• Debian 7.0 Wheezy

Installation

Mise en place des dépôts

Installez les prérequis d'installation:

command apt-get install lsb-release

Récupérez le nom de la distribution:

DEBIAN_VERSION="$(command lsb_release -cs)"

Détectez le miroir utilisé par l'installation actuelle:

MIRROR=$(command egrep "^deb.*${DEBIAN_VERSION}" '/etc/apt/sources.list' \
    | command egrep -v "updates|-src|cdrom" \
    | cut --delimiter=" " --fields=2)

Ajoutez les dépôts Squeeze à la configuration Apt:

DEBIAN_VERSION="squeeze"
command echo "# Debian contrib repository.
deb http://ftp.fr.debian.org/debian/ ${DEBIAN_VERSION} main
deb-src http://ftp.fr.debian.org/debian/ ${DEBIAN_VERSION} main

deb http://security.debian.org/ ${DEBIAN_VERSION}/updates main
deb-src http://security.debian.org/ ${DEBIAN_VERSION}/updates main" \
    > "/etc/apt/sources.list.d/${DEBIAN_VERSION}.list"

Ajoutez les dépôts DotDeb Squeeze à la configuration Apt:

command echo "# DotDeb repository.
deb http://packages.dotdeb.org ${DEBIAN_VERSION} all
deb-src http://packages.dotdeb.org ${DEBIAN_VERSION} all" \
    > "/etc/apt/sources.list.d/dotdeb-org-${DEBIAN_VERSION}.list"

Ajoutez la clef signant les dépôt à la configuration Apt:

command wget 'http://www.dotdeb.org/dotdeb.gpg' \
    --quiet --output-document=- \
    | command apt-key add -

Assignez une très faible priorité aux paquet DotDeb pour ne pas polluer le système:

command echo "Package: *
Pin: origin packages.dotdeb.org
Pin-Priority: 200" \
    > '/etc/apt/preferences.d/dotdeb-org'

Mettez à jour la liste des paquets disponibles:

command apt-get update

Installation de PHP 5.3

Récupérez la liste des paquets PHP5 et PECL disponibles sur les serveurs Dotdeb:

PACKAGES="$(command wget "http://packages.dotdeb.org/dists/${DEBIAN_VERSION}/php5/binary-$(command dpkg --print-architecture)" \
    --quiet --output-document=- \
    | command grep "href=" | command grep -v "h1" | command grep -v "\.\./" \
    | command sed -e 's/^[^>]*>\([^_]*\)_.*$/\1/' | command tr "\n" " ")"
PECL_PACKAGES="$(command wget "http://packages.dotdeb.org/dists/${DEBIAN_VERSION}/php5-pecl/binary-$(command dpkg --print-architecture)" \
    --quiet --output-document=- \
    | command grep "href=" | command grep -v "h1" | command grep -v "\.\./" \
    | command sed -e 's/^[^>]*>\([^_]*\)_.*$/\1/' | command tr "\n" " ")"
ALL_PACKAGES="$(command wget "http://packages.dotdeb.org/dists/${DEBIAN_VERSION}/php5/binary-all" \
    --quiet --output-document=- \
    | command grep "href=" | command grep -v "h1" | command grep -v "\.\./" \
    | command sed -e 's/^[^>]*>\([^_]*\)_.*$/\1/' | command tr "\n" " ")"

Assignez une priorité élevée aux paquets PHP de DotDeb:

command echo "Package: ${PACKAGES} \\
    ${PECL_PACKAGES} \\
    ${ALL_PACKAGES}
Pin: origin packages.dotdeb.org
Pin-Priority: 600" \
    > '/etc/apt/preferences.d/dotdeb-org-php5'

Assurez-vous que les sessions restent stockées dans "/var/lib/php5" et que PHP ne gère pas leur destruction (géré par un cron):

command mkdir --parent '/etc/php5/conf.d' '/var/lib/php5'
command chmod 733 '/var/lib/php5'
command chmod o+t '/var/lib/php5'
echo '; Store sessions to /var/lib/php5
session.save_path = "/var/lib/php5"
session.gc_probability = 0' \
    > '/etc/php5/conf.d/000-session-store-default.ini'

Remplacez les paquets PHP5 installés par la version 5.3:

command apt-get install $(command dpkg --get-selections \
    | command grep 'php5' \
    | command cut --fields=1 \
    | command sed -e 's|.*|&/squeeze|g')

Si PHP n'est pas installé, reportez-vous à Installer PHP-FPM sur Debian.

Remerciements

• Merci aux mainteneurs des dépôts Dotdeb.

• Debian 7.0 Wheezy

Ce guide est testé avec ces versions de Webgrind:

• GitHub master

Avertissement

Évitez d'installer Webgrind sur un serveur de production. Cette application permet d'avoir accès à des fichiers critiques du serveur.

Prérequis

Ce guide nécessite :

• un serveur HTTP Apache 2 avec le script a2tools disponible dans le guide Installer Apache 2 sur Debian.

• un serveur HTTP avec support du PHP, comme décrit par Installer PHP-FPM sur Debian.
• l'extension PHP Xdebug, comme décrit par Installer l'extension PHP Xdebug sur Debian.

• l'outil php-tools de configuration simplifiée de PHP.

Paramètres

Renseignez le nom de domaine où sera disponible l'application:

DOMAIN="webgrind.domain.com"

Si le serveur MySQL n'est pas local, l'outil mysql-tools essaiera de s'y connecter avec le client MySQL, ou, en cas d'échec de connexion, via une connexion SSH.

Renseignez le nom du certificat SSL à utiliser pour chiffrer l'application avec HTTPS (créé via la procédure Créer un certificat SSL / TLS sur Debian) (optionnel, recommandé):

SSL_KEY_NAME="${DOMAIN}"

Installation

Déterminez le chemin d'installation:

INSTALL_PATH="/opt/webgrind/${DOMAIN}"

Déterminez le chemin des données:

DATA_PATH="/var/lib/webgrind/${DOMAIN}"

Déterminez le chemin du cache:

CACHE_PATH="/var/cache/webgrind/${DOMAIN}"

Assurez-vous que le dossier parent existe:

command mkdir --parent "$(command dirname "${INSTALL_PATH}")"
command mkdir --parent "${CACHE_PATH}" "${DATA_PATH}"
command chown -R www-data:www-data "${CACHE_PATH}" "${DATA_PATH}"

Préparation de l'environnement

Installez les logiciels nécessaires:

command apt-get install git graphviz python

Activez le profilage permanent des scripts PHP présents sur le serveur:

command php-tools --for="webgrind" --set "xdebug.profiler_enable" "1"

Remarque: Vous pouvez aussi choisir d'activer le profilage en ajoutant "?XDEBUG_PROFILE" aux URL à étudier:

# command php-tools --for="webgrind" --set "xdebug.profiler_enable_trigger" "1"

Configurez le chemin de stockage:

command php-tools --for="webgrind" --fix "xdebug.profiler_output_dir" "${DATA_PATH}"
command php-tools --for="webgrind" --fix "xdebug.profiler_output_name" "cachegrind.out.%t.%p"

Rechargez la configuration de PHP:

test -x /etc/init.d/php5-fpm && /etc/init.d/php5-fpm force-reload
test -x /etc/init.d/apache2 && /etc/init.d/apache2 force-reload
test -x /etc/init.d/lighttpd && /etc/init.d/lighttpd force-reload
test -x /etc/init.d/nginx && /etc/init.d/nginx force-reload

Mise en place de l'application

Installez la dernière version de l'application:

command git clone "git://github.com/jokkedk/webgrind.git" "${INSTALL_PATH}"

Configurez les chemins:

command sed -i \
    -e "s|static \$storageDir.*\$|static \$storageDir = '${CACHE_PATH}';|g" \
    -e "s|static \$profilerDir.*\$|static \$profilerDir = '${DATA_PATH}';|g" \
    -e "s|static \$dotExecutable.*\$|static \$dotExecutable = '$(command which 'dot')';|g" \
  "${INSTALL_PATH}/config.php"

Mise en place de l'hôte virtuel

Créez la configuration du serveur HTTP:

if [ -n "${SSL_KEY_NAME}" -a -e "/etc/ssl/private/${SSL_KEY_NAME}.key" ]; then
  command a2tools --ssl="${SSL_KEY_NAME}" "${DOMAIN}" "${INSTALL_PATH}"
  command a2tools --template='redirect' "${DOMAIN}" "https://${DOMAIN}/"
else
  command a2tools "${DOMAIN}" "${INSTALL_PATH}"
fi

L'outil est maintenant disponible sur le domaine spécifié en HTTP ou HTTPS si possible.

Mise à jour automatique

Mettez en place un script de mise à jour automatique quotidienne du code de l'outil:

echo "#"'!'"/bin/bash
# Update ${DOMAIN} source code from Git.
test -x '/usr/bin/git' -a -d '${INSTALL_PATH}' && {
  pushd '${INSTALL_PATH}' > '/dev/null'
  /usr/bin/git pull --quiet > '/dev/null'
  popd > '/dev/null'
}" \
  > "/etc/cron.daily/${DOMAIN}-update"
command chmod +x "/etc/cron.daily/${DOMAIN}-update"

Sauvegardes

Sauvegardez l'installation avec Backup Manager (voir Installer et configurer Backup Manager sur Debian):

command backup-manager-tools add "${INSTALL_PATH}"

Remerciements

• Merci aux développeurs de Webgrind.

• Debian 6.0 Squeeze
• Debian 7.0 Wheezy

Prérequis

Ce guide nécessite:

• la configuration d'un serveur SMTP tel que décrit dans Compléments à l'installation de Debian GNU/Linux.
• l'hyperviseur Xen telle que décrite par Installer Xen sur Debian.
• l'outil de sauvegarde Backup Manager, tel que décrit par Installer et configurer Backup Manager sur Debian.
• le gestionnaire de volumes logiques LVM (avec groupe de disque présent), tel que décrit par Mettre en place et utiliser le gestionnaire de volumes logiques LVM sur Debian.

Paramètres

Récupérez l'adresse IP du dom0. Dans une configuration en mode NAT, l'adresse est imposée à 10.0.0.127, mais dans le cas d'une configuration en mode Bridge, l'adresse IP de l'interface physique (ici eth0) est utilisée:

MAINDOM_IP="10.0.0.127"
if [ $(command grep "^[^#]*bridge" '/etc/xen/xend-config.sxp' | command wc --lines) -gt 0 ]; then
  MAINDOM_IP="$(command ifconfig eth0 | command grep "inet " | command sed -e 's/^.*inet [^:]*:\([^ ]*\) .*$/\1/')"
fi

Vérifiez l'adresse IP détectée:

command echo "L'adresse IP de ce serveur pour les DomU est : ${MAINDOM_IP}"

Remarque : Si l'adresse obtenue n'est pas correcte, renseignez une valeur correcte :

MAINDOM_IP="192.168.1.5"

Installation

Préparation de l'environnement

Installez les logiciels nécessaires:

command apt-get install xen-tools

Créez l'interface dummy0 si nécessaire:

if [ -z "$(command ifconfig | command grep "${MAINDOM_IP}")" ]; then
  MAINDOM_RANGE="$(command echo ${MAINDOM_IP} | command sed -e 's/\(.*\)\.[0-9]*/\1/')"
  command modprobe dummy
  command echo "dummy" >> '/etc/modules'
  command echo "
# Xen main interface.
auto dummy0
iface dummy0 inet static
    address ${MAINDOM_IP}
    netmask 255.255.255.0
    network ${MAINDOM_RANGE}.0
    broadcast ${MAINDOM_RANGE}.255" \
  >> '/etc/network/interfaces'
  command ifup dummy0
fi

Préparation de l'architecture de sauvegarde

Ce guide propose une architecture de sauvegarde basée sur Backup Manager. Les machines virtuelles (domU) rapatrient les sauvegardes dans le dossier " /var/archives" de la machine hôte (dom0). Assurez-vous de l'existence de ce dossier:

command mkdir --parent '/var/archives'
command chown root:backup '/var/archives'
command chmod ug+rwx '/var/archives'

Configurez Backup Manager pour que le dossier '/var/archives' soit ouvert aux machines virtuelles, et que les archives des domU soient purgées en même temps que celles du dom0

command sed -i -e 's/[#]*\(.*BM_REPOSITORY_GROUP=\).*$/\1"backup"/' \
            -e 's/[#]*\(.*BM_REPOSITORY_CHMOD=\).*$/\1"770"/' \
            -e 's/[#]*\(.*BM_ARCHIVE_STRICTPURGE=\).*$/\1"false"/' \
         '/etc/backup-manager.conf'

Créez l'utilisateur xen-backup utilisé par les domU pour uploader les sauvegardes dans le dom0:

command adduser --system --shell '/bin/sh' --home '/var/lib/xen-backup' --disabled-password 'xen-backup'

Ajoutez l'utilisateur aux groupes backup et ssh-users:

command adduser 'xen-backup' 'backup'
if [ -n "$(command grep 'ssh-users' '/etc/groups')" ]; then
  command adduser 'xen-backup' 'ssh-users'
fi

Créez une clef RSA pour l'identification sans mot de passe au compte xen-backup:

command mkdir --parent '/var/lib/xen-backup/.ssh/'
command ssh-keygen -t rsa -C "upgrade account key" -N "" -f '/var/lib/xen-backup/.ssh/id_rsa'
command cat '/var/lib/xen-backup/.ssh/id_rsa.pub' \
    >> '/var/lib/xen-backup/.ssh/authorized_keys'
command chown -R xen-backup:nogroup '/var/lib/xen-backup/.ssh'

Autorisez l'accès au serveur SSH par les domU si Knockd est installé:

SSH_PORT="$(command grep '^Port' '/etc/ssh/sshd_config' \
    | command sed -e 's/^Port[\t ]*//g')"
if [ -e '/etc/network/if-up.d/iptables-ssh-reject' ]; then
  command echo "#"\!"/bin/bash
# Allow SSH access from domU
command iptables -C INPUT ! -s 10.0.0.0/24 -p tcp -m state --state NEW --dport ${SSH_PORT} -j DROP > '/dev/null' \\
  || command iptables -A INPUT ! -s 10.0.0.0/24 -p tcp -m state --state NEW --dport ${SSH_PORT} -j DROP" \
   > '/etc/network/if-up.d/iptables-ssh-reject'
  command chmod +x '/etc/network/if-up.d/iptables-ssh-reject'
  while command iptables -D INPUT -p tcp -m state --state NEW --dport ${SSH_PORT} -j DROP; do echo; done
  /etc/network/if-up.d/iptables-ssh-reject
fi

Configuration du serveur SMTP

Attention: Ce qui suit peut casser la configuration du serveur SMTP du dom0. Si la configuration d'Exim 4 est personnalisée, et que le mode réseau de Xen est NAT,  veillez à ce que le serveur SMTP écoute sur l'adresse 10.0.0.127, et accepte le relai des emails en provenance de 10.0.0.0/24.

Configurez le serveur SMTP pour relayer les emails provenant des domUs:

MAINDOM_RANGE="$(command echo ${MAINDOM_IP} | command sed -e 's/\(.*\)\.[0-9]*/\1/')"
command sed -i \
    -e "s|dc_local_interfaces=.*\$|dc_local_interfaces='127.0.0.1;${MAINDOM_IP}'|" \
    -e "s|dc_relay_nets=.*\$|dc_relay_nets='${MAINDOM_RANGE}.0/24'|" \
  '/etc/exim4/update-exim4.conf.conf'

Mettez à jour la configuration d'Exim 4:

command update-exim4.conf
/etc/init.d/exim4 restart

Configuration

Assignation d'espace disque

Par sécurité, augmentez à 1Go la taille du Swap des domU créés:

command sed -i -e 's/^\(swap[ ]*=[ ]*\)[^ ]*\([ ]*#.*\)$/\11Gb\2/' '/etc/xen-tools/xen-tools.conf'

Remarque : Si vous disposez de peu d'espace disque, vous pouvez diviser par 2 la taille du swap et du root (c'est à dire passer respectivement de 1 Go et 4 Go à 512 Mo et 2 Go):

command sed -i -e 's/^\(size[ ]*=[ ]*\)[^ ]*\([ ]*#.*\)$/\12Gb\2/' \
            -e 's/^\(swap[ ]*=[ ]*\)[^ ]*\([ ]*#.*\)$/\1512Mb\2/' \
         '/etc/xen-tools/xen-tools.conf'

Paramètres réseau

Dans le cas où Xen utilise un réseau nat, configurez les paramètres réseau pour la création de machine virtuelles utilisant une adresse IP fixe:

if [ $(command grep '^[^#]*nat' '/etc/xen/xend-config.sxp' | command wc --lines) -gt 0 ]; then
  command sed -i \
      -e 's/^[# ]*\(gateway[ ]*=\).*$/\1 10.0.0.128/' \
      -e 's/^[# ]*\(netmask[ ]*=\).*$/\1 255.255.255.0/' \
    '/etc/xen-tools/xen-tools.conf'
fi

Remarque : Dans le cas où Xen utilise un bridge, configurez manuellement les paramètres réseau local dans "/etc/xen-tools/xen-tools.conf".

Utilisation de volumes logiques

Configurez xen-tools pour créer les disques des domU à l'aide de LVM. Détectez le premier groupe de volumes LVM du système:

LVM_VG="$(command vgdisplay \
  | command grep "VG Name" \
  | command head --lines=1 \
  | command cut --characters=25-)"

Ajustez la configuration de l'outil:

command sed -i -e "s/^# \(lvm = \).*/\1${LVM_VG}/" '/etc/xen-tools/xen-tools.conf'

Sélection du noyau

Configurez la détection automatique du kernel utilisé par les domU:

command sed -i -e 's/^\(kernel =\).*\$/\1 \/boot\/vmlinuz-`uname -r`/' \
            -e 's/^\(initrd =\).*\$/\1 \/boot\/initrd.img-`uname -r`/' \
            '/etc/xen-tools/xen-tools.conf'

Correction du problème "clocksource/0: Time went backwards"

Afin d'éviter que les domU deviennent inaccessibles après un redémarrage du Dom0 à cause de l'erreur "clocksource/0: Time went backwards", ajoutez l'option "extra = 'clocksource=xen'" au modèles de configuration des domU:

command sed -i -e "/^on_crash/a\\
\\
# Preventing clocksource/0: Time went backwards\\
extra = 'clocksource=xen'" \
    '/etc/xen-tools/xm.tmpl'

Configuration initiale des domU

Créez un rôle pour mettre en place des domU pré-configurés avec:

• Installation des paquets locales, sudo, ntp, cron-apt, rkhunter, vim, screen, backup-manager et fail2ban
• Mises à jour automatisées par lot.
• Mise en place de l'architecture de sauvegarde avec backup-manager.

Accès sans mot de passe aux domU

Créez une clef RSA pour le compte root du dom0 si vous souhaitez accéder facilement aux comptes root des domU par SSH:

if [ ! -e "${HOME}/.ssh/id_rsa" ]; then
  command ssh-keygen -t rsa -f "${HOME}/.ssh/id_rsa"
fi

Mises à jour par lot

Créez une clef RSA pour l'identification sans mot de passe aux comptes "xen-upgrade" des domU:

command mkdir --parent '/etc/xen-tools/ssh-keys'
command ssh-keygen -t rsa -C "upgrade account key" -N "" -f '/etc/xen-tools/ssh-keys/xen-upgrade-rsa'

Installez l'outil de mise à jour des domU par lot:

command wget 'https://raw.github.com/biapy/howto.biapy.com/master/xen-tools/xen-apt-get' \
    --no-check-certificate --output-document='/usr/bin/xen-apt-get'
command chmod +x '/usr/bin/xen-apt-get'

Mettez à jour l'ensemble des domU actifs avec:

# command xen-apt-get update
# command xen-apt-get upgrade

Mise en place du rôle

Mettez en place le fichier de configuration du rôle "automatic":

command wget 'https://raw.github.com/biapy/howto.biapy.com/master/xen-tools/automatic' \
    --no-check-certificate --output-document='/etc/xen-tools/role.d/automatic'
command chmod +x '/etc/xen-tools/role.d/automatic'

Créez un squelette de fichiers de configuration pour l'initialisation des domU:

command mkdir --parent '/etc/xen-tools/skel/root'
command mkdir --parent '/etc/xen-tools/skel/root/.ssh'
command mkdir --parent '/etc/xen-tools/skel/etc/default'
command mkdir --parent '/etc/xen-tools/skel/etc/exim4'
command mkdir --parent '/etc/xen-tools/skel/etc/cron.d'
command mkdir --parent '/etc/xen-tools/skel/etc/cron.daily'
command mkdir --parent '/etc/xen-tools/skel/etc/apt/apt.conf.d'
command mkdir --parent '/etc/xen-tools/skel/etc/xen-data'
command mkdir --parent '/etc/xen-tools/skel/usr/bin'

Initialisez le squelette des domU avec la configuration du dom0:

command cp '/root/.bashrc' '/etc/xen-tools/skel/root/'
if [ -e /root/.vimrc ]; then
  command cp '/root/.vimrc' '/etc/xen-tools/skel/root/'
fi
command cp '/etc/timezone' '/etc/xen-tools/skel/etc/'
command cp '/etc/localtime' '/etc/xen-tools/skel/etc/'
command cp '/etc/locale.gen' '/etc/xen-tools/skel/etc/'
command cp '/etc/environment' '/etc/xen-tools/skel/etc/'
command cp '/etc/default/locale' '/etc/xen-tools/skel/etc/default/'

Ajoutez la clef publique SSH du dom0 aux hôtes connu des domU:

command ssh-keyscan -H -t rsa "${MAINDOM_IP}" >> '/etc/xen-tools/skel/root/.ssh/known_hosts'

Autorisez l'identification sans mot de passe du compte root du dom0 sur le compte root des domU:

if [ -e "${HOME}/.ssh/id_rsa.pub" ]; then
    command cat "${HOME}/.ssh/id_rsa.pub" \
        >> "/etc/xen-tools/skel/root/.ssh/authorized_keys"
fi

Configurez la redirection des emails envoyés par les domU vers le dom0:

command wget 'https://raw.github.com/biapy/howto.biapy.com/master/xen-tools/update-exim4.conf.conf' \
    --output-document='/etc/xen-tools/skel/etc/exim4/update-exim4.conf.conf'
command sed -i -e "s/dc_smarthost=.*\$/dc_smarthost='${MAINDOM_IP}'/" \
         '/etc/xen-tools/skel/etc/exim4/update-exim4.conf.conf'
echo "root@$(command hostname --fqdn)" > '/etc/xen-tools/skel/root/.email'

Ajoutez l'outil d'administration de Backup Manager aux domU:

command wget 'https://raw.github.com/biapy/howto.biapy.com/master/backup-manager/backup-manager-tools' \
    --quiet --no-check-certificate --output-document='/etc/xen-tools/skel/usr/bin/backup-manager-tools'
command chmod +x '/etc/xen-tools/skel/usr/bin/backup-manager-tools'

Téléchargez la configuration par défaut du Backup Manager pour les machines virtuelles:

command wget 'https://raw.github.com/biapy/howto.biapy.com/master/xen-tools/backup-manager.conf' \
    --no-check-certificate --output-document='/etc/xen-tools/skel/etc/backup-manager.conf'
command sed -i -e "s|[#]*\(.*BM_UPLOAD_SSH_HOSTS=\).*$|\1\"${MAINDOM_IP}\"|" \
         '/etc/xen-tools/skel/etc/backup-manager.conf'

Ajoutez au squelette la configuration cron de Backup Manager:

command echo '#!/bin/sh
# cron script for backup-manager
test -x /usr/sbin/backup-manager || exit 0
/usr/sbin/backup-manager' \
    > '/etc/xen-tools/skel/etc/cron.daily/backup-manager'
command chmod +x '/etc/xen-tools/skel/etc/cron.daily/backup-manager'

Configurez le port du serveur SSH du dom0:

SSH_PORT="$(command grep '^Port' '/etc/ssh/sshd_config' \
    | command sed -e 's/^Port[\t ]*//g')"
command sed -i \
    -e "s/[#]*\(.*BM_UPLOAD_SSH_PORT=\).*\$/\1\"${SSH_PORT}\"/" \
  '/etc/xen-tools/skel/etc/backup-manager.conf'

Ajoutez au squelette la clef privée d'identification au compte xen-backup du dom0:

command cp '/var/lib/xen-backup/.ssh/id_rsa' '/etc/xen-tools/skel/etc/xen-data/'

Remerciements

• Merci aux développeurs de xen-tools.

• Merci à TMS pour Sécuriser l’accès au serveur openssh avec une authentification par clés sur Génération Libre.
• Merci à Nyarla sur irc.freenode.net#ubuntu-fr pour avoir répondu à mes questions sur Backup Manager.
• Merci aux auteurs de Backup Manager sur la documentation Ubuntu francophone.
• Merci aux auteurs de  Xen Networking sur le wiki dedié à Xen.
• Merci à GaB pour Manage SSH known_hosts entries.

• Debian 6.0 Squeeze
• Debian 7.0 Wheezy

Vocabulaire

Xen utilise une terminologie spécifique pour identifier les machines virtuelles:

• Hyperviseur: Xen est un hyperviseur. En informatique, un hyperviseur est une plate-forme de virtualisation qui permet à plusieurs systèmes d'exploitation de travailler sur une machine physique en même temps (source: Hyperviseur sur Wikipedia).
• Dom0: Le Dom0, pour Domaine n°0, est le système d'exploitation contrôle l'hyperviseur Xen. C'est l'hôte d'origine où a été installé l'hyperviseur.
• DomU: Les DomU, pour Domaines Utilisateur, sont les machines virtuelles de Xen.

Installation

Détectez la version de xen-utils disponible:

XEN_UTILS="$(command apt-cache pkgnames xen-utils)"

Installez l'hyperviseur et le noyau Xen adapté à l'architecture de votre système d'exploitation (32 ou 64 bits) :

if [ "$(command uname --machine)" = "x86_64" ]; then
  if [ -n "$(command apt-cache pkgnames 'xen-linux-system-amd64')" ]; then
    command apt-get -y install xen-linux-system-amd64
  else
    command apt-get -y install xen-hypervisor-amd64 linux-image-2.6-xen-amd64 \
        linux-headers-2.6-xen-amd64 ${XEN_UTILS} bridge-utils
  fi
else
  if [ -n "$(command apt-cache pkgnames 'xen-linux-system-686-pae')" ]; then
    command apt-get install xen-linux-system-686-pae
  else
    command apt-get -y install xen-hypervisor-i386 linux-image-2.6-xen-686 \
        linux-headers-2.6-xen-686 ${XEN_UTILS} bridge-utils
  fi
fi

Si le gestionnaire de boot du système est Grub 2 (paquet grub-pc), donnez la priorité aux noyaux Xen, et désactivez la découverte automatique des OS pour ne pas ajouter les DomU au menu Grub:

command dpkg-divert --divert '/etc/grub.d/05_linux_xen' --rename '/etc/grub.d/20_linux_xen'
echo '# Disable OS probing.
GRUB_DISABLE_OS_PROBER=true' >> '/etc/default/grub'

Ajoutez à la configuration Grub les lignes nécessaires aux noyaux Xen :

if [ -e '/etc/default/grub' ]; then
  if [ -z "$(command grep 'GRUB_CMDLINE_XEN' '/etc/default/grub')" ]; then
    echo '
# Xen kernels configuration
GRUB_CMDLINE_XEN_DEFAULT=""
GRUB_CMDLINE_XEN=""' >> '/etc/default/grub'
  fi
fi

Mettez à jour la liste des noyaux disponibles:

command update-grub

Lancer l'hyperviseur Xen en redémarrant le système:

command reboot

Optimisation

Évitez l'effondrement des performances en cas de forte utilisation des disques en assignant en permanence au moins un cœur du CPU au dom0 :

CPU_COUNT="1"

Appliquez le paramètre à la configuration de l'hyperviseur:

command sed -i -e "s/^[# ]*\((dom0-cpus\).*\().*\)\$/\1 ${CPU_COUNT}\2/" \
         '/etc/xen/xend-config.sxp'

Forcez le Dom0 à utiliser seulement les cœurs CPU qui lui sont assignés:

if [ -e '/etc/default/grub' ]; then
  command sed -i -e "s/\(GRUB_CMDLINE_XEN_DEFAULT=.*\)\"/\1 dom0_max_vcpus=${CPU_COUNT} dom0_vcpus_pin=1\"/" \
         '/etc/default/grub'
fi
if [ -e '/boot/grub/menu.lst' ]; then
  command sed -i -e "s/\(xenhopt=.*\)/\1 dom0_max_vcpus=${CPU_COUNT} dom0_vcpus_pin=1/" \
         '/boot/grub/menu.lst'
fi

Mettez à jour la configuration des noyaux de l'hyperviseur:

command update-grub

Chargez la nouvelle configuration:

command reboot

Prévention des problèmes

Memory squeeze in netback driver

Au bout d'un certain temps, les messages suivants apparaissent dans le syslog du dom0:

xen_net: Memory squeeze in netback driver.

Limitez la quantité de mémoire assignée au dom0:

if [ -e "/etc/default/grub" ]; then
  command sed -i -e 's/\(GRUB_CMDLINE_XEN_DEFAULT=.*\)"/\1 dom0_mem=256M"/' \
         "/etc/default/grub"
fi
if [ -e "/boot/grub/menu.lst" ]; then
  command sed -i -e 's/\(xenhopt=.*\)/\1 dom0_mem=256M/' \
         "/boot/grub/menu.lst"
fi

Appliquez le réglage:

command update-grub

Fixez la quantité de mémoire assignée au dom0:

command sed -i -e 's/^[# ]*\((dom0-min-mem\).*\().*\)$/\1 256\2/' \
         /etc/xen/xend-config.sxp

Redémarrez le système:

command reboot

/dev/mem: mmap: Bad address dans les domU

Ce message est généré par dmidecode. dmidecode essaie d'accéder à des informations matériel de bas niveau non disponibles dans un domU. Il peut être ignoré sans soucis.

Configuration du réseau

Xen propose plusieurs méthodes de configuration du réseau. Ce guide présente 2 configurations simples:

• bridge: les domU sont sur visibles sur le réseau local du dom0. C'est la configuration préférée pour un serveur Xen séparé d'Internet par un pare-feu.
• NAT: les domU sont sur un réseau local virtuel et ne sont pas accessibles depuis le réseau du dom0. C'est la configuration préférée si le serveur Xen est directement connecté à Internet.

Paramètres

Pour mettre en place le mode NAT (recommandé), utilisez:

XEN_NETWORK_MODE="nat"

Remarque: Pour mettre en place le mode bridge, utilisez:

XEN_NETWORK_MODE="bridge"

Configuration du réseau

Désactivez la configuration réseau précédente:

command sed -i -e 's/^(network-script .*).*$/# \0/' \
            -e 's/^(vif-script .*).*$/# \0/' \
         "/etc/xen/xend-config.sxp"

Appliquez les réglages choisis:

command sed -i -e "s/^#[ ]*\\((network-script.*network-${XEN_NETWORK_MODE}).*\\)\$/\\1/" \
            -e "s/^#[ ]*\\((vif-script.*vif-${XEN_NETWORK_MODE}).*\\)\$/\\1/" \
         "/etc/xen/xend-config.sxp"

Assurez-vous que le fichier hotplugpath.sh existe:

if [ ! -e "/etc/xen/scripts/hotplugpath.sh" ]; then
  command touch "/etc/xen/scripts/hotplugpath.sh"
fi

Rechargez la configuration:

command test -x '/etc/init.d/xen' && /etc/init.d/xen restart
command test -x '/etc/init.d/xend' && /etc/init.d/xend restart

Remerciements

• Merci aux développeurs de Xen.
• Merci à Falko pour The Perfect Xen 3.1.0 Setup For Debian Etch.
• Merci aux auteurs de  Xen Networking sur le wiki dedié à Xen.
• Merci à Crucial Paradigm pour Xen Bug: xen_net: Memory squeeze in netback driver (32bit PAE).
• Merci à BitFolk pour les informations techniques pour clients VPS.

• Debian 6.0 Squeeze

Mise en place des dépôts

Ajoutez les dépôts à la configuration Apt:

command echo "# Debian testing sources repository.
deb-src ftp://mir1.ovh.net/debian/ testing main contrib non-free" \
    > '/etc/apt/sources.list.d/testing-src.list'

Assignez une très faible priorité aux paquets testing pour ne pas polluer le système:

command echo "Package: *
Pin: release o=Debian,a=testing,l=Debian
Pin-Priority: 90" \
    > '/etc/apt/preferences.d/testing-src'

Mettez à jour la liste des paquets disponibles:

command apt-get update

Utilisation

Vous avez maintenant accès aux sources des logiciels présents dans les dépôts Testing . Pour obtenir la source d'un logiciel depuis les dépôts testing, utilisez l'option -t:

# command apt-get -t "testing" source "package"

Remerciements

• Merci à jeyg.info pour Les branches Debian et l'APT Pinning.

• Debian 6.0 Squeeze

Prérequis

Ce guide nécessite :

• un serveur HTTP Apache 2 avec le script a2tools disponible dans le guide Installer Apache 2 sur Debian.

Paramètres

Renseignez l'adresse e-mail notifiée en cas de problème:

ALERT_EMAIL="root@localhost"

Renseignez le nom de domaine où sera disponible l'application:

DOMAIN="monit.domain.com"

Renseignez le nom du certificat SSL à utiliser (créé via la procédure Créer un certificat SSL / TLS sur Debian) (optionnel, recommandé):

SSL_KEY_NAME="${DOMAIN}"

Installation

Préparation de l'environnement

Installez les logiciels:

command apt-get install monit apg

Configuration

Configurez le délai entre deux vérifications (ici, 2 minutes):

echo "# Delay in seconds between 2 polls:
set daemon 120" \
  > '/etc/monit/conf.d/000-base-configuration'

Configurez l'adresse email notifiée en cas de problème:

command echo "# Email notified when a service has errors.
set mailserver localhost
set alert ${ALERT_EMAIL}" \
  > '/etc/monit/conf.d/000-alert-email'

Activez la journalisation des messages de monit par syslog:

command echo "# Log monit message to /var/log/syslog
set logfile syslog facility log_daemon" \
  > '/etc/monit/conf.d/000-logging'

Déterminez un mot de passe aléatoire pour l'accès à l'interface Web du logiciel:

ADMIN_PASSWORD="$(command apg -m 16 -x 32 -n 1 -a 1 -M NCLS -E "\'\!$" )"

Configurez l'accès à l'interface Web affichant les statuts du logiciel:

command echo "# Enable HTTP status page.
set httpd port 2812 and
    use address localhost  # only accept connection from localhost
    allow localhost        # allow localhost to connect to the server and
    allow admin:${ADMIN_PASSWORD}" \
  > '/etc/monit/conf.d/000-http-status-page'

Activez le démon:

command sed -i \
    -e 's/^startup=.*/startup=1/' \
  '/etc/default/monit'

Démarrez le démon:

/etc/init.d/monit start

Configurez Apache pour afficher les données du logiciel sur le domaine choisi:

if [ -n "${SSL_KEY_NAME}" -a -e "/etc/ssl/private/${SSL_KEY_NAME}.key" ]; then
  command a2tools --template=reverse-proxy --ssl="${SSL_KEY_NAME}" "${DOMAIN}" "http://localhost:2812/"
  command a2tools --template=redirect "${DOMAIN}" "https://${DOMAIN}/"
else
  command a2tools --template=reverse-proxy "${DOMAIN}" "http://localhost:2812/"
fi

Utilisez ces informations pour vous connecter à l'interface Web de l'outil:

echo "URL: http://${DOMAIN}/
Login: admin
Password: ${ADMIN_PASSWORD}"

Surveillance des services

Système

Configurez la surveillance des ressources du système:

echo "# Check general system resources such as load average, cpu and memory
# usage. Each test specifies a resource, conditions and the action to be
# performed should a test fail.
check system $(command hostname --fqdn)
   group base
   if loadavg (1min) > 4 then alert
   if loadavg (5min) > 2 then alert
   if memory usage > 75% then alert
   if cpu usage (user) > 70% then alert
   if cpu usage (system) > 30% then alert
   if cpu usage (wait) > 20% then alert" \
  > '/etc/monit/conf.d/system'

Redémarrez le démon:

/etc/init.d/monit restart

Espace disque

Créez le fichier de configuration de la surveillance de l'espace disque:

echo '# Free disk space monitoring.

# root (/) file system.
check filesystem rootfs
  with path /
  group system
  if space usage > 85% then alert' \
> '/etc/monit/conf.d/disks'

Ajoutez les partitions montées à la surveillance:

command mount \
  | command grep '^/dev' \
  | command grep -v ' / ' \
  | command grep -v 'swap' \
  | command cut --delimiter=' ' --field=3 \
  | while read FILE; do
    command echo "
# ${FILE} filesystem.
check filesystem $(echo "${FILE}" | command sed -e 's|^/||')
  with path ${FILE}
  group system
  if space usage > 95% then alert" \
      >> '/etc/monit/conf.d/disks'
done

Redémarrez le démon:

/etc/init.d/monit restart

SSH

Configuration la surveillance du serveur SSH:

if [ -e '/etc/init.d/ssh' ]; then
  SSH_PORT=$(command grep '^Port' '/etc/ssh/sshd_config' \
      | command sed -e 's/^Port[\t ]*//g') 
  command echo "# SSH server monitoring
check process sshd with pidfile /var/run/sshd.pid
  group base
  start program \"/etc/init.d/ssh start\"
  stop program \"/etc/init.d/ssh stop\"
  if failed host 127.0.0.1 port ${SSH_PORT} protocol ssh then restart
  if 5 restarts within 5 cycles then timeout" \
    > '/etc/monit/conf.d/ssh'
fi

Redémarrez le démon:

/etc/init.d/monit restart

Apache 2

Configurez la surveillance d'Apache 2:

if [ -e '/etc/init.d/apache2' ]; then
  command echo '# Apache 2 server monitoring
check process apache2 with pidfile /var/run/apache2.pid
  group httpd
  start program = "/etc/init.d/apache2 start" with timeout 60 seconds
  stop program = "/etc/init.d/apache2 stop"
  if 3 restarts within 5 cycles then timeout
  if cpu is greater than 60% for 2 cycles then alert
  if cpu > 80% for 5 cycles then restart
  if children > 250 then restart
  if loadavg(5min) greater than 10 for 8 cycles then stop
  if failed host 127.0.0.1 port 80
      protocol http
    then restart' \
    > '/etc/monit/conf.d/apache2'
fi

Redémarrez le démon:

/etc/init.d/monit restart

MySQL

Configurez la surveillance de MySQL:

if [ -e '/etc/init.d/mysql' ]; then
  command echo '# MySQL server monitoring
check process mysqld with pidfile /var/run/mysqld/mysqld.pid
  group database
  start program = "/etc/init.d/mysql start"
  stop program = "/etc/init.d/mysql stop"
  if failed host 127.0.0.1 port 3306 then restart
  if 5 restarts within 5 cycles then timeout' \
    > '/etc/monit/conf.d/mysql'
fi

Redémarrez le démon:

/etc/init.d/monit restart

Exim 4

Configurez la surveillance d'Exim 4:

if [ -e '/etc/init.d/exim4' ]; then
 command echo '# Exim 4 server monitoring
check process exim4 with pidfile /var/run/exim4/exim.pid
 group mail
 start program = "/etc/init.d/exim4 start"
 stop  program = "/etc/init.d/exim4 stop"
 if failed port 25 protocol smtp then restart
 if 5 restarts within 5 cycles then timeout'
   > '/etc/monit/conf.d/exim4'
fi

Redémarrez le démon:

/etc/init.d/monit restart

vsFTPd

Configurez la surveillance de vsFTPd:

if [ -e '/etc/init.d/vsftpd' ]; then
  command echo '# vsFTPd server monitoring
check process vsftpd with pidfile /var/run/vsftpd/vsftpd.pid
  group ftp
  start program = "/etc/init.d/vsftpd start"
  stop program  = "/etc/init.d/vsftpd stop"
  if failed port 21 protocol ftp then restart
  if 5 restarts within 5 cycles then timeout' \
    > '/etc/monit/conf.d/vsftpd'
fi

Redémarrez le démon:

/etc/init.d/monit restart

rTorrent

Configurez la surveillance de rTorrent (fonctionnelle uniquement avec le port SCGI actif):

if [ -e '/etc/init.d/rtorrent' ]; then
  SCGI_PORT="$(command grep '^scgi_port' '/etc/rtorrent.rc' \
    | command cut --delimiter=: --fields=2)"
  if [ -n "${SCGI_PORT}" ]; then
    command echo "# rTorrent daemon monitoring
check process rtorrent with pidfile /var/run/rtorrent.pid
  group various
  start program = \"/etc/init.d/rtorrent start\" with timeout 60 seconds
  stop program  = \"/etc/init.d/rtorrent stop\"
  if failed port ${SCGI_PORT} then restart
  if 5 restarts within 5 cycles then timeout" \
      > '/etc/monit/conf.d/rtorrent'
  fi
fi

Redémarrez le démon:

/etc/init.d/monit restart

Remerciements

• Merci aux développeurs de Monit.
• Merci à dew de Alsacreation pour Monitoring serveur.

• Debian 6.0 Squeeze

Prérequis

Ce guide nécessite :

• L'un de ces serveurs HTTP:
  • Apache 2 avec l'outil a2tools disponible dans Installer et configurer Apache 2 sur Debian.
  • Lighttpd avec l'outil lighty-tools disponible dans Installer et configurer Lighttpd sur Debian.
• un serveur HTTP avec support du PHP, comme décrit par Installer PHP-FPM sur Debian.

• l'outil php-tools de configuration simplifiée de PHP.

• un serveur MySQL, comme décrit par Installer et configurer MySQL sur Debian.
• l'outil mysql-tools d'administration simplifiée de MySQL sur l'hôte local (et l'hôte du serveur MySQL, si différent).

Paramètres

Renseignez le nom de domaine où sera disponible l'application:

DOMAIN="spriteme.domain.com"

Renseignez le nom d'hôte du serveur MySQL:

MYSQL_HOST="localhost"

Si le serveur MySQL n'est pas local, l'outil mysql-tools essaiera de s'y connecter avec le client MySQL, ou, en cas d'échec de connexion, via une connexion SSH.

Installation

Déterminez le chemin d'installation:

INSTALL_PATH="/opt/spriteme/${DOMAIN}"

Déterminez le chemin des données:

DATA_PATH="/var/lib/spriteme/${DOMAIN}"

Assurez-vous que le dossier parent existe:

command mkdir --parent "$(command dirname "${INSTALL_PATH}")"

Préparation de l'environnement

Installez les logiciels nécessaires:

command apt-get install subversion git pngcrush php5-imagick php5-cli

Augmentez la taille maximale des variables de GET:

command php-tools --for="spriteme" --set="suhosin.get.max_value_length" "4096"

Rechargez la configuration de PHP:

test -x /etc/init.d/php5-fpm && /etc/init.d/php5-fpm force-reload
test -x /etc/init.d/apache2 && /etc/init.d/apache2 force-reload
test -x /etc/init.d/lighttpd && /etc/init.d/lighttpd force-reload
test -x /etc/init.d/nginx && /etc/init.d/nginx force-reload

Mise en place de l'application

Obtenez les sources de SpriteMe:

command svn checkout 'http://spriteme.googlecode.com/svn/trunk/' "${INSTALL_PATH}"

Obtenez les sources de CoolRunnings:

command git clone 'http://github.com/6a68/coolrunnings' "${INSTALL_PATH}/coolrunnings"

Mise en conformité avec la LSB

Mettez en place une architecture de dossiers conforme à la LSB:

command mkdir --parent "${DATA_PATH}"
command mv "${INSTALL_PATH}/coolrunnings/public_images" "${DATA_PATH}"
command ln -s "${DATA_PATH}/public_images" "${INSTALL_PATH}/coolrunnings/"
command chown -R www-data:www-data "${DATA_PATH}"

Création de la base de données

Créez la base de données:

MYSQL_PARAMS="$(command mysql-tools --server="${MYSQL_HOST}" --with-ssh \
            --auto-hosts --db-prefix="spriteme" --create "${DOMAIN}")"

Récupérez les paramètres de la nouvelle base de données:

MYSQL_DB="$(echo "${MYSQL_PARAMS}" | command grep -e "^MYSQL_DB" \
    | cut --delimiter="=" --fields="2-")"
MYSQL_USER="$(echo "${MYSQL_PARAMS}" | command grep -e "^MYSQL_USER" \
    | cut --delimiter="=" --fields="2-")"
MYSQL_PASSWORD="$(echo "${MYSQL_PARAMS}" | command grep -e "^MYSQL_PASSWORD" \
    | cut --delimiter="=" --fields="2-")"
echo "${MYSQL_PARAMS}"

Configuration

Configurez la connexion à la base de données:

command sed -i \
    -e "s/examples.stevesouders.com/${MYSQL_HOST}/g" \
    -e "s/perfprofile/${MYSQL_DB}/g" \
  "${INSTALL_PATH}/results.php"
command mkdir --parent "${INSTALL_PATH}/private"
command echo "<?php
\$gsAuth1 = '${MYSQL_USER}';
\$gsAuth2 = '${MYSQL_PASSWORD}';" > "${INSTALL_PATH}/private/db.php"

Créez les tables:

command sed -i -e "s|^//createTables();|createTables();|g" "${INSTALL_PATH}/results.php"
command php5 "${INSTALL_PATH}/results.php" > '/dev/null'
command sed -i -e "s|^createTables();|//createTables();|g" "${INSTALL_PATH}/results.php"

Ajustez l'URL du service SpriteMe dans le code de SpriteMe:

command sed -i -e "s|http://spriteme.org|http://${DOMAIN}|g" "${INSTALL_PATH}/spriteme.js"
command sed -i -e "s|http://spriteme.org|http://${DOMAIN}|g" "${INSTALL_PATH}/autospriteme.user.js"

Ajustez l'URL du service coolrunnings dans le code de SpriteMe:

command sed -i -e "s|http://jaredhirsch.com/coolrunnings/index.php|http://${DOMAIN}/coolrunnings/index.php|g" "${INSTALL_PATH}/spriteme.js"

Ajustez les paramètres de CoolRunnings:

command sed -i \
    -e "s|'/var/www/html/'|realpath(dirname(__FILE__) . '/../../') . '/'|g" \
    -e "s|http://localhost/|http://${DOMAIN}/|g" \
  "${INSTALL_PATH}/coolrunnings/library/FrontController.php"

Créez la configuration du serveur HTTP:

if [ -x "/usr/bin/a2tools" ]; then
  command a2tools "${DOMAIN}" "${INSTALL_PATH}"
fi
if [ -x "/usr/bin/lighty-tools" ]; then
  command lighty-tools add-vhost "${DOMAIN}" "${INSTALL_PATH}"
fi

L'outil est maintenant disponible sur le domaine spécifié.

Sauvegardes

Sauvegardez l'installation avec Backup Manager (voir Installer et configurer Backup Manager sur Debian):

command backup-manager-tools add "${INSTALL_PATH}"
command backup-manager-tools add "${DATA_PATH}"

N'oubliez pas de sauvegarder la base de données (voir Installer et configurer MySQL sur Debian).

Remerciements

• Merci aux développeurs de SpriteMe.
• Merci à Jared Hirsch pour CoolRunnings.

• Debian 7.0 Wheezy

Ce guide est testé avec ces versions d'aMember:

• 4.2.14

Prérequis

Ce guide nécessite :

• un serveur HTTP Apache 2 avec l'outil a2tools disponible dans Installer et configurer Apache 2 sur Debian.

• un serveur HTTP Apache 2 avec support du PHP, comme décrit par Installer PHP-FPM sur Debian.

• l'outil php-tools de configuration simplifiée de PHP.

• un serveur MySQL, comme décrit par Installer et configurer MySQL sur Debian.
• l'outil mysql-tools d'administration simplifiée de MySQL sur l'hôte local (et l'hôte du serveur MySQL, si différent).

Paramètres

Renseignez le nom de domaine où sera disponible l'application:

DOMAIN="amember.domain.com"

Renseignez le nom d'hôte du serveur MySQL:

MYSQL_HOST="localhost"

Si le serveur MySQL n'est pas local, l'outil mysql-tools essaiera de s'y connecter avec le client MySQL, ou, en cas d'échec de connexion, via une connexion SSH.

Renseignez le nom du certificat SSL à utiliser (créé via la procédure Créer un certificat SSL / TLS sur Debian):

SSL_KEY_NAME="${DOMAIN}"

Renseignez le chemin de l'archive d'aMember sur le serveur:

AMEMBER_ZIP="/root/amember.zip"

Installation

Déterminez le chemin d'installation:

INSTALL_PATH="/opt/amember/${DOMAIN}"

Déterminez le chemin des données:

DATA_PATH="/var/lib/amember/${DOMAIN}"

Préparation de l'environnement

Installez les logiciels nécessaires:

command apt-get install php5-mysql php5-cli unzip

Adaptez la configuration PHP aux besoins de l'outil:

command php-tools --for="amember" --set "magic_quotes_gpc" "0"

Remarque: cette option de configuration n'existe plus depuis PHP 5.4.0, ignorez l'éventuel message d'erreur.

Rechargez la configuration de PHP:

test -x /etc/init.d/php5-fpm && /etc/init.d/php5-fpm force-reload
test -x /etc/init.d/apache2 && /etc/init.d/apache2 force-reload
test -x /etc/init.d/lighttpd && /etc/init.d/lighttpd force-reload
test -x /etc/init.d/nginx && /etc/init.d/nginx force-reload

Mise en place de l'application

Créez le dossier d'installation:

command mkdir --parent "$(command dirname "${INSTALL_PATH}")"

Décompressez l'archive:

command unzip -d "/tmp" "${AMEMBER_ZIP}"

Déplacez les fichiers vers leur emplacement final:

command mv "/tmp/amember" "${INSTALL_PATH}"

Autorisez la création des fichiers de configuration:

command chown www-data:www-data "${INSTALL_PATH}/.htaccess"
command chown www-data:www-data "${INSTALL_PATH}/application/configs"

Corrigez un bug dans la procédure de configuration:

command sed -i -e '/$base =/a\
if(!$base) $base = "/";' \
    "${INSTALL_PATH}/setup/index.php"

Créez la configuration du serveur HTTP pour le domaine:

if [ -n "${SSL_KEY_NAME}" -a -e "/etc/ssl/private/${SSL_KEY_NAME}.key" ]; then
  command a2tools --ssl="${SSL_KEY_NAME}" --overrides='All' "${DOMAIN}" "${INSTALL_PATH}"
  command a2tools --template='redirect' "${DOMAIN}" "http://${DOMAIN}/"
else
  command a2tools --overrides='All' "${DOMAIN}" "${INSTALL_PATH}"
fi

L'outil est maintenant disponible sur le domaine spécifié.

Mise en conformité avec la LSB

Mettez en place une architecture de dossier conforme à la LSB:

command mkdir --parent "${DATA_PATH}"
command mv "${INSTALL_PATH}/data" "${DATA_PATH}/data"
command ln -s "${DATA_PATH}/data" "${INSTALL_PATH}/data"
command chown -R www-data:www-data "${DATA_PATH}/data"

Création de la base de données

Créez la base de données:

command mysql-tools --server="${MYSQL_HOST}" --with-ssh \
            --auto-hosts --db-prefix="amember" --create "${DOMAIN}"

Notez les paramètres de connexion obtenus.

Déterminez un préfixe de tables aléatoire:

echo "Suggested table prefix : $(command apg -q -a 0 -n 1 -M NCL)_"

Configuration initiale

Accédez à la configuration du logiciel via l'URL fournie par:

echo "http://${DOMAIN}/setup/index.php"

Finalisation

Mettez en place la tâche cron:

echo "# ${DOMAIN} aMember cron task (every minute)
0 * * * *    www-data   test -x '/usr/bin/wget' -a -e '${INSTALL_PATH}/cron.php' && /usr/bin/wget --output-document=- --no-check-certificate --quiet 'http://${DOMAIN}/cron.php'" \
  > "/etc/cron.d/amember-${DOMAIN//./-}"

Remarque: assurez-vous d'activer les tâches cron externe dans les options avancées de l'administration d'aMember.

Rechargez la configuration de cron:

/etc/init.d/cron reload

Une fois l'application correctement configurée, renforcez sa sécurité en retirant l'accès en écriture aux fichiers de configuration et en supprimant le dossier setup:

command chown -R root:root "${INSTALL_PATH}/.htaccess" "${INSTALL_PATH}/application/configs"
command rm -r "${INSTALL_PATH}/setup"

Sauvegardes

Sauvegardez l'installation avec Backup Manager (voir Installer et configurer Backup Manager sur Debian):

command backup-manager-tools add "${INSTALL_PATH}"
command backup-manager-tools add "${DATA_PATH}"

N'oubliez pas de sauvegarder la base de données (voir Installer et configurer MySQL sur Debian).

Mise à jour

Renseignez le domaine de l'installation obsolète:

DOMAIN="amember.domain.com"

Déterminez le chemin d'installation:

INSTALL_PATH="/opt/amember/${DOMAIN}"

Nettoyez le chemin:

INSTALL_PATH="$(command echo "${INSTALL_PATH}" | command sed -e 's|/$||g')"

Sauvegardez l'installation mise à jour:

command test -e "${INSTALL_PATH}.old" && command rm -r "${INSTALL_PATH}.old"
command cp -a "${INSTALL_PATH}" "${INSTALL_PATH}.old"

Ajustez les permissions des fichiers:

command chown -R www-data:www-data "${INSTALL_PATH}"

Accédez à l'outil de mise à jour automatique via l'URL fournie par:

command echo "http://${DOMAIN}/admin-upgrade"

Effectuez la mise à jour.

Une fois la mise à jour terminée, sécurisez l'installation en restaurant les permissions par défaut des fichiers et en supprimant l'outil d'installation:

command chown -R root:root "${INSTALL_PATH}"
command rm -r "${INSTALL_PATH}/setup"

Remerciements

• Merci aux développeurs de aMember.

• Debian 6.0 Squeeze
• Debian 7.0 Wheezy

Ce guide est testé avec ces versions d'OwnCloud:

• 4.5.5
• 5.0.5

Prérequis

Ce guide nécessite :

• Un serveur HTTP Apache 2 avec l'outil a2tools disponible dans Installer et configurer Apache 2 sur Debian.

• un serveur HTTP Apache 2 avec support du PHP, comme décrit par Installer PHP-FPM sur Debian.

• l'outil php-tools de configuration simplifiée de PHP.

• un serveur MySQL, comme décrit par Installer et configurer MySQL sur Debian.
• l'outil mysql-tools d'administration simplifiée de MySQL sur l'hôte local (et l'hôte du serveur MySQL, si différent).

Paramètres

Renseignez le nom de domaine où sera disponible l'application:

DOMAIN="cloud.domain.com"

Renseignez le nom d'hôte du serveur MySQL:

MYSQL_HOST="localhost"

Si le serveur MySQL n'est pas local, l'outil mysql-tools essaiera de s'y connecter avec le client MySQL, ou, en cas d'échec de connexion, via une connexion SSH.

Renseignez le nom du certificat SSL à utiliser pour chiffrer l'application avec HTTPS (créé via la procédure Créer un certificat SSL / TLS sur Debian) (optionnel, recommandé):

SSL_KEY_NAME="${DOMAIN}"

Installation

Déterminez le chemin d'installation:

INSTALL_PATH="/opt/owncloud/${DOMAIN}"

Déterminez le chemin des données:

DATA_PATH="/var/lib/owncloud/${DOMAIN}"

Créez les dossiers:

command mkdir --parent "${INSTALL_PATH}"
command mkdir --parent "${DATA_PATH}"

Préparation de l'environnement

Installez les logiciels nécessaires:

command apt-get install apg php5-mysql php5-gd php5-cli php-xml-parser php5-intl \
    php5-sqlite curl libcurl3 php5-curl bzip2

Installez le client SMB:

DEBIAN_FRONTEND='noninteractive' command apt-get install smbclient

Générez la locale en_US.UTF-8 si nécessaire:

if [ -z "$(command grep '^en_US.UTF-8 UTF-8' '/etc/locale.gen')" ]; then
  command echo 'en_US.UTF-8 UTF-8' >> '/etc/locale.gen'
  command locale-gen
fi

Adaptez la configuration PHP aux besoins de l'outil:

command php-tools --for="owncloud" --set "upload_max_filesize" "10G"
command php-tools --for="owncloud" --set "post_max_size" "10G"

Rechargez la configuration de PHP:

test -x /etc/init.d/php5-fpm && /etc/init.d/php5-fpm force-reload
test -x /etc/init.d/apache2 && /etc/init.d/apache2 force-reload
test -x /etc/init.d/lighttpd && /etc/init.d/lighttpd force-reload
test -x /etc/init.d/nginx && /etc/init.d/nginx force-reload

Mise en place de l'application

Détectez la dernière version du logiciel:

SOURCE_URL="$(wget --quiet --output-document=- 'http://owncloud.org/install' \
    | command grep "owncloud-" | command grep -v ".md5" \
    | command tail -n 1 | command cut --delimiter='"' --fields=2)"
VERSION="$(command echo "${SOURCE_URL}" | command sed -e 's/.*owncloud-\(.*\)\.tar.\bz2/\1/g')"

Téléchargez la dernière version de l'application:

command wget "${SOURCE_URL}" \
    --output-document="/tmp/owncloud.tar.bz2"

Décompressez l'archive:

command tar --strip-components=1 --directory="${INSTALL_PATH}" -xjf "/tmp/owncloud.tar.bz2"

Supprimez l'archive:

command rm "/tmp/owncloud.tar.bz2"

Ajustez les permissions des fichiers:

command chown -R root:root "${INSTALL_PATH}"
command chmod 755 "${INSTALL_PATH}/config"
command chmod 755 "${INSTALL_PATH}/apps"
command mkdir --parent "${INSTALL_PATH}/data"
command chmod 750 "${INSTALL_PATH}/data"
command chown www-data:www-data "${INSTALL_PATH}/config/" "${INSTALL_PATH}/data" "${INSTALL_PATH}/apps"

Créez la configuration du serveur HTTP pour le domaine:

if [ -n "${SSL_KEY_NAME}" -a -e "/etc/ssl/private/${SSL_KEY_NAME}.key" ]; then
  command a2tools --overrides="All" --ssl="${SSL_KEY_NAME}" "${DOMAIN}" "${INSTALL_PATH}"
  command a2tools --template='redirect' "${DOMAIN}" "https://${DOMAIN}/"
else
  command a2tools --overrides="All" "${DOMAIN}" "${INSTALL_PATH}"
fi

L'outil est maintenant disponible sur le domaine choisi.

Mise en conformité avec la LSB

Mettez en place une architecture de dossier conforme à la LSB:

command mkdir --parent "${DATA_PATH}/data"
command mv "${INSTALL_PATH}/apps" "${DATA_PATH}/apps"
command ln -s "${DATA_PATH}/apps" "${INSTALL_PATH}/apps"
command chown www-data:www-data "${DATA_PATH}/apps"
command chmod 750 "${DATA_PATH}/data"
command chown -R www-data:www-data "${DATA_PATH}/data"

Création de la base de données

Créez la base de données:

MYSQL_PARAMS="$(command mysql-tools --server="${MYSQL_HOST}" --with-ssh \
            --auto-hosts --db-prefix="owncloud" --create "${DOMAIN}")"

Récupérez les paramètres de la nouvelle base de données:

MYSQL_DB="$(echo "${MYSQL_PARAMS}" | command grep -e "^MYSQL_DB" \
    | cut --delimiter="=" --fields="2-")"
MYSQL_USER="$(echo "${MYSQL_PARAMS}" | command grep -e "^MYSQL_USER" \
    | cut --delimiter="=" --fields="2-")"
MYSQL_PASSWORD="$(echo "${MYSQL_PARAMS}" | command grep -e "^MYSQL_PASSWORD" \
    | cut --delimiter="=" --fields="2-")"
echo "${MYSQL_PARAMS}"

Notez les informations de connexion fournies par la commande.

Déterminez un préfixe de tables aléatoire:

TABLE_PREFIX="$(command apg -q -a 0 -n 1 -M NCL)_"

Configuration initiale

Déterminez une valeur pour le mot de passe de l'administrateur:

ADMIN_PASSWORD="$(command apg -m 16 -x 32 -n 1 -a 1 -M NCLS -E "'$")"

Créez le fichier d'auto-configuration:

echo "<?php
\$AUTOCONFIG = array(
  'adminlogin' => 'admin',
  'adminpass' => '${ADMIN_PASSWORD}',
  'dbtype' => 'mysql',
  'dbname' => '${MYSQL_DB}',
  'dbuser' => '${MYSQL_USER}',
  'dbpass' => '${MYSQL_PASSWORD}',
  'dbhost' => '${MYSQL_HOST}',
  'dbtableprefix' => '${TABLE_PREFIX}',
  'directory' => '${DATA_PATH}/data'
);" > "${INSTALL_PATH}/config/autoconfig.php"
command chown www-data:www-data "${INSTALL_PATH}/config/autoconfig.php"

Connectez-vous à l'instance OwnCloud pour générer la configuration:

echo "OwnCloud administration login:
URL:      http://${DOMAIN}/
Login:    admin
Password: ${ADMIN_PASSWORD}"

Réglages recommandés

Les réglages suivants sont fortement recommandés:

• Gestion des fichiers: Désactiver le téléchargement ZIP (cette fonctionnalité peut causer des problèmes avec l'outil de synchronisation).
• Cron: Utilise le service cron du système

Finalisation

Améliorez la configuration par défaut de OwnCloud:

command sed -i \
    -e "/installed/a\\
  'mail_smtpmode' => 'smtp',\\
  'logfile' => '/var/log/owncloud-${DOMAIN}.log',\\
  'apps_paths' => array(\\
    array(\\
      'path'=> '${DATA_PATH}/apps',\\
      'url' => '/apps',\\
      'writable' => true,\\
    ),\\
  )," \
  "${INSTALL_PATH}/config/config.php"

Créez le fichier journal initial:

command touch "/var/log/owncloud-${DOMAIN}.log"
command chown www-data:adm "/var/log/owncloud-${DOMAIN}.log"

Mettez en place la rotation des journaux:

echo "/var/log/owncloud-${DOMAIN}.log {
 weekly
 missingok
 rotate 4
 compress
 delaycompress
 notifempty
 create 640 www-data adm
}" > "/etc/logrotate.d/owncloud-${DOMAIN}"

Mettez en place la tâche cron:

echo "# ${DOMAIN} OwnCloud cron task (every minute)
*/5 * * * *    www-data   test -x '/usr/bin/php5' -a -e '${INSTALL_PATH}/cron.php' && /usr/bin/php5 '${INSTALL_PATH}/cron.php'" \
  > "/etc/cron.d/owncloud-${DOMAIN//./-}"

Rechargez la configuration de cron:

/etc/init.d/cron reload

Une fois l'application correctement configurée, renforcez sa sécurité en retirant l'accès en écriture au dossier data:

command chown -R root:root "${INSTALL_PATH}/data"

Sauvegardes

Sauvegardez l'installation avec Backup Manager (voir Installer et configurer Backup Manager sur Debian):

command backup-manager-tools add "${INSTALL_PATH}"
command backup-manager-tools add "${DATA_PATH}"

N'oubliez pas de sauvegarder la base de données (voir Installer et configurer MySQL sur Debian).

Mise à jour

Renseignez le domaine de l'installation obsolète:

DOMAIN="cloud.domain.com"

Déterminez le chemin d'installation:

INSTALL_PATH="/opt/owncloud/${DOMAIN}"

Déterminez le chemin des données:

DATA_PATH="/var/lib/owncloud/${DOMAIN}"

Nettoyez le chemin:

INSTALL_PATH="$(echo "${INSTALL_PATH}" | sed -e 's|/$||g')"

Détectez la dernière version du logiciel:

SOURCE_URL="$(wget --quiet --output-document=- 'http://owncloud.org/install' \
    | command grep "owncloud-" | command grep -v ".md5" \
    | command tail -n 1 | command cut --delimiter='"' --fields=2)"
VERSION="$(command echo "${SOURCE_URL}" | command sed -e 's/.*owncloud-\(.*\)\.tar.\bz2/\1/g')"

Téléchargez la dernière version de l'application:

command wget "${SOURCE_URL}" \
    --output-document="/tmp/owncloud.tar.bz2"

Sauvegardez l'installation actuelle:

if [ -e "${INSTALL_PATH}.old" ]; then
  command rm -r "${INSTALL_PATH}.old"
fi
if [ -e "${DATA_PATH}/apps.old" ]; then
  command rm -r "${DATA_PATH}/apps.old"
fi
command cp -a "${INSTALL_PATH}" "${INSTALL_PATH}.old"
command cp -a "${DATA_PATH}/apps" "${DATA_PATH}/apps.old"

Décompressez l'archive:

command tar --strip-components=1 --directory="${INSTALL_PATH}" -xjf "/tmp/owncloud.tar.bz2"

Ajustez les permissions des fichiers:

command chown -R root:root "${INSTALL_PATH}"
command chmod 755 "${INSTALL_PATH}/config"
command chmod 755 "${INSTALL_PATH}/apps"
command mkdir --parent "${INSTALL_PATH}/data"
command chmod 750 "${INSTALL_PATH}/data"
command chown www-data:www-data "${INSTALL_PATH}/config/" "${INSTALL_PATH}/config/config.php" "${INSTALL_PATH}/data" "${INSTALL_PATH}/apps"
command chown -R www-data:www-data "${DATA_PATH}/apps"
command chmod -R 755 "${DATA_PATH}/apps"

Vérifiez que tout fonctionne correctement.

Supprimez les sauvegardes:

if [ -e "${INSTALL_PATH}.old" ]; then
  command rm -r "${INSTALL_PATH}.old"
fi
if [ -e "${DATA_PATH}/apps.old" ]; then
  command rm -r "${DATA_PATH}/apps.old"
fi

Supprimez l'archive:

command rm "/tmp/owncloud.tar.bz2"

Remerciements

• Merci aux développeurs de OwnCloud.

Renseignez le nom de la base de données à extraire:

DB_NAME="my_database"

Renseignez le chemin du fichier dump MySQL:

DUMP_FILE="/path/to/a-mysql-dump.sql"

Extrayez la base de données du dump:

command sed -n "0,/^-- Current Database:/p;/^-- Current Database: \`${DB_NAME}\`/,/^-- Current Database: \`/p;/TIME_ZONE=@OLD_TIME_ZONE/,/^-- Dump completed/p' \
   > "${DB_NAME}.sql"

Le dump de la base de données est maintenant disponible dans le fichier donné par:

echo "${DB_NAME}.sql"

Mettre en place un moteur de recherche

Le moteur d'indexation open-source Sphinx facilite la mise en place d'un moteur de recherche performant.

Source : Merci à Guillaume Pousséo.

Déboguer les erreurs #1025 pour  les tables InnoDB

L'erreur #1025 apparait lors de l 'altération d 'une table utilisant le moteur InnoDB. Obtenez plus d'informations sur la nature de l 'erreur avec l'instruction  SQL:

SHOW ENGINE INNODB STATUS;

Source : Merci à snoyes sur irc.freenode.net#mysql

Corriger les erreurs "Incorrect key file for table"

Si l'erreur ci-dessous apparaît lors de l'exécution d'une requête SQL:

Could not execute query [Native Error: Incorrect key file for table '/tmp/#sql_2258_0.MYI'; try to repair it

Le dossier /tmp n'a plus suffisament d'espace dique. Pour corriger l'erreur, nettoyez le système de fichier contenant le dossier /tmp.

La fonction qui suit permet de calculer le chemin relatif entre deux emplacements. Cela peut être utile pour calculer l'emplacement relatif d'un fichier css ou image.

function relativePath($from_path, $to_path, $path_separator = DIRECTORY_SEPARATOR)
{
  $exploded_from = explode($path_separator, rtrim($from_path, $path_separator));
  $exploded_to = explode($path_separator, rtrim($to_path, $path_separator));
  while(count($exploded_from) && count($exploded_to) && ($exploded_from[0] == $exploded_to[0]))
  {
    array_shift($exploded_from);
    array_shift($exploded_to);
  }
  return str_pad("", count($exploded_from) * 3, '..'.$path_separator).implode($path_separator, $exploded_to);
}

Source: Merci à imagiro pour son commentaire sur realpath.

Autoloader universel

Un autoloader est un code gérant l'inclusion automatique des fichiers PHP déclarant des classes. La difficulté consiste à coupler performance et souplesse. Gerald's Blog propose deux articles très intéressant sur la mise en place efficiente de cette mécanique:

• Autoloader PHP Universel – Jouons avec les Patterns
• Le Design Pattern Stratégie (Strategy) en PHP

Téléchargez le:

command wget 'https://raw.github.com/biapy/howto.biapy.com/master/php5/DirectoriesAutoloader.php' \
    --quiet --no-check-certificate --output-document='DirectoriesAutoloader.php'

Son utilisation est très simple:

require(dirname(__FILE__) . '/DirectoriesAutoloader.php');
DirectoriesAutoloader::instance('/tmp/')
 ->addDirectory(realpath(dirname(__FILE__) . '/../../classes'))
 ->addDirectory(realpath(dirname(__FILE__) . '/../framework'))
 ->addDirectory(realpath(dirname(__FILE__) . '/locasyst'))
 ->addDirectory(realpath(dirname(__FILE__) . '/lib/vendor'))
 ->register();

Note: Il existe aussi Open Power Autoloader (https://github.com/OPL/opl3-autoloader) qui est très efficace si le projet utilise la convention PSR-0 (merci à The Zyxist Diaries pour Efficient autoloaders for PHP).

file_get_contents et timeout

Il est impossible de contrôler le timeout utilisé par file_get_contents lorsque la ressource ouverte est une URL. Si vous rencontrez l'erreur qui suit, vous êtes confronté à ce problème:

PHP Warning: file_get_contents(http://www.url.com/): failed to open stream: HTTP request failed! in /path/to/file.php on line 8

Voici une fonction conçue pour ajouter une notion de timeout à la fonctionnalité de file_get_contents (nécessite l'extension php5-curl):

/**
 * Get URL contents
 *
 * @param string $url       A URL.
 * @param integer $timeout  timeout for fetching the URL.
 * @return mixed            string with URL contents if success, False if failure.
 */
function url_get_contents($url, $timeout = 10)
{
  $curl_handle = curl_init($url);
  curl_setopt($curl_handle, CURLOPT_HEADER, 0);
  curl_setopt($curl_handle, CURLOPT_RETURNTRANSFER, 1);
  curl_setopt($curl_handle, CURLOPT_USERAGENT, "PHP script");
  curl_setopt($curl_handle, CURLOPT_TIMEOUT, $timeout);
  $contents = curl_exec($curl_handle);
  $curl_error = curl_error($curl_handle);
  curl_close($curl_handle);
  if ($curl_error)
  {
    // echo $CurlErr;
    return false;
  }

  return $contents;
}

Source: Merci à Ripat pour file_get_contents pour fichiers distants avec timeout.

• Debian 6.0 Squeeze

Ce guide est testé dans les configurations suivantes:

• Serveur VPN <- Routeur NAT <- Internet <- Routeur NAT <- iPhone 5 + iOS 6.0.1
• Serveur VPN <- Routeur NAT <- Internet <- Routeur NAT <- Mac OS X Mountain Lion 10.8.2

Prérequis

Ce guide nécessite:

• l'ajout des dépôts de sources testing, comme décrit par Configurer les dépôts de sources Testing sur Debian stable.

Ce guide recommande:

• la mise en place d'un serveur Bind autorisant les requêtes pour le réseau local, comme décrit par Configurer un serveur DNS Bind sur Debian.

Paramètres

Renseignez le nom de domaine du VPN:

DOMAIN="domain.vpn"

Renseignez le nom de l'interface réseau connectée au réseau public (Internet):

TARGET_INTERFACE="eth0"

Déterminez une plage d'adresse IP aléatoire pour les clients du VPN:

VPN_IP_RANGE="10.$((${RANDOM}%256)).$((${RANDOM}%256))"

Installation

Détectez l'adresse IPv4 de l'interface cible:

TARGET_INTERFACE_IP=$(command ifconfig ${TARGET_INTERFACE} \
    | command grep "inet " \
    | command sed -e 's/^.*inet [^:]*:\([^ ]*\) .*$/\1/')
echo ${TARGET_INTERFACE_IP}

Détectez la plage d'adresses IPv4 de l'interface cible:

TARGET_INTERFACE_RANGE="$(command echo "${TARGET_INTERFACE_IP}" \
        | command cut --delimiter="." --fields=1-3)"

Détectez l'adresse IPv4 de la passerelle de l'interface cible:

TARGET_INTERFACE_GATEWAY="$(command netstat -nr \
    | command grep " UG " \
    | command grep "${TARGET_INTERFACE_RANGE}" \
    | command cut --characters=17-32 \
    | command sed -e 's/[ ]*//g')"
echo ${TARGET_INTERFACE_GATEWAY}

Installation d'une version récente d'OpenSwan

Attention: ceci n'est nécessaire que si vous utilisez Debian 6.0 Squeeze ou antérieure.

La version présente dans Debian 6.0 Squeeze présente des bugs bloquant pour un bon fonctionnement avec iOS.

Installez les dépendances de construction du paquet OpenSwan:

command apt-get install build-essential dpkg-dev \
     debhelper libgmp3-dev libssl-dev ppp \
     htmldoc man2html libopensc2-dev dpatch \
     libcurl4-openssl-dev libldap2-dev libpam0g-dev \
     libkrb5-dev bison flex bzip2 po-debconf

Assurez-vous que toutes les dépendances sont présentes

command apt-get build-dep openswan

Placez-vous dans le dossier des sources:

command pushd '/usr/src'

Obtenez les sources de la version testing d'OpenSwan:

command apt-get source -t testing openswan

Placez-vous dans  le dossier des sources:

command cd "$(command find '/usr/src' -maxdepth 1 -type d -name 'openswan-*' | command sort | command tail -n 1)"

Corrigez les erreurs de compatibilité avec Debian 6.0 Squeeze:

command sed -i -e 's/^.*buildflags.mk/#&/' 'debian/rules'
command sed -i -e 's/dpkg-dev[^,]*/dpkg-dev,/g' 'debian/control'

Lancez la construction du paquet:

command dpkg-buildpackage

Installez OpenSwan:

DEBIAN_FRONTEND='noninteractive' command dpkg -i "$(command find '/usr/src' -maxdepth 1 -type f -name 'openswan_*.deb' | command sort | command tail -n 1)"

Quittez le dossier des sources:

command popd

Installation d'une version récente de xl2tpd

Attention: ceci n'est nécessaire que si vous utilisez Debian 6.0 Squeeze ou antérieure.

La version présente dans Debian 6.0 Squeeze présente des bugs bloquant pour un bon fonctionnement avec iOS.

Installez les dépendances de construction du paquet OpenSwan:

command apt-get build-dep xl2tpd

Placez-vous dans le dossier des sources:

command pushd '/usr/src'

Obtenez les sources de la version testing d'OpenSwan:

command apt-get source -t testing xl2tpd

Placez-vous dans  le dossier des sources:

command cd "$(command find '/usr/src' -maxdepth 1 -type d -name 'xl2tpd-*' | command sort | command tail -n 1)"

Lancez la construction du paquet:

command dpkg-buildpackage

Installez les paquets obtenus:

DEBIAN_FRONTEND='noninteractive' command dpkg -i "$(command find '/usr/src' -maxdepth 1 -type f -name 'xl2tpd_*.deb' | command sort | command tail -n 1)"

Quittez le dossier des sources:

command popd

Préparation de l'environnement

Installez les logiciels nécessaires:

DEBIAN_FRONTEND='noninteractive' command apt-get install apg ppp xl2tpd openswan

Activez les options IPv4 nécessaires au bon fonctionnement du tunnel (Attention: ne pas appliquer sur un routeur !):

echo "# Allowing nat translation for VPN clients.
net.ipv4.ip_forward=1
# Openswan security options
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0" \
    >> "/etc/sysctl.conf"

Rechargez la configuration système:

command sysctl -p

Appliquez la configuration aux interfaces réseau existantes:

command find '/proc/sys/net/ipv4/conf' -mindepth 1 -type d \
  | while read INTERFACE_SYS; do
    command echo "0" > "${INTERFACE_SYS}/send_redirects"
    command echo "0" > "${INTERFACE_SYS}/accept_redirects"
  done

Configuration d'OpenSwan (IPSec)

Forcez l'utilisation de la pile netkey:

command sed -i -e 's/protostack=.*/protostack=netkey/g' '/etc/ipsec.conf'

Interdisez l'utilisation de la plage d'adresse IP du réseau local et du réseau VPN L2TP:

command sed -i \
    -e "s|,%v4:\!192\.168\.1\.[^,]*||" \
    -e "s|virtual_private=.*|&,%v4:\!${TARGET_INTERFACE_RANGE}.0/24,%v4:\!${VPN_IP_RANGE}.0/24|" \
  "/etc/ipsec.conf"

Créez un fichier de configuration depuis le modèles:

command cp "/etc/ipsec.d/examples/l2tp-psk.conf" "/etc/ipsec.d/${DOMAIN/\./-}.conf"

Renommez les connections:

command sed -i \
    -e "s/L2TP-PSK/${DOMAIN/\./-}-&/" \
    -e "s/passthrough-for-non-l2tp/${DOMAIN/\./-}-&/" \
  "/etc/ipsec.d/${DOMAIN/\./-}.conf"

Configurez l'adresse IP du serveur et de la passerelle:

command sed -i \
    -e "s/YourServerIP/${TARGET_INTERFACE_IP}/g" \
    -e "s/YourGwIP/${TARGET_INTERFACE_GATEWAY}/g" \
    -e "s/YourGatewayIP/${TARGET_INTERFACE_IP}/g" \
  "/etc/ipsec.d/${DOMAIN/\./-}.conf"

Ajoutez les paramètres nécessaires aux clients iOS (iPhone, iPad):

command sed -i -e "/rightprotoport=17\/%any/a\\
\t# Apple iOS doesnt send delete notify so we need dead peer detection\\
\t# to detect vanishing clients\\
\t#dpddelay=30\\
\t#dpdtimeout=120\\
\t#dpdaction=clear\\
\t# force all to be nated. because of ios\\
\tforceencaps=yes\\
\t# provide leftsubnet, mandatory for double nat setup.\\
\tleftsubnet=${TARGET_INTERFACE_RANGE}.0/24" \
  "/etc/ipsec.d/${DOMAIN/\./-}.conf"

Activez la configuration:

echo "include /etc/ipsec.d/${DOMAIN/\./-}.conf" >> '/etc/ipsec.conf'

Créez la clef partagée (ici de longueur 128):

SHARED_KEY="$(command apg -q -m 128 -a 1 -n 1 -M NCLS -E '"')"

Configurez la clef partagée:

command sed -i -e "/${TARGET_INTERFACE_IP}[ \t]*%any:/d" '/etc/ipsec.secrets'
command echo "${TARGET_INTERFACE_IP} %any: PSK \"${SHARED_KEY}\"" >> '/etc/ipsec.secrets'

Protégez le fichier des secrets:

command chmod go-rwx '/etc/ipsec.secrets'

Configuration de xl2tpd (L2TP)

Ajoutez la configuration du tunnel à xl2tpd.conf:

echo "
; ${DOMAIN} L2TP/IPsec tunnel configuration.
[global]
;force userspace = yes
ipsec saref = yes
access control = no
auth file = /etc/xl2tpd/${DOMAIN/\./-}-secrets
listen-addr = ${TARGET_INTERFACE_IP}
;debug network = yes
;debug tunnel = yes
;debug avp = yes
;debug state = yes

[lns default]
ip range = ${VPN_IP_RANGE}.2-${VPN_IP_RANGE}.253
local ip = ${VPN_IP_RANGE}.1
assign ip = yes
require chap = yes
refuse pap = yes
require authentication = yes
name = ${DOMAIN}
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd.${DOMAIN/\./-}
length bit = yes
" \
    >> '/etc/xl2tpd/xl2tpd.conf'

Remarque: la section [lns default] est obligatoire pour le bon fonctionnement de xl2tpd.

Configuration de ppp (PPTP)

Déterminez l'adresse des DNS Internet s'il y en a:

DNS_SERVERS="$(command grep "^nameserver" "/etc/resolv.conf" | command grep -v "127.0.0.1" | command sed -e 's/nameserver/ms-dns/g')"

Déterminez s'il y a un server Bind local et autorisez le réseau L2TP à l'utiliser:

if [ -x '/etc/init.d/bind9' ]; then
  DNS_SERVERS="ms-dns ${VPN_IP_RANGE}.1
${DNS_SERVERS}"
  command sed -i -e "/acl local-networks/a\\
\t${VPN_IP_RANGE}.1/24;" \
  '/etc/bind/named.conf.options'
  /etc/init.d/bind9 reload
fi

Créez le fichier de configuration du tunnel PPTP mise en place par xl2tp:

echo "# ${DOMAIN} IPsec/L2TP VPN PPTP setup.
name ${DOMAIN}
require-mschap-v2
ipcp-accept-local
ipcp-accept-remote
${DNS_SERVERS}
noccp
auth
crtscts
idle 1800
mtu 1200
mru 1200
nodefaultroute
#debug
lock
proxyarp
connect-delay 5000" \
  > "/etc/ppp/options.xl2tpd.${DOMAIN/\./-}"

Configuration de l'accès au réseau local et à Internet pour les clients du VPN

Activez la règle NAT qui permet aux clients du VPN d'accéder à Internet en passant par le VPN:

command echo "#"\!"/bin/bash
command iptables -t nat -A POSTROUTING -s ${VPN_IP_RANGE}.0/24 -o eth0 -j MASQUERADE" \
  > "/etc/network/if-up.d/iptables-l2tp-${DOMAIN/\./-}"
command chmod +x "/etc/network/if-up.d/iptables-l2tp-${DOMAIN/\./-}"

Chargez la règle:

/etc/network/if-up.d/iptables-l2tp-${DOMAIN/\./-}

Configuration des comptes utilisateurs pour ppp

Renseignez le nom de l'utilisateur:

PPP_USERNAME="my-account"

Déterminez un mot de passe pour l'utilisateur:

PPP_PASSWORD="$(command apg -q -m 128 -a 1 -n 1 -M NCL -E '"')"

Ajoutez le compte au fichier chap-secrets:

echo "${PPP_USERNAME}    ${DOMAIN}    ${PPP_PASSWORD}    *" >> '/etc/ppp/chap-secrets'
echo "${PPP_USERNAME}    *    ${PPP_PASSWORD}" >> "/etc/xl2tpd/${DOMAIN/\./-}-secrets"

Affichez les paramètres de connexion au VPN pour l'utilisateur et notez-les:

echo "# Use the following to connect:
# Username:
${PPP_USERNAME}
# User password (secret key):
${PPP_PASSWORD}
# VPN shared key
${SHARED_KEY}"

Lancement du VPN

Démarrez le VPN:

/etc/init.d/ipsec restart
/etc/init.d/xl2tpd stop
/etc/init.d/xl2tpd start

Vérifiez la configuration IPsec (ignorez les alertes sur "Opportunistic Encryption Support" et "NAT and MASQUERADEing"):

command ipsec verify

Ajoutez le VPN au démarrage du système:

command update-rc.d ipsec defaults
command update-rc.d xl2tpd defaults

Configuration du pare-feu

Les ports suivant doivent être ouverts sur le pare-feu:

• port 500 UDP (protocole IKE)
• port 4500 UDP (protocole NAT-T)
• le protocole n°50
• le protocole n°51

Pour générer automatiquement les règles NAT iptables, renseignez l'adresse IP du serveur VPN sur le réseau local:

VPN_SERVER_IP="192.168.1.10"

Renseignez l'adresse IP de la connexion Internet du routeur (ici déterminée automatiquement):

PUBLIC_IP=$(command wget --quiet http://www.monip.org/ -O- \
    | command grep "IP :" \
    | command cut --characters=-80 \
    | command sed -e 's/^.* \(\([0-9]\{1,3\}\.\)\{3\}[0-9]\{1,3\}\).*$/\1/')
echo "${PUBLIC_IP}"

Le script suivant crée la configuration iptables nécessaire au serveur VPN L2TP/IPsec:

echo "#"\!"/bin/bash
# open protocol 50
command iptables -A PREROUTING -t nat -p 50 \\
  -d ${PUBLIC_IP} \\
  -j DNAT --to ${VPN_SERVER_IP}
# open protocol 51
command iptables -A PREROUTING -t nat -p 51 \\
  -d ${PUBLIC_IP} \\
  -j DNAT --to ${VPN_SERVER_IP}
# open port 500 udp
command iptables -A PREROUTING -t nat -p udp \
  -d ${PUBLIC_IP} --dport 500 \\
  -j DNAT --to ${VPN_SERVER_IP}:500
# open port 4500 UDP
command iptables -A PREROUTING -t nat -p udp \\
  -d ${PUBLIC_IP} --dport 4500 \\
  -j DNAT --to ${VPN_SERVER_IP}:4500
" >> '/etc/network/if-up.d/l2tp-ipsec-vpn'
command chmod +x '/etc/network/if-up.d/l2tp-ipsec-vpn'

Chargez les règles avec:

/etc/network/if-up.d/l2tp-ipsec-vpn

Les règles seront automatiquement chargées au démarrage du système.

Détecter les problèmes

IPsec (OpenSwan)

Vérifiez la connectivité IPsec avec:

command ipsec verify

Affichez l'état des connexions IPsec avec:

command ipsec auto --status

Visualisez les messages générés par IPsec dans le fichier auth.log:

command tail -f '/var/log/auth.log'

L2TP (xl2tpd)

Visualisez les messages générés par xl2tpd dans syslog:

command tail -f '/var/log/syslog'

Activez le mode de débogage de xl2tpd, et affichez les messages de débogage dans la console:

command sed -i -e 's/;debug/debug/' '/etc/xl2tpd/xl2tpd.conf'
command sed -i -e 's/#debug/debug/' /etc/ppp/options.xl2tpd.*
/etc/init.d/xl2tpd stop
command xl2tpd -D

Désactivez le mode de débogage de xl2tpd et relancez le fonctionnement standard:

command sed -i -e 's/^debug/;debug/' '/etc/xl2tpd/xl2tpd.conf'
command sed -i -e 's/^debug/#debug/' /etc/ppp/options.xl2tpd.*
/etc/init.d/xl2tpd stop
/etc/init.d/xl2tpd start

Remerciements

• Merci à #a&a asterisk for Setting up an L2TP/IPSec server on Debian.
• Merci au blog technique de Laurent Besson pour Serveur VPN L2TP IPsec Linux avec authentification Radius couplée avec LDAP.
• Merci au Wiki Linux SMH pour Créer un VPN L2TP/IPSec.
• Merci à Riobard Zhan pour Configure L2TP/IPSec VPN on Ubuntu.
• Merci à The gadget blog pour Debian squeeze l2tp/IPSec vpn server with an iOS road warrior.