème de configuration sur l'une tu l'auras sur l'autre, ça peut être problèmatique ...
Si tu veux faire du HA, je te propose une solution que je vais tester dans pas longtemps:
. Un linux avec LVS qui sera le chef d'orchestre du cluster HA (on peut "protéger" celui-ci avec une autre machine et hearbeat)
. et 2 -> X (X < 20 si tu utilises le nat) machines derrières et fournissant les services désirés. A toi de synchroniser ces services, j'entends par là l'arborescence d'un site web par exemple. Il n'est pas interdit de varier ces machines "esclaves", par exemple avec du Linux, du FreeBSD ... voir du Windows si tu veux.
En conclusion, et pour répondre simplement à ta question et sans chercher à t'en dissuader, tu peux regarder du coté de rsync, unison et consort pour la synchro de fichiers.
# EVMS
Posté par Fabien (site web personnel) . En réponse au journal Debian amd64 + RAID rulez. Évalué à 2.
EVMS est un projet développé par IBM et qui avait pour but principal de devenir le successeur de LVM, mais les dev noyau ont choisi LVM2.
L'équipe EVMS a choisi de continuer le projet et propose des patchs noyaux (bien qu'il ne soit pas obligatoire de patcher son noyau pour utiliser EVMS) et un utilitaire présent sous différent aspect ( evms en mode console, evms-gui en graphique et aussi une version ncurses). Il propose aussi une image initrd afin de démarrer les outils spécifiques à EVMS afin que le noyau reconnaisse les nouvelles partitions.
EVMS permet grâce à un seul outil de gérer du RAID/LVM(2)/FS(jfs,xfs ...).
En gros, tu te serais fait autant chier à installer tout ça, mais apres c'est que du bonheur car un seul outil. Néanmoins, les utilitaires raid et mdadm par exemple reste compatibles, EVMS utilisant le driver MD du noyau.
le lien vers le site ->http://evms.sourceforge.net/(...)
Je ne sais pas si j'ai été tres clair, mais il me semble que ce projet mérite d'être plus connu.
[^] # Re: Aux dernières nouvelles
Posté par Fabien (site web personnel) . En réponse au journal LiLo ou GRUB ?. Évalué à 2.
station de travail avec 2 disques SATA 160Go chacun
pas de disque dur IDE
noyau 2.6.10-ck5-udm1 (patch con Kolivas et patch evms)
j'ai choisi grub comme bootloader
objectif:
/boot <- raid1 ( /dev/sda2 et /dev/sdb2)
swap <- raid0 ( /dev/sda3 et /dev/sdb3)
une grosse partition (50Go, partition logique) en raid1 (/devsda5 et /dev/sdb5), cette partition est ensuite déclarée en lvm2, puis je "découpe" en volume logique / /usr /var /home et encore un peu de place pour les agrandir si besoin se fait sentir.
le tout en jfs (sauf la swap biensur :)
je boot avec grub:
root (hd0,1)
kernel /vmlinuz-2.6.10-ck5-udm1 root=/dev/evms/root ramdisk=8192
initrd /evms-2.5.1-1....
et quand j'en ai envie je peux modifier ponctuellement cette configuration pour root (hd1,1) qui correspond à la partition /boot mais stocké sur le deuxième disque.
Tout ça pour dire que le mode commande de grub est relativement puissant. Jusqu'à maintenant, il m'a toujours rendu les meilleurs services possibles ( evms, jfs, xfs, ext2/3 ...).
Une chose est sûre, si tu bidouilles ta distrib (plusieurs noyaux, possibilité de passer plusieurs paramètres au noyau lors du boot ...) , grub se révèlera plus puissant que lilo.
Sinon question estétique: je m'en fous :)