Octopuce

IPv6 à Octopuce, une réalité

Benjamin Sonntag — 2010-07-27T06:21:50Z

Après près de un an à y réfléchir et à voir comment intégrer une dual stack (le mélange de IPv4 et IPv6 au sein de nos serveurs) et à tester diverses configurations, Octopuce a enfin obtenu et commence à déployer des adresses IPv6 sur son backbone d'hébergement !

Nous avons, le 14 juillet dernier, obtenu de l'autorité européenne de régulation de l'Internet (le RIPE, pour "Réseau IP Européen") un bloc d'IPv6 destiné à Octopuce, appellé bloc PI (pour Provider Independent) qui a pour joli préfixe 2001:67c:288 ::/48.

Nous disposons donc de la bagatelle de 1 208 925 819 614 629 174 706 176 adresses IPv6 disponibles pour nos hébergés.

Les premiers serveurs utilisant à la fois IPv4 et IPv6 sont installés et commencent à servir les pages web ou email indifféremment en v4 ou v6.

Si vous êtes un de nos clients et que vous souhaitez disposer de ces nouvelles possibilités, n'hésitez pas à nous contacter, nous nous ferons un plaisir de vous aider dans votre déploiement IPv6 sur vos infrastructures !

DManager : Nouvelle version du porte document en ligne

Chantal Bernard-Putz — 2010-02-06T12:05:55Z

La version 4.0 du DManager, porte-documents en ligne vient de sortir.

Réalisé en PHP / MySQL, placé sous licence GNU/GPL, DManager est un programme qui permet à chacun de partager des documents en ligne, via une interface web conviviale et configurable.
L'administrateur du porte-documents peut créer des comptes utilisateurs et définir finement les droits d'accès aux documents.

Depuis février 2003 (sortie de la première version), DManager a été téléchargé près de 80 000 fois !

Voici une copie d'écran de l'affichage des fichiers/répertoires

La version 4.0
conserve le moteur de recherche de la v3 et la possibilité d'alimentation par FTP pour les gros fichiers,
intègre quelques nouvelles fonctionnalités : gestion des droits plus fine, affichage du nom des utilisateurs qui envoient les fichiers, corrige quelques bugs de la version 3.

Elle permet une procédure de mise à jour très simple depuis la V3 vers cette nouvelle version.
Un installeur automatique de la V4.0 est disponible.
Une aide en ligne avec procédures expliquées "pas à pas" et copies d'écran est incluse dans DManager.

Pour le tester et/ou le télécharger :
Connectez-vous au site du DManager

Varnish & Failover, exemple de VCL de répartition de charge intelligente ...

Benjamin Sonntag — 2010-01-14T11:58:00Z

à Octopuce, on aime les bons outils libres, puissants, fiables, et ingénieux.

Varnish, le logiciel de serveur mandataire (proxy) pour gros sites web, fait partie de ces outils.

Récemment, nous avons du, pour un client disposant de 4 serveurs web et d'un frontal sous Varnish, faire passer certaines pages sur un serveur web en particulier.

Jusque là, rien de bien compliqué. Nous avions défini nos serveurs web sous forme de backends dans la configuration de Varnish, et définit un répartiteur de charge, qui prenait les pages à servir :


 backend web5 {
 .host = "10.0.58.20"; .port = "80";
 .probe = {
 .request =
 "GET / HTTP/1.1"
 "Host: www.monsite.fr"
 "Connection: close";
 .timeout = 6s; .interval = 20s; .window = 8; .threshold = 3;
 }
 }
 ...
 puis
 director lb random {
 .retries = 5;
 { .backend = web5; .weight = 7; }
 { .backend = web4; .weight = 7; }
 { .backend = web3; .weight = 7; }
 ...
 }

Ensuite, dans vcl_recv, nous signifions que le backend par défaut était le load-balancer nommé "lb", et nous pouvions donner les cas particuliers, qui passeraient par exemple par le serveur web5 :


 sub vcl_recv {
 ...
 set req.backend=lb;
 if (req.request == "GET" && req.url ~ "^\/files\/") {
 set req.backend = web5;
 }

Failover avec Varnish, howto ...

Seul problème : si web5 plante, nous nous retrouvons à ne plus pouvoir servir les urls commençant par /files/. Dans ce cas, il faut trouver une solution.

Comme nous n'aimons pas les SPOF (Single Point Of Failure, les endroits critiques dans les infrastructures web) nous avons, sur web4, une copie des données du /files/ de web5. Aussi, en cas de panne de web5, il faudrait passer en mode de secours sur web4.

Ce mode dit "de secours" (ou failover en anglais) peut être obtenu assez facilement avec Varnish grâce à sa directive restarts comme suit :


 sub vcl_recv {
 ...
 if (req.request == "GET" && req.url ~ "^\/files\/") {
 set req.backend = web5;
 if (req.restarts == 1 || !req.backend.healthy) {
 set req.backend = web4;
 }
 }
 }
 
 
 sub vcl_fetch {
 # Si un serveur est HS, on reessaye sur un autre backend : 
 if (obj.status != 200 && obj.status != 403 && obj.status != 404 &&
 obj.status != 302 && obj.status != 304 
 ) {
 restart;
 }
 }

Rechargement de configuration de Varnish à chaud

et voilà. Il ne reste plus qu'à recharger la configuration de Varnish (à chaud s'il vous plait !) et à la mettre en production :


 varnishadm -T 127.0.0.1:6082 vcl.load prod20100114_2 /etc/varnish/default.vcl 
 varnishadm -T 127.0.0.1:6082 vcl.use prod20100114_2

Comment changer un disque SATA à chaud sous Linux ?

Benjamin Sonntag — 2010-01-08T18:35:19Z

Ah ! Le fameux "hotplug" ou "changement à chaud" !

Un des marronniers du monde des administrateurs système. Lorsque l'on achète une baie de disque toute faite ou des système prévus pour (comme des cartes raid 3Ware ou Adaptec), on peut assez facilement changer un disque dur défectueux sans rebooter le serveur : le constructeur vous fournit les outils en ligne de commande ou en environnement graphique qui vous permettent de faire cela facilement.

Toutefois, sur de petits serveurs, on n'a pas toujours une carte raid sous la main, mais juste 2 à 4 disques SATA sur le bus interne de la machine.

La question du jour est donc :

Comment changer un disque dur SATA sur un serveur sans le redémarrer ?

Tout d'abord, il y a quelques prérequis :

un noyau Linux récent (2.6.18 minimum, nous conseillons de toute manière d'être au moins au 2.6.26, qui n'a rien de vraiment récent par ailleurs ;) ) Pour savoir quel noyau vous avez, tapez uname -a

Une carte SATA configurée en mode AHCI, et pas en mode de compatibilité IDE : sans cela, le hotplug a de grande chances de ne pas marcher du tout. Cela se configure en général dans le BIOS de votre carte mère, puisque l'on parle ici de bus SATA intégré. Si vous avez une carte SATA PCI, elle dispose assurément d'un BIOS auquel vous pouvez généralement accéder via un autre raccourcis clavier affiché avant le boot et après le chargement du bios de la carte mère.

TESTEZ : la procédure que je décris ici fonctionne sur 100% de mes SATA Supermicro compatibles AHCI, mais pas du tout sur ma carte mère Asus au bureau, donc méfiance : testez votre carte mère pour savoir si cela fonctionne, il serait dommage, en voulant changer un disque sans rebooter, de planter totalement le serveur, au risque de perdre des données (d'autant que lorsque l'on change un disque, c'est en général que l'on a un RAID dégradé ...)

Utilisez un rack ou un serveur tour avec des chariots de disque hotplug : ces chariots sont en général équipés d'un verrou ou d'une trappe pour bloquer le disque en place, et leur fabrication assure que les contacts se passeront dans le bon sens, sans court-circuit ni masse faible (SATA est bien fait pour ça d'ailleurs ...)


Pas hotplug !	Hotplug !

Enlever un disque dur à chaud

Tout d'abord, si votre ancien disque dur est encore reconnu, même partiellement, il faut idéalement signaler au système que vous allez l'enlever

Pour cela, rendez-vous en console, en tant que root, sur le serveur, dans /sys/class/scsi_host/host0 (ou un autre numéro en fonction de l'emplacement du disque dans votre chaine SATA...)


 ls -ahl /sys/class/scsi_host/host0/device/target0:0:0/0:0:0:0

on lit entre autre :


 --w------- 1 root root 4,0K jan 8 19:05 delete

Ce fichier permet (en écrivant dedans, d'où le "w" laconique) de signaler la suppression d'un disque. On procède donc ainsi :


 echo "1" >/sys/class/scsi_host/host0/device/target0:0:0/0:0:0:0/delete

en regardant vos messages noyaux (typiquement via tail -f /var/log/kern.log ) vous devez voir que Linux supprime le disque et ses partitions.

Insérer le nouveau disque

Pour insérer le nouveau disque, on s'adresse non plus au disque lui-même dans /sys, mais au bus SCSI (c'est un nom historique, en fait qu'il s'agisse de scsi, sas ou sata, linux se comporte pareil ...) directemenet.


 echo "- - -" >/sys/class/scsi_host/host0/scan

Un peu d'explication : les 3 "-" sont en fait normalement les numéro de bus de channel et de lun qui doivent être scannés. Ces numéros viennent du monde SCSI où l'on pouvait avoir plusieurs périphériques par canal. Ainsi, on pouvait rescanner un seul canal ou un seul lun en faisant :


 echo "1 3 2" >/sys/class/scsi_host/host0/scan

pour rescanne le bus 1 channel 3 lun 2 de l'hôte 0...

En SATA c'est bien souvent inutilisé, donc nous utilisons "- - -" qui demande ... de tout rescanner ...

Si vous avez bien inséré un nouveau disque, le kernel log vous le détecte donc magiquement :


 Jan 1 20:08:14 kepo kernel: [6705174.364356] ata1: hard resetting link
 Jan 1 20:08:14 kepo kernel: [6705174.850884] ata1: SATA link up 1.5 Gbps (SStatus 113 SControl 300)
 Jan 1 20:08:14 kepo kernel: [6705174.882894] ata1.00: configured for UDMA/133
 Jan 1 20:08:14 kepo kernel: [6705174.882894] ata1: EH complete
 Jan 1 20:08:14 kepo kernel: [6705174.882894] sd 0:0:0:0: [sda] 976773168 512-byte hardware sectors (500108 MB)

Note : Si vous ne signalez pas le retrait de l'ancien disque, le noyau pourra s'en rendre compte lorsque vous scannerez le nouveau, mais nous ne conseillons pas cela :


 Jan 1 20:15:13 kepo kernel: [6705718.410939] ata2.00: model number mismatch 'ST3500320AS' != 'ST3500820AS'
 Jan 1 20:15:13 kepo kernel: [6705718.410971] ata2.00: revalidation failed (errno=-19)
 Jan 1 20:15:13 kepo kernel: [6705718.411001] ata2.00: disabled
 Jan 1 20:15:14 kepo kernel: [6705718.933458] ata2: hard resetting link

Attention aux fausses factures de nom de domaine !

Chantal Bernard-Putz — 2010-01-07T11:03:53Z

Plusieurs de nos clients nous on signalé l'arrivée par courrier postal, à leur nom, de factures émanant de Domain Registry of America pour leur nom de domaine.
Nos clients étant des gens avisés ils nous ont prévenus et on mis à la corbeille le courrier susdit !

Voici un exemple d'en-tête d'une fausse facture :

Domain Registry of America n'est pas la seule société à tenter d'extorquer de l'argent aux internautes via des fausses factures, Network Mediagroup a beaucoup sévi également.

Si vous recevez une demande de renouvellement d'un de vos noms de domaine par une de ces sociétés ou toute société autre que celle de votre partenaire habituel, informez celui-ci et ne tenez pas compte du document en question.

Si vous êtes client d'Octopuce et que vous avez un doute sur la provenance d'une facture, n'hésitez pas à nous contacter.

Sécurité : choisir avec soin un mot de passe

Chantal Bernard-Putz — 2010-01-07T10:13:35Z

De nombreux internautes se retrouvent piégés : leur compte mail, leur espace d'hébergement est piraté !
La faute en revient dans 95 % des cas au choix du mot de passe trop faible et donc facilement identifiable.
L'essentiel n'est pas tellement d'en changer souvent mais de bien le choisir et de ne pas le divulguer !

Un mot de passe devrait toujours être un ensemble de caractères ne formant pas un mot existant, DANS QUELQUE LANGUE QUE CE SOIT !.

Par exemple, les prénoms sont absolument à bannir. Un bon mot de passe mélange chiffres, lettres majuscules et minuscules et caractères spéciaux.
Si « julie » est un très mauvais mot de passe, « ju-L-ie » devient un mot de passe acceptable !

Protégez vos mots de passe, ne les inscrivez pas en clair dans des documents susceptibles d'être consultés par d'autres personnes que par vous.
Et si vous souhaitez que votre navigateur en retienne certains, protégez les par un unique et vrai mot de passe général qui sera demandé à chaque nouvelle ouverture du navigateur (Firefox fait celà très bien). Attention, dans ce cas, pensez à bien fermer votre navigateur après utilisation !

N'utilisez pas le même mot de passe pour l'accès à vos comptes bancaires, par exemple, et pour l'inscription à des listes de discussion ou à des accès web qui vous envoient votre mot de passe en clair par mail en cas de perte.
Enfin si un mot de passe vous est imposé, et si vous en avez la possibilité, changez-le.

Octopuce consolide son réseau d'hébergement

Benjamin Sonntag — 2009-11-25T20:18:11Z

Dans le courant du mois de décembre, Octopuce va procéder à d'importantes mises à jour de son réseau IP.

Nous allons recentrer notre plateforme d'hébergement sur le site de Plessis-Robinson, et, par la même occasion, passer notre cœur de réseau en gigabit de bout en bout, ce qui nous permettra de garantir de meilleurs débits. Enfin, nous éliminerons les derniers points de non-redondance de notre réseau en doublant certains routeurs et certaines liaisons inter-site.

Ces opérations, qui ne devraient pas apporter de coupure particulière (la plupart de nos clients étant virtualisés, donc déplaçable d'un datacenter à l'autre de manière quasi transparente), seront confirmée auprès de nos clients dans le courant du mois de décembre.

En attendant début 2010 et l'arrivée de l'IPv6 natif à Octopuce ...

Bakchich.info sort un hebdo en kiosques !

Saïd Bouaïssi — 2009-09-23T12:31:33Z

Le journal satirique en ligne Bakchich.info, que nous hébergeons sur nos serveurs, étend sa toile hors du web et sort un hebdo papier. L'objectif est clairement annoncé :

L'écrit sauvera l'écran.

Nous souhaitons bonne chance à toute l'équipe pour cette re-naissance.

Jour J, Un nouveau canard… Dans les Baks ? Chiche !

Re-naissance / mercredi 23 septembre par La Rédaction

Bouclé, imprimé et distribué. Bakchich Hebdo n° 1 se déverse aujourd'hui dans les kiosques. Longue vie au fruit de trois ans de labeur !

Créé par trois godelureaux en mai 2006, entre des néons violets et des lavabos qui fuyaient, Bakchich débarque chez les kiosquiers. Trois ans à jouer les provocateurs, opposer les faits aux discours, apparaître là où on ne nous attend pas. Trois ans à mêler dans une même rédaction jeunes pisse-copie et expérimentés scribouillards, avec pour seul souci d'informer. Et chaque mois 800 000 internautes cliquent désormais sur Bakchich.info.

Depuis ce lancement acrobatique, l'équation financière a un brin changé. Nous avions fait le pari que les recettes publicitaires nous permettraient d'atteindre l'équilibre…La crise rend cet espoir illusoire pour longtemps. Autant explorer un support alternatif pour trouver d'autres lecteurs et d'autres recettes…L'écrit sauvera l'écran.

La suite sur http://www.bakchich.info/Jour-J-Un-...

Modifier le mot de passe d'un compte dotclear (temporairement)

Benjamin Sonntag — 2009-09-04T10:21:24Z

Parfois, nous devons intervenir sur les sites de nos clients pour des interventions en urgence (sécurité), ou tout simplement pour aider à configurer ou mettre à jour telle ou telle partie de leur site.

Le problème se pose souvent de pouvoir accéder à leur compte administrateur de CMS sans leur demander leur mot de passe ...

Par exemple pour dotclear 2, nous savons comment modifier temporairement le mot de passe du compte administrateur sans peine :

s'assurer d'avoir accès à la base mysql du dotclear (via phpmyadmin ou la ligne de commande mysql) et au serveur via ssh
sauvez dans un coin le hash (un truc qui ressemble à 46342011b4d7de918d53a6ae229e7da3894a66c2) du mot de passe actuel du compte concerné, issu de la table dc_user (en gros select * from dc_user where user_super=1 ;)
sur la machine hébergeant le blog, en vous positionnant à la racine du compte, lancez le code php suivant :


 php <enter>
 <?php 
 include("inc/clearbricks/common/lib.crypt.php");
 include("inc/config.php");
 echo crypt::hmac(DC_MASTER_KEY,'poipoi')."\n"; 
 ?>
 <Ctrl-D>

là il vous affiche le hash à mettre en base pour le mot de passe "poipoi" pour votre dotclear à vous.

modifiez donc en base le mot de passe pour l'utilisateur concerné par le hash que vous a retourné notre script (update dc_user set user_pwd='46342011b4d7de918d53a6ae229e7da3894a66c2' where user_id='monlogin' ;)
connectez-vous au blog
faites vos manipulations
remettez l'ancien hash pour l'utilisateur concerné, (update dc_user set user_pwd='e229e7da3894a66c246342011b4d7de918d53a6a' where user_id='monlogin' ;)
et voila !

GRAL : Gestion Réseau AlcooL, outil libre

Chantal Bernard-Putz — 2009-07-03T17:19:06Z

Une application pour la gestion de réseau médico-social

Réalisée pour un réseau médico-social d'accompagnement de personnes ayant un problème avec l'alcool, et en collaboration avec un médecin, cette application permet de suivre l'activité du réseau ainsi que l'évolution des états de dépendance des usagers dans le temps.

Une interface de gestion de l'application permet de la personnaliser (modules de soins, zones géographiques, spécialités professionnelles).

Une application sous licence libre

Elle est placée sous licence libre GNU GPL V3.

le code est librement téléchargeable à partir du site de présentation http://www.gral.eu.org/, Il est accompagné d'un version de démonstration (remise à son état initial chaque nuit) et d'une aide en ligne.

Une copie d'écran

Vous trouverez d'autres copies d'écran sur le site du GRAL. Ici nous vous proposons un extrait de copie d'écran concernant l'évaluation de la qualité de vie du patient accompagnée d'un graphique généré à la volée.