Benjamin Combe

Monitoring MS SQL Cluster on windows with Zabbix

Thu, 21 May 2015 00:00:00 +0000

The goal is to monitor an active/passive cluster of MS SQL server in Zabbix We will try to use a minimalist approach.

1. Install Zabbix on all nodes

Configure each zabbix agent as active and passive

2. Declare each hosts and add a windows template on them

This will enable basic monitoring on each hosts. Use an active Windows template, so that the agent will send its data to Zabbix.

3. Create another host for the cluster

Use a passive MS SQL Template, and declare the VIP/Cluster DNS, so that Zabbix will go fetch its information directly on the active node.

This way, each node is monitored, and the active node has MS SQL Monitoring enabled.

Configuring a read-only user in Tomcat to add JMX authentification

Fri, 10 Apr 2015 00:00:00 +0000

The goal is to configure the Tomcat startup script in order to create a readonly user to read data from the JMX interface. Then we use that user in Zabbix to connect to the JMX console

1. Create or update your setenv.sh to allow for jmx and add authentication

If it does not exist, create a env.sh file in your $CATALINA_HOME/bin. It will contain all info on the jmx remote interface.
From the tomcat documentation

#!/bin/sh
# Allow jmx remote
CATALINA_OPTS="$CATALINA_OPTS
-Dcom.sun.management.jmxremote=true
-Dcom.sun.management.jmxremote.port=8888
-Dcom.sun.management.jmxremote.ssl=false
-Dcom.sun.management.jmxremote.authenticate=true
-Dcom.sun.management.jmxremote.password.file=$CATALINA_HOME/conf/jmxremote.password
-Dcom.sun.management.jmxremote.access.file=$CATALINA_HOME/conf/jmxremote.access
-Djava.rmi.server.hostname=SERVER_IP
"

2. Create the access and password file

Here we create the jmxremote.access to add a monitorZabbix user with readonly permission. We adjust the rights so only tomcat can read it.

cd $CATALINA_HOME/conf
echo "monitorZabbix readonly" > jmxremote.access && chmod 400 jmxremote.access && chown tomcat:tomcat jmxremote.access

Here we create the jmxremote.password to define the password for the monitorZabbix user declared previously. We adjust the rights so only tomcat can read it.

cd $CATALINA_HOME/conf
echo "monitorZabbix PASSWORD" > jmxremote.password && chmod 400 jmxremote.password && chown tomcat:tomcat jmxremote.password

3. Declaring the user in Zabbix

On the host screen, create the two following macros. If needed/wanted you can declare them on the template level.

{$JMX_USER_NAME} = monitorZabbix
{$JMX_PASSWORD} = PASSWORD

A website reborn

Thu, 09 Apr 2015 00:00:00 +0000

Tech.arthion.fr is no more ! Welcome to benjamin.combe.pm !

The old articles, in french, have all be imported, imported from their own old git repo. This website is now hosted on Github Pages (see it's repo ), with the easy start template jekyll now.

From now on I think the future articles should be in English, as they would be able to help a lot more people.

Ruby: Variables multilignes

Sat, 19 May 2012 00:00:00 +0000

Pour créer un retour chariot dans une chaine de caractères, il est possible d'utiliser le caractère d'échappement \n.

Cependant cette approche n'est pas forcément lisible si la variable présente plusieurs lignes. Il est possible de créer une variable multiligne de la manière suivante :

variable=<<TEXT
Voici le contenu de la variable
Présenté sur plusieurs lignes
Il n'est pas nécéssaire d'utiliser le caractère d'échappement.
TEXT

A noter qu'il est important de ne pas mettre d'espaces entre le symbole égal et <<.

Ruby : les operateurs unaire

Fri, 18 May 2012 00:00:00 +0000

J'ai découvert aujourd'hui les opérateurs unaire en ruby (unary operators).

L'occasion de se rendre compte qu'on les utilise régulièrement mais que leur nom nous est inconnu.

En math, une opération unaire est une opération avec un seul membre. En ruby, c'est similaire, un opérateur unaire ne prend qu'un seul argument. Par exemple le - de -8 ou ! de !true.

Il est opposé à l'opérateur binaire, qui prend deux arguements, comme 2 + 3.

Ainsi, par défaut, l'opérateur unaire - permet de définir un nombre négatif, tandis que + définit un nombre positif. Il existe également le ~ qui renvoie l'opposé binaire d'un entier. Enfin, ! renvoie l'opposé d'un opérateur true or false.

L'article qui m'a permis de découvrir le concept est l'article très complet de rubyinside sur ce sujet, mais qui traite de la redéfinition de ces opérateurs.

Héberger son serveur git privé

Thu, 17 May 2012 00:00:00 +0000

Prérequis au déploiement de ce site, (enfin, il existait d'autres solutions, mais j'ai choisi git pour la gestion du blog), il a été nécéssaire de mettre en place un serveur Git sur le VPS.

Cela est également l'occasion d'y heberger les dépots privés (ce blog, jeu.arthion.fr, quelques petits projets qui ne sont pas dignes d'être sur github), et pour un aussi petit volume de dépots, il n'était pas nécéssaire de prendre un abonnement payant.

Voici donc en quelques étapes comment mettre en place un serveur git sur son serveur. Ca va être rapide ;).

Mise en place du serveur

Ces instructions sont pour un VPS tournant sous Débian 5, mais devraient rester identiques sur Ubuntu.

Pour isoler les dépots du reste du système, et permettre un éventuel partage de dépot avec des amis, on va créer un utilisateur appelé git :

sudo adduser git

A partir de là, on va ajouter les clés pour permettre une authentification sans mot de passe :

sudo mkdir /home/git/.ssh
sudo chown -R git:git /home/git/.ssh
sudo chmod 700 !$

Sur la machine de developpement :
scp ~/.ssh/idrsa.pub git@server.com:.ssh/authorizedkeys

On sécurise la clé sur le serveur : sudo chmod 600 /home/git/.ssh/*

Il est désormais possible de vous authentifier sans mot de passe en tant qu'user git, on va tester sur la machine de dev: ssh git@server.com

Ajouter les dépots sur le serveur

Sur le serveur, effectuez cette commande pour initier un dépot vide, a répéter pour chaque dépot qu'on voudra transférer depuis la machine de dev : git --bare init nom_dépot.git

Quittez le serveur, les dernieres étapes sont à effectuer en local.

Configurer la machine de développement

Si vous avez déjà configuré votre dépot pour Github par exemple, on va supprimer le remote déjà enregistré avec : git remote rm origin

A noter qu'il est également possible de nommer le remote vers votre serveur autrement, cette étape est donc optionnelle.

On ajoute alors le nouveau remote :

git remote add origin ssh://git@myserver.com:2207/~/myrepo.git
git push origin master

Et voila ! Si vous souhaitez conserver le remote origin déjà en place, utilisez un autre nom (j'utilise vps). Mes commandes push sont alors git push vps master.

Pour ne pas avoir à répéter origin master, on peut indiquer à git le remote et une branch par défaut : git config branch.master.remote origin && git config branch.master.merge refs/heads/master

Et voila, désormais vous pouvez utiliser git push et git pull et vos dépots seront sauvegardés sur votre serveur.

Nota : Si vous souhaitez un environnement multi-utilisateur avec un fort controle sur les dépots, je vous invite à vous renseigner sur Gitolite

Utiliser Pageant pour charger automatiquement des cles

Wed, 16 May 2012 00:00:00 +0000

Pageant est un outil intégré à Putty permettant de garder des clés en mémoire. L'outil se trouve dans le dossier d'installation de Putty. Cependant il est pénible de les charger à la main.

Heureusement Pageant permet de charger automatiquement une ou plusieurs clés privées au lancement. Il suffit de les passer en paramètre sur la ligne de lancement (ou sur le raccourci) :

 C:\PuTTY\pageant.exe d:\main.ppk d:\secondary.ppk

(Pour le raccourci ajouter un espace après le dernier guillemet et entrer les chemins vers les clés sans guillemet) Si les clés sont protégées par mot de passe, il vous sera demandé au lancement, impossible d'y couper. Si Pageant est déjà lancé, les clés seront ajoutées au process existant.

Pratique !

Déploiement du site

Wed, 16 May 2012 00:00:00 +0000

J'ai migré le site sur un VPS, après plusieurs mois sur le routeur. Ce fonctionnement a été une réussite et a correctement fonctionné sans aucun accroc sur toute la durée.

Le gros inconvénient motivant la migration est que je ne pouvais pas générer le site directement sur le routeur, par faute de ressources trop faible. Il était donc nécéssaire de générer le site en local, soit dans une VM Ubuntu, ce qui n'est pas particulièrement aisé pour poster au quotidien. (Lancer une VM uniquement pour écrire un post est un peu rebutant.)

J'ai donc opté pour un petit VPS pour :
- Parfaire ma maitrise de l'administration Linux (le VPS tourne sous une débian)
- Pouvoir générer le site directement sur la machine

Cela me permet donc de simplement éditer mes articles sur toutes mes machines, et de les envoyer via git sur le serveur.

Une fois arrivé sur le serveur, j'ai créé un Post-receive hook afin d'éxecuter automatiquement les commandes suivantes, basé sur les conseils suivants:

GIT_REPO=$HOME/myrepo.git
TMP_GIT_CLONE=$HOME/tmp/myrepo
PUBLIC_WWW=/var/www/myrepo

rvm gemset use jekyll
git clone $GIT_REPO $TMP_GIT_CLONE
jekyll --no-auto $TMP_GIT_CLONE $PUBLIC_WWW
rm -Rf $TMP_GIT_CLONE
exit

Ce qui permet à chaque git push de générer le site directement en production. Ce premier article sera le premier test pour ce mode de déploiement ;)

Normalement ce nouveau fonctionnement me simplifiera grandement l'envoi d'article, et donc me permettra de poster plus souvent ! J'espère pouvoir poster des articles sur l'administration de VPS, ruby et autre.

Debrief sur une attaque web

Sun, 05 Feb 2012 00:00:00 +0000

Par un frais soir d'hivers, au détour de quelques pages web, je fais un tour sans forcément de raison sur un de mes blogs wordpress.

Quelle horreur quand j'ai découvert que le site n'était plus accessible. Apparemment, php5 n'était plus activé. Ceci étant défini par un fichier.htaccess chez OVH, je me connecte sur mon hébergement par FTP.

Je récupère le .htaccess fautif et constate qu'il a été altéré pour comprendre des redirections en fonction d'user agent. Mais surtout qu'ils se sont plantés et qu'ils ont cassé le blog.

Immédiatement inquiet, je cherche à trouver quels sont les fichiers modifiés et surtout depuis quand.

Trouver tous les fichiers mis à jour depuis X jours (X = nombre de jours)

find . -mtime -X

A l'aide de cette commande je trouve que tous les fichiers .htaccess de mes sites ont été modifiés le même jour, la veille.

Afin de déterminer la source de la faille, je consulte les logs chez OVH (quelques recherches google m'ayant montré que le probleme pouvait venir d'un compte FTP compromis, je cherche à voir les logs FTP.

L'adresse pour consulter ces logs est la suivante : https://logs.ovh.net/adresse_hebergement/

Cela me permet de constater qu'en effet, la faille vient de là. Je bloque immédiatement l'accès par FTP, et commence à remettre en place les fichiers d'origine via SCP, en utilisant les snapshots d'OVH accessible à l'adresse FTP habituelle mais en modifiant le login par login-snapX, avec X = 1 3 5 30 en fonction du nombre de jours souhaités.

Les sites étant de nouveau d'aplomb et fonctionnels, je ne peux m'empecher de me demander si le compte est compromis depuis longtemps.

L'épluchage des logs remonte une trace depuis l'été précédent, avec quelques fichiers ajoutés à mon insu, mais sans toujours aucun téléchargement de fichier compromettants.

Néanmoins, je modifie tous les mots de passe d'accès aux bases de données, et je réinstalle à neuf toutes les parties de mes sites.

Lecon retenue :

FTP est un protocole véritablement dépassé, qui transmet les mots de passe en clair. Une de mes connexion à du etre interceptée, ou le mot de passe FTP a tout simplement été brute forcé.

Désormais l'accès FTP est désactivé pour mon hébergement, sauf en cas de besoin.

Héberger son site sur son routeur

Wed, 01 Feb 2012 00:00:00 +0000

Ce site est hébergé sur mon routeur Asus WL 500Gp, flashé avec un firmware openwrt et utilisant ma connexion personnelle.

Le serveur qui vous sert ces pages est lighttpd. Il est configuré pour servir deux sites : jeu.arthion.fr et tech.arthion.fr.

Ceci est réalisé en ajoutant quelques lignes au fichier lighttpd.conf un guide complet

## jeu.arthion.fr
$HTTP["host"] =~ "jeu.arthion.fr" {
server.document-root = "/www/games/_site"
}

J'utilise le moteur de blog (un parseur de texte en ruby) Jekyll afin de générer les pages du sites en format HTML à partir de fichier texte rédigés avec la syntaxe Markdown.

Lors de la création du site, j'ai utilisé comme base les deux ressources ci-dessous très utiles pour découvrir jekyll : Jekyll bootstrap et ... Jekyll bootstrap template

Pour la feuille de style, j'utilise le boilerplate Bootstrap de Twitter.

Enfin, pour la partie esthétique, j'ai adapté du mieux que j'ai pu l'excellent thème wordpress Vostok

Les sites sont mis à jour à l'aide de git. Le theme est disponible sur https://github.com/kamiben/Jekyll-bootstrap2-template--french-