Supervision de Open VZ avec Zabbix

Il est interessant de superviser l'etat des user_beancounters des VE pour suivre les besoins en ressouces memoires, processeurs, s'assurer que les limites ne sont pas atteintes afin ne pas avoir de blocage.


Sur le VE

Ajouter les parametres suivants a zabbix_agentd.conf

### Parameter for monitoring OpenVZ resources
UserParameter=openvz.ubc[*],/usr/bin/sudo /usr/bin/tac /proc/user_beancounters | awk '/$1/{print $(NF-5+$2);exit}'
UserParameter=openvz.vzmemcheck.putil[*],/usr/bin/sudo /usr/sbin/vzmemcheck | awk '/[0-9]/{print $$$1}'
UserParameter=openvz.vzmemcheck.util[*],/usr/bin/sudo /usr/sbin/vzmemcheck -A | awk '/[0-9]/{print $$$1;exit}'

Donner les droits a l'utilisateur Zabbix avec visudo

## Allow zabbix access to OpenVZ's resources
Cmnd_Alias MON_OVZ_HN = /usr/sbin/vzmemcheck, /usr/sbin/vzmemcheck -A
Cmnd_Alias MON_OVZ_UBC = /usr/bin/tac /proc/user_beancounters
 zabbix ALL = NOPASSWD: MON_OVZ_HN, MON_OVZ_UBC

#Desactive l'obligation d'avoir un TTY pour executer sudo

Defaults:zabbix !requiretty

Sur le Serveur Zabbix
Charger les templates suivants dans le serveur Zabbix.

Template OpenVZ

Template OpenVZ Node


Toute l'info en anglais issue du Forum Zabbix, merci a eux.
Zabbix Forum

Wine ne marche plus !!!

Apres un nouvel update, wine 1.3 ne fonctionne plus.
C'est a dire plus de Teamviewer, plus de client fortinet, plus rien.
La cata pour le support.

Finalement le probleme est lie a des updates, a l'utilisation de libriaire 64 bit au lieu de 32 bit.
Solution :
apt-get install ia32-libs-multiarch:i386

Gestion des mots de passes

Pour gérer les mots de passe comme je suis passe par :

• notepad,
• excel,
• glpi et son plugin password,
• excel dans un fichier true crypt

Et finalement maintenant j’utilise Keepass.

Keepass permet entre autre 

• de conserver les mots de passes, 
• d'organiser les password avec des icones, 
• se ferme automatiquement pour éviter les indiscrets, 
• masque les mots de passe 
• mais permet de les copier rapidement 
• et bien sur demande un mot de passe a l’ouverture.

Contrairement a Gorilla, Keepass permet de generer automatiquement des mots de passes.

Enfin Keepass me permet d’exporter les mots de passe d’un client dans un nouveau fichier Keepass qui contiendra l'organisation désirée.

Un outil indispensable a tout Sys admin, aujourd’hui je suis sur que chaque niveau (équipement, utilisateurs, …) à un mot de passe complexe et différent.

Finalement je ne connais même  plus les mots de passes par cœur et c'est bien mieux comme ca.

Offre de services

Je me lance dans l’aventure Freelance et a distance.

Je propose mes services comme indépendant aux entreprises a des prix très compétitifs depuis la Colombie ou je vis.

Maintenance ou installation a distance et en profitant du décalage horaire, je propose mes services sur Linux,  Asterisk, sécurité, Supervision, Backup.

Si vous avez besoin d'aide, de conseils, d'un avis extérieur sur votre infrastructure (interne ou hébergée)

Plus détails : SILVERSTON IT

Dans quel état j'erre ?

Ou plutôt la longue liste de méthode pour savoir si je suis dans la matrix, si je suis dans une machine virtuelle.

Simple et a installer virt-what permet de savoir si le serveur est virtuel ou non.

Ou bien vous pouvez utiliser tout un arsenal pour savoir si vous etes dans la matrix ou non.

dmidecode

exemple: dmidecode | egrep -i 'manufacturer|product'

dmesg                     

exemple : dmesg | grep -i virtual

Hairpin NAT avec Mikrotik

Hairpin NAT avec Mikrotik

Souvent on héberge en interne un serveur qui propose un service internet : SMTP, Web, Voix, ...

Bien sur en interne l'adressage IP est privée et sur internet public.

Pour éviter d'avoir a manipuler deux adresses différentes en interne et a l'extérieur.

2 solutions :

Le split DNS, une même zone, 2 serveurs DNS qui ne sont pas synchronisés avec des résolutions différentes IP différentes

Le Hairpin NAT, c’est le routeur/firewall qui va résoudre une ip public en ip interne et inversement.

Evidement cette technique n’est pas restreinte a Mikrotik, c’est possible avec Cisco, Iptables, etc …

Les commandes pour le faire :

 ;;; NAT Inside to 192.168.1.90

Pour renvoyer le traffic a destination de 190.x.x. vers le 192.168.1.90

     chain=dstnat action=dst-nat to-addresses=192.168.1.90 protocol=tcp 

     dst-address=190.0.x.x dst-port=80 

Pour forcer le traffic retour

    chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 

     dst-address=192.168.1.90 out-interface=ether2-local-master dst-port=80 

De cette facon les utilisateurs n'utilisent plus qu'une seule adresse ip en interne et sur internet.

La doc en anglais :

http://wiki.mikrotik.com/wiki/Hairpin_NAT