Blog Blog - Commentaires

Serveur Debian - versionning de fichiers - Merwok

Merwok — Thu, 21 Aug 2008 21:06:03 +0200

Pas mal ce guide, merci :)

Je préfère largement les systèmes de gestion de versions décentralisés (Mercurial ♥) aux centralisés (dont Subversion est le meilleur, je reconnais), mais les scripts sont des bons modèles.

Cordialement

Serveur Debian - Iptables - Seza

Seza — Mon, 04 Aug 2008 20:12:33 +0200

EDIT : J'ai fait une petite mise à jour du tuto pour que ça soit plus clair.

Serveur Debian - Iptables - Seza

Seza — Mon, 04 Aug 2008 19:52:38 +0200

Oui ! Exact dans la précipitation je n'ai pas fait attention.

Néanmoins cette ligne n'est pas obligatoire si les connexions déjà établies sont autorisées par la ligne :

iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -m state --state RELATED,ESTABLISHED -j ACCEPT

La ligne que j'ai indiqué avec le --dport permet à la machine distante d'utiliser sont client ssh pour se connecter elle-même à une machine.

Serveur Debian - Iptables - Jb

Jb — Mon, 04 Aug 2008 14:04:23 +0200

La règle qu'il faut ajouter en OUTPUT n'est pas
iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -p tcp --dport 22 -j ACCEPT
mais
iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -p tcp --sport 22 -j ACCEPT
(il suffit de changer dport en sport), en effet, les connexions quittant le serveur SSH ont pour ORIGINE le port 22 mais pour DESTINATION un port arbitraire, déterminé par le client.

Serveur Debian - Iptables - Seza

Seza — Wed, 30 Jul 2008 12:11:55 +0200

Je n'ai jamais eu ce genre de problème. As-tu vérifié que les règles étais bien lancée au démarage ? J'imagine que oui. Et ça ne te le fait que pour SSH ou pour toutes les règles entrées ?

Désolé de poser autant de questions mais il faut des infos pour cerner le problème (quand on y arrive).

Serveur Debian - Iptables - Gaara

Gaara — Wed, 30 Jul 2008 06:26:15 +0200

Rien changé car comme dit plus haut, il me suffit de redémarrer iptables pour que cela marche ...
La règle n'est pas prise en compte lors du redémarrage du serveur, mais que lorsque je redémarre iptables ...

Bizarre non ?

Serveur Debian - installation de l'OS - Seza

Seza — Fri, 25 Jul 2008 18:54:56 +0200

Merci du conseil, je ne me suis pas sérieusement penché sur ntpdate sont fonctionnement étant très simple. Ta remarque est très judicieuse et je te remercie pour le conseil.

Serveur Debian - mysql - Seza

Seza — Fri, 25 Jul 2008 18:52:51 +0200

Oui ils sont désactivé en connaissance de cause, InnoDB fonctionne parfaitement sans log binaire.
Les logs binaires sont très utile pour géré les restaurations en cas de crash, la réplication de serveur etc... mais sont aussi consommateur de ressources.
Pour ma toute petite machine qui tient se blog j'ai fais ce choix de ne pas le utiliser. Je fais un instanné avec mysqldump de temps en temps et ça me suffit en terme de sauvegarde. Tant pis si je perd quelques post ou quelques commentaires.
Bien entendu c'est un choix à faire en connaissance des risques que l'on prend (et que j'aurais du expliquer dans ce tuto sûrement).

Serveur Debian - mysql - megar

megar — Fri, 25 Jul 2008 18:23:45 +0200

Oula, grosse erreur:
Tu utilises inno-db (bien !)
mais tu désactives les logs binaires. C'est pas bien du tout ça. D'ailleurs je ne savais pas qu'on pouvait utiliser innodb sans les binlog (tu es sûr qu'ils ne sont pas activés quand même ?)
Je crois que la gestion transactionnelle les utilise. Mais sinon, en cas de crash, c'est les logs qui peuvent te sauver la vie (si tu as une sauvegarde des fichiers de la base à chaud).
Mais si tu fais tes sauvegardes avec mysqldump, désactivier les logs, c'est une mauvaise habitude, surtout sur des serveurs plus consistants.

Serveur Debian - installation de l'OS - megar

megar — Fri, 25 Jul 2008 17:24:51 +0200

Utiliser ntpdate, c'est bien. Planifier l'exécution c'est très bien. Mais utiliser ntpd, c'est encore mieux, car cela évite d'avoir des "trous" quand l'horloge passe de 3:33:00 à 3:33:45 (ou pire à 3:32:10).
En effet, ntpd va "accélérer" ou "réduire" l'horloge pour être toujours synchrone.

J'ai acheté une carte mère le mois dernier qui avait un décalage de 6 minutes par heure (!!!). Je l'ai renvoyée et juré de ne plus acheter de carte mère d'entrée de gamme (pourtant une grande marque)

Les protocoles réseaux ralentissent la communication - Seza

Seza — Fri, 25 Jul 2008 15:32:49 +0200

Salut,

Alors c'était du MyIsam (pour la source comme pour la destination) donc pas de transaction, de foreign key, de contrainte à vérifiée etc... je te passe les détails tu sembles connaître le sujet.

J'avais testé avec des INSERT classique sans delayed. Le serveur de destination n'était vraiment pas occupé, ni en CPU, ni en utilisation disque.

J'aurais été en InnoDB (Moteur de table que je connais moins bien) j'aurais procédé différemment c'est clair.

Néanmoins il y a des choses à testé que je n'ai pas testé à l'époque. Comme Locker les tables en écriture avec de boucler dessus. Visiblement Le locking consomme énormément de temps sur un INSERT en MyIsam car effectuer un INSERT ... SELECT ... quand c'était possible c'était avérer être une solution intermédiaire très payante.
La désactivation de la mise à jour des index aussi n'a pas été essayé ce qui est aussi très consomateur de temps néanmoins je m'étonne tout de même du peu de ressource consommé par le serveur à ce moment là.

Aurais-tu d'autres idées ?

Les protocoles réseaux ralentissent la communication - megar

megar — Fri, 25 Jul 2008 13:07:09 +0200

Et l'insertion mysql, comment as-tu procédé ?

une transaction ? d'ailleurs quel moteur de table est utilisée pour la cible ?
insert delayed ?
auto_commit=0
FOREIGN_KEY_CHECKS=1;

Si tu n'as pas optimisé, tu forces le serveur à faire une ecriture sur le disque (+ vérif foreign key et création index) à chaque ligne + un sync (très couteux en temps). Es-tu sûr que c'est vraiment uniquement le protocol overhead qui est responsable de cette énorme différence ?

Serveur Debian - Iptables - Seza

Seza — Fri, 18 Jul 2008 13:05:55 +0200

Ton ssh est bien sur le port 22 ? Tu n'a pas changer le port pour le sécuriser par hasard ?

Serveur Debian - Iptables - Gaara

Gaara — Fri, 18 Jul 2008 11:26:22 +0200

Bonjour,

Pour se qui est de l'IP j'ai mit celle de mon serveur et j'ai aussi supprimé le proto UDP.
Par contre cela ne marche toujours pas, je dois toujours redémarrer iptables-conf pour que ma règle 22 soit prise en compte... ?

Cordialement.

Serveur Debian - Iptables - Seza

Seza — Thu, 17 Jul 2008 15:11:52 +0200

Bonjour,

Merci pour tes compliments. La première chose que je remarque c'est l'adresse IP dans ta ligne de commande. Es-tu sûr de celle-ci ?
Sinon seul le proto TCP est nécessaire tu peux enlever la seconde ligne avec le proto UDP pour le SSH. Une dernière chose si tu filtres en entrant et en sortant comme dans mes exemples. N'oublies pas d'autoriser SSH à sortir avec cette ligne :

iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -p tcp --dport 22 -j ACCEPT

J'espère que je t'aurais aidé.

Serveur Debian - Iptables - Gaara

Gaara — Wed, 16 Jul 2008 20:28:20 +0200

Bonjour,

Tout d'abord je tiens à te dire que ton tutos est génial j'ai réussi à config mon iptables.

Par contre j'ai un soucis lorsque je redémarre mon serveur je ne peut plus accéder en ssh à ma machine ...

J'ai pourtant ajouté :

iptables -t filter -A INPUT -i eth0 -d 10.0.0.2 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -d 10.0.0.2 -p udp --dport 22 -j ACCEPT

Dans les règles du fichier iptables ...

Cordialement.

Serveur Debian - Serveur email (MTA + MDA) - Alpha-Omega

Alpha-Omega — Thu, 19 Jun 2008 16:18:06 +0200

"le répertoire utilisateur est créer par le MTA automatiquement." Certes, mais la documentation de Postfix conseille de les créer manuellement. :

Le courrier livré est ajouté avec les privilèges des UID/GID indiqués par les paramètres virtual_uid_maps et virtual_gid_maps. Les versions 2.0 et supérieures de Postfix ne créent pas les répertoires de boîtes-aux-lettres dans des répertoires positionnés en écriture pour tout le monde Vous devez les créer par avance. Postfix peut être en mesure de créer les boîtes-aux-lettres lui-même suivant les permissions d'écriture sur le répertoire parent, mais il est préférable de les créer avant.

source: http://postfix.traduc.org/index.php...

Serveur Debian - vsftpd - Seza

Seza — Sun, 06 Apr 2008 15:32:42 +0200

Bonne nouvelle Castrogne !

Les commentaires sont là pour montrer les variantes =) Je mettrai le tuto à jour quand la version stable sera mise à jour pour rester cohérent avec le reste des autres tutoriels.

Merci pour les nouvelles :)

Serveur Debian - vsftpd - castrogne

castrogne — Sun, 06 Apr 2008 08:21:48 +0200

Salut,

Merci, ça marche impec avec la ligne de commande db4.6_load. En fait j'avais cherché via "apt-cache search" une commande dont le nom approchait, mais je sais pas pourquoi, je l'avais pas vu :).

Je vais essayer de mieux comprendre ta recherche, afin que je sois cappable de la refaire. N'oublies pas de signaler la modif au cas ou dans l'article.

Merci bien!!

Serveur Debian - vsftpd - matthieu

matthieu — Thu, 03 Apr 2008 17:59:13 +0200

Re.. c'est bon en ouvrant les ports de 62000 a 63000 en udp et TCP ça fonctionne, Merci à toi :)