documentation

Réseaux Cisco

leonard — 2022-08-14T16:43:02Z

I - Cisco

https://he.net/3d-map/
https://zed-network.fr/
Marque propriétaire, incontournable du réseau.

II - CLI (Commande Line Interface)

Interface de lignes de commandes permettant d'entrée sur du matériel réseaux Cisco pour les configurer et les gérer.

II.a - Commandes utiles

enable : pour passer en privilège.

configuration terminal ou conf t : pour passer en mode configuration.
interface : configurer une interface réseau.

show ? : man de la commande show.
show ip interfaces brief
sh run interfa : n'affiche que l'interface souhaité.

include équivalent à grep dan le bash. sh run | include secret (pour n'afficher que les mots de passe.)

begin toto est comme un grep ^toto : affichera tout ce qui commence par toto.
#sh run | begin access-list 1

II.b - Liens intéressants

Sur les switchs :
https://www.ciscomadesimple.be/2014/07/24/switching-fundamentals-table-dadresses-mac-content-addressable-memory-cam-table/

II.1 - Les différents modes.

Pour sortir d'un mode :
exit

II.1.1 - Mode Utilisateur : User EXEC Command

On peut faire des ping ou passer les commandes show (afin d'afficher des informations).
NomDuRouter> s'affiche quand on est dans ce mode. À partir de ce mode, on peut passer en mode Privilège grâce à la commande enable.

II.1.2 - Mode Privilège : Privileged EXEC Command

Équivaudrait au root système. On peut passer les commande utilisateur mais aussi d'autres commandes de manipulations de fichiers ou de passer en mode debug.
NomDuRouter# s'affiche lorsqu'on est dans ce mode. De ce mode, on peut passer en mode « Configuration Globale » avec la commande configure terminal.

II.1.3 - Mode configuration Globale : Global Configuration command

C'est un sous-mode du mode Privilège. On peut ainsi passer des commandes de configuration, comme la modification du hostname... Aucune commande du Mode Privilège n'est possible.
NomDuRouter(config)# s'affiche lorsqu'on est en mode configuration globale.

Depuis ce mode on peut passer à 3 autres sous-modes :

II.1.3.1 - Mode Interface

Le mode configuration d'interfaces (Interface command) permet de configurer les adresses, les masques, etc. des interfaces réseaux.
NomDuRouter(config-if)# apparaît quand on est dans ce mode. On doit entrer « interface + » le nom de l'interface pour entrer dans ce mode. Exemple :

NomDuRouter(config)# interface FastEthernet 0/1

II.1.3.2 - Mode de configuration du Routage

Permet de configurer les protocoles de routage.

NomDuRouter(config-router)# s'affiche quand on est dans ce mode.

II.1.3.3 - Mode de configuration en Ligne

Permet de configurer la sécurité du routeur.

NomDuRouteur(config-line)# s'affiche quand on est dans ce mode.

II.1.4 - Résumé

Mode	résumé
Router>	User EXEC mode
Router#	Privileged EXEC mode
Router(config)#	Configuration de mode (notice the # sign indicates this is accessible only at privileged EXEC mode)
Router(config-if)#	Interface level within configuration mode
Router(config-router)#	Routing engine level within configuration mode
Router(config-line)#	Line level (vty, tty, async) within configuration mode

II.2 - Configuration Routeur

La commande :

configure terminal

Permet de passer en mode Configuration Globale.

Il existe l'autocomplétion dans le CLI et la gestion des erreurs lors d'une faute de frappe d'une commande :
exemple :

hostmame routeur1 ^

pour obtenir de l'aide :
hostname ?

II.2.1 - Exemple simple

Nommer le routeur "routeur1" :

hostname routeur1

Pour afficher la config du routeur :

Passer en mode privilège (exemple sur un routeur basique) :

IR800>enable IR800#show running-config

résultat :

IR800#show running-config
Building configuration...

Current configuration : 1062 bytes
!
version 15.5
service timestamps log datetime msec
service timestamps debug datetime msec
no service password-encryption
!
hostname IR800 <--- Nom du Routeur, ici : IR800
!
! <<< Liste des interfaces >>>>
!
interface GigabitEthernet0
no ip address
duplex auto
speed auto
shutdown
! On voit qu'au niveau de cette interface il n y a pas d'adresse IP. (no ip address
! shutdown veut dire que le port est éteint.
! ...
!
end

Personnaliser la bannière :

La bannière ou banner est le texte qui s'affiche à la connexion.

cell-ci apparait en bas (?)

il faut être en mode config.

configuration terminal

Routeur1(config)# banner login % Enter TEXT message. End with the character '%'. Vous tentez d'entrer sur mon $(hostname) %

banner login puis %, le % est notre symbole de fin de message. une fois appliqué, le message sera stoppé.
On peut en choisir d'autre, au choix.

Voir la liste des interfaces réseau :

IR800#show ip interface brief Interface IP-Address OK? Method Status Protocol GigabitEthernet0 192.168.0.254 YES manual down down GigabitEthernet1 unassigned YES unset up up GigabitEthernet2 unassigned YES unset down down GigabitEthernet3 unassigned YES unset down down GigabitEthernet4 unassigned YES unset down down

Configurer une interface réseau.

Pour cela il faudra traverser différents mode :
être en privilège : enable pouis passer en mode configuration : configuration terminal ou conf t (voir abréviations). puis interface

IR800(config)#interface GigabitEthernet0 IR800(config)#ip address 192.168.0.254 255.255.255.0 IR800(config)#interface GigabitEthernet0 IR800(config-if)#no shutdown

(pour activer l'interface)

Explications :

interface GigabitEthernet0/0/0 ip address 192.168.1.254 255.255.255.0 duplex auto speed auto media-type rj45 no cdp enable

La première ligne est l'adresse que nous lui avons définie

La deuxième ligne signifie que le canal de communication s'auto-configure entre deux choix possibles. En auto, l'interface s'adaptera au terminal sur lequel elle est branchée (s'il peut faire du full-duplex il le fera) :

- Le full-duplex qui signifie que les câbles communiquent dans les deux sens de circulation en même temps (plus rapide).

- Le half-duplex qui signifie que les câbles communiquent dans un seul sens à la fois (plus lent).

La troisième ligne signifie que la vitesse se gère automatiquement, dans ce mode l'interface choisira la vitesse la plus rapide possible en fonction de l'appareil sur lequel elle sera branchée. Ici elle va choisir 1 Gbps (1 Giga bit par seconde).

La quatrième ligne définit le type de port physique (quel câble peut-on brancher), ici il s'agit d'un câble RJ45, un câble Ethernet.

La dernière ligne signifie que « cdp » (pour CISCO DISCOVERY PROTOCOL) n'est pas activé. Il s'agit d'un protocole propriétaire de CISCO qui découvre les périphériques (routeur, switch, etc.) branchés directement sur son interface.

II.3 - Raccourci et abréviations

II.3.1 - Raccourcis clavier

II.3.2 - Abréviations

Ce sont des "raccourcis" de commandes, pour aller plus vite.

Routeur1# configure terminal

Elle peut s'abréger par la commande :

Routeur1# conf t

Cette commande fonctionne car elle ne créé pas d'ambiguïté avec une autre commande qui commencerait par conf et avec une autre option commençant par t.

Routeur1# show running-config

Qui devient :

Routeur1#: sh run

Pour la copy :

copy running-config startup-config devient

copy run start

II.4 - Sauvegarde de la configuration

Il existe deux manières de garder la conf en mémoire : en RAM et sur le disque du routeur, cette dernière ne se fait pas automatiquement.

Les modifications seront vérifiables avec le show running-config (qui est celle en cours stockée en RAM).
Afin de s'assurer qu'il y a déjà une sauvegarde sur le disque et que celle-ci est configurée sur l'interface, il faut taper la commande :
show startup-config

si le message startup-config is not present apparaît, c'est que rien n'a été entreprit.

Il faut dans ce cas copier la conf qui fonctionne dans le startup, afin de la rendre pérenne.

copy running-config startup-config

désormais, show startup-config renvoie bien quelque chose...

La commande write-memory va remplacer le fichier startup par celui de mémoire, alors que le copie fusionnera les deux.

III - VLAN

Un VLAN pour Réseau Privé Virtuel permet de scindé de manière logique (et non physique) différents LAN entre eux pour qu'ils ne puissent pas être joignables l'un à travers l'autre.

Un même Switch peut scinder le LAN en plusieurs VLAN.

Cela permet d'allouer plus de bande passante pour un réseau particulier (la VoIP par exemple) on a ainsi un gain de qualité, d'optimisation en scindant un même réseau physique et accentuer la sécurité afin d'éviter d'avoir accès à TOUT le réseau LAN.

III.1 - Trame d'un VLAN

La trame est sensiblement la même que celle du protocole TCP/IP ; néanmoins, il y a une modification, le protocole 802.1q (nommé aussi en anglais DOT1q) ajoute 4 octets (2 pour le VLAN et 2 pour l'Ether type).

III.2 - Configuration VLAN

Il faut se connecter avec les privilèges puis :

conf t vlan

ou
vlan

on peut le nommer en se mettant en config vlan :

#vlan  #name toto

le VLAN est créé, il faut désormais rattacher les interfaces que l'on veut mettre au VLAN.

interface fastEthernet 0/2 switchport access vlan

Vérification en mode privilège :

# sh vl (pour show vlan) 3 toto active Fa0/2

on y voit cette ligne où l'interface est désormais isolée des autres réseaux en étant rattaché au vlan 3 "toto".

III.3 - Stopper un VLAN

En mode privilège, conf t :

(config)#no vlan

puis / !\ Bien supprimer le rattachement de l'interface !
(config-if)#no switchport access vlan 3

III.4 - faire passer plusieurs VLAN sur le même câble (Trunk)

Imaginons que les deux serveurs du dessus doivent faire partie d'un même VLAN séparé des deux autres en bas ; en sommes, ceux du bas ne doivent pas communiquer avec ceux du haut.

Le VLAN2 sera celui qui réunit les deux serveurs du haut, et le VLAN3, celui du bas.

Sur les deux switch il faudra créé les vlan2 et 3.
Configurer les interface qui raccordent les postes avec les vlan appropriés.
Configurer les interfaces reliant le câble réseau qui rattache les switchs entre eux en mode trunk (car chaque port devra porter 2 vlan différents).

création des vlan (sur chacun des switchs) :

passage en privilège :
en
config général :
conf t
création de vlan 3 et 2 :

 vlan 2-3 exit

config de l'interface qui relie le premier poste (ici PC3, donc interface Fa0/4)
int fa0/4
puis dans l'interface, on autorise l'usage du vlan 3 :

 switchport access vlan 3 exit

on refait pour port 0/3... pour vlan 2

Pour Trunker (sur chacun des switchs) :

passage en privilège :
en
config général :
conf t
on configure l'interface qui relie le second switch et qui portera vlan 2 ET vlan 3 en activant le mode trunk et en autorisant vlan 2 et 3 :
int fa0/2

 switchport mode trunk switchport trunk allowed vlan 2-3

idem sur port fa 0/1 du second switch.

On peut pinguer PC3 et PC2 mais pas les laptops.

On peut voir notre conf vlan avec :
sh vlan

IV - Créer des accès entre VLAN.

L'idée étant de pouvoir accéder, depuis un réseau extérieur aux VLAN préconfigurés, aux switchs.

IV.1 - Créer une IP Virtuelle.

L'idée étant d'accéder depuis un poste extérieur aux VLAN à un switch (qui n'a pas d'IP).

On créé tout d'abord le vlan que nous nommerons vlan 99 puis on créé une IP virtuelle :

(config)#int vlan 99 Switch(config-if)#ip address 192.168.99.2 255.255.255.0 Switch(config-if)#no shutdown

puis on associe le port physique du switch au vlan 99 en rendant up le port en question.

switchport access vlan 99 no shutdown

IV.2 - Ajout de vlan dans un trunk

VLAN 2 et 3 sont déjà dans un trunk respectif mais ne peuvent pas communiquer ensemble. On aimerait que le vlan99 puisse ping les IP virtuelle de Switch 1 et 2.
Il faut pour se faire ajouter le vlan 99 au trunk déjà existant pour atteindre le switch 2 :

#conf t
sur l'interface où est configuré le trunk :
(config-if)#switchport trunk allowed vlan add 99

Au sujet du trunk, tutos :
https://community.cisco.com/t5/networking-knowledge-base/how-to-define-the-vlans-allowed-on-a-trunk-link/ta-p/3131083

IV.3 - Communiquer entre vlan via un routeur

L'idée étant de communiquer entre le vlan 2 et le vlan 3 ou le vlan 99 tout en transitant les paquets via le routeur.
Problème : il n'y a qu'un câble physique branché entre le switch et le routeur pour 3 adresse IP LAN différentes, donc, trois réseaux VLAN différents qui ne peuvent pas communiquer entre eux.
Afin de faire en sorte que le routeur puisse accepter toutes les requêtes pour les faire transiter entre elles, il faudra créer des sous-interfaces à l'interfaces physiques câblé.

Il faut s'assurer que le port du switch qui va desservir le routeur soit bien en mode trunk sur les vlan qui doivent atteindre le routeur.

L'interface physique ne doit pas avoir d'IP, mais doit être up afin de configurer les 3 sous-interfaces :

sur le routeur :

Mode privilège :
en
mode configuration :
conf t
sur l'interface branchée (ici GigaEt 0/0/0) :
Le protocole vlan est le dot1Q, nous allons ajouter un point d'interface que nous voulons créer, pour une bonne organisation nous allons utiliser le n° de vlan :
int gigabitEthernet 0/0/0.2
on entre directement en sous-interface et on spécifie que l'on va créer une interface qui écoutera sur un vlan particulier (après le dot1Q, on met le n° de vlan :

Router(config-subif)#encapsulation dot1Q 2 Router(config-subif)#ip address 172.16.2.254 255.255.255.0 Router(config-subif)#exit

On recommence pour tous le vlan que l'on veut associer.

le résultat sh run doit ressembler à ceci :

interface GigabitEthernet0/0/0 no ip address duplex auto speed auto ! interface GigabitEthernet0/0/0.2 encapsulation dot1Q 2 ip address 172.16.2.254 255.255.255.0 ! interface GigabitEthernet0/0/0.3 encapsulation dot1Q 3 ip address 172.16.3.254 255.255.255.0 ! interface GigabitEthernet0/0/0.99 encapsulation dot1Q 99 ip address 192.168.99.254 255.255.255.0

un ping entre poste de différents vlan montrera le trajet du paquet transitant via le routeur avant d'atteindre la cible.

On peut configurer sur les terminaux les passerelles vers les adresses IPs des sous-interfaces respectifs.
pour les postes en 172.16.2.0 -> 172.16.2.254
172.16.3.0 -> 172.16.3.254
192.168.99.0 -> 192.168.99.254

V - Lancer le service DHCP

Sur ce même routeur ayant des sous-interfaces permettant de relier les différents vlan, nous allons configurer le service DHCP afin de fournir une adresse IP de manière automatique.

sur le routeur, passage en mode privilège et configuration globale puis :

Nous allons créer un pool dhcp par vlan, ici le "vlan2" n'est qu'un nom, on aurait pu l'appeler "théâtre".
#ip dhcp pool vlan2
On passe désormais en conf dhcp :
Router(dhcp-config)#
on va ainsi spécifier l'adresse du réseau puis la passerelle par défaut de la plage IP du vlan concerné :

Router(dhcp-config)#network 172.16.2.0 255.255.255.0 Router(dhcp-config)#default-router 172.16.2.254

sur chaque PC du vlan, on peut relancer les interfaces pour voir si l'attribution des IPs en DHCP est fonctionnel. (ipconfig \renew pour les PC windows dans packet tracer)

Il faut faire ça pour chaque vlan sur le routeur.

VI - Lancer le service NTP

Network Time Protocol

Le service va être activé sur le routeur puis ce sera le tour des switchs !

Sur le routeur en privilège et conf globale :
/ !\ la commande ci-dessous va définir le serveur comme étant celui qui donne l'heure MAIS qui ne va pas la récupérer sur Internet !
#ntp master 1
#end

faire ntp ? pour voir les différentes options.

Maintenant sur les switchs :
on définit le serveur NTP
#ntp server 192.168.99.254
on vérifie :

#ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.254127.127.1.1 1 7 16 1 0.00 1.00 0.00 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured Switch#sh ntp sta Switch#sh ntp status Clock is synchronized, stratum 2, reference is 192.168.99.254

on peut aussi lancer :

#show clock detail 0:39:42.13 UTC Mon Mar 1 1993 Time source is NTP

Inutile de le faire sur chaque vlan, car le switch est trunké et pointe vers le routeur qui gère les sous-interface.

infos intéressantes sur le NTP : https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-software-releases-110/15171-ntpassoc.html

VII - Accès entre plusieurs réseaux (Internet)

VII.1 - Configurer le WAN

Pour configurer le WAN, il faut des IPs publiques au niveau des routeurs. et attribuer un route lorsqu'un paquet arrive pour un réseau ne faisant pas parti du routeur.

Mode privilège, configuration globale :

#en #conf t

On rentre dans l'interface, on lui donne une IP publique et une route par défaut :

#int gigabitEthernet 0/0/1 (config-if)#ip address 223.0.0.2 255.255.255.0 (config-if)#no shutdown (config-if)#exit Router(config)#ip route 0.0.0.0 0.0.0.0 223.0.0.5

Sans savoir où envoyer un paquet, le routeur l'enverra vers l'IP 223.0.0.5.

Il faut qu'il y ait évidemment un routeur en face avec cette IP publique configurée.

VII.2 - NAT

VII.2.1 - NAT pour la sortie vers Internet

Network Address Translation.

Le NAT permet d'autoriser à plusieurs (v)LAN (IP privées) à utiliser une adresse publique unique pour ses transactions sur Internet.

Sur le routeur, il y a plusieurs étapes à respecter :
1 -> création d'un groupe par VLAN.
2 -> Lui donner les droits de permission.
3 -> Signaler à l'interface WAN de liaison avec l'extérieur qu'il est point de sortie du NAT.
4 -> Signaler à l'interface virtuelle du VLAN qu'il est point d'entrée du NAT.
5 -> On autorise enfin le groupe (créé en 1) à utiliser le point de sortie WAN du NAT.

(il faudra répéter ces étapes pour chaque VLAN)

en mode privilège et conf globale sur le routeur de sortie du VLAN :
>en #conf t

#ip access-list standard NOM_DU_GROUPE #permit 172.16.2.0 (ip du vlan) 0.0.0.255 (avec le masque réseau inversé)

Sur l'interface WAN du routeur (de sortie) :

#int gig0/0/1 (config-int)#ip nat outside (config-int)#exit

Sur l'interface virtuelle d'entrée du VLAN :

#int gig0/0/0.2 (config-int)#ip nat inside

autorisation du groupe à utiliser le NAT en sortie :
(config)#ip nat inside NOM_DU_GROUPE interface gigabitEthernet 0/0/1 overload
traduction : pour les IP du groupe NAT leur permettre de sortir par l'interface WAN avec réécriture de l'IP privée en publique.

VII.2.2 - NAT pour l'entrée depuis Internet

Cette technique peut-être appelé du port forwarding. Le principe est qu'un flux provenant d'Internet vers l'adresse publique du routeur réoriente le flux vers un serveur du LAN ayant une adresse privée.

(config)#ip nat inside source static 192.168.2.1 223.0.0.1

Dans l'exemple, tous les flux entrant via l'IP publique seront redirigés vers le poste avec l'IP privée donnée.

Ici, on spécifie le port :
ip nat inside source static tcp 192.168.2.1 80 223.0.0.1 80

VIII - Spanning Tree - STP

STP est un protocole réseau qui permet de mettre en série des switchs afin que ces derniers soient redondés en toute sécurité.

Liens intéressant qui complète (théorie) :
https://www.fingerinthenet.com/intro-stp/
https://www.fingerinthenet.com/stp/

source de l'image : openclassrooms.

Le risque de mettre des switch en série pour la redondance (comme l'exemple donné pour la tempête de Broadcast).

Il y a trois risques bien définis lors de la mise en redondance des switchs :

1 - La tempête de Broadcast (lors d'un DHCP request par exemple.)
2 - La duplication de trames.
3 - L'instabilité des tables MAC des switchs.

VIII.1 - La tempête de broadcast.

PC1 envoie un paquet pour découvrir qui est le serveur DHCP, le paquet est envoyé sur tout le réseau. Switch4 reçoit le paquet et l'envoie à son tour à tout le réseau, switch2 et s3 reçoive le DHCPrequest et l'envoie à leur tour à tout le réseau, à savoir deux autres fois à s4 qui à son tour, renverra le paquet à tout le réseau, etc.

A ce moment là, les switchs montent en CPU afin de traiter tout ces paquets et finiront par planter.

VIII.2 - La duplication de trames.

PC1 envoie une requête (un ping, ou un paquet pour le HTTP disons) au routeur, s3 et s2 reçoivent la requête et la font suivre au routeur, qui recevra 2 fois le même paquet. Le risque étant de surcharger la bande passante et surtout les traitements du routeur.

VIII.3 - L'instabilité des tables MAC des switchs.

L'idée étant que les switchs n'ont as encore remplis leur tables d'adressage MAC et ne savent de ce fait pas vers quelle direction il faut envoyer le message pour atteindre le routeur. s2 et s3 recevront la même requête et interrogeront les équipements autour d'eux. s2 enregistrera l'adresse MAC dans sa table MAC n°2 (exemple), mais recevra une demande du même poste via une autre entrée de sa table MAC, s2 et s3 passerons leur temps à modifier leurs entrées de table.

Lors d'une tempête ou d'une boucle on peut voir que les CPU des switchs montent en flèche, plus rien ne passe jusqu'à ce que ces derniers tombent.
switch#show proce cpu sorted

VIII.4 - Résolution.

La solution est simplement à activer le spaning-tree sur les switchs (à redémarrer).

en conf t :
(conf)#spanning-tree vlan 1-4096

sur tous les switchs.
on peut aussi manuellement désigner des switchs comme étant les primaires et secondaires :
switch_primaire(conf)#spanning-tree vlan1 root primary
puis un secondaire :
switch_secondaire(conf)#spanning-tree vlan1 root secondary

si le primaire tombe, le secondaire prend le relais.

on vérifie par un sh spann :

Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------- Fa0/2 Desg FWD 19 128.2 P2p Fa0/1 Desg FWD 19 128.1 P2p

Sur le primaire les ports sont en forwarding (ils transmettront les paquets).

Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------- Fa0/2 Root FWD 19 128.2 P2p Fa0/1 Altn BLK 19 128.1 P2p

sur le secondaire, le port est bloqué.

IX - Protocoles de routage.

Au sein d'une entreprise ou d'un fournisseur d'accès, c'est le protocol IGP qui sera utilisé. (Interior Gateway Protocol)

Il y en a plusieurs mais ils servent à acheminer les paquets grâce à l'adresse IP et le masque sous-réseau.
Le routage concerne le couche 3 (L3).
Ces derniers ne servent pas qu'à acheminer un paquet d'un point A à un point B, mais à choisir le chemin le plus court.
Ces algorithmes sont distribués (ils s'exécutent sur chaque routeur) et itératifs (ils tournent en boucle) afin de mettre à l'échelle les modifications effectuées sur le réseau (retrait / ajout d'un routeur).

La table de routage donne au routeur le chemin vers les autres concentrateurs les plus proches selon l'IP réseau du destinataire. Un routeur ne connait pas un chemin entier, mais que le bout qui le concerne.

Exemple de table de routage :

Adresse	Masque	Passerelle	Interface	Métrique
0.0.0.0	0.0.0.0	1.1.1.2	1.1.1.1	1
4.3.2.0	/24	4.3.2.2	4.3.2.3	1
8.7.6.0	/24	8.7.6.6	8.7.6.7	1

Les protocoles de routages ont la charge d'alimenter et de maintenir cette table de routage.
Si l'adresse n'est pas dans la table, alors il redirigera le paquet vers 1.1.1.2.

Il existe 2 grandes familles de routage IGP :

Le but de chaque routeur sera de connaître l'état du réseau afin de définir la route la plus rapide.

Une distance administrative est une note qu'à chaque protocole. Plus la note est basse, plus elle sera considérée comme fiable. Si un routeur fait face à un choix entre plusieurs routeurs de protocoles différents, il prendra celui qui aura la note administrative la plus basse.

IX.1 - A Vecteur de distances

Le routeur 2 (R2) sait qu'il a le routeur 1 (R1) comme voisin, il en informera les autres routeurs en disant qu'il est à un saut de R1. R3, R4 et R5 reçoivent l'information comme quoi ils sont à 3 sauts de R1. R4 choisira logiquement R2 comme chemin le plus court, et non R3 ou R5. Ces deux serveurs, avec R4 informent R6, ce dernier routeur, malgré l'égalité des sauts choisira un routeru selon son nom ou son adresse MAC.

inconvénient : prend un certain temps pour diffuser l'information.
avantage : ne prend pas de ressource CPU.
Protocoles : RIP, EIGRP.

IX.1.1 - EIGRP

Enhanced Interior Gateway Routing Protocol

Protocole hybride (ne fait pas que du vecteur de distances), propriétaire CISCO mais est depuis quelques années reconnu par l'IETF comme un standard.

C'est un protocole rapide, il est plus rapide que les autres protocoles de sa famille à état de liens.
Du fait qu'il connait la topologie réseau, il est capable de résoudre des problèmes de routage, comme les boucles.
Il prend aussi la métrique et la rapidité des câbles, et pas que les sauts.
Il possède une route de secours.
Il est le seul à faire du load-balancing entre deux câbles de capacités différentes.
Distance administrative de 90.

Les commandes :
show ip eigrp topology
show ip eigrp neighbors
sh ip route

IX.1.2 - Configuration.

/ !\ Il s'agit ici d'IGP, les routeur doivent tous avoir une interface du même réseau / sous-réseau que le routeur qu'ils essaient de joindre.

Elle se passe en premier lieu sur les routeurs qui se situent entre le routeur du poste terminal expéditeur et le routeur du serveur de destination.

Sur chaque routeur :

>en #conf t (config)#router eigrp 1

on définit pour chaque routeur un AS (système autonome) avec le groupe 1. chaque routeur du même groupe sera considéré comme voisin.
Puis :

(config-router)#no auto-summary
Cela permet de désactiver "l'agrégation d'adresses IPs" (par défaut le routeur simplifie les adresses pour limiter ses entrées dans la table de routage, il peut ainsi englober + de sous-réseau qu'il ne faut) ; en le désactivant, nous lui disons de se contenter des réseaux de voisinage que nous allons lui donner.

Pour chaque voisin, on y met la plage réseau :

(config-router)#network 223.0.0.0 (config-router)#network 223.0.1.0 (config-router)#network 223.0.2.0

puis on test que les routeurs se pinguent tous l'un l'autre.

Et on fait de même pour le routeur de l'expéditeur et du destinataire.
– > il ne faut pas ajouter de plages de réseaux privés au routeur, que les publiques.

vérification :

#sh ip protocols
#show ip eigrp neighbors
pour voir le voisinage.
#show ip eigrp topology
la topologie du voisinage.
#show ip route
le choix pour chaque destination.

– > pour donner accès à Internet au poste terminal en ip privée, voir https://documentation.leonardmercad... et ses sous sections.
et y mettre le DHCP https://documentation.leonardmercad...

On peut désormais faire un test de ping depuis le test d'expéditeur vers n'importe quel routeur et poste destinataire (ip publique de son routeur.)

IX.2 - A État de liens

Ici, R2 va enregistrer dans sa table de voisinage la topologie réseau des câbles le reliant aux différents routeurs. Il choisira le chemin le plus rapide vers la destination souhaitée.

exemple de table de voisinage :

Table de voisinage R2
R1	10Gb/s
R3	1Gb/s
R4	10Gb/s
R5	1Gb/s

inconvénient : prend de la ressource.
avantage : plus rapide que ceux à l'état de liens.
Protocoles : OSPF, IS-IS.

IX.2.1 - OSPF

Conçu pour l'IETF, Open Shortest Path First est un protocole ouvert, concurrent à EIGRP.

_Les routeurs connaissent leurs voisins et la totalité des routeur du réseau.
_Utilise la bande passante comme métrique pour la meilleure route.
_Load-balancing uniquement sur des bande passantes identiques.
_Envoie toutes les 10 secondes un message Hello aux routeurs, si au bout de 4 un routeur ne répond pas, il est considéré comme tombé et la convergence se fait pour choisir une meilleure route.
_Transmission des paquets de mise à jour centralisé pour économiser la bande passante.
_Possibilité de configurer une route de secours.
_possibilité de subdiviser le réseau en "Aire" afin de limiter la bande passante.

Sa distance administrative est de 110.

Les commandes :
show ip ospf neighbor
show ip ospf topology
sho ip route

IX.2.1.1 - Fonctionnement

_Un routeur R1 envoie sa base de données (les routeurs qu'il connaît et leurs réseaux) dans un message appelé DBD (pour Database Description).

_Le routeur récepteur R2, s'il reçoit une information d'un routeur qu'il ne connaît pas, envoie un message LSR (pour Link State Request) afin d'en savoir plus sur ce routeur.

_R1 renvoie alors un message avec des informations détaillées du routeur inconnu de R2 dans un message LSU (pour Link State Update).

_R2 confirme avoir bien reçu le message en envoyant à R1 un message d'acquittement LSAck (pour Link State Acquittement).

IX.2.1.2 - Configuration

Rappel : pour désactiver EIGRP : no router eigrp 1

Pour chaque routeur entre les routeur exp. et dest. :

>en #conf t
(config)#router ospf 1
contrairement à EIGRP, le chiffre 1 n'est pas le numéro d'un groupe mais d'un numéro de processus interne au routeur.
(config-router)#network 223.0.1.0 0.0.0.255 area 0
On fait cela pour chaque réseau voisins connectés au routeur.

ne pas oublier de le faire sur le routeur expéditeur (box) et destinataire, sans y mettre les ip privée.

test de ping.

vérifions :

#sh ip protocols Routing Protocol is "ospf 1" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 223.0.2.2 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Maximum path: 4 Routing for Networks: 223.0.0.0 0.0.0.255 area 0 223.0.1.0 0.0.0.255 area 0 223.0.2.0 0.0.0.255 area 0 Routing Information Sources: Gateway Distance Last Update 223.0.4.4 110 01:09:41 223.0.3.3 110 01:10:01 Distance: (default is 110)

On peut voir qu'OSPF :

est bien lancé et qu'il route les réseaux 223.0.0.0/24, 223.0.1.0/24 et 223.0.2.0/24.

possède un ID unique (pour le différencier des autres routeurs) est 223.0.2.2.. Ce n'est pas l'adresse IP, on peut le modifier avec la commande : avec la commande router-id [adresse-IP].

n'appartient qu'à une seule area.

possède deux passerelles (gateway), les routeurs 3 et 4. Les adresses que l'on voit sont leur ID pour OSPF.

IX.2.1.3 - Ajout d'une zone

Le principe peut être utilisé si, imaginons, nous avos 40 routeurs qui auront chacun 39 routes. En les scindant en 2 zones, nous obtenons 20 routeurs dans chacune d'entre elles et chaque routeur aura 19 chemins dont 1 seul routeur gèrera la frontière entre les 2 zones.
Ce routeur situé entre 2 zone se nomment un ABR (Area Border Router). Celui-ci aura chaque périphérique qui donnera accès à l'autre zone. S'il y a plus de 1 zone, la zone 0 est obligatoire et ce nome "backbone".

ABR(config)#router ospf 1
ABR(config-router)#network 223.0.4.0 0.0.0.255 area 0

On ajoute ensuite la zone 1.
ABR(config-router)#network 223.0.10.0 0.0.0.255 area 1

Et on peut terminer la configuration.
ABR(config-router)#exit

IX.3 - Tableau comparatif OSPF - EIGRP

ps : BGP est un protocole EGP, utilisé sur Internet.

X - Sécurité.

X.1 - Accès restreint au mode privilège.

enable algorithm-type sha256 secret

On met un mot de passe afin d'avoir accès au mode privilège.

X.2 - Création d'un utilisateur.

#username root secret
On créé un utilisateur
et on lui attribue des droits :
#username root privilege 15
15 est le numéro de privilège maximal.

/ ! \ il faut associer un compte à un port console.

X.3 - Les différents niveaux de privilèges.

Par défaut, il y a trois niveaux de privilèges sur le routeur :

niveau de privilège 1 = non-privilégié (l'invite indique router>), niveau par défaut pour se connecter

le niveau de privilège 15 = a favorisé (l'invite indique router#), niveau après être entré en mode activer

le niveau de privilège 0 = rarement utilisé, mais inclut 5 commandes : désactiver, activer, quitter, aide et déconnexion

On peut personnaliser les niveaux 2 à 14, en affectant un niveau à certains utilisateurs ayant certains droits et d'autres niveaux pour un autre groupe qui aura des droits différents :
https://study-ccna.com/cisco-privilege-levels/

voir les privilèges :
sh priv

X.4 - Associer le compte à un port console.

Quand l'on se connecte via Packet tracer sur un routeur, il y a une simulation de connexion physique sur un port console (oui, comme si physiquement on était devant le routeur).

on peut voir cette connexion sur con0 :
Router con0 is now available
en faisant exit plusieurs fois.

X.4.1 - Les ports consoles.

Router#sh line Tty Line Typ Tx/Rx A Roty AccO AccI Uses Noise Overruns Int * 0 0 CTY - - - - 0 0 0/0 - 1 1 AUX 9600/9600 - - - - 0 0 0/0 - 132 132 VTY - - - - 0 0 0/0 - 133 133 VTY - - - - 0 0 0/0 - 134 134 VTY - - - - 0 0 0/0 - 135 135 VTY - - - - 0 0 0/0 - 136 136 VTY - - - - 0 0 0/0 - Line(s) not in async mode -or- with no hardware support: 2-131

Ce que l'on voit sont les ports du routeur. On les appelle TTY line :

La première CTY est le port console. Le con0 qui apparaît sur votre écran.

La deuxième AUX est un port auxiliaire.

La troisième VTY est un port virtuel, il ne correspond à aucun matériel physique. C'est un port logiciel.

D'autres routeurs ont d'autres entrées : les lignes TTY, des lignes asynchrones (utilisées pour les longues distances). Ces ports correspondent à un matériel installé sur le routeur. Nous n'avons rien installé et avons que le matériel de base, le port console, l'auxiliaire et les ports virtuels.

Il va donc falloir associer le mot de passe à un port :

Au cty ou con0 pour le port console et les utilisateurs qui se connecteront directement sur le routeur.

Au vty pour les utilisateurs qui se connecteront par telnet ou ssh.

Rattachons un mot de passe au con0 :
(config)#line con 0
(config-line)#password
on le rattache lors du siple login :
(config-line)#login

/ !\ il faut faire un test avant la sauvegarde de la conf afin de s'assurer que cela fonctionne, au risque de ne plus pouvoir s'y connecter.
vérifications avec : sh run
si ok :
exit plusieurs fois.
on voit que pour entrer dans le CLI on est bloqué par un mdp :

User Access Verification Password:

(pour le test, le mdp est : mop)

on peut faire cela pour les autres ports con0 (accès physique).

A ce stade, le mot de passe est indépendant des utilisateurs que nous aurions créés, ils s'agit ici QUE d'un mot de passe de connexion via le port déterminé.

X.4.2 - Association des comptes.

/ !\ Il faut déjà avoir créé un compte avant de lancer un rattachement à un login sur le routeur.
Dans le cas où il n y en aurait pas... le routeur nous demandera un login inexistant ! on sera ainsi bloqué !

(config)#line con 0
(config-line)#login local

X.5 - Connexion SSH

Afin de pouvoir faire une connexion SSH, nous aurions besoin de 3 éléments :
Une paire de clés publique/privée ;
Un nom de domaine pour générer ces clés ;
L'activation de SSH sur les ports virtuels (vty 0 à 4).

1 _ Création du domaine :
(config)#domaine-name ltx.eus

2 _ Création paire de clés.
(config)#crypto key generate rsa
par défaut il est en 512 bits, mettons 2048.
How many bits in the modulus [512]: 2048
activons ssh 2 :
(conf)#ip ssh version 2

3 _ Rattachement au port concerné (virtuels vty)
sur tous les ports virtuels :
(config)#line vty 0 4
(config-line)#transport input ssh
bien-sûr on y rattache un utilisateur créé précédemment (pour le test packet cisco : timi mdp : mop)
(config-line)#login local
test via un autre routeur :

Router#ssh -l timi 213.219.12.2 Password: central#conf t

– l option de SSH pour mettre le login.

X.6 - Acces-list (ACL)

Permet de filtrer l'accès à un vlan (par exemple) à une IP ou plage d'IPs.
L'ACL doit se configurer au niveau du routeur donnant accès au réseau que l'on veut restreindre.

Cas de figure : Une IP envoie des requêtes indésirable à un serveur de notre réseau. L'ACL est là pour la bloquer.

Lien utile :
https://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html

X.6.1 - ACL Standard.

_ Elle prend un numéro de 1 à 99.

_ Elle permet de bloquer (ou d'autoriser) une adresse source, c'est-à-dire dans notre cas, le spammeur.

_ Elle doit se placer le plus près possible de la destination, le plus près du serveur attaqué par le spammeur.

Imaginons que nous ayons identifier l'adresse 218.218.25.15 comme celle de notre spammeur. Nous allons donc la bloquer au niveau de notre routeur d'entrée puis l'appliquer au VLAN du serveur destinataire.

Sur le routeur d'entrée destinataire :
(config)#access-list 1 deny host 218.218.25.15
ici, on bloque qu'une IP, nous pouvons bloquer tout une plage d'IP :
(config)#access-list 1 deny host 218.218.25.0 0.0.0.255
on utilise toujours le masque inversé pour les configuration réseaux !
Le risque de bloquer tout une plage serait de bloquer une IP légitime.

Appliquons le sur le vlan 2 menant au serveur victime.
routeur1(config)#int GigabitEthernet0/0/0.2
routeur1(config-subif)#ip access-group 1 out
Pourquoi un out, alors que l'on bloque en entrée ?
En fait, on bloque à la sortie du routeur le flux allant de l'IP publique VERS l'IP privée, le paquet est accepté en entrée d'IP publique mais sera rejeté en direction de l'IP privée. Cette IP pourra aller vers un autre serveur via une requête différente par exemple.

exemple de la conf de l'interface :

interface GigabitEthernet0/0/0.2 encapsulation dot1Q 2 ip address 192.168.2.254 255.255.255.0 ip access-group 1 out ip nat inside

IP NAT inside : le flux à NATer arrive de l'IP privée en entrée (pour sortir par la suite.)

/ !\ En laissant que cette règle ainsi, il y a un blocage total ! En fait, cela est masqué dans la conf mais il y a une règle implicite qui interdit tout :
#access-list 1 deny any
Il faur rajouter APRES les règles d'interdiction un :
#access-list 1 permit any
Si nous devons AJOUTER une règle, il faudra la faire en supprimant toute l'ACL créé et rajouter notre interdiction et remettre le permit à la fin :
(config)#no access-list 1

Les règles se lisent l'une à la suite des autres, dans l'ordre, il ne peut et ne doit y avoir :
#access-list 1 deny 14.12.12.0 0.0.0.255 (interdiction d'accès à toute la plage IP) et :
#access-list 1 permit 14.12.12.1
Car la première règle s'appliquera en priorité et aura déjà dropé le paquet de l'IP présente dans la plage, l'autorisation arrive tardivement. Il faut que ce soit dans cet ordre :
#access-list 1 permit 14.12.12.1
#access-list 1 deny 14.12.12.0 0.0.0.255
il n'autorise de la plage d'IP qu'une seule.

Pour autoriser les autres IP à passer, mettre à la fin :
#access-list 1 permit 14.12.12.1

/ !\ Pour bloquer une IP source vers un destinataire, le faire au plus près de celui-ci, afin de ne pas prendre le risque de bloquer l'IP sur d'autres endroit non voulu.
Au niveau du blocage d'une IP destinatrice, il faudra le faire au routeur le plus proche de la source.

X.6.2 - ACL étendue.

_ Elle prend un numéro de 100 à 199 (chaque ACL aura un n° qu'on leur donne). On peut aussi leur donner un nom mais la syntaxe diffère.

_ Elle peut bloquer (ou autoriser) soit l'adresse source, soit l'adresse de destination, soit un port ou service (comme SSH ou telnet par exemple).

_ Elle doit être placée le plus proche de la source.

Les ACL étendues peuvent filtrer une ip source et une de destination ou un port particulier.

Nous voulons interdire le port SSH (22) à une IP :
(config)#access-list 100 deny tcp host 223.0.1.4 any eq 22
(config)#access-list 100 permit ip any any
idem le permit pour autoriser à tous en fin.

ajout au niveau de l'interface :

(config)#interface gi0/1 (config-if)#ip access-group 100 in

ou la possibilité, non pas de mettre un numéro, mais un nom, comme pour le NAT :

(config)#ip access-list extended interdiction_SSH (config-ext-nacl)#deny tcp host 223.0.1.4 any eq 22 (config-ext-nacl)#permit ip any any

pui on applique le nom à l'interface.

X.7 - Radius.

Utilise le protocole AAA ( Authentification Autorisation Accounting (compte)). Radius est installé sur un serveur sous noyau Linux ou Windows et a pour rôle de centraliser les identifiants et mots de passe.

Sur le serveur Radius, il faut activer le service. Définir un nom de groupe et un mot de passe, puis créer un utilisateur et son mot de passe.

Sur le routeur Client (qui recevra la connexion et qui enverra les identification au serveur), il faut configurer Radius :

Activation de Radius sur le routeur demandeur :
(config)# aaa new-model
Configuration et définition du serveur Radios (IP) avec le mot de passe définit sur le serveur (pas celui de l'utilisateur que nous avons créé).
(config)#radius-server host 223.0.2.8 key Cisco1234
Configurer le routeur pour qu'il utilise l'authentification AAA avec le groupe radius
(config)#aaa authentication login default group radius local
Associons les lignes à l'authentification Radius (ici les lignes virtuels vty)
(config)#line vty 0 15
(configure-line)# login authentication default

afin de vérifier que c'est bien pris en compte :
#sh ru | in aaa
#sh run | in radius

A partir de maintenant, dés que l'on voudra rentrer de nouveau sur le routeur, c'est le user créé sur le serveur Radius qui sera demandé.

XI - Représentations architecture.

XI.1 - Architecture physique.

Cette représentation à l'objectif de :
– > localiser en un coups d'oeil l'emplacement.
– > d'anticiper les installations physiques (types de câbles, connectiques, nombre de switchs, ports...)

exemple de schéma physique :

XI.2 - Architecture logique.

Cette représentation à pour objectif de :

– > lister en un coups d'oeil les protocoles utilisés et les redondances.
– > lister les VLANs et IPs existants et leur interconnexions.

exemple :

XI.3 - Plan d'adressage.

Le plan d'adressage permet de prévoir et d'anticiper les plages réseaux selon le nombre de postes que l'on veut allouer.

exemple :

Erreurs rencontrées.

x.x.x.x overlaps with GigabitEthernet y/y/y

Router(config-subif)#ip address 169.254.35.10 255.255.0.0 % 169.254.0.0 overlaps with GigabitEthernet0/0/1.3

Le masque de sous-réseau est trop large, il y a certainement une autre interface qui écoute sur 169.254.x.x
La modification du masque en 255.255.255.0 résout le problème.

Bad mask /24 for address x.x.x.x

Normal, faute d'inattention :

Router(config-subif)#ip address 169.254.35.0 255.255.255.0
Bad mask /24 for address 169.254.35.0

L'adresse IP à mettre à une interface ne doit et ne peut être l'adresse du réseau entier !
il faut une adresse valide entre 1 et 255, pas de 0.

Problèmes de Ping ICMP

Le ping ne s'effectue pas entre 2 serveurs d'IP différentes SAUF quand ils sont dans le même VLAN (ce qui est faux), pourquoi ?

Un switch est de couche 2 (L2) et ne se soucie que des adresses MAC pourtant, on penserait à tord que 2 postes avec des IPs différentes pourraient se pinguer via le switch, ce dernier ne relayant pas l'IP.

Hé ben non.

Explication :

Pc1 à une IP 192.168.0.1 (masque 255.255.255.0) et veut pinguer Pc2 192.168.0.2 (255.255.255.0).
1- Un paquet ARP est envoyé afin que le switch créé sa table d'équivalence IP -> MAC.
2- Le paquet ICMP part du 192.168.0.1 vers 192.168.0.2.
3- Le switch lit l'adresse MAC de l'expéditeur puis le relaye à l'adresse MAC du destinataire.
4- La carte réseau du destinataire accepte le paquet, la couche 3 de Pc2 voit que les IPs sont les même.

Pc1 à une IP 192.168.0.1 (255.255.255.0) et veut pinguer Pc2 192.168.1.2 (255.255.255.0).
1- Un paquet ARP est envoyé afin que le switch créé sa table d'équivalence IP -> MAC.
2- Le paquet ICMP part du 192.168.0.1 vers 192.168.1.2.
3- Le switch lit l'adresse MAC de l'expéditeur puis le relaye à l'adresse MAC du destinataire.
4- La carte réseau de l'expéditeur refuse le paquet, la couche 3 de Pc2 voit que les IPs ne sont pas les même.

5. The destination IP address 192.168.1.3 is not in the same subnet and is not the broadcast address.
6. The default gateway is not set. The device drops the packet.

Pc1 à une IP 192.168.0.1 (255.255.0.0) et veut pinguer Pc2 192.168.1.2 (255.255.0.0).
1- Un paquet ARP est envoyé afin que le switch créé sa table d'équivalence IP -> MAC.
2- Le paquet ICMP part du 192.168.0.1 vers 192.168.1.2.
3- Le switch lit l'adresse MAC de l'expéditeur puis le relaye à l'adresse MAC du destinataire.
4- La carte réseau du destinataire accepte le paquet, la couche 3 de Pc2 voit que le masque d'IP englobe leur plage d'IPs, ils sont donc dans le même sous-réseau.

Résumé : Ce n'est pas parce que 2 postes sont dans le même VLAN qu'ils pourront se pinguer. Le Ping est de couche 3 (routeur protocole IP), et lira donc l'adresse IP et son masque.
Rappel : Un VLAN est là pour scinder virtuellement des réseaux différents au sein d'un même câble ou réseaux physique.

nmap

leonard — 2022-04-27T09:51:00Z

I - Principe.

Le but de nmap est de tester un, des, quelques, ou tout les ports d'un serveur distant afin de répertorier ceux qui sont ouverts des fermés.

I.1 - Rappel transaction TCP

Une requête TCP est envoyé par le client au serveur, qui lui-même répondra, selon cette réponse, le serveur saura quelle action entreprendre et répondra si le port est ouvert :

1 -> SYN du client au serveur.
Si le port est ouvert :
2 -> le serveur répond SYN/ACK au client.
Le port est donc ouvert.
3 -> le client entreprend la liaison avec un ACK.

Dans le cas où le port est fermé, le serveur répondra par un RST (reset).

1 - SYN
2 - RST
Le port est fermé.

Comme expliqué plus haut, les DROP effectués par une pare-feu donnent un élément de réponse quand au fait qu'un port est ouvert mais protégé.

1 - SYN
2 -
Le port ne répond pas, e paquet a été dropé... il doit y avoir un pare-feu.

Pour cela, il est bon de paramétrer le pare-feu pour qu'il réponde un RST, afin de faire comme si le port était fermé.

I.2 - Particularité transaction UDP.

Contrairement à la transaction TCP, UDP ne fait pas de réponse, il se contente de récupérer le paquet sans confirmation, ce qui fait que le flux est rapide (vidéos, etc.).

Concernant nmap, l'absence de réponse lors d'un scanne du port UDP fait que ce dernier sera noté comme ouvert ou filtré.
S'il est fermé, c'est une réponse ICMP disant que le port est unreachable.

Due to this difficulty in identifying whether a UDP port is actually open, UDP scans tend to be incredibly slow in comparison to the various TCP scans (in the region of 20 minutes to scan the first 1000 ports, with a good connection). For this reason it's usually good practice to run an Nmap scan with --top-ports enabled. For example, scanning with nmap -sU --top-ports 20 . Will scan the top 20 most commonly used UDP ports, resulting in a much more acceptable scan time.

II.1 - Nmap Scripting Engine.

Écrits en Lua, il existe des scripts déjà faits qui permettent :

safe :- Won't affect the target
intrusive :- Not safe : likely to affect the target
vuln :- Scan for vulnerabilities
exploit :- Attempt to exploit a vulnerability
auth :- Attempt to bypass authentication for running services (e.g. Log into an FTP server anonymously)
brute :- Attempt to bruteforce credentials for running services
discovery :- Attempt to query running services for further information about the network (e.g. query an SNMP server).

https://nmap.org/book/nse-usage.html

II.2 - Activation de NSE

Ne sera activé que sur les cibles ayant le service visé activé.

--script=safe

Pour lancer un script spécifique :

--script=

Certains scripts ont besoins de paramètres, il est possible de les passer avec :

--script-args

exemple :

nmap -p 80 --script http-put --script-args http-put.url='/dav/shell.php',http-put.file='./shell.php'

Les arguments sont entre guillemets simples et séparés par des virgules.
Juste après le —scripts-args, il faut renommer le script (ici : http-put) puis le type d'arguments (ici : url)

.

voir la doc :
https://nmap.org/nsedoc/
ou, mais pas si exhaustif que le site :
nmap --script-help

Dépannage / investigation mail (postfix, Dovecot)

leonard — 2022-04-18T09:13:46Z

1. Introduction.

Pour des articles sur l'installation de Postfix avec Dovecot et Postfixadmin -> ici.
Pour une explication brève sur le protocole SMTP, IMAP, POP, LMTP -> ici
Pour un article uniquement sur Dovecot -> ici

Cette page regroupe les erreurs et méthodes de débogage d'erreurs de livraison de courrier Postfix / Dovecot.

2. Trucs et astuces.

3. Erreurs.

Sender address rejected : Access denied

Cette erreur est asez explicite, le serveur de relay refuse l'adresse de l'émetteur "From".
Le piège serait de vérifier uniquement s'il y a une restriction au niveau du sender_access, mais le recipient_access peut aussi avoir des règles sur les adresses de ses émetteurs !

En sommes, le sender_access se fera pour des envois DEPUIS notre serveur mail, alors que le recipient_access se paramétrera pour les adresses hébergées sur notre serveur. Les émetteurs voulant nous écrire tomberont dans la règle du recipient_access

Solution lorsque c'est pour un envoi depuis notre serveur local :

Vérifier dans main.cf qu'il n y ait pas
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/sender_access

effacer dans le fichier /etc/postfix/sender_access le nom de domaine qui y a été ajouté.
DOMAINE.NET REJECT

faire un :

postmap /etc/postfix/sender_access

pour mettre à jour la base Postfix.

Lorsque l'envoi se fait par un utilisateur système, les smtp_checks ne fonctionnent pas.
L'utilisateur système (www-data, root, etc.) vont passer par sendmail pour envoyer leur message :
pour rappel :

(revoir l'archi Postfix en détail)
En interne : Sendmail (interne) -> postdrop
Internet -> SMTP -> incoming

Lorsque le message passe en interne pas Sendmail, il n'utilise pas le protocol SMTP, mais passe par Sendmail.

pour interdire un utilisateur système à envoyer un mail : authorized_submit_users = !root, static:all interdira root à envoyer des mails, résultat :
serveur-01 postfix/sendmail[3569097]: fatal: User root(0) is not allowed to submit mail
/ ! il faut obligatoirement mettre le static:all cela veut dire que tout le reste est accepté, si on ne met que root il n'yaura que cet utilisateur qui pourra envoyer. !root puis vide, root sera interdit, mais le reste des utilisateurs systèmes aussi !

authorized_submit_users (default : static:anyone)

List of users who are authorized to submit mail with the sendmail(1) command (and with the privileged postdrop(1) helper command).

By default, all users are allowed to submit mail. Otherwise, the real UID of the process is looked up in the system password file, and access is granted only if the corresponding login name is on the access list. The username "unknown" is used for processes whose real UID is not found in the password file. To deny mail submission access to all users specify an empty list.

Specify a list of user names, "/file/name" or "type:table" patterns, separated by commas and/or whitespace. The list is matched left to right, and the search stops on the first match. A "/file/name" pattern is replaced by its contents ; a "type:table" lookup table is matched when a name matches a lookup key (the lookup result is ignored). Continue long lines by starting the next line with whitespace. Specify " !pattern" to exclude a user name from the list. The form " !/file/name" is supported only in Postfix version 2.4 and later.

Example :

authorized_submit_users = !www, static:all

This feature is available in Postfix 2.2 and later.

source : https://www.postfix.org/postconf.5.html

telnet localhost 25 Trying ::1... Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 2emedb.leotxando.net ESMTP Postfix (Debian/GNU) 500 5.5.2 Error: bad syntax 500 5.5.2 Error: bad syntax 500 5.5.2 Error: bad syntax 500 5.5.2 Error: bad syntax 500 5.5.2 Error: bad syntax

un quit permet de stopper le processus.
killer le processus telnet s'il ne rend pas la main.
voir les logs syslog
relancer telnet

telnet localhost 25 Trying ::1... Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 2emedb.leotxando.net ESMTP Postfix (Debian/GNU) ehlo localhost ...

voir les logs syslog...
l'erreur venait de là :

postfix/smtpd[2454]: error: open /etc/postfix/mysql/mysql-sender-login-maps.cf: No such file or directory

L'erreur est assez explicite.

sudo vi /etc/postfix/main.cf : smtpd_sender_login_maps = mysql:/etc/postfix/mysql-sender-login-maps.cf
il y avait un /mysql en trop.

sudo systemctl restart postfix.service telnet localhost 25 Trying ::1... Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 2emedb.leotxando.net ESMTP Postfix (Debian/GNU) ehlo localhost 250-2emedb.leotxando.net 250-PIPELINING 250-SIZE 502400000 250-ETRN 250-STARTTLS 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN quit Connection closed by foreign host.

Recipient address rejected : User unknown in local recipient table

Vérifier que la liste des destinataire pour la réception des courriels est bien lu.
– > faire un postmap ? un restart ?
est-ce que tout a été respecté pour la conf de la réception de mails . (MX..)

`fatal: configuration error: virtual_mailbox_limit is limited but message_size_limit is unlimited`

S'affiche quand l'on a activé une variable de contrôle de distribution de courriels en réception.

Les valeurs de virtual_mailbox_limit et de message_size_limit doivent être cohérents ! virtual_mailbox_limit doit être > à message_size_limit.

postconf -d | grep virtual_mailbox_limit une valeur par défaut est définie.
postconf -n | grep virtual_mailbox_limit montre une autre valeur que l'on aurait définit.

postconf -d | grep message_size_limit une valeur par défaut est définie.
postconf -n | grep message_size_limitmontre une autre valeur que l'on aurait définit.

postconf -e 'virtual_mailbox_limit = 102400000' permet de définir un taille à la variable, celle-ci doit-être supérieur à message_size_limit.

postconf -e 'virtual_mailbox_limit = 0' est aussi une alternative permettant de mettre en illimité la taille des BAL.

lecture :
https://www.postfix.org/DEBUG_README.html

https://en.redinskala.com/postfix-421-4-4-2-timeout-exceeded/
https://en.redinskala.com/postfix-maillog-interpretation/

https://lloydrochester.com/post/unix/process-mail-script-postfix/
http://www.postfix.org/FILTER_README.html#simple_filter

Ports POP / IMAP / SMTP

https://www.kekhosting.com/knowledgebase/email-ports-%E2%80%93-pop3%2c-imap-and-smtp-port-numbers.html

à lire sur le fait de changer de port de 25 à 587 pour le SMTP :
https://serversmtp.com/port-587/

Lire les entêtes / headers

https://mediatemple.net/community/products/grid/204644060/how-do-i-view-email-headers-for-a-message

depuis client de messagerie :

https://mediatemple.net/community/products/grid/204644060/how-do-i-view-email-headers-for-a-message

"Désamorcer" des liens dans des emails reçus.

Cela s'appelle "defang url" et se présente ainsi :

hxxp[://]t[.]teckbe[.]com/p/?j3=3DEOowFcEwFHl6EOAyFcoUFV= TVEchwFHlUFOo6lVTTDcATE7oUE7AUET=3D=3D

le http est modifié en hxxp, les :// et les points ( . ) sont entre crochés. C'est tout, la suite de l'url peut-être en base64.

pour désamorcer une url :

https://gchq.github.io/CyberChef/#recipe=Defang_URL(true,true,true,'Valid%20domains%20and%20full%20URLs')

email pixel trackers

https://www.theverge.com/22288190/email-pixel-trackers-how-to-stop-images-automatic-download

Plus d'envoi de mail.

erreur dans les logs :

postfix/smtp[6318]: fatal: unknown service: smtp/tcp postfix/qmgr[6197]: warning: transport smtp failure -- see a previous warning/fatal/panic logfile record for the problem description

Explications : le module smtp a démarré en chroot (par défaut dans Debian) est a donc son répertoire dans /var/spool/postfix/

vérification qu'il est bien chrooté :
Dans master.cf, dans la colonne chroot (y) il y a le y de yes.

2 solutions :

1) smtp va lire dans /etc ( aka son chroot —> /var/spool/postfix/)

voici ce qu'il doit contenir :

https://files.spip.org/spip-zone/spip-contrib-extensions/intertitres_hierarchises_et_table_matieres-1bea2-intertitres_hierarchises_et_table_matieres-v1.1.0.zip

Il peut manquer le fichier services, dans ce cas :

cp -f /etc/services /var/spool/postfix/etc/

2) les droits de dossier ont changer...

Vérifier :

 okhtak@2DB:~ $ ls -l /var/spool/postfix/ total 80 drwx------ 2 postfix root 4096 avril 25 13:55 active drwx------ 2 postfix root 4096 avril 19 08:40 bounce drwxr-xr-x 2 clamav root 4096 avril 21 20:17 clamav drwx------ 2 postfix root 4096 janv. 22 2021 corrupt drwx------ 18 postfix root 4096 févr. 6 2021 defer drwx------ 18 postfix root 4096 févr. 11 2021 deferred drw-r--r-- 2 postfix root 4096 avril 21 21:08 dev drwxr-xr-x 4 root root 4096 avril 22 08:44 etc drwx------ 2 postfix root 4096 janv. 22 2021 flush drwx------ 2 postfix root 4096 janv. 22 2021 hold drwx------ 2 postfix root 4096 avril 25 13:55 incoming drwxr-xr-x 3 root root 4096 janv. 22 2021 lib drwx-wx--- 2 postfix postdrop 4096 avril 25 13:55 maildrop drwxr-xr-x 2 opendkim root 4096 avril 21 20:50 opendkim drwxr-xr-x 2 root root 4096 juin 25 2021 pid drwx------ 2 postfix root 4096 avril 22 08:44 private drwx--s--- 2 postfix postdrop 4096 avril 22 08:44 public drwx------ 2 postfix root 4096 janv. 22 2021 saved drwx------ 2 postfix root 4096 mars 1 22:22 trace drw-r--r-- 3 postfix root 4096 janv. 22 2021 usr

forcer la réexpédiciton de mails en queue :

postqueue -f

Pour Flush, va vider la mailq et relancer les mails. Il n y a pas de delete à l'nverse de postsuper -d ALL

erreur Opendkim / clamav ou autres

lien opendkim
https://wiki.evolix.org/HowtoOpenDKIM

warning: connect to Milter service unix:/opendkim/opendkim.sock: Connection refused

vérifier les droits d'accès.

(exemple avec opendkim)

vérifier le socket de lecture et utilisateur utilisé dans la conf :

#Socket local:/var/run/opendkim/opendkim.sock Socket local:/var/spool/postfix/opendkim/opendkim.sock UserID opendkim

puis :

okhtak@2DB:~ $ ls -la /var/spool/postfix/opendkim/ total 8 drwxr-xr-x 2 opendkim root 4096 avril 21 20:50 . drwxr-xr-x 22 root root 4096 févr. 11 2021 .. srwxrwxr-x 1 opendkim opendkim 0 avril 21 20:50 opendkim.sock

pour clamav :

khtak@2DB:~ $ ls -la /var/spool/postfix/clamav/ total 8 drwxr-xr-x 2 clamav root 4096 avril 21 20:17 . drwxr-xr-x 22 root root 4096 févr. 11 2021 .. srw-rw-rw- 1 clamav clamav 0 avril 21 20:17 clamav-milter.ctl

Erreur lors de la réception de mails.

tournait en boucle sur cette erreur :

Apr 25 13:38:53 2DB postfix/smtpd[9119]: Anonymous TLS connection established from unknown[40.92.91.38]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Apr 25 13:38:54 2DB policyd-spf[9127]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=40.92.91.38; helo=eur05-am6-obe.outbound.protection.outlook.com; envelope-from=albertduponfix@outlook.fr; receiver= Apr 25 13:38:54 2DB postfix/smtpd[9119]: 5CB23C081A: client=unknown[40.92.91.38] Apr 25 13:43:54 2DB postfix/smtpd[9119]: timeout after RCPT from unknown[40.92.91.38] Apr 25 13:43:54 2DB postfix/smtpd[9119]: disconnect from unknown[40.92.91.38]

Vérifier les droits des dossiers

chmod -R ugo+x /var/spool/postfix/lib/ && sudo chown root: /var/spool/postfix/lib/

/var/spool :

drwxr-xr-x 22 root root 4096 févr. 11 2021 postfix

Envoyer un mail avec les entêtes perso.

Entêtes additionnels (non pas les entêtes Mail FROM dans le DATA).

Le -f permet de mettre les entêtes sélectionné pour lecture postfix / serveur de réception.

doc php :
https://www.php.net/manual/fr/function.mail.php

suite à la mise à jour de dovecot, le service ne redémarre pas avec le message suivant :

avril 06 10:05:02 christophe dovecot[2096] : imap-login : Error : Failed to initialize SSL server context : Can't load DH parameters : error:1408518A:SSL routines:ssl3_ctx_ctrl:dh key too small : user=<>, rip=128.204.214.7
avril 06 11:05:02 christophe dovecot[2096] : imap-login : Error : Failed to initialize SSL server context : Can't load DH parameters : error:1408518A:SSL routines:ssl3_ctx_ctrl:dh key too small : user=<>, rip=128.204.214.7

Il faut générer si ce n'est pas le cas un fichier DH

openssl dhparam -out /etc/dovecot/dh.pem 4096

Ajouter la ligne suivante dans le fichier /etc/dovecot/conf.d/10-ssl.conf

ssl_dh =

Ensuite il faut redémarrer dovecot

SMTPUTF8 is required, but was not offered by host

Cette alerte est au niveau du serveur de réception, cela veut dire que Postfix à la variable SMTPUTF8 = yes, qui est activé. Cela veut dire qu'il rejette tous les mails qui ont dans leurs Sujet (subject) ou headers des caractères non ASCII.

Afin de faire accepter la réception de mails avec en Sujet des accents (par exemple), il faut le désactivé :
SMTPUTF8 = no
dans /etc/postfix/main.cf.

http://www.postfix.org/SMTPUTF8_README.html#compatibility

Rediriger un domaine ou une adresse

dans main.cf :

virtual_mailbox_domains = example.com
cette entrée va demander les domaines à prendre en charge, par défault c'est $virtual_mailbox_mapsqui est utilisée, si le nom de domaine n'y figure pas, il sera rejeté.
PAR LA SUITE, ce sera le virtual_alias_maps = hash:/etc/postfix/virtual qui dira quoi faire.

sources :
https://postfix.traduc.org/index.php/VIRTUAL_README.html#virtual_mailbox
http://www.postfix.org/VIRTUAL_README.html#local
http://www.postfix.org/postconf.5.html#virtual_alias_maps

Restreindre l'envoi / la réception à une ou plusieurs adresse

smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/restricted_senders, reject smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_recipient_access hash:/etc/postfix/recipient_domains Allows me to send to thisserver.net from the accounts in restricted_senders and "rcpt to:" will deliver only to "recipient_domain", inside there is info@thisserver.net Only.

What I would like to achieve is that only 1 user of this email server (info@thisserver.net) is able to send and receive emails, any other must be rejected almost instantly. And this user can only receive mails from a few users and "recipient_domains"

restricted_senders: info@thisserver.net permit recipient_domains: info@google.com permit user35@server.com permit thisserveronly.net permit
source :
https://serverfault.com/questions/768005/restrict-sender-and-recipient-with-postfix

à "nettoyer "

ou trouver le fichier postfix-script original car je l'ai remplacer par un autre et j'ai cette erreur : postfix/postfix-script[2783] : fatal : unable to create missing queue directories
ChatGPT a dit :
ChatGPT

Le fichier postfix-script est un script utilisé par Postfix pour gérer certaines opérations de maintenance, comme la création des répertoires de la file d'attente, la gestion des services, etc. Si vous avez remplacé ce fichier par erreur, vous pouvez le restaurer en suivant ces étapes :
1. Réinstaller le Paquet Postfix

La manière la plus simple de restaurer le fichier postfix-script est de réinstaller Postfix. Cela remplacera tous les fichiers du paquet, y compris les scripts par défaut.

Ouvrez un terminal et exécutez la commande suivante pour réinstaller Postfix :

bash

sudo apt-get install —reinstall postfix

Cela devrait restaurer le fichier postfix-script à son état d'origine.
2. Vérifier le Fichier postfix-script

Après la réinstallation, vous pouvez vérifier que le fichier postfix-script est revenu à son état d'origine. Le fichier se trouve généralement à cet emplacement :

bash

/usr/lib/postfix/postfix-script

Vérifiez si le fichier est bien là et que les permissions sont correctes :

bash

ls -l /usr/lib/postfix/postfix-script

3. Vérifier les Répertoires de la File d'Attente de Postfix

L'erreur que vous avez mentionnée indique que Postfix n'arrive pas à créer les répertoires nécessaires pour sa file d'attente. Après avoir restauré le script, assurez-vous que les répertoires de la file d'attente sont bien en place :

bash

sudo postfix check

Cette commande vérifie l'intégrité de l'installation de Postfix et s'assure que tous les répertoires requis existent.
4. Redémarrer Postfix

Une fois que vous avez restauré le script et vérifié les répertoires, redémarrez Postfix pour appliquer les modifications :

bash

sudo systemctl restart postfix

5. Alternative : Extraire le Fichier Depuis le Paquet Debian

Si vous ne souhaitez pas réinstaller tout le paquet, vous pouvez extraire uniquement le fichier postfix-script depuis le paquet .deb de Postfix.

Télécharger le paquet Postfix :

bash

apt-get download postfix

Extraire le fichier postfix-script :

bash

dpkg-deb -xv postfix*.deb ./postfix-files/

Copier le fichier postfix-script extrait :

bash

sudo cp ./postfix-files/usr/lib/postfix/postfix-script /usr/lib/postfix/postfix-script

Vérifier les permissions :

bash

sudo chmod 755 /usr/lib/postfix/postfix-script
sudo chown root:root /usr/lib/postfix/postfix-script

Avec ces étapes, vous devriez être en mesure de restaurer le fichier postfix-script et de corriger l'erreur liée à la création des répertoires de la file d'attente de Postfix.
Vous avez dit :
/usr/lib/postfix/sbin/post-install : Error : /etc/postfix/postfix-files is not a file.
ChatGPT a dit :
ChatGPT

L'erreur que vous rencontrez, indiquant que /etc/postfix/postfix-files n'est pas un fichier, suggère que le fichier postfix-files est manquant ou a été corrompu. Ce fichier est essentiel pour la configuration de Postfix car il contient la liste des fichiers et des répertoires que Postfix utilise et crée lors de l'installation ou de la maintenance.

Voici les étapes pour résoudre ce problème :
1. Réinstaller le Paquet Postfix

La méthode la plus simple pour restaurer le fichier postfix-files et tous les autres fichiers essentiels de Postfix est de réinstaller le paquet Postfix. Cela va recréer tous les fichiers de configuration par défaut.

bash

sudo apt-get install —reinstall postfix

2. Vérifier l'Existence du Fichier postfix-files

Après la réinstallation, assurez-vous que le fichier postfix-files a été restauré :

bash

ls -l /etc/postfix/postfix-files

Le fichier devrait être présent, avec des permissions appropriées (lecture pour l'utilisateur root).
3. Restaurer le Fichier postfix-files Manuellement

Si vous ne souhaitez pas réinstaller tout le paquet, vous pouvez extraire le fichier postfix-files directement depuis le paquet .deb de Postfix.
Étape 1 : Télécharger le Paquet Postfix

Téléchargez le paquet Postfix correspondant à votre version de Debian sans l'installer :

bash

apt-get download postfix

Étape 2 : Extraire le Fichier postfix-files

Extrayez le contenu du paquet pour accéder au fichier postfix-files :

bash

dpkg-deb -xv postfix*.deb ./postfix-temp/

Le fichier postfix-files se trouvera dans ./postfix-temp/etc/postfix/.
Étape 3 : Copier le Fichier Restauré

Copiez le fichier postfix-files extrait vers son emplacement correct :

bash

sudo cp ./postfix-temp/etc/postfix/postfix-files /etc/postfix/postfix-files

Étape 4 : Vérifier les Permissions

Assurez-vous que le fichier a les bonnes permissions et appartient à l'utilisateur root :

bash

sudo chmod 644 /etc/postfix/postfix-files
sudo chown root:root /etc/postfix/postfix-files

4. Vérifier et Redémarrer Postfix

Une fois le fichier restauré, vérifiez la configuration de Postfix pour vous assurer qu'il n'y a pas d'autres problèmes :

bash

sudo postfix check

Ensuite, redémarrez Postfix :

bash

sudo systemctl restart postfix

Ces étapes devraient résoudre l'erreur liée au fichier postfix-files manquant ou corrompu et permettre à Postfix de fonctionner correctement.
Vous avez dit :
postfix/postsuper[13454] : fatal : scan_dir_push : open directory hold : Permission denied
ChatGPT a dit :
ChatGPT

L'erreur fatal : scan_dir_push : open directory hold : Permission denied dans Postfix indique que le processus Postfix n'a pas les permissions nécessaires pour accéder au répertoire hold, qui fait partie de la file d'attente de Postfix. Cela peut être dû à des permissions incorrectes sur le répertoire ou à un problème avec les droits d'utilisateur.

Voici les étapes pour résoudre ce problème :
1. Vérifier les Permissions des Répertoires de File d'Attente

Les répertoires de la file d'attente de Postfix doivent être accessibles par l'utilisateur postfix. Commencez par vérifier les permissions des répertoires, en particulier celui nommé hold.
Étape 1 : Localiser le Répertoire de File d'Attente

Les répertoires de file d'attente de Postfix se trouvent généralement dans /var/spool/postfix/.

bash

sudo ls -ld /var/spool/postfix/hold

Cela devrait vous montrer les permissions actuelles du répertoire hold. Par exemple :

plaintext

drwx------ 2 postfix postfix 4096 Aug 30 12:34 /var/spool/postfix/hold

Étape 2 : Corriger les Permissions si Nécessaire

Si les permissions ou le propriétaire ne sont pas corrects, vous pouvez les corriger avec les commandes suivantes :

bash

sudo chown -R postfix:postfix /var/spool/postfix
sudo chmod -R 700 /var/spool/postfix

Cela donne la propriété de tous les répertoires de la file d'attente à l'utilisateur et au groupe postfix, avec des permissions strictes (lecture, écriture, exécution uniquement pour le propriétaire).
2. Redémarrer Postfix

Une fois les permissions corrigées, redémarrez le service Postfix pour appliquer les changements :

bash

sudo systemctl restart postfix

3. Vérifier SELinux ou AppArmor (Si Applicable)

Si vous utilisez SELinux ou AppArmor, ils peuvent parfois restreindre l'accès aux répertoires de Postfix, même si les permissions UNIX sont correctes.
SELinux :

Si SELinux est actif, vérifiez les alertes et les permissions avec :

bash

sudo ausearch -m avc -ts recent

Si nécessaire, ajustez les politiques SELinux pour permettre à Postfix d'accéder aux répertoires.

AppArmor :

Pour AppArmor, vérifiez les profils appliqués à Postfix :

bash

sudo aa-status

Si nécessaire, ajustez ou désactivez le profil AppArmor pour Postfix.

4. Vérifier le Fonctionnement de Postfix

Après avoir effectué les corrections, vous pouvez vérifier si l'erreur persiste en consultant les journaux :

bash

sudo journalctl -xe | grep postfix

Si tout est correct, l'erreur Permission denied ne devrait plus apparaître.

En suivant ces étapes, vous devriez pouvoir résoudre le problème de permissions qui empêche Postfix d'accéder au répertoire hold.

Dépannage LVM

leonard — 2022-02-23T10:38:24Z

/usr/ écrasé par le nouveau lv créé.

Un LV a été créé, ce dernier est vide et a été monté sur /usr/
La partition /usr/ se retrouve écrasé par un dossier vide et toutes les commandes telles que mount, umount, vi, ls, cd, nano renvoient un : command not found in /usr/bin/...

1 - > Si le fstab n'a pas été modifié, alors : reboot pour démonter.

2 -> Sinon, la seule solution : monter un disque système pour réparer la chose.

si machine virtuelle :

télécharger sur son poste local une image disque ISO du système.

sur le vcenter :

activer le lecteur CDROM
reboot la machine à partir du bios -> dire de démarre sur le cd.

lancer le RMC Remote Console (et non web console).

au niveau du VMRC -> Removable Devices -> CD/DVD Drive1 -> Connect to disk image -> sélectionner l'ISO télécharger sur poste local.
VMRC -> Send ctrl+Alt+sup pour reboot.

lors du boot sur le CD ISO
choisir advance options -> Rescue mode.
l'idée est de démarrer sur un Shell. (ne pas booter sur la partition racine).

une fois le shell (sera monté sur la racine du CD, la commande du style passwd modifiera le mdp du root du CD et nom du système.)

il faut monter le VG pour l'utiliser :

mount /dev/mapper/ /mnt/

le VG est monté dans le /mnt/

Là, on peut faire un vi /mnt/etc/fstab pour commenter le montage.

On reboot, mais pas sur le disque.

Ps : pour modifier mdp ROOT du système :

chroot /mnt/ (après le montage du VG) on dit de mettre la répertoire racine dans /mnt/)
et là on peut passer le passwd.

LVM

leonard — 2021-04-21T10:10:42Z

A NETTOYER !!

Théorie

https://www.informatiweb-pro.net/admin-systeme/linux/installer-et-utiliser-le-lvm-sous-linux.html
https://www.learnlinux.tv/linux-logical-volume-manager-lvm-deep-dive-tutorial/
https://www.linuxtricks.fr/wiki/lvm-sous-linux-volumes-logiques

voir les types de FS (même des LV) pour savoir en quel FS il est :
blkid

Extension d'un volume logique.

1 - Vérification de l'espace disponible

lsblk # affiche tous les volumes logiques du système avec leurs points de montage
## todo : vérifier l'espace libre sur /dev/sdX
## todo : vérifier l'espace libre sur le LV
pvs # vérifier Free PE pour obtenir l'espace dispo sur le PV (Physical Volume)
pvs /dev/sda5
vgs # vérifier Free PE pour obtenir l'espace dispo sur le VG (Volume Group)
vgs my_vg # affiche l'espace disponible du groupe my_vg

2 - Ajout de l'espace disque sur VMware

echo "1" > /sys/class/block/sdX/device/rescan # (sdx = sda ou sdb) forcer le système à scanner la nouvelle taille du disque sdX
lsblk # vérifier que la taille du disque s'est bien mise à jour

3 - extension du volume logique

parted /dev/sdX
SI on a une partition logical dans une partition extended dans une partition primary ALORS
print # affiche les partitions du disque : primary (sda1), extended (sda2) et logical (sda5)
resizepart 2 100% # agrandi la partition extended (sda2) contenant la partition logical (sda5)
print
resizepart 5 100% # agrandi la partition logical lvm finale(sda5)
print
quit

Si partition extended unique

SINON SI partition LVM directement dans sdX ALORS (A COMPLETER)

4 - extension du PV (Physical Volume)

pvs; vgs # check l'espace actuel
partprobe # rescan disk update
pvresize /dev/sda5 # étend le PV (peut ne pas marcher du premier coups...)
pvs; vgs # check la nouvelle taille du pv et du vg
ou
pvs /dev/sda5 # si besoin de filtrer la bonne partition

5 - extension du LV (Logical Volume)

/ !\ en place du lvextend le lvresize marche.

lvextend -L -r +10G /dev/my_vg/my_lv # étend le LV de +10 GB
lvextend -L -r +10G /dev/mapper/my_vg-my_lv # syntaxe similaire alternative
lvresize -l +100%FREE /dev/mapper/vgsystem-usr --resizefs # Effet d'agrandissement similaire avec pris en compte du système —resizefs
lvextend -L -r +100%FREE /dev/my_vg/my_lv # étend le LV de tous l'espace dispo (pvs : PV FREE) du PV
-r # r = resize2fs/growfs, redimensionne automatiquement le FS ext4 prendre en compte la nouvelle taille du LV

si oublie du -r, il faut augmenter le FS :
resize2fs (Ext4) ou xfs_growfs (xfs)

Ajout d'un volume logique

On souhaite créer le volume my_lv appartenant au groupe my_vg qui sera monté sur /path/mount_point avec les droits userA:groupB

1 - Vérification de l'espace disponible

lsblk # affiche tous les volumes logiques du système avec leurs points de montage
## todo : vérifier l'espace libre sur /dev/sdX
## todo : vérifier l'espace libre sur le LV
vgs # afficher l'espace disponible du groupe my_vg si celui-ci est le seul présent
vgs my_vg # affiche seulement pour le group définit

2 - Ajout d'espace disque sur VMware

echo 1 > /sys/class/block/sdx/device/rescan # forcer le système à scanner la nouvelle taille du disque sdX
echo 1 > /sys/class/scsi_device/0\:0\:0\:0/device/rescan # alternative si la commande précédente n'est pas reconnue
lsblk # vérifier que /dev/sdx s'est bien mis à jour

3 - Redimensionner la/les partitions du disque

SI on a que des partitions lvm ALORS
parted /dev/sdx
print # affiche la liste des partition du disque /dev/sdx
resizepart 3 100% # attribue tout l'espace libre de /dev/sdx à /dev/sdx3
print

SI "parted /dev/sda print" indique que que les partitions 2 et 5 (par exemple) font la même taille et qu'il est indiqué que la 2 est extended et que la 5 est logical lvm ALORS
SI on a une partition logical dans une partition extended dans une partition primary ALORS
print # affiche les partitions du disque : primary (sda1), extended (sda2) et logical (sda5)
resizepart 2 100% # agrandi la partition extended (sda2) contenant la partition logical (sda5)
print
resizepart 5 100% # agrandi la partition logical lvm finale(sda5)
print
quit

4 - extension du PV (Physical Volume)

pvs /dev/sda5 # affiche l'espace libre dispo (PFree)
vgdisplay # vérifier l'espace dispo du VG

partprobe # rescan disk update
pvresize /dev/sda5 # étend le PV
pvs /dev/sda5 # vérifier si l'ajout c'est bien effectué

5 - Création du volume logique

dans l'exemple, on créé le lv du nom de user, qui prendra 100% de l'espace libre (nouvellement créé).

lvcreate --name user -l 100%FREE --resizefs

lvcreate -n my_lv -L 10G my_vg # on crée un nouveau volume logique nommé my_lv de 10 GB dans le groupe my_vg
## a revoir : resize2fs /dev/mv_vg/my_lv # met à jour la nouvelle taille du LV sur le FS ext4
lsblk # on vérifie que le volume est bien présent

6 - Création du file system

ls -l /dev/my_vg/ # liste tous les volumes logiques du groupe my_vg, similaire à la commande lsblk
mkfs.ext4 /dev/my_vg/my_lv # on format my_lv en ext4 ! Ne pas se tromper de volume !

dans notre exemple :
mkfs.ext4 /dev/tes-ordnctrlmpr-02-vg/user

7 - Création du dossier de montage

mkdir /path/mount_point # on crée un dossier sur lequel sera monté notre volume logique my_lv

Dans une des problématiques, il fallait crée un volume logique pour la partition existante /usr/ (voir incident LVM).

— > monter le nouveau lv dans un dossier lambda (exemple /mnt/usr)
mount /dev/mapper// /mnt/usr/ —> on monte le lv dans /mnt/usr
rsync -az /user/ /mnt/usr/ —> synchronisation dans le dossier qui écrira dans le lv (le lv est monté dans /mnt/usr/ dont tout ce qui s'y effectuera inscrira dans le lv.

df -h -> on voit que la partition grossit.

on vérifie, on refait un rsync qui devrait être rapide.

Pour gagner de la place, on peut supprimer le /usr/ -> si on est sûr que l'étape fstab a été fait ; il faut rebooter par la suite.

8 - Création de l'entrée fstab

 vim /etc/fstab /dev/mapper/my_vg-my_lv /path/mount_point ext4 defaults 0 2 # ligne à copier dans fstab

dans notre exemple :

/dev/mapper/tes--ordnctrlmpr--02--vg-user /usr ext4 defaults 0 2

9 - Montage du volume logique

mount /path/mount_point # grace à l'entrée fstab on peut directement monter mount -a
# le file system /dev/mapper/my_vg-my_lv sans le spécifier dans la commande
lsblk # on vérifie que le dossier est bien monté

10 - Modification des droits d'accès

chown userA:groupB /path/mount_point # on change le propriétaire seulement si le dossier est correctement monté
chmod 775 /path/mount_point # on peut aussi changer les permissions seulement après le montage du dossier

shrink / réduction

https://www.rootusers.com/lvm-resize-how-to-decrease-an-lvm-partition/

VIEU

Augmentation de disque LVM « simple » sur la même partition / Virtual Groupe

→ sur vmware, augmenter le disque de x GO

puis snapshot.

Sur le serveur :

on rescanne les disques :

for S in $(ls /sys/class/scsi_host/host*/scan) ; do echo "- - -" > $S ; done

pour bonne prise en compte de la bonne taille de la partition par le FS :
pvresize /dev/sdb

on peut vérifier avec un lvs ou pvs

puis on augmente la partition souhaitée, exemple :
lvresize /dev/vg_data/data_ora --size +100G --resizefs

df -h

voilà.

Augmentation disque LVM avec nouvelle partition.

/ ! s'assurer qu'il est possible de créer une nouvelle partition primaire !
Max : 4 partition primaire. Si plus de place : créer un nouveau disque.

→ sur vmware, augmenter le disque de x GO

Si on ne sait pas quel disque mais qu'on connaît la partition (exemple /data/) :

df -h

/dev/mapper/VG_DOC-lvdocserv 344G 316G 29G 92% /data

Lien complet de la LV (partition logique qui peut être sur plusieurs disques)
on va justement voir sur quel disque est la partition :

pvs -v --segments

/dev/sdb1 VG_DOC lvm2 a— 100,00g 0 0 25599 lvdocserv 0 linear /dev/sdb1:0-25598
/dev/sdb2 VG_DOC lvm2 a— 50,00g 0 0 12799 lvdocserv 25599 linear /dev/sdb2:0-12798
/dev/sdb3 VG_DOC lvm2 a— 200,00g 472,00m 0 51081 lvdocserv 38398 linear /dev/sdb3:0-51080
/dev/sdb3 VG_DOC lvm2 a— 200,00g 472,00m 51081 118 0 free

Il est sur le disque sdb.

fdisk -l |grep sdb

Disk /dev/sdb : 350 GiB, 375809638400 bytes, 734003200 sectors
/dev/sdb1 2048 209715199 209713152 100G 8e Linux LVM
/dev/sdb2 209715200 314572799 104857600 50G 8e Linux LVM
/dev/sdb3 314572800 734003199 419430400 200G 83 Linux

Le disque fait 350GO. S'il y a plusieurs disques de 350GO alors :

dmesg | grep -i 'Attached SCSI disk'

[ 1.529449] sd 0:0:1:0 : [sdb] Attached SCSI disk
[ 1.529998] sd 0:0:0:0 : [sda] Attached SCSI disk

On a la position précise du disque dans Vmware.

On augmente le disque.

puis snapshot.

→ sur le serveur :

On créé la nouvelle partition :

fdisk /dev/sdb
option :
p (print the partition table)
pour lister les partitions existantes.

Puis n pour une nouvelle partition.

p (pour partition primaire.)

Device Boot Start End Sectors Size Id Type
/dev/sdb1 2048 209715199 209713152 100G 8e Linux LVM
/dev/sdb2 209715200 314572799 104857600 50G 8e Linux LVM
/dev/sdb3 314572800 734003199 419430400 200G 83 Linux
/dev/sdb4 734003200 943718399 209715200 100G 83 Linux

Notre nouvelle partition est crée Mais n'a pas de « type »

faire :
t (change a partition type)

Choisir le nème partition à modifier :

Partition number (1-4, default 4) : 4

8e Linux LVM

L pour avoir la liste complète.

p pour lister encore les partitions :

Device Boot Start End Sectors Size Id Type
/dev/sdb1 2048 209715199 209713152 100G 8e Linux LVM
/dev/sdb2 209715200 314572799 104857600 50G 8e Linux LVM
/dev/sdb3 314572800 734003199 419430400 200G 83 Linux
/dev/sdb4 734003200 943718399 209715200 100G 8e Linux LVM

jusqu'ici rien n'a été inscrit sur la table de partition.

w écrit sur la nouvelle table.

Si erreur du style :

The partition table has been altered.
Calling ioctl() to re-read partition table.
Re-reading the partition table failed. : Périphérique ou ressource occupé

The kernel still uses the old table. The new table will be used at the next reboot or after you run partprobe(8) or kpartx(8).

C'est « normal », le noyau ne peut réécrire sur la taille de la partition car le disque est utilisé.

:~# partprobe
partprobe est la sonde qui permet de relire les partitions.

:~# partx -v -a /dev/sdb

partition : none, disk : /dev/sdb, lower : 0, upper : 0
/dev/sdb : partition table type 'dos' detected
partx : /dev/sdb : adding partition #1 failed : Périphérique ou ressource occupé
partx : /dev/sdb : adding partition #2 failed : Périphérique ou ressource occupé
partx : /dev/sdb : adding partition #3 failed : Périphérique ou ressource occupé
partx : /dev/sdb : adding partition #4 failed : Périphérique ou ressource occupé
partx : /dev/sdb : error adding partitions 1-4

preuve que ça semble en bonne voie :

fdisk -l

[…]
Device Boot Start End Sectors Size Id Type
/dev/sdb1 2048 209715199 209713152 100G 8e Linux LVM
/dev/sdb2 209715200 314572799 104857600 50G 8e Linux LVM
/dev/sdb3 314572800 734003199 419430400 200G 83 Linux
/dev/sdb4 734003200 943718399 209715200 100G 8e Linux LVM

dans :
cat /proc/partitions
on voit bien la partition.

— > permet de rescaner la taille du disque augmenté. (si problm de reconnaissance ?)

echo "1" > /sys/class/block/sdb/device/rescan

partx -l /dev/sdb

# 1 : 2048-209715199 (209713152 sectors, 107373 MB)
# 2 : 209715200-314572799 (104857600 sectors, 53687 MB)
# 3 : 314572800-734003199 (419430400 sectors, 214748 MB)
# 4 : 734003200-943718399 (209715200 sectors, 107374 MB)

ok, tout semble cool malgré l'erreur :

on créé le disque :

pvcreate /dev/sdb4

Physical volume "/dev/sdb4" successfully created

pvscan

PV /dev/sdb1 VG VG_DOC lvm2 [100,00 GiB / 0 free]
PV /dev/sdb2 VG VG_DOC lvm2 [50,00 GiB / 0 free]
PV /dev/sdb3 VG VG_DOC lvm2 [200,00 GiB / 472,00 MiB free]
PV /dev/sda5 VG vgavm lvm2 [49,53 GiB / 0 free]
PV /dev/sdb4 lvm2 [100,00 GiB]
Total : 5 [499,52 GiB] / in use : 4 [399,52 GiB] / in no VG : 1 [100,00 GiB]

On va agrandir le Virtual Group (VG) en y incorporant le disque :
vgextend VG_DOC /dev/sdb4
Nom du virtual group. Disque à incorporer.
Volume group "VG_DOC" successfully extended

:~# pvscan

PV /dev/sdb1 VG VG_DOC lvm2 [100,00 GiB / 0 free]
PV /dev/sdb2 VG VG_DOC lvm2 [50,00 GiB / 0 free]
PV /dev/sdb3 VG VG_DOC lvm2 [200,00 GiB / 472,00 MiB free]
PV /dev/sdb4 VG VG_DOC lvm2 [100,00 GiB / 100,00 GiB free]
PV /dev/sda5 VG vgavm lvm2 [49,53 GiB / 0 free]
Total : 5 [499,52 GiB] / in use : 5 [499,52 GiB] / in no VG : 0 [0 ]

vgdisplay

--- Volume group ---
VG Name VG_DOC
System ID
Format lvm2
Metadata Areas 4
Metadata Sequence No 8
VG Access read/write
VG Status resizable
MAX LV 0
Cur LV 1
Open LV 1
Max PV 0
Cur PV 4
Act PV 4
VG Size 449,98 GiB On voit bien l'augmentation de 100G par rapport au df du début.
PE Size 4,00 MiB
Total PE 115196
Alloc PE / Size 89479 / 349,53 GiB
Free PE / Size 25717 / 100,46 GiB de libre.
VG UUID E8SPMz-hU5r-pf6K-QTsI-FVjb-1V9O-AbfqdF

étendons cette partition logique pour l'allouer au VG :

lvextend /dev/mapper/VG_DOC-lvdocserv -L +100G --resizefs

On étend on y marque la taille en Gigas, si rien → octet ?:O
Le resizefs permet de modifier la taille sur le système.

Size of logical volume VG_DOC/lvdocserv changed from 349,53 GiB (89479 extents) to 449,53 GiB (115079 extents).
Logical volume lvdocserv successfully resized
resize2fs 1.42.12 (29-Aug-2014)
Le système de fichiers de /dev/mapper/VG_DOC-lvdocserv est monté sur /data ; le changement de taille doit être effectué en ligne
old_desc_blocks = 22, new_desc_blocks = 29
Le système de fichiers sur /dev/mapper/VG_DOC-lvdocserv a maintenant une taille de 117840896 blocs (4k).

Vous avez du courrier dans /var/mail/root

Vérifions :

:~# vgdisplay

--- Volume group ---
VG Name VG_DOC
System ID
Format lvm2
Metadata Areas 4
Metadata Sequence No 9
VG Access read/write
VG Status resizable
MAX LV 0
Cur LV 1
Open LV 1
Max PV 0
Cur PV 4
Act PV 4
VG Size 449,98 GiB
PE Size 4,00 MiB
Total PE 115196
Alloc PE / Size 115079 / 449,53 GiB
Free PE / Size 117 / 468,00 MiB
VG UUID E8SPMz-hU5r-pf6K-QtsI-Fvjb-1V9O-AbfqdF

Vérifions :

lvdisplay

--- Logical volume ---
LV Path /dev/VG_DOC/lvdocserv Nom de la lv /data/ (dans df du début)
LV Name lvdocserv
VG Name VG_DOC
LV UUID AlK1Bq-FNsR-Vaoy-COWL-F0a7-cD8f-V480fG
LV Write Access read/write
LV Creation host, time ged-files-avm, 2017-06-20 13:47:33 +0200
LV Status available
# open 1
LV Size 449,53 GiB Youpi !
Current LE 115079
Segments 4
Allocation inherit
Read ahead sectors auto
- currently set to 256
Block device 254:2

df -h
/dev/mapper/VG_DOC-lvdocserv 443G 316G 128G 72% /data

Création / ajout de partitions :

agrandissement du bon disque sur vmware.

 echo "1" > /sys/class/block/sda/device/rescan lsblk parted /dev/sda pvs pvresize /dev/sda3 pvs vgs lvs lvcreate -L 10G -n opt_controlm vgsystem # on créé le LV au nom de opt_controlm dans le VG vgsystem lvcreate -L 30G -n exploitation vgsystem # on en créé un second lvs mount # pour voir les montage et surtout les systèmes de fichiers utilisés. mkfs.xfs /dev/mapper/vgsystem-opt_controlm # on créé le sys de fichiers mkfs.xfs /dev/mapper/vgsystem-exploitation # nomduVG-nomduLV créé plus haut. mkdir /opt/controlm # Les dossiers où les LV seront montés mkdir /exploitation vi /etc/fstab # on met direct dans le fstab exemple : /dev/mapper/vgsystem-exploitation /exploitation xfs defaults 0 0 mount /exploitation/ # on monte en lisant le fstab pour telle partition mount /opt/controlm/ df -h #vérif

Lien utile :
https://geekpeek.net/rescan-scsi-bus-on-linux-system/
https://www.golinuxhub.com/2014/03/how-to-extendresize-lvm-and-volume/

Création VG :

https://access.redhat.com/documentation/fr-fr/red_hat_enterprise_linux/6/html/logical_volume_manager_administration/lvm_examples

Focus mode
Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux
Chapitre 5. Exemples de configuration LVM
Ce chapitre fournit des exemples de configuration LVM de base.
5.1. Création d'un volume logique LVM sur trois disques
Cet exemple crée un volume logique LVM appelé new_logical_volume qui se compose des disques /dev/sda1, /dev/sdb1 et /dev/sdc1.
5.1.1. Création de volumes physiques
Pour utiliser des disques dans un groupe de volumes, vous devez les étiqueter comme des volumes physiques.

Avertissement
Cette commande supprime toutes les données sur /dev/sda1, /dev/sdb1 et /dev/sdc1.

[root@tng3-1 ~]# pvcreate /dev/sda1 /dev/sdb1 /dev/sdc1 Physical volume "/dev/sda1" successfully created Physical volume "/dev/sdb1" successfully created Physical volume "/dev/sdc1" successfully created

5.1.2. Création d'un groupe de volumes
La commande suivante permet de créer le groupe de volumes new_vol_group.

[root@tng3-1 ~]# vgcreate new_vol_group /dev/sda1 /dev/sdb1 /dev/sdc1 Volume group "new_vol_group" successfully created

Vous pouvez utiliser la commande vgs pour afficher les attributs du nouveau groupe de volumes.

[root@tng3-1 ~]# vgs VG #PV #LV #SN Attr VSize VFree new_vol_group 3 0 0 wz--n- 51.45G 51.45G

5.1.3. Création du volume logique
La commande suivante permet de créer le volume logique new_logical_volume à partir du groupe de volumes new_vol_group. Un volume logique qui utilise 2Go du groupe de volumes sera créé.

[root@tng3-1 ~]# lvcreate -L2G -n new_logical_volume new_vol_group Logical volume "new_logical_volume" created

5.1.4. Création du système de fichiers
La commande suivante permet de créer un système de fichiers GFS2 sur le volume logique.

[root@tng3-1 ~]# mkfs.gfs2 -plock_nolock -j 1 /dev/new_vol_group/new_logical_volume This will destroy any data on /dev/new_vol_group/new_logical_volume. Are you sure you want to proceed? [y/n] y Device: /dev/new_vol_group/new_logical_volume Blocksize: 4096 Filesystem Size: 491460 Journals: 1 Resource Groups: 8 Locking Protocol: lock_nolock Lock Table: Syncing... All Done

Les commandes suivantes montent le volume logique et affichent l'utilisation d'espace disque du système de fichiers.

[root@tng3-1 ~]# mount /dev/new_vol_group/new_logical_volume /mnt [root@tng3-1 ~]# df Filesystem 1K-blocks Used Available Use% Mounted on /dev/new_vol_group/new_logical_volume 1965840 20 1965820 1% /mnt

inkscape

leonard — 2020-03-28T04:07:15Z

Anatomie d'un SVG :

changer le fond en vide, mettre une bordure à 1px et exporter avec une hauteur de 1000px avec un dpi de 300.

Tout est en format texte dans le fichier SVG.

exemple :

Un groupe d'objets est constitué d'une multitude d'objets, chaque balise représente un objet, une courbe qui a des propriétés différentes (positionnement, épaisseur, couleurs...).
Les groupes ont un id qui auront une lettre g qui précédera des chiffres.


au début de la balise de groupe, nous avons des infos concernant l'export.
fill: le fond de l'objet, mis à none = vide. Format en #CMJNα

stroke: contour.
j'ai modifié tout le fond des objets en faisant un simple sed :

sed -i 's/fill:#555555/fill:none/g' /home/mayoux/Bureau/Finsternis/Langue/Ozai/chant_lettres1.svg
exporter avec une hauteur de 1000px (si l'objet en fin moins) :

inkscape --export-id=path9381 --export-png=test.png -h1000 /home/mayoux/Bureau/Finsternis/Langue/Ozai/Glyphes/Grammaire/ligatures/ligatures.svg
 Redimensionner plusieurs objets indépendant.
 https://graphicdesign.stackexchange.com/questions/51806/inkscape-0-91-scaling-several-objects-while-keeping-their-original-location
En somme, il faut sélectionner tout les objets (qui ne sont pas dans un même groupe.
Objet > transformer > Dimensions

 


Seul le % permet un redimensionnement avec respect du ratio !
cocher appliquer à tous les objets.
Pour le déplacement en masse, même principe.
 Redimensionner avec une hauteur spécifique.



Nagios
leonard — 2020-02-21T07:41:49Z
I - Install
 https://openclassrooms.com/fr/courses/2035786-mettez-en-place-un-outil-de-supervision-de-production-avec-nagios/6050091-installez-nagios-core-sur-votre-serveur-debian
compte :

openclass@leotxando.net
À ce jour il n y a pas de paquets dans les dépôts Debian, il faudra compiler le paquet.
Pour la gestion du SSL avec le plugin check_http par exemple :
./configure --with-nagios-user=nagios --with-nagios-group=nagcmd --with-openssl=/usr/bin/openssl make make install
I.1 - Répertoire par défaut
 À l'installation tout se met dans /usr/local/nagios
https://assets.nagios.com/downloads/nagioscore/docs/nagioscore/3/en/configmain.html
 I.2 - Erreur à l'install
 ./configure --with-httpd-conf=/etc/apache2/sites-enabled --with-command-group=nagcmd
Modifier dans le nagios.cfg et mettre : 

check_for_updates=0
 ! Ceci désactivera les mises à jour automatiques.
 II - Introduction 
 Les checks commandes sont lancés par des plugins, binaires ou fichiers textes qui ont pour rôle de s'exécuter afin de faire remonter une valeur (warning, critique...)
 II.1 - Fichiers et répertoires principaux.
 /usr/local/nagios/libexec

contient tout les plugins standards compilés par défaut de Nagios.

/usr/local/nagios/etc

dossiers ayant les fichiers de conf suivant :

nagios.cfg est le fichier de configuration principal de Nagios. Au démarrage, c'est ce fichier que le programme Nagios va lire en premier.

resource.cfg, qui contient des paramètres spécifiques à votre contexte, on y définit des variables personnels pour faciliter des appels.

cgi.cfg, dédié à la configuration de l'interface d'administration (notamment des droits utilisateur).

objects. Il contient huit fichiers de configuration avec une extension .cfg. Ces fichiers contiennent des modèles de configuration fournis directement par Nagios, nommés TEMPLATES. 

share et sbin contiennent les éléments utiles à l'interface d'administration de Nagios.

var contient toutes les données variables maintenues par Nagios. Nagios écrit dans le fichier nagios.log

status.dat contient l'ensemble des données de supervision de Nagios. Ces données peuvent concerner le processus Nagios en tant que tel (nombres d'équipements/services supervisés, date de démarrage du programme, directives générales, etc.), mais aussi tous les équipements et services supervisés (dernier statut détecté, temps de latence et durée d'exécution des sondes pour chaque équipement/service, etc.). C'est un fichier très important : il appartient à Nagios et vous ne devez pas le modifier à la main. Ce fichier est mis à jour selon une directive inscrite dans le fichier nagios.cfg ;
le fichier retention.dat est construit un peu sur le même principe que status.dat. Cependant, ce fichier est généralement mis à jour moins souvent, car il sert uniquement lorsque le service Nagios redémarre. Le programme principal vient alors lire les valeurs inscrites dans ce fichier afin de positionner le statut et les données des équipements/services à superviser par défaut. Cela évite que toutes vos sondes soient remises à zéro à chaque redémarrage du service !  Le comportement de Nagios vis-à-vis de ce fichier est également défini dans nagios.cfg.
Le fichier object.cache fonctionne sur le même principe que les deux fichiers précédents, mais contient simplement le cache de toute la configuration de Nagios. Vous ne devez pas intervenir directement dans ce fichier.
rw contient notamment le pipe de Nagios.

Le fichier nagios.cmd est le « pipe FIFO » (First In First Out) de Nagios. C'est un fichier très important. Son attribut Linux, le petit « p », vous indique que ce fichier est de type « named pipe ». Le principe est simple : c'est une connexion directe vers le processus Nagios, qui va lire de manière continue les instructions passées dans ce fichier et les exécuter si elles sont compréhensibles. Les instructions passées dans le fichier sont nommées « commandes externes », et c'est sur ce mécanisme que s'appuie l'interface d'administration de Nagios pour discuter avec son processus. Je vous en reparlerai plus en détail dans le chapitre 5.
Le fichier nagios.qh est l'une des principales nouveautés de la version 4 de Nagios. L'attribut Linux s indique que ce fichier est un « socket ». Il est notamment utilisé par les processus fils créés par Nagios pour discuter avec le processus principal, mais peut aussi être utilisé par un développement spécifique pour s'adresser à Nagios.
 Mise en place d'un service et 1er check.
 II.2 - Les éléments principaux.
 Le host. Cet objet appartient à Nagios et représente tous les équipements à superviser. Ils possèdent généralement une adresse IP et peuvent répondre aux pings ICMP standards.
La command. Cet objet appartient à Nagios et permet de définir le lancement d'un plugin.
Le service. Cet objet appartient à Nagios et représente toutes les données à superviser sur un host. On peut citer, entre autres, les services réseaux, par exemple les ports ouverts d'un switch ou des services applicatifs, le service SSH ou HTTP d'un serveur, mais aussi la charge CPU.
et enfin :
Les plugins. Ce sont des programmes exécutables par Nagios : binaires compilés, script Perl, script Bash, etc. Ils sont autonomes et indépendants et ont pour charge de lancer une commande afin de récupérer l'état d'un service (OK, Warn, Critique,...)

On peut lancer un plugin manuellement, exemple :

$ /usr/local/nagios/libexec/check_ping

en lançant un plugin tel quel, il est possible de voir les options et paramètres principaux, ici il en manque un principal :
nagios@NagiosDebian:/usr/local$ /usr/local/nagios/libexec/check_ping check_ping: Impossible de décomposer les arguments Utilisation : check_ping -H  -w ,% -c ,% [-p packets] [-t timeout] [-4|-6]
Le plugin nous indique ici qu'il attend un minimum d'arguments, notamment l'adresse du host à vérifier (adresse IP ou nom si Nagios a accès à un DNS), ainsi que les deux arguments :

w, pour le seuil WARNING, et
 c, pour le seuil CRITICAL.

Ces deux arguments prennent pour valeur le temps nécessaire au retour du ping et/ou le pourcentage de paquets perdus par le réseau.
Relance de la commande avec les arguments :
nagios@NagiosDebian:/usr/local$ /usr/local/nagios/libexec/check_ping -H localhost -w 40,40% -c 60,60%
II.3 - Structure.
 II.3.1 - Plugin
 Ceux de base de nagios (qu'il faut télécharger) se mettent par défaut dans : 

/usr/local/nagios/libexec/
on peut en mettre des persos dans un autre répertoire, dans ce cas, il faudra soit rajouter dans nagios.cfg :

 cfg_file=/usr/local/nagios/pluginsPerso/perso.cfg

ou
# Repertoire perso des checks cfg_dir=/usr/local/nagios/perso
II.3.2 - Command
 L'élément Command appelle un Plugin(à mettre dans un fichier de conf).
define command { command_name check-ping-localhost command_line /usr/local/nagios/libexec/check_ping -H localhost -w 40,40% -c 60,60% }
Rappel : 

/usr/local/nagios/libexec/ peut être remplacé par $USER1$ (voir ressource.cfg)
 II.3.3 - host
 On peut rajouter un host, les paramètres obligatoires :

host_name : c'est le nom de l'objet tel qu'il sera reconnu par Nagios. Le champ est libre, mais il faut être le plus précis possible afin d'éviter les confusions ;
 address  : l'adresse IP ou le nom pour joindre l'objet (par exemple, locahost,www.unsupersite.com, etc.) ;
 max_check_attemps : cette directive spécifie à Nagios le nombre de tentatives successives maximum renvoyant un résultat négatif avant que Nagios considère ce résultat comme fiable et passe l'objet au statut déclenchant des notifications. C'est une directive très importante sur laquelle vous devrez vous documenter sérieusement, notamment pour maîtriser les notions de statut SOFT et HARD ;
 check_command : c'est cette directive qui fait la liaison entre votre commande précédemment définie et cet objet host ! on met le nom de ce qu'on a définit pour la command

et mettre dans un fichier de conf :
define host { host_name Nagios Server address localhost check_command check-ping-localhost max_check_attempts 3 }
II.3.4 - Service
  ! Avant de définir un service il faut créer la command associé !
exemple :
define command { command_name check-ssh-localhost command_line $USER1$/check_ssh localhost }
Directives minimales pour le service :

 service_description  : c'est l'identifiant du service. Il doit être unique pour chaque host ;
  host_name  : c'est la référence à l'objet host hébergeant le service à superviser. Attention : la valeur de cette directive doit correspondre à celle de la directive host_name de l'objet host concerné ;
 check_command : cette directive permet d'indiquer la commande à exécuter pour effectuer la supervision ;
 max_check_attempt  : possède la même signification que pour le host.

puis dans un fichier de conf :
define service { service_description SSH sur Nagios Server host_name Nagios Server check_command check-ssh-localhost max_check_attempts 3 }
II.4 - Résumé de la mise en place :
 1- On créé le Plugin (code qui s'exécutera pour récupérer l'info).
2- On créé la command qui appellera le Plugin.
3- Un nouveau host (pas obligatoire) qui aura le service.
4 - Le service associé au host concerné.
exemple dans un fichier de conf perso :
define command { command_name check-ping-localhost command_line $USER1$/usr/local/nagios/libexec/check_ping -H localhost -w 40,40% -c 60,60% } define command { command_name check-ssh-localhost command_line $USER1$/check_ssh localhost } define host { host_name Nagios Server address localhost check_command check-ping-localhost max_check_attempts 3 } define service { service_description SSH sur Nagios Server host_name Nagios Server check_command check-ssh-localhost max_check_attempts 3 }
on test nagios avant redémarrage :
/usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg
 III - Les codes retour.
 Nagios renvoie des réponses textes comme OK, Warn, Critique, Unknown. Mais il se fit avant tout au code retour de la commande.

Juste après la commande, il faut passer le $ ? pour avoir le code retour réel.
voici le tableau d'équivalence pour les services :



Code
Signification

0
OK

1
WARNING

2
CRITICAL

3
UNKNOWN


 III.1 - Significations.
 III.1.1 - erreur DNS
 Mettons en paramètre l'adresse d'un site qui n'existe pas. mettons -H www.ajihgfdryukjkkklyrgdh.io

Le résultat renverra un UNKNOWN. Pourquoi ?

Car la requête DNS vers le nom de domaine n'a donné aucun résultat, ce qui fait que le plugin est dans l'incapacité de renvoyer une réponse. Le code erreur est 3.
  III.1.2 - erreur IP
 Concernant le paramètre -I , si cette dernière n'existe pas, ce ne sera pas une non réponse de resuête DNS mais une erreur réseau, le code sera 2.

L'IP n'existe pas ou il n y a pas de service http qui répond au bout.
  III.1.3 - erreur 401 dû à un htaccess
 il faut passer le paramètre 

-a username:pass
  III.1.4 - Concernant les codes pour le host.



Code
Signification

0
UP

1
UP

2
DOWN

3
DOWN (sauf si Nagios dispose de votre topologie et peut déterminer que le host est UNREACHABLE)


(Il est possible de donner la typologie réseau à Nagios, dans ce cas, si un serveur est noté en étant en-dessous d'un routeur et que ce dernier est DOWN, alors le serveur sera en UNREACHABLE.
 IV - Mise en place et exploitation de check_http pour HTTP et HTTPS
 pour les redir 302 http -> https la sonde renverra un OK

pour tester directement le httpS :
/usr/local/nagios/libexec $ ./check_http -S -H leotxando.net HTTP OK: HTTP/1.1 200 OK - 1244 octets en 0,109 secondes de temps de réponse |time=0,109449s;;;0,000000 size=1244B;;;0
nagios@2DB:/usr/local/nagios/libexec$ ./check_http -H postfixadmin.leotxando.net -u /index.php; echo $? HTTP OK: HTTP/1.1 302 Found - 424 octets en 0,019 secondes de temps de réponse |time=0,018702s;;;0,000000 size=424B;;;0 0
IV.1 - Vérification du plugin et ses paramètres minimaux.
 Vérifions son fonctionnement :

/usr/local/nagios/libexec$ ./check_http

retour :

check_http: Impossible de décomposer les arguments

Utilisation :

check_http -H  | -I  [-u ] [-p ]

[-J ] [-K ]

[-w ] [-c ] [-t ] [-L] [-E] [-a auth]

[-b proxy_auth] [-f ]

[-e ] [-d string] [-s string] [-l] [-r  | -R ]

[-P string] [-m  :] -4 [-N] [-M ]

[-A string] [-k string] [-S ] [—sni] [-C [,]]

[-T ] [-j method]

Rappel : tout ce qui est entre [ ] est optionnel.
Il attend au moin un argument.

soit :

 -H , pour indiquer une adresse de type URL,

ou

 -I , pour indiquer directement une adresse IP, si vous ne souhaitez pas effectuer une requête DNS lors de l'exécution du plugin. Ce choix n'est pas du tout anodin : s'il y a beaucoup de sondes HTTP, éviter au serveur Nagios de faire des requêtes DNS pour chacune d'entre elles peut lui faire économiser beaucoup de ressources.

retentons avec un paramètre obligatoire :

/usr/local/nagios/libexec$ ./check_http -H localhost
retour :

HTTP OK : HTTP/1.1 200 OK - 10975 octets en 0,001 secondes de temps de réponse |time=0,000928s ; ; ;0,000000 size=10975B ; ; ;0

IV.2 - Tests de pages et caractères.
nagios@2DB:/usr/local/nagios/libexec$ ./check_http -H leotxando.net HTTP OK: HTTP/1.1 302 Found - 398 octets en 0,020 secondes de temps de réponse |time=0,020368s;;;0,000000 size=398B;;;0
testons une page particulière :
nagios@2DB:/usr/local/nagios/libexec$ ./check_http -H leotxando.net/index.php check_http: Adresse/Nom invalide - leotxando.net/index.php
En vérifiant les paramètres principaux nous voyons qu'il faut des options pour pouvoir prendre en compte cette recherche :

 -u, —uri=PATH

URI pour le GET ou le POST

nagios@2DB:/usr/local/nagios/libexec$ ./check_http -H leotxando.net -u /index.php HTTP OK: HTTP/1.1 302 Found - 424 octets en 0,022 secondes de temps de réponse |time=0,021536s;;;0,000000 size=424B;;;0
il y a un 302 car redir http -> https.
maintenant cherchons un caractère sur la page :

l'option -s nous y aide.
./check_http -S -H leotxando.net -u /index.php -s leotxando HTTP OK: HTTP/1.1 200 OK - 1190 octets en 0,120 secondes de temps de réponse |time=0,119945s;;;0,000000 size=1190B;;;0
avec une erreur (faux positif) pour vérifier que la sonde est fonctionnelle :
./check_http -S -H leotxando.net -u /index.php -s toto HTTP CRITICAL: HTTP/1.1 200 OK - string 'toto' not found on 'https://leotxando.net:443/index.php' - 1190 octets en 0,118 secondes de temps de réponse |time=0,118091s;;;0,000000 size=1190B;;;0 2
La suite de caractères toto n'existe pas.

Le code HTTP est de 200 mais le retour nagios est CRITICAL car le code retour est de 2
Il est possible d'affiner la recherche avec des options particulières :

 -r, —regex, —ereg=STRING

Search page for regex STRING

– R, —eregi=STRING

Search page for case-insensitive regex STRING

IV.3 - Testons la validité du certificat SSL du site
./check_http -S -H leotxando.net -C 10,5 SSL OK - Certificate 'leotxando.net' will expire in 81 days on 2022-08-21 10:23 +0200/CEST.
Critique à 5 jours et Warn à 10.
 V - Les Seuils
 Les seuils comme WARNING et CRITICAL peuvent être personnalisés avec les options -w et -c mais ces seuils, au-delà d'avoir une limite de % ou limite numérique, peuvent être qualibrée selon le temps de réponse d'une sonde donnée.
doc nagios :

https://nagios-plugins.org/doc/guidelines.html#THRESHOLDFORMAT
voici le tableau principal concernant la syntaxe à employer :



Range definition
Generate an alert if x...

10
< 0 or > 10, (outside the range of 0 .. 10)

10 :
< 10, (outside 10 .. ∞)

 :10
> 10, (outside the range of -∞ .. 10)

10:20
< 10 or > 20, (outside the range of 10 .. 20)

@10:20
≥ 10 and ≤ 20, (inside the range of 10 .. 20)


 la première ligne indique qu'un chiffre simple (10) déclenchera l'alerte si le résultat du seuil est strictement inférieur à 0 et strictement supérieur à ce chiffre (10) ;
 la seconde ligne indique qu'un chiffre suivi de deux points (10) déclenchera l'alerte si le résultat du seuil est strictement inférieur à ce chiffre (10), etc. Une autre façon de lire ce tableau est d'utiliser des commandes.
Par exemple :

check_quelquechose -w 10 -c 20renvoie CRITICAL si> 20, sinon WARNING si> 10 check_quelquechose -w 10 : -c 20renvoie CRITICAL si> 20, sinon WARNING si< 10 check_quelquechose -w 10:20renvoie WARNING si< 10 ou> 20

exemples avec le plugin check_http qui offre 2 options (avec explications ) :

 -w, —warning=DOUBLE

Temps de réponse résultant en un état d'avertissement (secondes)

– c, —critical=DOUBLE

Temps de réponse résultant en un état critique (secondes)
/usr/local/nagios/libexec$ ./check_http --ssl -H mail.leotxando.net -u /index.php -a id-auth:PASS HTTP OK: HTTP/1.1 200 OK - 168283 octets en 0,333 secondes de temps de réponse |time=0,333453s;;;0,000000 size=168283B;;;0
Ici le statut est en OK, on ne demande que si la page répond correctement.
nagios@2DB:/usr/local/nagios/libexec$ ./check_http --ssl -H mail.leotxando.net -u /index.php -a mesCourriels:M3ss4ges -w 0.1 HTTP WARNING: HTTP/1.1 200 OK - 168283 octets en 0,172 secondes de temps de réponse |time=0,172231s;0,000000;;0,000000 size=168283B;;;0
Nous avons un WARNING, le -w 0.1 est le seuil disant que si la page met + de 0.1 seconde à répondre, alors il se déclence, ici, la page répond (code http 200) mais en 0.172 secondes !
l'option -t donne un temps max de réponse avant déclenchement.
 V.1 - Résumé :
   /usr/local/nagios/libexec, le chemin qui adresse le répertoire d'installation des plugins standards Nagios. Nous avions détaillé l'arborescence d'installation de Nagios dans la deuxième partie de ce cours ;
 check_http, le fichier qui est exécuté par cette commande ;
 -H localhost, qui indique l'adresse de la machine hébergeant le site Web à superviser ;
  -u  /nagios/main.php, qui indique la ressource cible de la requête HTTP ;
 -a  nagiosadmin:pass, qui permet de passer les paramètres de l'authentification htaccess directement dans la requête HTTP de la sonde ;
 -s 4.4.2, qui spécifie la chaîne de caractères que le plugin doit trouver dans la réponse à la requête HTTP, dans le code de la page renvoyée ;
 -m 8200, qui indique que le plugin attend une page ayant un poids supérieur à 8 200 octets ;
 -w 0,1, qui indique le temps de réponse à partir duquel la sonde passera au statut « WARNING » ;
 -c 0,2, qui indique le temps de réponse à partir duquel la sonde passera au statut « CRITICAL ».
 VI - Passages d'arguments.
 On a déjà vu les macros $USER1$ etc. dans ressources.cfg  ; il est possible de s'en créer soit même pour les arguments (options utilisées pour un check), en les passant par des macros $ARG1$, $ARG2$, etc.
exemple :
define command { command_name check-http-ltx command_line $USER1$/check_http -H $HOSTADDRESS$ -w 0,1 -c 0,2 -u $ARG1$ -s $ARG2$ -m $ARG3$ $ARG4$ } 
explications :
 command_name, qui porte le nom de la commande telle que Nagios la reconnaîtra. L'idée est de choisir un nom parlant, pour que le rôle de la commande soit intelligible au premier coup d'œil.
 command_line, directive qui contient l'appel à l'exécutable et qui se décompose de la sorte :
 $USER1$, USER MACRO que nous avons configurée dans le fichier/usr/local/nagios/etc/resource.cfg, qui contient notamment le chemin d'accès vers le répertoire des plugins de Nagios (/usr/local/nagios/libexec) ;
 check_http, le plugin à exécuter ;
 -H $HOSTADDRESS$, est un standard macros qui permettra à Nagios de remplacer la variable par les serveurs présents dans l'attribut host_address de l'objet concerné :

« This directive is used to define a short name used to identify the host. It is used in host group and service definitions to reference this particular host. Hosts can have multiple services (which are monitored) associated with them. When used properly, the $HOSTNAME$ macro will contain this short name. » 

/ ! \  Le HOSTNAME doit être résolu par le DNS ou le fichier /etc/hosts, dans le cas contraire il y aura un critique. Si le hostname n'est pas résolu il faudra le modifier par $HOSTADRESS$ qui se réfèrera à la directive adress du fichier hosts.cfg (voir section ajout hosts).
  -w 0,1 -c 0,2, les arguments obligatoires et constants qui pourraient être présents dans un cahier des charges.
 -u $ARG1$ -s $ARG2$ -m $ARG3$ $ARG4$, les argument variables, obligatoires et facultatifs. Nagios propose un autre type de variables, les arguments. Ces variables, accessibles en lecture et en écriture, sont toujours nommées $ARGx$. Dans notre cas, $ARG1$ correspond à l'URL de la ressource demandée.
 VI.1 - Définitions des variables :
 Les variables se définissent dans un fichiers de configuration nagios (dossier perso de conf nagios)
define service { service_description HTTP sur ltx host_name nom_serveur check_command check-http-ltx!/index.php!'leotxando'!3450!-a loginendure:pass max_check_attempts 3 }
Les variables sont définies avec un point d'exclamation en début de définition ( !).

 !/index.php fera donc référence à : -u $ARG1$ 

 !'leotxando' à -s $ARG2$ (pour la supervision d'une chaine de caractères, toujours mettre les simple quotes (1 seul guillemet).

etc.

Rappel : les $ARGx$ sont utilisés dans command_line
$ARG4$ est une variable optionnelle, partons sur le principe que d'autres pages n'ont pas de htaccess, il faudra ainsi mettre l'option DANS la variable, ici, contrairement aux autres arguments on rajoute l'option -a :

 !-a loginendure:pass
 VI.2 - Liste des arguments Nagios (Macros)
 https://assets.nagios.com/downloads/nagioscore/docs/nagioscore/4/en/macrolist.html
 VII - Interface graphique.
 Sur la colonne de gauche en bas il est possible d'accéder à la check_command en détails dans "configuration".

 


Documentation :
 pour les débutants :
https://assets.nagios.com/downloads/nagioscore/docs/nagioscore/4/en/beginners.html
https://assets.nagios.com/downloads/nagioscore/docs/nagioscore/4/en/configmain.html
forum d'aide (rtfm en 1er)

https://support.nagios.com/forum/
 Erreur dans les checks :
 wopr-naemon (nagios) —> va ordonner à wopr-leaf de lancer des checks —> demande de lancer un worker sur —>  le gearman worker sur la machine distante.
(service check orphaned, is the mod-gearman worker on queue 'hostgroup_WORKER_XXXXX' running ?)
Ce message veut dire que le gearman worker rencontre un problème, le miniwopr a un soucis pour contacter le worker.
On relance le gearman worker sur le serveur final.
mod-gearman2-worker
On vérifie que le worker est bien remonté sur le nagios :

gearman_top
 Cas Concret. - VAE
 Personnaliser les sondes
 Il faut tout d'abord spécifier à Nagios d'aller piocher nos propres sondes personnelles dans un répertoire précis ; pour ce faire, nous allons modifier la configuration de nagios.
****@2DB:/usr/local/nagios $ vi etc/nagios.cfg

 


Dans cette configuration, la ligne suivante comporte la variable cfg_dir (dossier de configuration à lire) avec le chemin d'accès.
# Repertoire perso des checks cfg_dir=/usr/local/nagios/perso
 ! cette variable n'est aucunement unique, pour les besoins organisationnels, on peut en mettre autant qu'on le souhaite.
Dans ce dossier nous trouvons deux fichiers :
rw-r--r-- 1 nagios nagcmd 778 19 juil. 17:31 commands.cfg -rw-r--r-- 1 nagios nagcmd 119 29 mai 10:59 hosts.cfg
Le premier détiendra nos commandes, et le second fichier le nom des serveurs supervisés.

  


Mise en place de sondes
 Le but est de mettre en place une surveillance sur le site en HTTPS et sur la validité du certificat.
Ceci permettra d'avoir une supervision sur la réponse du site, de s'assurer que ce dernier répond mais contrôler si le certificat est toujours valide. Ce dernier a été généré avec "Let's Encrypt" qui est une solution de génération de certificat SSL pour une durée de 90 jours. Sur le serveur a été installé un cron (tâche récurrente) qui permet de renouveller automatiquement le certificat.
check_http -S -H leotxando.net -u /index.php -s 'LeoTXando' -m 1180:1195 -w 0,5 -c 1
Explication de la sonde : 

options utilisées :
 -S : Pour tester le site en port 443 (SSL / HTTPS).

 -H  : L'adresse du site à tester.

 -u : Va tester la requête après le nom de domaine testé par l'option -H. 

 -s : Va tester la chaine de caractères définie.

-m  : La taille de la page ne doit pas être inférieure à 1180:1195, ni supérieure à la seconde condition.

 -w 0,5 -c 1 : Si le temps de réponse du test est supérieur à 0.5 seconde, alors il y a un warning, supérieure à 1 seconde, il y a un critique.
check_http -S -H leotxando.net -C 10,5
Explication de la sonde : 

options utilisées :
 -S : Pour tester le site en port 443 (SSL / HTTPS).

 -H  : L'adresse du site à tester.

 -C : va tester la validité du certificat SSL 10,5 le warning se déclenchera 10 jours avant la fin de sa validité et le critique à 5.
 Erreur sur une sonde
 Nagios nous renvoie un flapping sur notre sonde qui vérifie l'accès à notre site Internet.

 


Par expérience, j'ai pu constater qu'un "battement" ou un changement de status soudain pouvait venir de plusieurs facteurs potentiels :
1 -> Un problème accès réseau, si un serveur Nagios essaie d'atteindre une cible qui répond. (dû à des pertes de paquets). Mais le détail de l'alerte nous orienterait vers cette piste.
2 -> Un serveur qui charge, par l'entremise d'un usage mémoire SWAP, RAM ou CPU important ; Nagios a l'intelligence de laisser le système traiter ses processus et de ne pas notifier son état, au risque de surcharger encore plus le système. Cette priorisation est astucieuse, la supervision se met "en pause" et priorise le passage d'une charge possiblement passagère.
3 -> Un service en difficulté qui peut se retrouver en statut Deffered (D state), ici, Apache pourrait être en attente de réponse d'un autre service distant (une base de données hébergée à distance qui ne répond pas), n'ayant pas de réponse, le service se met en D state empillant d'autres processus enfants et ralentissant ainsi le temps de réponse.
4 -> Une sonde mal qualibrée.
...
La seule réponse se situerait, dans un premier temps, à avoir un visuel hollistique de l'état du serveur, ou de la plateforme (si cette dernière comprend plusieurs serveurs (hosts) dépendants les uns des autres.

 


Le serveur ne semble pas charger ou avoir d'autres problèmes ou incidents.
L'interface de Nagios nous permet d'avoir un visuel sur l'historicité de ce bagotage.

 


Nous voyons que durant toute la journée, et depuis des jours, le site répond "lentement", ainsi la sonde se déclenche au-delà de 0.2 secondes.
check_http -S -H leotxando.net -u /index.php -s 'LeoTXando' -m 1180:1195 -w 0,5 -c 0,2
À la lecture de la sonde, nous pouvons voir qu'elle est mal qualibrée.

Au-delà d'une réponse de 0.5 secondes, la sonde se met en alerte jaune (Warning) et au-delà de 0.2 secondes, en critique.
Les seuils sont modifiés :
check_http -S -H leotxando.net -u /index.php -s 'LeoTXando' -m 1180:1195 -w 0,5 -c 1
On relance Nagios et la sonde revient en OK :

  


Ajout d'un nom de serveur
 En réalité nous allons différencier les sondes par défaut de Nagios (supervision CPU, mémoire, disque, service HTTP,etc.) des sondes personnelles et accès sur le serveur personnel.
Pour cela nous allons modifier le host_name de la balise host define en 2DB :

 


Il faut aussi modifier en conséquences les liaisons avec nos services, nous allons aussi renomer certaines commandes pour plus de compréhension :

  


Nous allons tester notre configuration, avant d'appliquer les modifications en production :

  


Une erreur s'est glissée :

Error: Host check command 'check-ssh-localhost' specified for host '2DB' is not defined anywhere!
Explication : Nagios cherche à appliquer la commande de supervision nommé check-ssh-localhost, mais nous avons renommé la commande en check-ssh-2DB.

Modification et relance du test :

 


  


Et le résultat via l'interface Nagios :

  


Usage de Nconf
 Une surcouche à Nagios existe afin de gérer via une interface graphique les alertes : Nconf (en autres).

 


Le menu permet de naviguer selon les différentes possibilités, l'encart "hosts -> show" permet de faire une recherche sur le nom d'un hosts précis.
Une fois le serveur trouvé, on clique sur le stylo à droite et l'on se retrouve sur tous les services qui y sont paramétrés :

  


Sur cette image plus précis on peut y voire les mêmes options que sur toutes les réponses de recherches Nconf (liste de serveurs, d'alertes (comme ici), de contacts...).

  


Dans le carré vert le symbole

 

 permet de cloner le service. de deux manières différents : 
Dans la liste de service, il le clônera pour le même host.
En haut à droite nommé clone service to other host(s), il clônera l'alerte (avec les seuils critiques et noms des contacts) vers d'autres serveurs. Cette option est utile lorsqu'on veut appliquer les mêmes alertes à des cluster.
Dans le carré rouge, le stylo permet de rentrer dans le service pour modifier l'alerte.
La croix rouge permet de supprimer le service.
Quand l'on clique sur le stylo :

 


On accède à cette page qui regroupe différents éléments que l'on retrouve losque l'on doit créer "manuellement" un service :

Le service name (nom de l'alerte ) et le check commands (le nom de la commande qui sera passer), le contact et contact group à informer, la périodicité à laquelle Nagios doit superviser les alertes, et les seuils en bas de page.
Il est possible de créer aisément un contactgroupe ainsi qu'un contact et d'incorporer le contact dans le groupe :

  




Sed
leonard — 2019-12-05T21:01:08Z
Liens
 https://likegeeks.com/sed-linux/

http://www.grymoire.com/Unix/Sed.html

https://www.tutorialspoint.com/unix/unix-regular-expressions.htm

https://www.theunixschool.com/2014/08/sed-examples-remove-delete-chars-from-line-file.html
https://www.commentcamarche.net/faq/6699-sed-trucs-et-astuces
http://sed.sourceforge.net/

https://catonmat.net/ftp/sed.stream.editor.cheat.sheet.pdf

http://sed.sourceforge.net/sed1line_fr.html

http://www.pement.org/sed/ifelse.txt
https://www.geeksforgeeks.org/sed-command-in-linux-unix-with-examples/
 Modifier le séparateur "/"
 Il suffit de le notifier juste après le 's...'
sed 's#blaba/hjj#jjhh/blabla#g'
Les / ont été changés par des #.
https://opensource.com/article/22/8/automate-file-edits-sed-linux?sc_cid=7013a000002i8GwAAI
 Remplacement dans des vhost d'une entrée dans les fichiers
#!/bin/bash # #-- Script pour passer tous les +Indexes en -Indexes des vhost enabled. # # lmercader GPL # ##on liste les vhost ls /etc/apache2/sites-available/ > liste.vhost chemin="/etc/apache2/sites-available/" # pour chaque vhost faire la modif souhaitée: # --- on remplace les +Indexes par -Indexes while read v do echo "$chemin$v" sed -i 's/+Indexes/-Indexes/g' $chemin$v done < liste.vhost ~ ~
exemple de sed utilisé :

le -i fait qu'on réécrit le résultat dans le fichier / !\ faire des tests avant sans le -i
	sed -i 's/|/ - /' TXT.txt
je remplace le | par un tiret.
 sed -i "s/'/''/g" TXT.txt

Je remplace le simple quote ' par le double quote ". Sous sqlite double " est symbole d'échappement.

 sed -i 's/,/\\,/' TXT.txt

je remplace la virgule par un \virgule.

L'antislash étant aussi un marqueur d'échapement pour sed, il faut donc en mettre 2 avant le slash qu'on veut garder.

 sed -i 's/ /_/' telecharge.txt

Je remplace l'espace par un _ il faut parfois mettre une deuxième fois cette opération :D

 sed -i "s/\//_/" telecharge.txt

Je remplace le \ par un _
Supprimer tout un encard esntre balise >.
exemple :

Je souhaite ne garder que "la phrase dedans"
la phrase dedans
sed 's/<[^>]*>//g' test
Regex toute faite qui met une exclusion [^>] sur le caractère >.

cela équivat à supprimer tout ce qui y a entre les <...> et pas ce qu'il y a à l'extérieur...
 Pour les joker
 toujours utiliser :

^.*

point étoile.
 nbre ligne 
  To just print 3rd line use the sed command :

sed -n 3p /etc/resolv.conf
To just print 3rd and 5th line use the sed command :

sed -n -e 3p -e 5p /etc/resolv.conf
To see specific range, say show lines between 3 to 5, run :

sed -n 3,5p /etc/resolv.conf
 Modifier la énième occurence :
 ici, la 2eme :
sed 's/o/-/2' test
Modifier dernière occurence :
 The following sed statement can be used to only replace the last occurrence of "Hello".
~]# echo "Hello John Hello Amy Hello Sal" | sed "s|\(.*\)Hello|\1Goodbye|"

Hello John Hello Amy Goodbye Sal
 Ajouter des caractères en tête d'un nom de fichier :
 admettons une liste de fichiers dans un dossier. 

exemple :
ARK.png AÏRK.png ... etc. ...
Nous voulons ajouter l'entête ind- avant le reste du nom :
faisons une boucle sur un fichier qui a listé ligne par ligne le nom des dossiers :
#!/bin/bash # # Renommer les fichiers de ARK.png en '$1 - Ark.png' # # $1 étant les trigramme pour le nom du cas dont appartiendrait le glyphe. # $2 le dossier (avec chemin si besoin) ############### NE PAS OUBLIER DE MODIFIER $1 en fonction de $2 ############### ls $2 > /tmp/nom cd ./$2 nb=0 while read n do nb=$((nb+1)) echo "$n" > /tmp/g2 sed -i "s/[A-Z]*/$1-&/" /tmp/g2 nn=$(cat /tmp/g2) echo "$nb le nouveau titre : $n devient $nn" mv $n ../../$nn done < /tmp/nom
retirer des caractères en tête d'un nom de fichier :
 nous voulons faire l'inverse de ce qu'il y a précédemment :
 sed -i 's/[a-z]-'//' /tmp/g2
sur une seule ligne :

while read n; do sed 's/[a-] -//'; done < /tmp/test ;
 Supprimer tout sauf la 1ère et dernière ligne.
 sed -n '1p;$p' file
 insertions de lignes
 https://fabianlee.org/2018/10/28/linux-using-sed-to-insert-lines-before-or-after-a-match/
 Afficher des lignes 
 https://unix.stackexchange.com/questions/288521/with-the-linux-cat-command-how-do-i-show-only-certain-lines-by-number
 Remplacer toute une ligne qui commence par un même mot.
 Pour remplacer toutes les lignes qui commencent par un mot spécifique dans un fichier sous Debian (ou toute autre distribution Linux), vous pouvez utiliser la commande sed, qui est un puissant éditeur de flux pour effectuer des recherches et des remplacements.
Supposons que vous vouliez remplacer toutes les lignes qui commencent par le mot mot par une nouvelle ligne nouvelle_ligne, voici comment vous pouvez procéder :
sed -i '/^mot/c\nouvelle_ligne' fichier.txt
Voici l'explication de chaque partie de la commande :
 -i : Modifie le fichier directement sur place (in-place). Si vous voulez créer une sauvegarde avant la modification, vous pouvez spécifier une extension, par exemple -i.bak pour créer une sauvegarde avec l'extension .bak.
 /^mot/ : Correspond à toutes les lignes qui commencent par mot. Le ^ indique le début de la ligne.
 c : Indique que les lignes correspondantes doivent être remplacées par le texte qui suit.nouvelle_ligne: Le texte par lequel vous voulez remplacer la ligne entière. fichier.txt: Le fichier dans lequel vous voulez effectuer les remplacements. Exemple concret, si vous voulez remplacer toutes les lignes qui commencent par Erreur par Alerte critique, vous utiliseriez :sed -i '/^Erreur/c\Alerte critique' fichier.txt`
Cette commande modifie directement le fichier fichier.txt en remplaçant toutes les lignes qui commencent par "Erreur" par "Alerte critique".


Expressions Régulières - RegEx
leonard — 2019-12-02T10:05:26Z
site de test :

https://regexr.com/

http://regex101.com/

http://regexpal.com/
notes métacaractères PCRE (utiliser grep -P pour qu'ils soient utilisés) :

PCRE est un standard de fait, ce sont les expressions régulières de Perl.
La norme Posix à 3 standard :
 BRE (Basic Regular Expressions) pour les expressions régulières basiques. C'est par exemple le standard par défaut pour sed et grep
 ERE (Extended Regular Expressions) pour les expressions régulières étendues.
 SRE (Simple Regular Expressions) qui est devenu obsolète.
Groupes :
 entre parenthèse ([a-z][2-3]).-[0-9]\/1 veut dire que l'on créé un groupe pour la simplicité de lecture mais aussi pour rappeler le résultat de ce groupe dans le /1. Le /1 fonctionne comme une "variable" qui se réfère au premier groupe, le /2 au deuxième, etc.
Par simplicité on peut renommer les groupes, pour des raisons d'organisation.

  


Le PCRE a cette simplicité que de récupérer les méthodes de nommage des groupes de Python et .NET. 

Si l'on nome un groupe avec une méthode, il faudra le rappeler avec cette même méthode.
Exemple :
création du groupe 'tag' : (?'tag'[Hh][2-3]).+?

rappelle du groupe : \k'tag' ou l'usage générique : \g{tag}
en langage perl, on peut exclure des groupes :

(?:[Hh][2-3]).+? Le  ? : n'inclue pas le groupe dans une variable $1 par exemple, celle-ci se réfèrera à un autre groupe.
 Lookhead / Lookbehind- comparaison avec ce qu'il y a devant / derrière l'élément testé.
 Lookhead
 On cherche 5 chiffres qui sont suivis par un tiret et quatre chiffres.
on créé un premier groupe de recherche : (\d{5}) puis la "condition" qui sera dans un deuxième groupe qui ne sera pas pris en compte par la recherche, cette "condition" positive (qu'il y ait...) s'écrit :

(?=-\d{4})

  


pour un élément négatif : qu'il n'y ait pas...

on recherche l'url qui n'a pas de /blog.
linux.com(?!\/blog)

  


Lookbehind
 Pour mettre une "condition" de ce qu'il y a avant.
On aimerait avoir le texte de tout ce qu'il y a dans une balise  a "condition" qu'elle ait avant une balise

 :
(?<=
).+?(?=<\/code>)
pour cette "condition" positive il faut utiliser l'élément :

?<= dans un groupe.

  


pour la "condition" négative :

? dans un groupe.

(?)(?=).+?(?=

)



Je veux les informations qui ne sont pas dans la balise  qui a 
 avant MAIS uniquement la balise  sans rien devant jusqu'à la balise .

  


if / else.
 Il est possible de faire des conditions if - else. 

Exemple :

  


On cherche tout ce qui est ID ou Function (mis dans un groupe) suivi de : espace (?(2) <- ceci est le if du 2ème groupe. Celui de function (qui est le groupe dans le 1er groupe, donc est le groupe 2.) Si function a des caractères suivi d'un point et de caractères, alors le prendre, SINON | (le pipe dans un if est reconnu comme étant un else) prendre tout les caractères.
 Noms et conditions imbriquées.

  


dans cet exemple on a nommé le groupe fn et un deuxième groupe nommé dur.
La condition est ici imbriquée. (à tester)
 glossaire :
 \b -> sélectionne un caractère entre un caractère-mot (a-z) et un caractère non mot (espace, point)

exemple : 

grep -Po '\b[a-z]' toto.txt
RegExr was created by gskinner.com, and is proudly hosted by Media Temple.
en gras ce que le grep sélectionne.
\s -> sélectionne les espaces.

\S -> sélectionne ce qui n'est pas un espace.
^-> début de ligne

[^A] -> exclure A.
 ? -> présence de 0 à 1 du caractère précédent (présence du caractère pas sûr) 

exemple : ([a-z]-[0-9])\.? -> traduction : je cherche un caractère avec un tiret et un chiffre qui se termine par un point (non obligatoire).
Le  ? peut aussi servir à faire une recherche limitée.

exemple :
Dans la phrase  :

, 
<[a-zA-Z].*>

résultat :

, 

Toute la phrase est sélectionnée alors qu'on ne voulait QUE les entrées dans les < >
solution :

<[a-z].{{+?}}> ou <[a-z].{{*?}}>
résultat :

{} was created by gskinner.com, {} hosted by Media Temple.>
 / !} quand on utilise l'expression régulière 'étoile' * comme ceci :

en gros le étoile va chercher TOUS les caractère jusqu'au DERNIER ">" qu'il rencontrera dans le texte. Il aura donc sortie de sa recherche trop de résultat.

afin de palier à ce problème et de sélectionner QUE le contenu qui nous intéresse et non trop d'infos, il faudra donc utiliser le point d'interrogation avant le dernier caractère recherché :

va chercher tous les et et uniquement eux, et pas tous le texte entre le premier < et le dernier > d'un texte.
 Tableaux de comparaison de caractères utilisés :
 sources Wikipedia



Contenaire
leonard — 2019-11-18T06:32:01Z
https://itnext.io/breaking-down-containers-part-0-system-architecture-37afe0e51770

Code	Signification
0	UP
1	UP
2	DOWN
3	DOWN (sauf si Nagios dispose de votre topologie et peut déterminer que le host est UNREACHABLE)

Range definition	Generate an alert if x...
10	< 0 or > 10, (outside the range of 0 .. 10)
10 :	< 10, (outside 10 .. ∞)
:10	> 10, (outside the range of -∞ .. 10)
10:20	< 10 or > 20, (outside the range of 10 .. 20)
@10:20	≥ 10 and ≤ 20, (inside the range of 10 .. 20)