Zabbix low discovery filesystem Openvz

Comme j'avais oublie comment découvrir et superviser les FS utilises par Openvz avec Zabbix, je le note ici.

Si vos FS n'apparaissent pas.

Verifier le filtre de Mounted filesystem discovery :
Doit etre
Macro : {#FSTYPE}
Regexp : @File systems for discovery


Puis dans la partie Administration/General/Configuration regexp

Ajouter a File systems for discovery : simfs




De cette facon vos FS simfs sous OpenVZ seront découverts et supervises.

Configurer Apache2/ SSL avoir un A au test Qualys SSL Labs

Plus de Internet sans HTTPS, plus de configuration d'Apache sans SSL et c'est tant mieux.
Comment faire pour avoir un bon score au test Qualys SSL Labs

Générer KEY et CSR

openssl req -new -newkey rsa:2048 -nodes -keyout monserveur.key -out monserveur.csr

Personnellment je conserve mon CSR, KEY et CRT dans la configuration de Apache : /etc/apache2/ssl
Copier le CSR obtenu a son fournisseur. On trouve maintenant des certificats SSL gratuit, perso j'aime bien Namecheap.com pas cher et rapide.
On recoit le CRT le certificat SSL et son bundle qui permet de valider la chaine de validite.

 

Configuration typique

<IfModule mod_ssl.c>
    <VirtualHost _default_:443>
        ServerAdmin webmaster@localhost
        ServerName    www.monserveur.fr
        ServerAlias    monserveur.fr
        DocumentRoot /var/www/html/prod/monserveur.fr
    <Directory />
        Options FollowSymLinks
        AllowOverride All
    </Directory>
    <Directory /var/www/html/prod/monserveur.fr>
        Options Indexes FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
        SSLEngine on
        SSLCertificateFile    /etc/apache2/ssl/monserveur_io.crt
        SSLCertificateKeyFile /etc/apache2/ssl/monserveur.io.key
        SSLCACertificateFile /etc/apache2/ssl/monserveur_io.ca-bundle
        SSLCipherSuite HIGH:!aNULL:!MD5
        SSLProtocol all -SSLv2 -SSLv3
        SSLHonorCipherOrder on
        <FilesMatch "\.(cgi|shtml|phtml|php)$">
                SSLOptions +StdEnvVars
        </FilesMatch>
        <Directory /usr/lib/cgi-bin>
                SSLOptions +StdEnvVars
        </Directory>
        BrowserMatch "MSIE [2-6]" \
                nokeepalive ssl-unclean-shutdown \
                downgrade-1.0 force-response-1.0
        BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
    </VirtualHost>
</IfModule>

Forcer HTTP vers HTTPS

 Pour forcer le redirect de HTTP vers HTTPS dans le vhost HTTP ajouter :

   
    RewriteEngine On
    RewriteCond %{HTTPS} !=on
    RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]

Bye Debian Squeeze

Bye, bye Debian Squeeze

Ok je sais c'est pas une nouvelle. Debian a annonce la fin du support Debian Squeeze. De bon et loyaux service.
https://www.debian.org/News/2016/20160212

Donc meme si j'aurais du le faire avant, il faut maintenant mettre a jour et passer a Debian Wheeze.7
Comme je prefere mettre a jour apres tout le monde pour eviter les problemes. La c'est le moment et le methode est bien rodee.

Evidement faire un backup avant.

Mettre a jour toutes les occurances de squeeze comme wheeze dans les fichiers suivants.


/etc/apt/sources.list et
/etc/apt/sources.list.d/*
aptitude update
Mettre a jour les keys


aptitude install debian-keyring debian-archive-keyring
Pour eviter l'erreur suivante :

There is no public key available for the following key IDs: 8B48AD6246925553
aptitude upgrade

Puis
 

aptitude dist-upgrade

Reboot et verifier le resultat.
Y a toujours des petites suprises surtout lies aux sources.list complementaires.
Enfin maintenant votre serveur est un Debian Wheeze, bravo !

Attention si comme moi votre infra est souvent base sur Promox, version 2 ou 3.
Debian 8, Jessy n'est pas forcement compatible avec Promox/OpenVZ (changement du reseau et systemd)

A tester avant de passer en prod.

Un MOTD comme un carnet de maintenance

Souvent c'est compliqué de partager l'information, de suivre les interventions sur les serveurs.
On note le suivi dans un outils (ITIL, etc ...) mais la relation entre les deux, l'information et le serveur est toujours un peu deconnectée. Quand on a une urgence on se connecte dans regarder la base d'information, ou bien tous les admin n'ont pas la même pratique, voir même parfois on rentre de vacances :)

Une solution que j'ai trouve est de créer un MOTD, message of the day personnel, qui apparaîtra seulement pour les admins et pas pour les autres intervenants sur le serveurs (dev, operateurs, ...)

L’idée c'est de laisser le genre d'information suivante :

• Les volumes Oracle ASM sont gérés par udev rules ou au contraire par asmlib
• Le serveur est vieux, ne toucher a rien
• lire le ticket xxx avant tout chose
• ....

J'ajoute dans /etc/profile le code suivant pour tester l'appartenance de l'utilisateur au groupe sysadmin. Si oui j'affiche le contenu de /etc/motd.splash_root.sh

####MOTD perso
if id -nG "$USER" | grep -qw "sysadmin"; then
. /etc/motd.splash_root.sh
fi
##############################

/etc/motd.splash_root.sh

echo ""
echo -e "\e[1;31m     ATTENTION                                                        \e[0m"
echo ""
echo -e "\e[1;31m ========================================="
echo -e "\e[1;37m                                                                                             "
echo -e "\e[1;37m        ASM par udev rules                                                     "
echo -e "\e[1;37m                                                                                             "
echo -e "\e[1;31m ========================================="
echo -e "\e[1;0m"

Qu'en pensez vous ? Comment faites-vous ?