Comment devenir un parfait admin d’un Unix quand on est deja admin d’un autre UNIX et vice versa (AIX, DG/UX, FreeBSD, HP-UX, IRIX, Linux, Mac OS X, NCR Unix, NetBSD, OpenBSD, Reliant, SCO UnixWare, Solaris, SunOS 4, Tru64, Ultrix, UNICOS)
De Unix a Aix les commandes de base : Unix2Aix
De Solaris à Aix : Aide IBM
La pierre de Rosette des Unix : Rosetta stone for Unix
Suite à un expérience de lien vpn ipsec entre une linux box avec racoon et un firewall appliance avec un logiciel Chekpoint j’ai tiré la conclusion que :
Le Checkpoint initialisant une communication ipsec vérifie que son interlocuteur dispose des SA (régles d’association de sécurité) pour les deux sens. Même si un seul est utilisé. Une linux box avec Racoon n’a pas besoin de cela quant elle initialise une communication, seul le SA du sens de connexion est utile.
Ainsi dans la cas d’un vpn de télémaintenance pure. Vous initialisé une communication en direction de votre client. Votre linux box ouvre le tunnel vpn en dialoguant avec son interlocuteur Checkpoint. Dans ce cas Raconn n’a besoin que de la règle de SA correspondant au sens du flux (unidirectionnel). Dans le cas inverse, depuis le Checkpoint vers la linux box, le checkpoint a besoin des deux régles de SA correspondant au deux sens du flux (comme en bidirectionnel), même si l’ouverture du tunnel ne nécessite logiquement qu’un (flux unidirectionnel).
Avec clé partagé /etc/racoon/psk.conf
Client (avec Checkpoint) <-> Linux Box (avec raccon)
spdadd 192.168.1.0/24 10.100.1.0/24 any -P in ipsec esp/tunnel/ipcheckpoint-iplinuxbox/require; spdadd 10.100.1.0/24 192.168.1.0/24 any -P out ipsec esp/tunnel/iplinuxbox-ipcheckpoint/require;
Pour une télémaintenance unidirectionnel depuis la linux box racoon
#!/usr/sbin/setkey -f # NOTE: Do not use this file if you use racoon with racoon-tool # utility. racoon-tool will setup SAs and SPDs automatically using # /etc/racoon/racoon-tool.conf configuration. # ## Flush the SAD and SPD # flush; spdflush; remote ipcheckpoint { exchange_mode main; passive off; proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key; dh_group 2; } } sainfo address 10.100.1.0/24 any address 192.168.1.0/25 any { pfs_group 2; lifetime time 3600 secs; encryption_algorithm 3des; authentication_algorithm hmac_sha1; compression_algorithm deflate; }
Pour une télémaintenance unidirectionnel depuis checkpoint
#!/usr/sbin/setkey -f # NOTE: Do not use this file if you use racoon with racoon-tool # utility. racoon-tool will setup SAs and SPDs automatically using # /etc/racoon/racoon-tool.conf configuration. # ## Flush the SAD and SPD # flush; spdflush; remote ipcheckpoint { exchange_mode main; passive off; proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key; dh_group 2; } } sainfo address 10.100.1.0/24 any address 192.168.1.0/25 any { pfs_group 2; lifetime time 3600 secs; encryption_algorithm 3des; authentication_algorithm hmac_sha1; compression_algorithm deflate; } sainfo address 192.168.1.0/25 any 10.100.1.0/24 address any { pfs_group 2; lifetime time 3600 secs; encryption_algorithm 3des; authentication_algorithm hmac_sha1; compression_algorithm deflate; }
Beaucoup d’adminitrateurs oublient l’ordre des champs de crontab. Pour avoir simplement sous la mains la syntaxe cron, copier coller ceci dans votre fichier crontab :
#minute (0-59)
#| hour (0-23),
#| | day of the month (1-31),
#| | | month of the year (1-12),
#| | | | day of the week (0-6 with 0=Sunday).
#| | | | | commands
0 9 * * * /usr/bin/café
0 */1 * * * /usr/sbin/cirgarette
L’exemple commanté ici lance la commande café chaque jour de l’année à exactement 9h00, puis la commande cigarette à chaque heure tout les jours de l’année.
Tutoriel : Mettre en place du channel bonding
Date de publication : 13/09/2005
Par Sylvain Luce (Katyucha)
Adaptation mise à jour Karlesnine
Le Channel bonding, aussi appelé Port trucking, permet d’appliquer une série de politiques prédéfinies sur un ensemble de liens réseaux regroupés en un seul. Ce groupe d’interfaces réseaux vous donne la possibilité d’effectuer du load-balancing et surtout de la tolérance aux pannes. 7 modes de fonctionnements sont disponibles pour vous permettre d’allier nécessité et flexibilité. Nous allons étudier à travers cet article les possibilités offertes et leurs mises en application
Deux prérequis apparaissent au niveau du switch réseau, où sont connectés les interfaces : 
support et configuration du mode « port truking » sur les ports utilisés support de la norme IEEE 802.3ad
Pour votre système linux, il vous faut : Des cartes réseaux (compatibles ethtools et miitools de préférences).
Module bonding pour le kernel.
Kernel 2.4.x
[*] Network device support
<M> Bonding driver support
Kernel 2.6.x
[*] Networking support
<M> Bonding driver support
Le driver bonding est capable de ne passer que sur une seule interface si un câble se débranche. Sachant que les pannes sur un serveur sont le plus souvent matérielles, cela permet une haute disponibilité. A noter deux petits outils permettant d’interroger les registres ETHTOOL et MII des cartes réseaux. Les outils sont donc mii-tool (issu du package net-tools) et ethtool. Toutes les interfaces ne supportent pas ces registres, dans ce cas on ne peut pas détecter la déconnexion (en fait il existe une solution en utilisant les requêtes ARP mais ça ne rentre pas dans ce cadre). Pour utiliser cette fonction du bonding il faut utiliser des modes tel que active-backup, pour plus d’info lisez la doc 
.
MII
mii-tool eth0
eth0: negotiated 100baseTx-FD, link ok
mii-tool eth1
eth1: negotiated 100baseTx-FD flow-control, link ok
Ethtool
Avec la carte dual Interl pro :
ethtool eth2
Settings for eth2:
Supported ports: TP MII
Supported link modes: 10baseT/Half 10baseT/Full
100baseT/Half 100baseT/Full
Supports auto-negotiation: Yes
Advertised link modes: 10baseT/Half 10baseT/Full
100baseT/Half 100baseT/Full
Advertised auto-negotiation: Yes
Speed: 100Mb/s
Duplex: Full
Port: Twisted Pair
PHYAD: 1
Transceiver: internal
Auto-negotiation: on
Supports Wake-on: pg
Wake-on: d
Link detected: yes
Avec la carte 3Com, ça ne fonctionne pas
ethtool eth0
Settings for eth0:
No data available
Nous allons voir dans ce chapitre les différents modes proposés par le module bonding.
2.3.0. Mode 0, l’équilibrage de charge
Grâce l’équilibrage de charge, les paquets transitent sur une carte réseau active, puis sur une autre, séquentiellement. Le débit de la bande passante est augmenté. Si une des cartes réseaux vient à tomber en rade, l’équilibre de charge saute cette carte et continue à tourner de manière cyclique.
2.3.1. Mode 1, la sauvegarde active
Ce mode est une simple redondance avec basculement. Une seule interface est active. Dès que sa panne est détectée, une autre interface est activée et prend le relais. Votre bande passante ne change pas.
2.3.2. Mode 2, la balance Xor
Une interface est affectée à l’envoi vers une même adresse MAC. Ainsi les transferts sont parallélisés et le choix de l’interface suit la règle : (Adresse MAC de la source XOR Adresse MAC de la destination) modulo nombre d’interfaces.
2.3.3. Mode 3, le broadcast
Aucune particularité dans ce cas, toutes les données sont transmises sur toutes les interfaces actives. Aucune autre règle.
2.3.4. Mode 4, la norme 802.3ad
La norme 802.3ad permet l’aggrégation des liens, élargissant dynamiquement la bande passante. Les groupes sont créés dynamiquement sur la base d’un paramètrage commun.
2.3.5. Mode 5, la balance TLB
« TLB » pour Traffic Load Balancing Le trafic sortant est distribué selon la charge courante (calculée relativement à la vitesse) de chaque interface. Le trafic entrant est reçu par l’interface courante. Si l’interface de réception devient inactive, une autre interface prend l’adresse MAC de l’interface inactive.
2.3.6. Mode 6, la balance ALB
« ALB » pour Adaptive load balancing. C’est un mode étendu de la balance tlb, qui inclut du load balancing en réception. L’équilibrage de charge de réception est réalisé au niveau des réponses ARP. Le module intercepte les réponses ARP et change l’adresse MAC par celle d’une des interfaces.
2.4.1. Présentation par un script
ATTENTION j’utilise le mode0 ! Ceci n’est possible que si chaque unterface est sur une switch différent, si non gare à la duplication de paquet.
voyons un script minimal :
#!/bin/bash
#Chargement du module bonding.
modprobe bonding mode=0 miimon=100
# On ferme les deux interfaces ethernet
ifconfig eth0 down
ifconfig eth1 down
# On crée une interface bond0, qui recoit une adresse Mac bidon (cela va changer)
ifconfig bond0
# On lance l'interface, comme s'il s'agit d'une interface ethernet
ifconfig bond0 192.168.0.4 netmask 255.255.255.0
# On ajoute les interfaces à bond0
ifenslave bond0 eth0
ifenslave bond0 eth1
Voyons de plus près :
Chargement du module
Deux options ont été inclues ici : mode (load balancing round-robin) et miimon (Fréquence de surveillance des interfaces)
Il est possible de mettre dans le fichier /etc/modules.conf le chargement du module bonding.
alias bond0 bonding
options bond0 mode=0 miimon=100
Ce premier exemple montre le cas d’un seul bonding. Il est en effet possible de mettre plusieurs bonding avec des modes différents.
Pour cela modifions le /etc/modules.conf en conséquence :
alias bond0 bonding
options bond0 -o bond0 mode=2 miimon=100
alias bond1 bonding
options bond1 -o bond1 mode=1 miimon=100 primary=eth1
Ajout des interfaces dans bond0
La commande ifenslave nous permet d’ajouter à bond0 les interfaces ethernet (appelées alors interfaces esclaves). Lors de l’ajout de la première interface réseau dans bond0, ce dernier prend l’adresse MAC de cette interface. Les autres interfaces perdent alors leurs adresses MAC, recouvertes par celle de l’interface bond0.
Pour enlever une interface, il suffit de lancer la commande :
ifenslave -d bondx ethx
Le module bonding redonne alors à ethX sa vraie adresse MAC. Si on enlève la première adresse MAC (celle utilisée par bond0), alors bond0 récupère celle de eth1.
Pour vérifier notre bonding
cat /proc/net/bonding/bond0
Ethernet Channel Bonding Driver: v2.5.0 (December 1, 2003)
Bonding Mode: load balancing (round-robin)
MII Status: up
MII Polling Interval (ms): 0
Up Delay (ms): 0
Down Delay (ms): 0
Slave Interface: eth0
MII Status: up
Link Failure Count: 0
Slave Interface: eth1
MII Status: up
Link Failure Count: 0
2.4.2. Fichiers de configuration automatique
Voici les fichiers à modifier pour charger au démarage votre configuration rajoutez dans /etc/modules.conf
alias bond0 bonding
options bond0 mode=0 miimon=100
Sous Red-Hat Linux 3.2.3-53 / Suse (A adapter)
Dans /etc/sysconfig/network/network-script/, créé ifcfg-bond0 :
/etc/sysconfig/network/network-script/fcfg-bond0
Saisir
ONBOOT=yes
DEVICE=bond0
BOOTPROTO=static
IPADDR=192.168.0.4
NETMASK=255.255.255.0
BROADCAST=192.168.0.255
GATEWAY=192.168.0.254
Préparez chaque interface réseau ethX
/etc/sysconfig/network/network-script/ifcfg-eth0
ONBOOT=yes
DEVICE=eth0
MASTER=bond0
SLAVE=yes
POST_UP_SCRIPT=ifeneeth0
/etc/sysconfig/network/network-script/ifcfg-eth1
ONBOOT=yes
DEVICE=eth1
MASTER=bond0
SLAVE=yes
POST_UP_SCRIPT=ifeneeth1
Il ne manque que les scripts toujours dans /etc/sysconfig/network/network-script/
/etc/sysconfig/network/network-script/ifeneeth0
#!/bin/sh
ifenslave bond0 eth0
/etc/sysconfig/network/network-script/ifeneeth1
#!/bin/sh
ifenslave bond0 eth1
ATTENTION faire un chmod +x ifeneeth* pour rendre ces scripts executable.
Sous debian /etc/network/interfaces
auto eth0
auto eth1
auto bond0
iface bond0 inet static
address 192.168.0.1
network 255.255.255.0
gateway 192.168.0.254
up /sbin/ifenslave bond0 eth0 eth1
Voici donc une série d’options pour le module bonding qui permet d’ajuster finement le fonctionnement de votre bonding.
| Option | Description |
| Primary | Uniquement pour active-backup. Favorise une interface esclave. Celle-ci redeviendra active dès qu’elle le peut, même si une autre interface est active. |
| updelay | (0 par défaut) Temps de latence entre la découverte de la reconnexion d’une interface et de sa ré-utilisation. |
| downdelay | (0 par défaut) Temps de latence entre la découverte de la déconnexion d’une interface et de sa désactivation de bond0. |
| miimon | (0 par défaut) Fréquence de surveillance des interfaces par Mii ou ethtool. La valeur conseillée est 100. |
| use_carrier | (1 par défaut) Utilisation de la surveillance des interfaces par « carrier ». |
| arp_interval | (en ms) Système de surveillance par ARP, évitant l’utilisation de miitool et ethtool. Si aucune trame est arrivée pendant l’arp_interval, on envoie par cette interface jusqu’à 16 requêtes ARP à 16 adresses IP. Si aucune réponse n’est obtenue, l’interface est désactivée. |
| arp_ip_target | Liste des adresses IP, séparées par une virgule, utilisée par la surveillance ARP. Si aucune n’est renseignée, la surveillance ARP est inactive |
Une simple redondance avec priorité sur eth1
#!/bin/bash
modprobe bonding -o bond0 mode=1 miimon=100 priority=eth1
ifconfig eth0 down
ifconfig eth1 down
ifconfig bond0
ifconfig bond0 192.168.0.4 netmask 255.255.255.0
ifenslave bond0 eth0
ifenslave bond0 eth1
Un équilibrage de charge avec vérification par requêtes ARP
#!/bin/bash
modprobe bonding -o bond1 mode=0 arp_interval=1000 arp_ip_target=216.239.57.104
ifconfig eth0 down
ifconfig eth1 down
ifconfig eth2 down
ifconfig bond1
ifconfig bond1 192.168.1.5 netmask 255.255.255.0
ifenslave bond1 eth0
ifenslave bond1 eth1
ifenslave bond1 eth2
Les différents modes proposés par le module bonding.
| Mode | Description | Load-Balancing |
| 0 | l’équilibrage de charges | entrante |
| 1 | la sauvegarde active | aucune |
| 2 | la balance Xor | entrante |
| 3 | le broadcast | aucune |
| 4 | la norme 802.3ad | aucune |
| 5 | la balance TLB | entrante |
| 6 | la balance ALB | entrante et sortante |
La redondance des cartes réseaux est souvent perçue comme inutile et couteuse malgré une installation simple. Avec ces 7 modes de fonctionnements, vous avez la possibilité d’obtenir une interface réseau haute disponibilité, répondant même à des besoins précis pour le load-balancing. Alors pourquoi s’en priver ?
RedHat RHEL4
Doc original
Nemako.net
Elionet.org pour Suse
Pb des ping DUP
Linux Ethernet Bonding Driver HOWTO
A partir d’un serveur de référence installer un autre serveur avec exactement les mêmes paquets (et donc service) rapidement.
Extraire la liste des paquets utilisés sur le serveur de référence
dpkg --get-selections '*' > mes_paquets.txt
L’utilisation dpkg —get-selections ‘*’ en lieu et place de dpkg —get-selections de te permet de prendre en compte l’état de tous les paquets disponibles, et pas uniquement ceux installés. Ceci affine encore davantage les similarités entre les deux installations. (Merci Gui)
Puis à partir de cette liste de paquet tout réinstaller.
dpkg --set-selections < mes_paquets.txt
apt-get update
apt-get dselect-upgrade
apt-get dist-upgrade
apt-get upgrade