Désolé - soit cet article n'existe pas, soit vous n'avez pas l'autorisation requise pour l'afficher.
Base de connaissances

Bonjour,

 Les Aquelia utilisent en frontal un proxy qui protège apache des attaques basiques et gère le SSL/TLS. Si vous désirez rediriger toutes les demandes vers du https voici ce que vous devez utiliser dans vos .htaccess:


<ifModule mod_rewrite.c>
    RewriteEngine On
    # empeche de perturber letsencrypt
    RewriteRule ^.well-known/ - [L,NC]
    # force le https
    RewriteCond %{HTTP:X-Forwarded-Proto} !https
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

A affiner suivant vos besoins.

Vous pouvez aussi ajouter a apache la config suivante si haproxy est devant:


<IfModule mod_setenvif.c>
        SetEnvIf X-Forwarded-Proto "https" HTTPS=on
</IfModule>

Cordialement,

AQUEOS.

Bonjour,

Letsencrypt necessite un accès en http sur un répertoire de votre site qui est .well-known, si vos rewrite et redirection perturbent cette url il ne parviendra pas a créer et renouveller les certificats. Pensez a ajouter

    # empeche de perturber letsencrypt
    RewriteRule ^.well-known/ - [L,NC]


dans vos htaccess pour éviter les ennuis. Par exemple :


<ifModule mod_rewrite.c>
    RewriteEngine On
    # empeche de perturber letsencrypt
    RewriteRule ^.well-known/ - [L,NC]
    # force le https, decommentez les deux lignes suivante si besoin
    #RewriteCond %{HTTP:X-Forwarded-Proto} !https
    #RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

A affiner suivant vos besoins.


Cordialement,

AQUEOS.

Bonjour,

 Si vous disposez d'un contrat de surveillance AQUEOS il vous faut ouvrir le firewall de façon a laisser notre système accéder au votre. Pour ceci il faut autoriser :
 
 - le serveur de monitoring a se connecter a l'agent de surveillance:
 
Depuis:            monitoring.aqueos.net  ( si votre firewall ne supporte pas les noms de domaine l'ip est 94.125.164.127 )
vers :               structure a surveiller, donc ip du serveur ou masque de réseau complet si il y a plusieurs machines
protocol:           tcp
port:                10050,10052
                        ( en cas d'installation virtualisée le 10050 concerne le host et 10052 le guest, si il y a plusieurs guest par serveur nous consulter pour la liste complète)
policy:               ACCEPT
commentaire:     monitoring aqueos vers la structure
ex. iptables:       iptables -I INPUT -s monitoring.aqueos.net -p tcp --dport 10050,10052 -j ACCEPT




  - vos machine a répondre
 
Depuis:            structure a surveiller, donc ip du serveur ou masque de réseau complet si il y a plusieurs machines
vers :               monitoring.aqueos.net  ( si votre firewall ne supporte pas les noms de domaine l'ip est 94.125.164.127 )
protocol:           tcp
port:                10051
policy:              ACCEPT
commentaire:    de la structure vers monitoring aqueos
ex. iptables:      iptables -I OUTPUT -d monitoring.aqueos.net -p tcp --dport 10051 -j ACCEPT

 

 Bien sur il faut aussi ouvrir les ports vers les services qui sont surveillés en plus de l'agent . Ainsi, si vous désirez surveiller le ftp il vous faut ouvrir le port 21:
 
Depuis:        monitoring.aqueos.net  ( si votre firewall ne supporte pas les noms de domaine l'ip est 94.125.164.127 )
vers :           structure a surveiller, donc ip du serveur ou masque de réseau complet si il y a plusieurs machines ayant un service FTP
protocol:       tcp
port:            21
policy:          ACCEPT
ex. iptables:  iptables -I INPUT -s monitoring.aqueos.net -p tcp --dport 21 -j ACCEPT



  En ce qui concerne le monitoring pro SMS la liste des ip a autoriser est la suivante :
 
Nuremberg     213.133.109.71
Berlin             81.169.152.104
Hamburg        212.72.183.125
Munich           193.164.132.46
Frankfurt        46.167.171.29
Berlin 2          85.214.55.236
Strasbourg     62.75.152.240
   
New York     66.199.224.254
Dallas          206.123.75.177
Atlanta        65.254.53.199
San Diego    206.225.93.134
   
Tokyo              106.187.100.10
Auckland          103.6.212.237
Kuala Lumpur   111.90.152.209


 Le cluster de machine évoluant ces Ip peuvent changer au cour du temps.
 La surveillance s'effectue depuis une zone, généralement nous utilisons la zone spéciale qui englobe europe/USA donc inutile d'autoriser les 3 derniers.
 Il est possible de limiter a l'un des trois cluster de surveillance uniquement ( Europe / USA / Asie ).
 
 
 Un exemple de règle pour le ftp serait alors:
 
Depuis:        213.133.109.71, 81.169.152.104, 212.72.183.125, 193.164.132.46, 46.167.171.29, 85.214.55.236, 62.75.152.240, 66.199.224.254, 206.123.75.177, 65.254.53.199, 206.225.93.134
vers :           structure a surveiller, donc ip du serveur ou masque de réseau complet si il y a plusieurs machines ayant un service FTP
protocol:       tcp
port:            21
policy:          ACCEPT



   Sur les formules Aquelia et dédiés la configuration du compte email est indiquée ci dessous. Nous utilisons le nom du serveur et non pas le nom de domaine de votre client car le certificat SSL présent sur le SMTP est généralement celui portant ce nom. Si vous avez modifié la configuration pour mettre un autre certificat vous pouvez utiliser autre nom de domaine pointant sur la machine , toutefois, pour etre tranquille, il est plus simple d'utiliser par défaut le nom du serveur comme xxx.aquelia.net ou xxx.aqserver.com.

  Pour la réception en IMAPS:

Serveur:  nom du serveur,
    ex xxx.aquelia.net

Port : 993,
    le port 993 est le port "IMAPS", donc imap sécurisé.

Cocher TLS/SSL


Login ou identifiant:  Identifiant de l'utilisateur
   Généralement  de la forme user.site, ce n'est pas l’émail.

Mot de passe:  Celui renseigné lors de la création du compte


  Pour la réception en POPS:

  Si vous préférez le pop a la place de l'imap:

Serveur:  nom du serveur,
    ex xxx.aquelia.net

Port : 995,
    le port 995 est le port "POP3S", donc pop3 sécurisé.

Cocher TLS/SSL


Login ou identifiant:  Identifiant de l'utilisateur
   Généralement  de la forme user.site, ce n'est pas l'email.

Mot de passe:  Celui renseigné lors de la création du compte



  Pour l'envoi des email, le smtp donc vous devez utiliser:


Serveur:  nom du serveur,
    ex xxx.aquelia.net

Port : 587,
    le port 587 est le port "submission" standard. Le vieux port 25 n'est plus utilisé pour l'envoi d’émail depuis 10ans

Cocher TLS/SSL (startTLS, tls explicite)

Mot de passe et login:  Utiliser les meme que pour le pop et l'imap


  Voila les informations qu'il vous faudra posséder pour configurer un compte.


La confirmation de certificat Geotrust est en anglais et viens de l'email sslorders@geotrust.com, le lien a cliqué est de la forme:

 https://products.geotrust.com/orders/A.do?p=xxxxxxxxxxxxxxxxx

xxxxxxxxxxxxxxx étant l'id de la commande, il suffit de cliquer sur le lien puis de valider.

Les adresses qui peuvent recevoir cet email sont:

admin@yourdomain.com,
administrator@yourdomain.com,
hostmaster@yourdomain.com,
postmaster@yourdomain.com,
ou
webmaster@yourdomain.com


un d'elle au choix, vous pouvez soit vérifier celle-ci pour l'arrivée de l'email, soit rediriger vers ssl@aqueos.com afin que nous prenions tout en charge.

Nous conseillons admin@xxxx car c'est le plus standard et utilisé par nos clients.

Bonjour,


  Comme vous le savez sûrement le php dispose de nouveaux mécanisme de cache avec les versions récentes, certains comme l'opcache ne fonctionnent plus comme apc en se basant sur l'inode du fichier mais sur son chemin.

  Si vous utilisez un outils de déploiement qui change les fichiers par le moyen de liens symboliques vous risquez de voir votre ancienne version alors meme que le site a été modifié car le php garde en cache les informations.
  Voici un petit script vous permettant lors du déploiement de vider le cache de chemin et l'opcache:

#!/bin/bash
# $1 = nom de domaine en normal ou IDNA (pas utf8 ou accent)
# $2 = docroot
# appel:  resetcache.sh "mondomaine.com" "/var/ici//la/public_html/current"
# ne pas oublier les guillemets pour eviter les soucis en cas d'espace typo et autre
# on met le fichier dans le docroot pour ne pas complexifier la creation de l'url
if [[ "$1" == "-h" ]]; then
        echo 'arg1 => domaine en ascii, arg2 => chemin ou est cree le fichier (docroot)';
fi

# filtrage du domaine
#DOMAINE=${1//[^a-zA-Z0-9_\.\-]/}};  a-z inclus les accents donc....
DOMAINE=${1//[^[:digit:]abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_\.\-]/};

# si docroot existe et est un repertoire et que $2 n'est pas vide
if [[ -d "${2}/" && -n $2 ]]; then
        # on genere un fichier vide dans le docroot de façon propre et "secure"
        RANDOM_NAME=$(mktemp -q --tmpdir="${2}" --suffix=".php" resetXXXXXXXXXXXXXXXXXX );
        # si fichier temporaire existe et est vide
        if [[ -e "${RANDOM_NAME}" && ! -s "${RANDOM_NAME}" ]]; then
                echo "<?php opcache_reset();clearstatcache (true); ?>" > "${RANDOM_NAME}";
                # on prend le nom du fichier sans le chemin
                CHEMINHTTP=$(basename "${RANDOM_NAME}");
                # curl sur ip externe et non pas localhost car haproxy n'ecoute pas sur localhost
                # on utilise le header pour pouvoir flush meme si le domaine ne pointe pas encore
                curl -s -H "Host: ${DOMAINE}" "http://$(hostname -f)/${CHEMINHTTP}" > /dev/null;
                rm "${RANDOM_NAME}";
        else
                echo "echec de mktemp"
        fi
else
        echo "manque le chemin ou chemin invalide";
fi


  En espérant que cela vous aidera. N'hésitez pas a nous contacter si vous y apportez des améliorations.

Cordialement,
AQUOES.

 

Curieusement le php est plus efficace que le shell pour vider un répertoire plein de millions de fichiers:

<?php
//le repertoire
$dir = '/var/tmp/phpsession.old';


$dh = opendir($dir);
$fc=0;
while ( ($file = readdir($dh)) !== false) {
        echo $dir.'/'.$file." - $fc \n";

        // eventuel filtrage pour etre prudent
        if( substr($file, 0,5) == 'sess_' ){
                unlink($dir.'/'.$file);
        }else{
                echo "skip $file\n";
        }


        // tous les 100 fichiers pause pour ne pas tuer le serveur
        if( is_int($fc/100)){
                echo "--- sleep\n";
                sleep(2);
        }

        $fc++;
}
closedir($dh);
echo "\n## $fc ##\n";
?>

 

si vous etes sous linux et avez moins de contraintes vous pouvez aussi lancer une commande d'effacement sous ionice:

 

ionice -c3 rm -Rf /var/ici/cache

 

ionice -c3 demande a ne laisser la commande travailler qu'avec la plus basse des priorités au niveau disque c'est plus violent que le script php qui pause et qui contrôle le nom du fichier mais aussi plus rapide a mettre en place et peut convenir en cas d'arborescence assez profonde.

 

J'ai testé avec succès les deux méthode sur plusieurs millions de fichiers.

voila !

<?php

/*

 * Smarty plugin

 * -------------------------------------------------------------

 * File:     function.aqssl_info.php

 * Type:     aqssl_info

 * Name:     aqssl_info

 * Purpose:  function les info du certificat

 * -------------------------------------------------------------

 */

function smarty_function_aqssl_info($params, Smarty_Internal_Template $template)

{

        $orignal_parse = parse_url('https://'.$params['domaine'], PHP_URL_HOST);

        $get = stream_context_create(array("ssl" => array("capture_peer_cert" => TRUE)));

        $read = stream_socket_client("ssl://".$orignal_parse.":443", $errno, $errstr, 30, STREAM_CLIENT_CONNECT, $get);

        $cert = stream_context_get_params($read);

        $certinfo = openssl_x509_parse($cert['options']['ssl']['peer_certificate']);

        setlocale (LC_TIME, 'fr_FR.utf8','fra');

        $expirele = strftime("%A %d %B %Y",strtotime(date(DATE_RFC2822,$certinfo['validTo_time_t'])));

        if( $params['info'] == 'date' ){

                $retour = $expirele;

        } else {

                $retour  = '<p> Origine du certificat: '.$certinfo['issuer']['O'].'/'.$certinfo['issuer']['CN']."\n";

                $retour .= '<br\> Domaine principal: '.$certinfo['subject']['CN']."\n";

                $retour .= '<br\> Domaines alternatifs: '.$certinfo['extensions']['subjectAltName']."\n";

                $retour .= '<br\> Valide depuis: '.strftime("%A %d %B %Y",strtotime(date(DATE_RFC2822,$certinfo['validFrom_time_t'])))."\n";

                $retour .= '<br\> Valide jusqu\'a: '.$expirele."\n";

                $retour .= '</p>';

        }

    return $retour;

}

?>
Bonjour,

J'ai eu beaucoup de difficultés pour mettre à jour les Drac Dell depuis mon Ubuntu 18.04. Je donne ici ma méthode afin de simplifier la vie aux gens qui rencontrerais la même difficulté.


Préparatifs:

Connectez vous sur votre DRAC. Repérez le modèle sur la page système:


Informations sur le serveur
État de l'alimentation SOUS TENSION
Modèle du système PowerEdge R210 II

Repérez ensuite la version de la drac en allant sur la page "Paramètres d'Idrac"

Integrated Dell Remote Access Controller 6 - Enterprise

Type de périphérique iDRAC6
Version du matériel 0.01
Version du micrologiciel 2.90 (Build 04)




Premiere étape

Il faut télécharger le patch sur le site de Dell. Pour ceci allez dans la rubrique support puis téléchargement


Support => Pilotes et téléchargements

entrez le modèle concerné, par exemple "poweredge R210 II".
Dans la page choisissez la catégorie
"Gestion intégrée des serveurs" ou "iDRAC with Lifecycle Controller" (suivant les modèles)
et dans Système d'exploitation :  REDHAT (ou un Linux quelconque de la liste).

Vous avez alors le firmware de la Drac de disponible , pour ce modèle par exemple : "Dell iDRAC Monolithic Release 2.90" ou "
Cliquez dessus, le nom du fichier doit se terminer en .BIN, sinon choisissez 'autres formats' et vérifiez que vous avez changé le système d'exploitation pour un Linux.
Téléchargez le.


Seconde étape

Pour récupérer le binaire il vous faut créer un répertoire:

mkdir delldrac6; cd delldrac6

Puis décompresser les fichiers contenus dans le .BIN en exécutant le fichier avec le paramètre --extract ./

bash ESM_Firmware_9GJYW_LN32_2.90_A00.BIN --extract ./

Le firwmware sera alors disponible dans "payload", ici firmimg.d6

ls -la payload/
total 55M
-rwxr-xr-t 1 xx xx 55M Jul 24 2017 firmimg.d6


Flash du firmware

   Soyez sur que le firmware que vous installez est bien celui voulu et qu'il n'est pas déjà en place... :)

   Allez sur la page de la drac dans "Paramètres d'Idrac" => "mettre a jour", selectionnez le firmware (ici firmimg.d6).

   Une fois le chargement terminé, il vous propose de conserver ou non les réglages de la drac et de faire la mise a jour. Validez et d'ici 5 min la drac sera a nouveau accessible et a jour.


Utiliser la console idrac6 sur ubuntu 18.04

  Les version SSL des dracs ne sont pas compatibles avec les réglages de sécurité. Afin de pouvoir lancer la console j'ai du changer dans /etc/java-8-oracle/security/java.security

  J'ai changé la ligne en enlevant le RC4:

jdk.tls.disabledAlgorithms=SSLv3, DES, MD5withRSA, DH keySize < 1024, \
EC keySize < 224, 3DES_EDE_CBC

    Attention faire ceci baisse la sécurité des applets Java.

    Ensuite j'ai ajouté les url de base de mes dracs dans le fichier de préférence de mon utilisateur :  ~.java/deployment/security/exception.sites

  ici j'ai ajouté

https://172.16.1.245/
https://172.16.1.246/
https://172.16.1.247/
https://172.16.1.248/



En espérant vous avoir aidé.

Pour mettre un site en pause le temps de modifications, voici une page qui, en théorie, ne devrait pas affecter google en lui indiquant de revenir demain:

<?php
header('HTTP/1.1 503 Service Temporarily Unavailable');
header('Status: 503 Service Temporarily Unavailable');
header('Retry-After: 86400');//1 journee
?>
<!DOCTYPE html>
<html lang="fr">
  <head>
    <meta charset="utf-8">
    <title><?php echo $_SERVER['SERVER_NAME'] ?></title>
  </head>
  <body>
        <h1>Site en maintenance</h1>
        Votre Site est actuellement en maintenance, vous pouvez revenir un peu plus tard. Merci pour votre patience :)
  </body>
</html>

Bonjour,


  Le règlement Européen sur la protection des données personnelles entre en vigueur le 25 mai 2018.

 A ce sujet les fournisseurs d'Aqueos sont compatibles avec cette législation.

- Tous les serveur d'hébergements, surveillance interne et de sauvegarde d'Aqueos sont situé sur le sol Français

- Le seul serveur Aqueos qui n'est pas en France est le serveur hébergeant  support.aqueos.net et outils.aqueos.net afin que les outils et le support soient toujours joignables même si les centres Français ne répondent plus
  Celui-ci est actuellement en Europe et restera dans ce périmètre.
- Aqueos n'ayant pas 250 employé nous n'avons pas de DPO
- Aqueos ne communique pas vos données a des tiers.
- Aqueos ne fournis pas vos données a des sous traitants hormis pour fournir les services demandés (contact des domaines, contact des certificats etc...) et leur facturation/recouvrement.
- Les sauvegardes sont stockées telle quelle sans cryptage supplémentaire (le transfert est crypté mais pas le stockage), si vous traitez des données sensible (politique, raciale, médicale...) vous devez les sécuriser avant stockage si besoin.
- La conservation des sauvegardes est de 28 jours contractuels mais Aqueos peut fournir de façon unilatérale et  gracieuse des délais étendus au-delà de ces délais contractuels si l’espace disque disponible sur ces serveurs de sauvegarde le permet. Le client peut donc spécifier qu’il refuse de bénéficier d’un service plus complet gratuitement et de réduire donc le délais a celui qui lui conviendra. Il le fera par demande sur le support.
- La GDPR au niveau d'Aqueos ne couvre pas les applicatifs et les données mises sur les serveurs par ses clients, ceux ci sont concerné par la conformité GDPR du client en question.
- Aqueos ne fait pas de traitement automatisés sur les fichiers et bases situés sur ses serveurs par les clients a part pour fournir et protéger le service (anti spam/virus/phishing, version des CMS, blocage des abus..), il ne traite pas de données personelles pour cela mais peut indirectement traiter des ip ou email identifiant une personne.
- Nos fournisseurs de serveurs, de surveillances, de domaines et de certificats SSL ont tous déclarés se conformer a la GDPR.

Nous essayerons de publier un petit document détaillant les éléments du GDPR pour Aqueos sur le site du support, pour résumer nous ne traitons quasiment que des données professionnelles et ne concernant que peux les personnes physiques et en interne quasiment exclusivement donc cette législation a peu d'impact sur nous, vous avez en tant que createur de site malheureusement beaucoup plus de surface de contact avec cette législation Européene.

 Merci pour votre attention et excellente journée a vous.

Cordialement,
ADNET Ghislain.
Gérant.
AQUEOS.



 Pour renommer un raid:


sudo mdadm --detail /dev/md/<nom>;

Voir les disques concernés puis
sudo mdadm --stop /dev/md/<nom>;
sudo mdadm --assemble /dev/md/<nouveau> --name=<nouveau> --update=name /dev/sd?xx;

ensuite mettre a jour le mdadm.conf, soit par effacement puis puppet, soit en effaçant l'ancienne ligne et

sudo mdadm -Db /dev/md/<nouveau> >> /etc/mdadm/mdadm.conf

Pour changer le systeme de fichier
odiens01

tune2fs –L <nouveau> /dev/md/<nouveau>
parted -s /dev/sdx name X <nouveau>

Vous pouvez signer un document PDF avec acrobat reader, voici un tutoriel en Français très simple pour vous montrer comment faire


Avec acrobat reader sur PC
https://youtu.be/xKa0m8KtBZM?t=1m20s

Avec l'aperçu mac:
https://www.youtube.com/watch?v=Clb4znlTIjY


Vous pouvez dans les deux cas avec l'outils d'édition très facilement signer (a partir d'une image de votre signature) et taper du texte pour remplir les champs éventuels.

Pour tester une connexion ssl sur un port et voir le certificat:

 

# openssl s_client -connect localhost:993

 


Articles les plus populaires 
 
Articles les plus récents