Utilisation de /dev/sda Bievenue sur GNU Parted ! Tapez 'help' pour voir la liste des commandes. (parted) print free Modèle: VMware Virtual disk (scsi) Disque /dev/sda : 387GB Taille des secteurs (logiques/physiques): 512B/512B Table de partitions : msdos Disk Flags: Numéro Début Fin Taille Type Système de fichiers Fanions 32,3kB 1049kB 1016kB Espace libre 1 1049kB 525MB 524MB primary xfs démarrage 2 525MB 62,7GB 62,2GB primary lvm (gestionnaire de volumes logiques) 3 62,7GB 322GB 259GB primary lvm (gestionnaire de volumes logiques) 322GB 387GB 64,4GB Espace libre <------------- (parted) mkpart Type de partition ? primary/primaire/extended/étendue? primary Type de système de fichiers ? \[ext2\]? xfs Début ? 322GB Fin ? 387GB set 4 lvm on (parted) print free Numéro Début Fin Taille Type Système de fichiers Fanions 32,3kB 1049kB 1016kB Espace libre 1 1049kB 525MB 524MB primary xfs démarrage 2 525MB 62,7GB 62,2GB primary lvm (gestionnaire de volumes logiques) 3 62,7GB 322GB 259GB primary lvm (gestionnaire de volumes logiques) 4 322GB 387GB 64,4GB primary lvm (gestionnaire de volumes logiques)
##### Ajout de la partition au groupe de volumes `pvcreate /dev/sda4` `vgextend vg1 /dev/sda4` #### 2. EXTENSION D'UNE PARTITION EXISTANTE (parted >= 3.1) *parted 3.1.0 n'a plus la commande resize, et pas encore resizepart qui semble revenir avec la 3.1.32* ##### Procédure 1 - Sans "resizepart" **SANS SORTIR DE PARTED !** on supprime la partition pour la recréer tout de suite à la taille maximum. On note le secteur de départ, il faudra redonner exactement le même. `parted /dev/sda`unit s *-> (affichage en mode secteurs)* print all print free rm 4 mkpart primary \[start\]s \[end\]s (ou : 100%) print all print free
##### Procédure 2 - Avec "resizepart"print *-> (noter la taille max du disque, par ex 502GB)* resizepart 4 Fin \[247GB\] : 502GB q
##### Suite : Extension LVM (si nécessaire) Affichage des informations et noms des groupes de volumes et volumes logiques `# vgdisplay`--- Volume group --- VG Name vg1 .....
`# lvdisplay`--- Logical volume --- LV Path /dev/vg1/root ..... --- Logical volume --- LV Path /dev/vg1/swap ..... --- Logical volume --- LV Path /dev/vg1/u01 .... LV Size 241,63 GiB
Prise en compte de l'extension dans LVM `# pvscan` `# pvresize /dev/sda4` Extension du volume logique ```# lvresize -l +100%FREE /dev/rhel/u01` `# lvdisplay`... --- Logical volume --- LV Path /dev/rhel/u01 ... LV Size 301,62 GiB
#### 3. EXTENSION DU SYSTEME DE FICHIERS XFS `# xfs_growfs /u01` # Restauration d'un VG si un disque perd son uuid Booter en mode rescue (mode par défaut proposé par linux si une partition ne monte pas). Remonter la racine en RW ``` # mount -o remount / ``` Voir le volume en cause : ``` # pvscan Couldn't find device with uuid yF12vQ-Pcsb-MDXA-D85j-02ci-ivJd-yR92mi PV /dev/sda2 VG VGRoot lvm2 [24,59 GB / 0 free] Total: 1 [24,59 GB] / in use: 1 [24,59 GB] / in no VG: 0 [0 ] PV /dev/sdb1 VG VGData lvm2 [249,88 GB / 0 free] Total: 1 [249,88 GB] / in use: 1 [249,88 GB] / in no VG: 0 [0 ] ``` Ici, bien qu'affiché tout de suite, le message concerne le second volume /dev/sdb1. Lister les sauvegardes (automatiques) de la configuration LVM : ``` # vgcfgrestore --list VGData File: /etc/lvm/archive/VGData_00000.vg VG name: VGData Description: Created *before* executing '/sbin/vgs --noheadings -o name' Backup Time: Wed Oct 5 17:13:17 2011 File: /etc/lvm/backup/VGData VG name: VGData Description: Created *after* executing '/sbin/vgs --noheadings -o name' Backup Time: Wed Oct 5 17:13:17 2011 ``` On recrée le volume physique en forçant l'UUID. A priori, cette opération ne touche pas aux données de la partition, mais on ne peut jamais être sûr... C'est donc sans garantie. ``` # pvcreate /dev/sdb1 --uuid yF12vQ-Pcsb-MDXA-D85j-02ci-ivJd-yR92mi --restorefile /etc/lvm/backup/VGData Couldn't find device with uuid yF12vQ-Pcsb-MDXA-D85j-02ci-ivJd-yR92mi. Writing physical volume data to disk "/dev/sdb1" Physical volume "/dev/sdb1" successfully created ``` On vérifie les UUIDs : ``` # pvs -o +uuid PV VG Fmt Attr PSize PFree PV UUID /dev/sda2 VGRoot lvm2 a-- 25,59g 18,62g AYR30X-PoeE-4dZi-iexU-XqWw-I9OB-ewOdyx /dev/sdb1 lvm2 a-- 250,48g 931,51g yF12vQ-Pcsb-MDXA-D85j-02ci-ivJd-yR92mi ``` On restore définitivement le groupe de volumes : ``` # vgcfgrestore VGData Restored volume group VGData ``` On vérifie que les groupes de volumes ne renvoient plus d'erreurs : ``` # vgscan Reading all physical volumes. This may take a while... Found volume group "VGRoot" using metadata type lvm2 Found volume group "VGData" using metadata type lvm2 ``` On active le groupe de volumes qui vient d'être restauré : ``` # vgchange -ay 1 logical volume(s) in volume group "VGRoot" now active 3 logical volume(s) in volume group "VGData" now active ``` Il reste à remonter le ou les volumes logiques : ``` # mount /dev/mapper/VGData-LVData /data ``` # Anti-DDOS par iptables et sysctl.conf #### ANTI-DDOS par les iptables [https://javapipe.com/ddos/blog/iptables-ddos-protection/](https://javapipe.com/ddos/blog/iptables-ddos-protection/)\### 1: Drop invalid packets ### /sbin/iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP \### 2: Drop TCP packets that are new and are not SYN ### /sbin/iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack --ctstate NEW -j DROP \### 3: Drop SYN packets with suspicious MSS value ### /sbin/iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate NEW -m tcpmss ! --mss 536:65535 -j DROP \### 4: Block packets with bogus TCP flags ### /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP \### 5: Block spoofed packets ### /sbin/iptables -t mangle -A PREROUTING -s 224.0.0.0/3 -j DROP /sbin/iptables -t mangle -A PREROUTING -s 169.254.0.0/16 -j DROP /sbin/iptables -t mangle -A PREROUTING -s 172.16.0.0/12 -j DROP /sbin/iptables -t mangle -A PREROUTING -s 192.0.2.0/24 -j DROP /sbin/iptables -t mangle -A PREROUTING -s 192.168.0.0/16 -j DROP /sbin/iptables -t mangle -A PREROUTING -s 10.0.0.0/8 -j DROP /sbin/iptables -t mangle -A PREROUTING -s 0.0.0.0/8 -j DROP /sbin/iptables -t mangle -A PREROUTING -s 240.0.0.0/5 -j DROP /sbin/iptables -t mangle -A PREROUTING -s 127.0.0.0/8 ! -i lo -j DROP \### 6: Drop ICMP (you usually don't need this protocol) ### /sbin/iptables -t mangle -A PREROUTING -p icmp -j DROP \### 7: Drop fragments in all chains ### /sbin/iptables -t mangle -A PREROUTING -f -j DROP \### 8: Limit connections per source IP ### /sbin/iptables -A INPUT -p tcp -m connlimit --connlimit-above 111 -j REJECT --reject-with tcp-reset \### 9: Limit RST packets ### /sbin/iptables -A INPUT -p tcp --tcp-flags RST RST -m limit --limit 2/s --limit-burst 2 -j ACCEPT /sbin/iptables -A INPUT -p tcp --tcp-flags RST RST -j DROP \### 10: Limit new TCP connections per second per source IP ### /sbin/iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m limit --limit 60/s --limit-burst 20 -j ACCEPT /sbin/iptables -A INPUT -p tcp -m conntrack --ctstate NEW -j DROP \### 11: Use SYNPROXY on all ports (disables connection limiting rule) ### \### !!! EVITER SYNPROXY SUR TOUS LES PORTS ! PEUT BLOQUER SSH ET PLUS ! LIMITER AUX PORTS SENSIBLES ### \### you can just add --dport 80 to each of the rules if you want to use SYNPROXY on port 80 only iptables -t raw -A PREROUTING -p tcp -m tcp --syn -j CT --notrack iptables -A INPUT -p tcp -m tcp -m conntrack --ctstate INVALID,UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
Bonus Rules :\### SSH brute-force protection ### /sbin/iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --set /sbin/iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 10 -j DROP \### Protection against port scanning ### /sbin/iptables -N port-scanning /sbin/iptables -A port-scanning -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s --limit-burst 2 -j RETURN /sbin/iptables -A port-scanning -j DROP
#### ANTI-DDOS par sysctl.confkernel.printk = 4 4 1 7 kernel.panic = 10 kernel.sysrq = 0 kernel.shmmax = 4294967296 kernel.shmall = 4194304 kernel.core\_uses\_pid = 1 kernel.msgmnb = 65536 kernel.msgmax = 65536 vm.swappiness = 20 vm.dirty\_ratio = 80 vm.dirty\_background\_ratio = 5 fs.file-max = 2097152 net.core.netdev\_max\_backlog = 262144 net.core.rmem\_default = 31457280 net.core.rmem\_max = 67108864 net.core.wmem\_default = 31457280 net.core.wmem\_max = 67108864 net.core.somaxconn = 65535 net.core.optmem\_max = 25165824 net.ipv4.neigh.default.gc\_thresh1 = 4096 net.ipv4.neigh.default.gc\_thresh2 = 8192 net.ipv4.neigh.default.gc\_thresh3 = 16384 net.ipv4.neigh.default.gc\_interval = 5 net.ipv4.neigh.default.gc\_stale\_time = 120 net.netfilter.nf\_conntrack\_max = 10000000 net.netfilter.nf\_conntrack\_tcp\_loose = 0 net.netfilter.nf\_conntrack\_tcp\_timeout\_established = 1800 net.netfilter.nf\_conntrack\_tcp\_timeout\_close = 10 net.netfilter.nf\_conntrack\_tcp\_timeout\_close\_wait = 10 net.netfilter.nf\_conntrack\_tcp\_timeout\_fin\_wait = 20 net.netfilter.nf\_conntrack\_tcp\_timeout\_last\_ack = 20 net.netfilter.nf\_conntrack\_tcp\_timeout\_syn\_recv = 20 net.netfilter.nf\_conntrack\_tcp\_timeout\_syn\_sent = 20 net.netfilter.nf\_conntrack\_tcp\_timeout\_time\_wait = 10 net.ipv4.tcp\_slow\_start\_after\_idle = 0 net.ipv4.ip\_local\_port\_range = 1024 65000 net.ipv4.ip\_no\_pmtu\_disc = 1 net.ipv4.route.flush = 1 net.ipv4.route.max\_size = 8048576 net.ipv4.icmp\_echo\_ignore\_broadcasts = 1 net.ipv4.icmp\_ignore\_bogus\_error\_responses = 1 net.ipv4.tcp\_congestion\_control = htcp net.ipv4.tcp\_mem = 65536 131072 262144 net.ipv4.udp\_mem = 65536 131072 262144 net.ipv4.tcp\_rmem = 4096 87380 33554432 net.ipv4.udp\_rmem\_min = 16384 net.ipv4.tcp\_wmem = 4096 87380 33554432 net.ipv4.udp\_wmem\_min = 16384 net.ipv4.tcp\_max\_tw\_buckets = 1440000 net.ipv4.tcp\_tw\_recycle = 0 net.ipv4.tcp\_tw\_reuse = 1 net.ipv4.tcp\_max\_orphans = 400000 net.ipv4.tcp\_window\_scaling = 1 net.ipv4.tcp\_rfc1337 = 1 net.ipv4.tcp\_syncookies = 1 net.ipv4.tcp\_synack\_retries = 1 net.ipv4.tcp\_syn\_retries = 2 net.ipv4.tcp\_max\_syn\_backlog = 16384 net.ipv4.tcp\_timestamps = 1 net.ipv4.tcp\_sack = 1 net.ipv4.tcp\_fack = 1 net.ipv4.tcp\_ecn = 2 net.ipv4.tcp\_fin\_timeout = 10 net.ipv4.tcp\_keepalive\_time = 600 net.ipv4.tcp\_keepalive\_intvl = 60 net.ipv4.tcp\_keepalive\_probes = 10 net.ipv4.tcp\_no\_metrics\_save = 1 net.ipv4.ip\_forward = 0 net.ipv4.conf.all.accept\_redirects = 0 net.ipv4.conf.all.send\_redirects = 0 net.ipv4.conf.all.accept\_source\_route = 0 net.ipv4.conf.all.rp\_filter = 1
# RAID logiciel : mdadm *Un article de Le wiki de 2 noisettes - noisette.ch.* Mdadm est un logiciel de gestion de RAID logiciel. Il est très complet au point que je le conseille même pour un environnement de production. Cet article explique comment créer un RAID, assembler plusieurs disques ayant déjà fait parti d'un array, ou comment réagir en cas de panne. Pour les commandes données en exemple, nous ferons du RAID1 avec 2 disques partitionnés en 4, respectivement /boot, swap, / et /home. # Création ## Configurer les disques Une fois le logiciel mdadm installé sur l'ordinateur, il faut configurer les disques ``` fdisk /dev/sda fdisk /dev/sdb ``` pour que les partitions qui vont accueillir du RAID soient de type Linux raid autodetect (fd). Puis on va les assembler avec mdadm pour finalement pouvoir les formater et installer le le system dessus. La configuration des disques sera la suivante : ``` /dev/*1 --> /boot, 100MB /dev/*2 --> swap, 1-2GB ``` / dev/\*3 --> /, 20GB ``` /dev/*4 --> /home, le reste (bien que mettre /var serait plus judicieux sur une gentoo. ``` ## Noyau Compilez le noyau avec les options suivantes (et sélectionner un autre mode de RAID si souhaité) ``` Device Drivers ---> Multi-device support (RAID and LVM) ---> [*] Multiple devices driver support (RAID and LVM) [*] RAID support [*] RAID-1 (mirroring) mode ``` Si vous démarrez d'un live CD, il faut charger le module (raid1 par exemple) : ``` modprobe raid1 ``` Créer les nodes /dev/mdX ``` mknod /dev/md1 b 9 1 mknod /dev/md3 b 9 3 mknod /dev/md4 b 9 4 ``` ## Création des arrays Pour les assembler avec mdadm, la commande ressemble à la suivante ``` mdadm --create /dev/md1 --level=1 --raid-devices=2 /dev/sda1 /dev/sdb1 mdadm --create /dev/md3 --level=1 --raid-devices=2 /dev/sda3 /dev/sdb3 mdadm --create /dev/md4 --level=1 --raid-devices=2 /dev/sda4 /dev/sdb4 ``` Une fois l'array créé, reste les formatage et le montage à l'endroit voulu. ``` mke2fs /dev/md1 mkreiserfs /dev/md3 mkreiserfs /dev/md4 mkswap /dev/sda2 && mkswap /dev/sdb2 swapon /dev/sda2 && swapon /dev/sdb2 mount /dev/md3 /mnt mkdir -p /mnt/boot && mount /dev/md1 /mnt/boot mkdir -p /mnt/home && mount /dev/md4 /mnt/home ``` On peut maintenant consulter les informations sur les disques, et insérer ces informations dans /etc/mdadm.conf : ``` mdadm --detail --scan >> /etc/mdadm.conf ``` ### Créer un raid10 ``` mdadm -v --create /dev/md2 --level=raid10 --raid-devices=12 /dev/sd[a-l]2 ``` ### Créer un raid 50 Commencer par créer 4 baies de trois disques en RAID5 : ``` mdadm --create /dev/md21 -v --raid-devices=3 --level=5 /dev/sd[a-c]2 mdadm --create /dev/md22 -v --raid-devices=3 --level=5 /dev/sd[d-f]2 mdadm --create /dev/md23 -v --raid-devices=3 --level=5 /dev/sd[g-i]2 mdadm --create /dev/md24 -v --raid-devices=3 --level=5 /dev/sd[j-l]2 ``` Pour créer un raid 0 avec ces 4 RAID5 : ``` mdadm --create /dev/md2 -v --raid-devices=4 --level=0 /dev/md21 /dev/md22 /dev/md23 /dev/md24 ``` Si par la suite on veut étendre le raid : Recréer une baie de raid5 : ``` mdadm --create /dev/md25 -v --raid-devices=3 --level=5 /dev/sd[l-n]2 ``` L'ajouter daans le raid0 existant : ``` mdadm --manage /dev/md2 --add /dev/md25 ``` Définir le nombre de Baies pour le raid0 : ``` mdadm --grow /dev/md2 --raid-devices=5 ``` # (Ré)Assemblage Une fois le RAID créé et des données dessus, on ne veut plus nécessairement le reformater et le recréer quand on l'a démonté. La solution sera donc de le réassemblé avec mdadm. La première étape conciste à examiner une partition pour contrôler si elle fait bien partie d'un RAID (pour ceux qui on une mauvaise mémoire à très court terme) : ``` mdadm --examine /dev/sda1 ``` La sortie nous dit si oui ou non la partition fait partie d'un RAID, et si oui quels autres disques en font aussi partie. Une fois en possession de ces informations, il nous reste à assembler l'ARRAY : ``` mdadm --assemble /dev/md1 /dev/sda1 /dev/sdb1 mdadm --assemble /dev/md3 /dev/sda3 /dev/sdb3 mdadm --assemble /dev/md4 /dev/sda4 /dev/sdb4 ``` Reste le montage à l'endroit voulu. # Reconstruction J'ai fait des tests de tolérence sur le RAID logiciel. J'ai commencé par enlever des disques à chaud (et j'ai pu bien constater qu'IDE était hot-déswap mais pas hot-swap), puis en utilisant l'option --fail pour simuler une panne. Les résultat étaient assez intéressants, mais le problème était de reconstruire le raid après la panne simulée. Une fois la panne détectée (une véritable panne ou une simulée), on identifie le disque défectueux (avec dmesg ou /proc/mdstat) et on le retire de l'array : ``` mdadm --manage /dev/md1 --remove /dev/sdb1 ``` Si on n'a pas de SATA pour enlever et remettre un disque à chaud, on arrête la machine et on la redémarre avec le nouveau disque. Puis on ajoute le nouveau disque à l'array : ``` mdadm --manage /dev/md1 --add /dev/sdb1 ``` # Suppression ## Supprimer le raid existant Passer le status des disques à fail : ``` mdadm --manage /dev/md2 --fail /dev/sd[a-l]2 ``` Puis les retirer du raid : ``` mdadm --manage /dev/md2 --remove /dev/sd[a-l]2 ``` Arrêter le raid : ``` mdadm --manage --stop /dev/md2 ``` Commenter la ligne correspondant à md2 dans /etc/mdadm.conf Initialiser les périphériques pour effacer toute trace et redémarrer la machine: ``` mdadm --zero-superblock /dev/sd[a-l]2 reboot ``` # Monitoring Mdadm offre une option de monitoring des arrays : --monitor. Pouvant être directement lancé sur centos avec le daemon mdmonitor : service mdmonitor start chkconfig mdmonitor on ## Notifications de base Ajouter dans /etc/mdadm.conf ``` MAILADDR youremail@domain.com MAILFROM my-server-name ``` tester : mdadm --monitor --scan --test --oneshot ## Notification à l'aide d'un script Mdmonitor peut appeler un script externe lors d'un événement (bon ou mauvais). Pour cela rajouter dans /etc/mdadm.conf : ``` PROGRAM /opt/systools/handle-mdadm-events.sh ``` Les arguments passés au script seront les suivants : ``` * $1 : une chaine de caractère qui décrit l'évènement qui s'est produit o 'SparesMissing' : une panne est détectée mais aucun disque de remplacement n'est présent o 'Fail' : un disque est détecté comme déféctueux o 'RebuildStarted' : un nouveau disque est ajouté à l'array et la reconstruction commence o 'Rebuild20' : la reconstruction est à 20% o 'Rebuild40' : la reconstruction est à 40% o 'Rebuild60' : la reconstruction est à 60% o 'Rebuild80' : la reconstruction est à 80% o 'RebuildFinished' : la reconstruction est terminée o 'SpareActive' : un disque de réserve est ajouté à un array * $2 : le nom de la device md : /dev/mdX ``` $1 et $2 étant le premier et le deuxième argument passé en paramètre. Voici le script : ``` #!/bin/bash CONFIG="/etc/mdadm.conf" MAILADDR="pbrun@systea.net" # support@systea.net" #espace entre les mails parse_event() { echo "Hôte : $HOSTNAME" if [ -z "$1" ]; then echo "Événement : Test message" else echo "MD Device : $2" echo "Événement : $1" if [ -n "$3" ]; then echo "Élément en cause: $3" fi fi echo "" echo "/proc/mdstat dump:" FAIL=0 DEGRADED=0 while read LINE; do echo -n "$LINE" if [ -n "$(echo "$LINE" |grep 'active raid')" ]; then if [ -n "$(echo "$LINE" |grep '\(F\)')" ]; then FAIL=$(($FAIL + 1)) echo -n " (ATTENTION: DISQUE(S) DÉFÉCTUEUX!)" fi if [ -n "$(echo "$LINE" |grep '\(S\)')" ]; then echo -n " (Hotspare(s) disponibles)" else echo -n " (NOTE: Pas de hotspare?!)" fi fi if [ -n "$(echo "$LINE" |grep 'blocks')" ]; then if [ -n "$(echo "$LINE" |grep '_')" ]; then DEGRADED=$(($DEGRADED + 1)) echo -n " (DEGRADED!!!)" fi fi echo "" done < /proc/mdstat if [ $FAIL -gt 0 ]; then echo "" echo "** ATTENTION: Un ou plusieurs RAID ont un ou plusieurs disques déféctueux! **" fi if [ $DEGRADED -gt 0 ]; then echo "" echo "** ATTENTION: Un ou plusieurs RAID fonctionnent en mode dégradé! **" fi } # main line: # Get MAILADDR from mdadm.conf config file, if not set already if [ -z "$MAILADDR" ] && [ -f "$CONFIG" ]; then MAILADDR=`grep MAILADDR "$CONFIG" |cut -d' ' -f2` if [ -z "$MAILADDR" ]; then MAILADDR="root" fi fi # Call the parser and send it to the configured address parse_event $* |mail -s"Événement RAID(MD) sur $HOSTNAME" "$MAILADDR" exit 0 ``` Afin de ne pas recevoir deux mails pour chaque alerte il est conseillé de commenter les deux lignes : ``` MAILADDR youremail@domain.com MAILFROM my-server-name - mdadm ``` ## Un script plus simple... ``` #!/bin/bash MAIL=admin@domain.com if [ $(date +\%w) -ne 0 ] then STATE=$(/sbin/mdadm --query --detail /dev/md1 | grep State | grep -v Major | awk '{print $3}') if [ "$STATE" != "clean" -a "$STATE" != "active" ] then (/sbin/mdadm --query --detail /dev/md1 )| mail -s "PROBLEME RAID sur $(hostname) $(date +%d/%m)" $MAIL fi fi ``` # Notes\# Enable mouse scrolling and scroll bar history scrolling termcapinfo xterm\* ti@:te@
Magique ! # TLS 1.2 avec curl ou php-curl - SSL - Cipher Problème : certains sites/API réclament TLS1.2 pour les échanges (exemple : Paypal à partir du 30/06/2018). Par défaut sur CentOS7, si openssl est à jour (>1.0.1) ainsi que curl et libcurl, ils doivent utiliser tls 1.2 par défaut. Si ce n'est pas le cas (test : curl https://tlstest.paypal.com), les mettre à jour ainsi que NSS: ``` yum update nss curl libcurl ``` Quelques commandes utiles : Valider les protocoles utilisés par curl : ```shell curl -v https://www.howsmyssl.com/a/check ``` Vérifier les protocoles acceptés par un site : ```shell openssl s_client -connect www.google.com:443 - ou - nmap --script ssl-enum-ciphers -p 443 www.google.com ```