One more geek

Module tsung de coordonnées aléatoires

Rodolphe Quiédeville — Thu, 11 Apr 2013 17:42:00 +0200

Après avoir traité le cas des numéros de tuiles aléatoires j'ai écrit un module de génération d'url géographiques aléatoires.

De nombreux services géographiques utilisent la syntaxe lat=X&lon=Y&zoom=Z dans leur interface, c'est ce cas de figure que va permettre de traiter le module wms_randomcoord présenté ici, le module génére automatiquement la partie lat,lon de l'url et ce de façon aléatoire. Son utilisation dans un scénario Tsung se fait au travers de l'appel de la fonction url/1.

<setdynvars sourcetype="erlang" callback="wms_randomcoord:url">
   <var name="lonlat" />
</setdynvars>

<request subst="true">
    <http url="/?%%_lonlat%%&amp;zoom=12" method="GET" version="1.1"/>
 </request>

Pour ajouter de l'aléatoire au niveau du zoom on pourra jouter une session dans le scénario où on le fera varier entre deux bornes finies.

<session name='zoomrandom' probability='90'  type='ts_http'>
  <setdynvars sourcetype="erlang" callback="wms_randomcoord:url">
    <var name="lonlat" />
  </setdynvars>

  <setdynvars sourcetype="random_number" start="1" end="18">
    <var name="zoom" />
  </setdynvars>

  <request subst="true">
    <http url="/?%%_lonlat%%&amp;zoom=%%_zoom%%" method="GET" version="1.1"/>
  </request>
</session>

Des scenarii d'exemples sont disponibles dans le dépôt github tsung-tricks, voir les fichiers lonlat.xml et lonlat2.xml.

Test de charge sur un serveur de tuile

Rodolphe Quiédeville — Thu, 04 Apr 2013 15:56:00 +0200

J'ai eu par le passé à effectuer des tests de charge sur des serveurs de tuiles comme ceux mis en oeuvre sur le projet OpenStreetMap. Afin d'assurer des requêtes aléatoires sur tous les niveaux de zoom j'avais écrit à l'époque un plugin pour Tsung que je n'avais pas encore pris le temps de publier, voilà qui est chose faite.

Le plugin se nomme wmsosm.erl et est publié sur github en licence GPLv3. Il permet de générer la partie finale de l'url en z/x/y afin de pouvoir l'intégrer dans la balise request du scénario Tsung. L'utilisation se fait en appelant la fonction urlzxy du module wmsosm, voir l'exemple ci-dessous. Le détail de la mise en oeuvre d'un plugin Tsung est décrit dans la [documentation du projet| http://tsung.erlang-projects.org/user_manual.html] je ne m'étendrais pas sur le sujet.

<request subst="true">
  <http url='/%%wmsosm:urlzxy%%.png' version='1.1' method='GET'></http>
</request>

Le choix de la tuile dans un niveau de zoom donné est aléatoire. le choix du niveau de zoom est aléatoire mais avec pondération, le choix est fait de telle sorte que les niveaus de zooms élevés sortent plus souvent, techniquement le tirage est fait dans une liste qui contient 2 fois le zoom 2, 3 fois le zoom 3 et ainsi de suite.

Ci-dessous un exemple d'un extrait d'utilisation du plugin

"GET /7/88/93.png HTTP/1.1"
"GET /16/17017/19589.png HTTP/1.1"
"GET /11/1791/1872.png HTTP/1.1"
"GET /17/47098/51507.png HTTP/1.1"
"GET /17/40683/45092.png HTTP/1.1"
"GET /17/47025/51434.png HTTP/1.1"
"GET /17/38091/42500.png HTTP/1.1"
"GET /3/4/4.png HTTP/1.1"
"GET /10/839/874.png HTTP/1.1"
"GET /15/6096/7382.png HTTP/1.1"
"GET /18/114432/123250.png HTTP/1.1"
"GET /18/139028/149316.png HTTP/1.1"
"GET /3/4/4.png HTTP/1.1"
"GET /16/17609/19814.png HTTP/1.1"
"GET /12/39/200.png HTTP/1.1"
"GET /18/129410/138228.png HTTP/1.1"
"GET /18/117680/126498.png HTTP/1.1"
"GET /4/9/9.png HTTP/1.1"
"GET /10/836/865.png HTTP/1.1"
"GET /6/40/42.png HTTP/1.1"

Je travaille sur une version améliorée du plugin afin de tirer des blocs aléatoires de tuiles plutôt que des tuiles uniques, ce qui se rapprochera plus des cas réels d'utilisation. On déterminera de façon aléatoire une première tuile et des requêtes seront générées de façon ordonnées dans un ensemble de tuiles voisines paramétrable.

Créer un lot de User dans Django

Rodolphe Quiédeville — Wed, 03 Apr 2013 11:22:00 +0200

Lors d'un récent test de charge sur une application Django j'ai eu à créer 10K utilisateurs pour tester la charge sur le processus de login. Ce besoin de création d'utilisateur de test étant récurrent j'ai écrit une commande manage (1) afin de créer facilement un grand nombre d'utilisateurs mais également de conserver leur id pour suppression ultérieure. La liste des ids est affichée sur stdout pour faire au plus simple.

Par défaut on crée 10 utilisateurs et on spécifie comme premier argument le nombre total souhaité.

Le code de la classe, simple et efficace :

"""                                                                                                       
Create users in batch                                                                                     
"""
import json
from django.core.management.base import BaseCommand
from django.contrib.auth.models import User

class Command(BaseCommand):
    help = 'Create test accounts'

    def handle(self, *args, **options):
        nb_accounts = 10
        mac = 0
        userids = []

        if len(args) > 0:
            nb_accounts = int(args[0])

        while mac < nb_accounts:
            username = 'tsung-%04d' % (mac)
            email = 'tsung-%04d@example.com' % (mac)
            password = 'password-%04d' % (mac)
            user = User.objects.create(username=username,
                                       email=email)
            user.set_password(password)
            user.save()
            userids.append(user.id)
            mac += 1

        print json.dumps(userids)

Logger les requêtes SQL d'un site Django en production

Rodolphe Quiédeville — Fri, 29 Mar 2013 10:48:00 +0100

Si il est intéressant d'utiliser un ORM pour manipuler des objets dans une base de données relationnelle il présente également inconvénient de cacher les requêtes réellement exécutées sur la base de données. Tous les frameworks de développement n'intègre pas forcément de moyen simple d'avoir accés aux requêtes, Django permet de faire cela à partir d'extension comme django-devserver (1[https://github.com/dcramer/django...) ou d'autres ; extensions qui sont utilisables en développement ou sur des machines de pre-prod, mais malheureusement pas en production. Disons que l'on ne s'intéressera pas ici aux sites qui utilisent runserver sur leur serveur de prod, humm.

Résumons le contexte on a une application Django en production et on a besoin de récupérer l'intégralité des commandes SQL passées lors d'une opération de bench.

On va pouvoir faire cela simplement car Django intégre de base un (logger) nommé django.db qui va nous permettre de le faire. On va logger toutes les requêtes directement dans un fichier en configurant dans les settings un handler sur un fichier et en utilisant le logger djangodb.

En pratique on ajoute une entrée file dans la section handlers

    'handlers': {
        'mail_admins': {
            'level': 'ERROR',
            'filters': ['require_debug_false'],
            'class': 'django.utils.log.AdminEmailHandler'
        },
        'file': {
            'level': 'DEBUG',
            'class': 'logging.FileHandler',
            'filename': '/tmp/django-sql.log',
        },
    },

et une entrée django.db dans la section loggers qui utilise l'entrée file

    'loggers': {
        'django.request': {
            'handlers': ['mail_admins'],
            'level': 'ERROR',
            'propagate': True,
        },
        'django.db': {
            'handlers': ['file'],
            'level': 'DEBUG',
            'propagate': True,
            }
    }

On aura toutes nos requêtes sql dans le fichier /tmp/django-sql.log sous la forme

(0.000) SELECT "graph_dashitem"."id", "graph_dashitem"."dash_id", "graph_dashitem"."graph_id", "graph_dashitem"."order" FROM "graph_dashitem" WHERE "graph_dashitem"."dash_id" = 2 ORDER BY "graph_dashitem"."order" ASC; args=(2,)

Le premier champs contient le temps d'exécution et le dernier la liste d'arguments, on obtient un fichier facilement parsable dans lequel on pourra rechercher les requêtes gourmandes en temps par exemple. La prochaine étape sera de passer les requêtes dans EXPLAIN pour les analyser.

Avertissement si votre site a un fort traffic le log de toutes les requêtes va générer beaucoup de consommation d'IO, et d'espace disque, pensez à désactiver les logs quand vous avez finit votre bench.

Publication de tsung2graphite sur Pypi

Rodolphe Quiédeville — Wed, 27 Mar 2013 13:55:00 +0100

tsung2graphite dispose désormais d'un paquet sur le Python Package Index plus communément connu sous le sobriquet de Pypi. Les adeptes des virtualenv et de pip install pourront utiliser cet outil plus aisément.

Page tsung2graphite sur pypi : https://pypi.python.org/pypi/tsung2graphite

Pousser les logs de tsung dans graphite

Rodolphe Quiédeville — Mon, 25 Mar 2013 11:00:00 +0100

La partie majeure du travail lors d'un opération de test de montée en charge d'un site web est l'analyse des résultats, afin de simplifier cette partie je travaille actuellement sur un outil d'aggrégation de données qui regroupera les données systèmes et les logs générés lors d'un benchmark de site web opéré avec tsung (1). Le développement de la première version de cet outil est basé sur graphite (2) qui sera utilisé pour la génération des graphiques. N'existant pas à ma connaissance d'outil permettant de pousser dans graphite les données recueillies par tsung lors d'une opération de bench j'ai commencé l'écriture d'un script python pour effectuer cette opération. Suivant le précepte du 'release early, release often' j'ai publié le script sur la plateforme gitorious afin de le rendre disponible de suite, il est publié sous licence GPL v3.

Le script est actuellement en version 0.2.0 avec les fonctions de base, je l'utilise déjà en production.

Page projet : https://gitorious.org/tsung2graphit...
Bugtrack : http://redmine.quiedeville.org/proj...

PyDeb from PyPI to .deb

Rodolphe Quiédeville — Wed, 06 Feb 2013 13:01:00 +0100

Dans mon précédent billet j'évoquais les paquets debian que j'avais réalisé pour Django au sein du projet Pyrede. Cette activité de packaging ayant pris de l'ampleur les paquets seront désormais disponibles au sein du Projet Pydeb.

Le projet PyDEB se compose d'un dépôt de paquets et d'un blog sur lequel je publie les nouveaux paquets ainsi que leurs mises à jour.

Les derniers paquets réalisés sont redis, hamlpy, vectorformats, ...

Le projet Pyrede d'analyse de fichier requirements.txt continue son activité avec PyDEB comme ressource bien évidemment.

Paquets Debian pour Django

Rodolphe Quiédeville — Tue, 29 Jan 2013 13:23:00 +0100

Si j'aime les virtualenv quand je code je reste attachés aux paquets pour le déploiement et j'essaye tant que faire se peut de résister aux 'pip install -r requirements.txt' sur mes machines de production. C'est dans ce contexte que j'ai packagé quelques paquets relatifs à Django que je vais essayer de maintenir au sein du projet Pyrede.

http://pyrede.quiedeville.org/debian/

Le fichier repo.key contient la signature utilisée pour signer les paquets.

Les serpents ne dorment pas l'hiver

Rodolphe Quiédeville — Thu, 17 Jan 2013 11:09:00 +0100

Au cours du développement de mon dernier projet Pyrede j'ai mis en place des statistiques sur le flux de mises à jour des paquets python dans PyPI. Au bout de quelques jours de collecte de données je suis impressionné par l'activité des développeurs. La base contient à ce jour plus de 27000 paquets et ce sont prêt de 300 paquets qui sont mis à jour chaque 24H.

Les stats avec munin sont publiques et consultables ici

Happy hacking !

De whoosh à Solr avec Django Haystack

Rodolphe Quiédeville — Thu, 20 Dec 2012 12:43:00 +0100

Sur un déploiement Django avec une indexation réalisée avec Haystack je me suis retrouvé face à un problème bloquant. L'application doit permettre à différents users unix de la machine d'insérer des données au moyen d'une commande de management de Django ; les objets insérés dans la base de données sont indéxés en temps réels avec un RealTimeSearchIndex. Le peu de volume de données avait orienté le choix du backend d'indexation vers whoosh, whoosh travaillant avec des fichiers locaux l'appel de la commande manage par différents users unix a engendré des problèmes de permissions sur les fichiers d'index. Une première solution de contournement a été d'utiliser la commande sudo mais cela n'est pas satisfaisant sur le long terme sans une formation des utilisateurs à sudo, pour contourner ce problème je me suis orienté vers l'utilisation d'un backend Solr. Je vais décrire ici la mise en oeuvre de cette solution sur une Debian Wheezy car cela ne s'est pas fait sans problèmes.

Installation de Solr

Le choix fait a été d'utiliser Solr avec le server d'application Jetty, l'installation sous Debian est toujours aussi simple qu'apt-get dans notre cas de figure ici il est nécessaire d'installer les paquets

jetty
solr-jetty

Le serveur d'indexation étant sur une machine séparée de l'instance Django il faut également installer le package python-pysolr sur le serveur qui fait tourner l'application Django elle même.

Il existe un bug dans le paquet solr-jetty, l'installation créé un lien symbolique cassé.

/var/lib/jetty/webapps/solr doit pointer vers /usr/share/solr/web et non vers /usr/share/solr/webapp comme le fait l'installation du package

Schema généré non conforme

Une fois le serveur installé il faut configurer Solr en conformité avec les données de l'application Django, pour cela on génère un fichier nommé schema.xml avec la commande :

manage.py build_solr_schema > schema.xml

Une fois ce fichier généré copiez le sur le serveur Solr dans /etc/solr/conf/schema.xml

J'utilise une version 2.0.0 de Haystack et il est nécessaire de modifier quelque peu le fichier généré pour le rendre compatible avec Solr 3.6.0 présent à l'heure d'écriture de ce billet dans Wheezy.

Tout d'abord il faut remplacer la chaine stopwords_en.txt par lang/stopwords_en.txt pour spécifier le bon chemin vers le fichier. (ref)

Un autre problème rencontré qui peut ne pas être votre cas,mais autant le signaler au cas où, lors du premier appel de la commande ./manage.py build_solr_schema le fichier schema.xml généré contenait des définitions de champs erronés :

<field name="" type="" indexed="True" stored="True" multiValued="" />

<field name="" type="" indexed="True" stored="True" multiValued="" />

Un nouvel appel à build_solr_schema a cette fois généré un fichier valide, une fois copié sur le serveur solr l'indexation fonctionne, et on peut désormais mettre à jour l'index avec manage.py rebuild_index de même que celui-ci se met à jour lors de l'import des objets dans la base.

Suivant votre configuration réseau vous pourrez vouloir changer le port ou l'interface d'écoute, cela s'effectue dans le fichier /etc/default/jetty ; il ne reste plus enfin qu'à redémarrer jetty.

Ce ne fût pas sans peine, mais au final l'indexation fonctionne et désormais tous les utilisateurs peuvent indexer leurs documents sans problèmes de permissions.

Passer le temps en geekant

Rodolphe Quiédeville — Wed, 12 Dec 2012 11:32:00 +0100

Un inconvénient d'être freelance et que l'on a parfois du temps chômé entre les missions, l'avantage quand on est geek c'est que cela donne du temps pour geeker :-) J'ai donc profité de ces derniers jours pour assouvir mon envie de jouer avec icecast ; depuis toujours passionné de radio il me tardait de trouver l'idée qui me permettrait de créer un projet autour de cet outil. Deux autres éléments ont été à l'origine de mon idée, tout d'abord la découverte de l'excellente radio http://www.ledjamradio.com/ puis plus récemment de jukebox. Je serais presque jaloux de ledjam d'avoir eu l'idée de cette radio et du système de vote, mais je le suis totalement de leur jingles ; là vous devez faire une pause et lancer la radio dans un onglet. En ce qui concerne Jukebox j'ai apprécié l'interface mais beaucoup moins l'architecture qui en fait au final un outil un plutôt instable (notamment à cause de libshout).

Cette introduction faite il est temps de lâcher le morceaux, j'ai utilisé ces 4 derniers jours à coder Calorine (jeu concours : trouver ce qui a inspiré ce nom), la base de l'idée avoir une radio communautaire, dédiée à un groupe restreint comme le serait par exemple un canal IRC Écouter une radio à plusieurs même dans des lieux physiques différent créé une ambiance de groupe qui se rapproche de la sensation d'équipe dans un bureau commun, c'est très agréable de pouvoir chambrer un peu les collègues sur leurs goûts musicaux du vendredi (ils se reconnaîtront).

Venons-en aux fonctionnalités de Calorine, stream d'une playlist composées à plusieurs de façon communautaire sans hiérarchie, ça c'est la base. La radio dispose d'un pool de fichier ogg/vorbis dans lequel l'auditeur pioche, il ajoute ses titres à la playlist commune. Tout un chacun peut également consulter la playlist en cours et ajouter un vote à un titre, les titres avec le plus grand nombre de votes sont joués en premier, viennent ensuite les titres les plus anciens dans la playlist, et enfin si celle-ci est vide un titre aléatoire est joué. On a pour faire cela une interface écrite en Django ainsi qu'un bot IRC qui annonce le titre joué sur le canal et permet d'ajouter un titre à la playlist en effectuant une recherche full-text sur les ID3 du fichier musical.
Sur le principe technique, les path des fichiers sont stockés dans la base de données utilisées par l'app django. Icecast2 stream le flux audio, ices2 alimente le flux avec le mode script, ices2 appelle un script pour obtenir le chemin du fichieir audio à lire. J'ai préféré cette méthode de couplage ices/icecast plus robuste que d'utiliser libshout comme le fait Jukebox, cela donne aussi une totale indépendance entre l'ihm et le flux radio. L'indexage full-text est lui réalisé avec Haystack et le backend whoosh (des tests de solR sont en cours). Dans le repo il y 2 scripts qui permettent pour l'un d'alimenter la base de données (fill.py) et pour l'autre de convertir un répertoire de fichier mp3 en ogg (covert.py).
Comme tout projet de 4 jours il y a des petits bugs partout et beaucoup de chose à finir, mais c'est déjà fonctionnel et nous permet de nous faire mutuellement découvrir des titres.
Si vous souhaitez monter votre radio communautaire tout est dispo sous GPL sur github.

Penser à xauth

Rodolphe Quiédeville — Fri, 30 Nov 2012 12:38:00 +0100

Devant installer un outil dont je tairais la nom sur un serveur, outil qui ne se configure qu'avec un client X (ça commence mal) j'ai bloqué sur le X forwarding pendant une demi-journée. Après avoir fait un connexion ssh -X vers le dit serveur impossible de récupérer l'affichage sur ma machine. Un ssh -v m'a mis la puce à l'oreille avec comme dernière ligne :

debug1: Remote: No xauth program; cannot forward with spoofing.

Sans xauth effectivement difficile de reporter l'affichage au travers de la session ssh, la solution simpliste au possible consiste à installer le paquet xauth sur Debian.

apt-get install xauth

Espérons que la prochaine fois j'y penserai plus tôt.

Recherche outil de gestion des participants

Rodolphe Quiédeville — Tue, 27 Nov 2012 10:47:00 +0100

A l'occasion de mes derniers travaux sur Hypadrie j'ai été contacté pour savoir si il serait possible d'utiliser Hypadrie afin de gérer des listes de participants comme le font aujourd'hui des sites comme gestlistapp ou Eventbrite. Il existe déjà des outils de billeterie en ligne évolué comme e-voucher ou de gestion complète de conférences comme Pentabarf, mais je n'ai pas trouvé d'outil plus basique dans le fonctionnement. Les fonctionnalités de l'outil doivent rester simple afin de minimiser le temps d'enregistrement et permettre des inscriptions rapides, pas besoin de créer de compte ou de renseigner son CV complet avec antécédents à 4 générations. Nul besoin non plus de gérer le paiement en ligne. Hypadrie permet déjà cela mais est orienté spectacle vivant à ce jour, alors avant de généraliser l'outil et au lieu de ré-iventer la roue je fais appel à vos bookmarks afin de trouver l'outil existant ou approchant.

Bien évidemment le critère premier est la licence qui doit être libre.

Si vous connaissez un outil approchant laissez l'info en commentaire, merci à tous.

Hypadrie dans Ouest-France

Rodolphe Quiédeville — Tue, 20 Nov 2012 16:43:00 +0100

Ouest-France, dans son édition de Vannes, a publié un article sur Hypadrie intitulé ''Logiciel de réservation : les assos disent merci".

I will be the.re

Rodolphe Quiédeville — Fri, 16 Nov 2012 09:30:00 +0100

C'est avec plaisir et enthousiasme que j'ai rejoint le projet the.re hier avec mon dernier serveur. Celui-ci sera utilisé en partie pour augmenter les ressources de mes développements SIG, de pérenniser l'hébergement d'Hypadrie et d'y accueillir également quelques projets amis.

Merci à Loic pour son accueil au sein de the.re et son inépuisable énergie à faire progresser la liberté en ligne

Session PHP redondées dans memcache

Rodolphe Quiédeville — Tue, 13 Nov 2012 11:40:00 +0100

Pour partager les sessions PHP entre les serveurs web au sein d'un cluster il est fréquent d'utiliser le stockage des dites sessions dans un backend memcache. Si ce partage permet de servir un même client depuis n'importe quel serveur tout en conservant ses sessions cela introduit néanmoins un SPOF dans l'architecture, on va voir dans ce billet qu'il est possible de gérer le failover avec 2 ou plus serveurs memcache.

PHP gère depuis la version 3.0.0. de la librairie php-memcache le paramètre memcache.redundancy qui bien que non documenté est déjà fonctionnel, le principe est d'associer ce paramètre à memcache.allow_failover et de définir plusieurs serveurs memcache pour le stockage des sessions.

Dans l'exemple suivant on configure php pour utiliser 2 serveurs qui ont pour ip 10.0.42.1 et 10.0.42.2

; On indique à php de gérer les sessions dans memcache
session.save_handler = memcache

; le save_path est composé des adresses des 2 serveurs
; séparées par une virgule
session.save_path = "udp://10.0.42.1:11211?persistent=1&weight=1&timeout=1&retry_interval=15,udp://10.0.42.2:11211?persistent=1&weight=1&timeout=1&retry_interval=15"

; permet d'avoir les clés indiques sur tous les serveurs
memcache.hash_strategy = consistent

; force php à lire/écrire sur un autre serveur en cas de
; défaillance du premier appelé
memcache.allow_failover = 1

; nb de serveurs memcache + 1
memcache.session_redundancy=3

L'explication de session_redundancy qui vaut le nombre de serveurs memcache + 1 est issue de ce document

Dorénavant si l'un des serveurs memcache est coupé les sessions sont sauvegardées, et à son retour il récupérera les sessions utilisées au fil de l'eau. Cette solution est satisfaisante dans le cas des sessions à durée de vie limitée ; pour une durée de 30 minutes il vous faudra ne pas couper les 2 serveurs memcache à moins de 30 minutes d'intervalles afin d'avoir toujours les sessions actives dans l'un des memcache. Pour conserver des sessions ad vitam aeternam il faudra se tourner vers un stockage dans une base de données ou s'assurer de répliquer le serveur memcache renaissant avec les données du serveur actif.

Monitorer les mises à jour de sécurité Debian

Rodolphe Quiédeville — Wed, 31 Oct 2012 12:02:00 +0100

Jusqu'à peu j'utilisais des scripts maison pour suivre les mises à jour de sécurité à faire sur les serveurs Debian que j'administre, scripts shell qui à grand coup de sed, grep, gawk sur les sorties de apt-get update / upgrade permet de connaître les mises à jour à faire. Une fois de plus Debian à des outils internes pour faire cela beaucoup mieux. Utilisant aussi Debian sur mon desktop je me suis penché sur la méthode mise en oeuvre qui permet à mon gestionnaire de bureau de signaler dans une popup les màj à faire après chaque action apt, je suis tombé sur le paquet update-notifier-common qui contient tout ce qu'il faut pour refactoriser mes sondes Nagios.

La commande apt-chek (qui est un script python) permet de savoir tout de go si il existe des mises à jour à faire :

rodo@arz: $ /usr/lib/update-notifier/apt-check
110;57

donne une sortie facilement scriptable qui indique ici qu'il y a 110 mises à jour disponibles dont 57 mises à jour de sécurité (tests effectués sur mon desktop, n'ayez craintes)

rodo@arz: $ /usr/lib/update-notifier/apt-check --human-readable
110 packages can be updated.
57 updates are security updates.

donne une sortie plus compatible avec le genre humain.

Enfin l'option -p elle va afficher la liste des noms de paquets à mettre à jour. Pour parfaire le script on souhaiterait avoir une option qui permette de n'afficher que les noms de paquets issus de security à mettre à jour, gageons que cela soit dans une future release.

Il ne reste plus qu'à utiliser cette commande dans une sonde nagios telle que celle décrite dans ce billet

Pour conclure il me reste à dire que apt-check se base sur la librairire python apt_pkg disponible dans python-apt que je vous invite à découvrir si vous souhaitez manipuler les commandes apt à partir de python.

MàJ : après ma réflexion sur une option supplémentaire j'ai envoyé un patch au mainteneur du paquet

Nagios et les MIBS perdues dans Debian

Rodolphe Quiédeville — Mon, 29 Oct 2012 14:42:00 +0100

Il faut désormais activer non-free dans Debian pour pouvoir utiliser les MIBS snmp ( voir http://wiki.debian.org/SNMP), action qui n'est pas réalisable dans de nombreuses architectures. Sans les MIBS utiliser SNMP devient vite une gageure, devoir déclarer les commandes Nagios en se basant sur les OID des directives extend est fastidieux et difficilement maintenable dans le temps. Afin de simplifier cette utilisation j'ai écrit un script pour simplifier la déclaration dans Nagios en se passant des MIBS.

mibchecks génère les définitions Nagios en analysant le fichier de configuration du démon snmp, il est disponible sur gitorious pour download et/ou fork.

Repo : https://gitorious.org/mibchecks/mibchecks

mibchecks lit le fichier /etc/snmp/snmpd.conf, en extrait les définitions extend, convertit les noms de commandes en OID et écrit sur la sortie standard les définitions de command à inclure dans la configuration de nagios. Un exemple de sortie.

Le script est actuellement en version 1.0.2 et attend vos patch et/ou amélioration.

Hypadrie en production

Rodolphe Quiédeville — Fri, 19 Oct 2012 12:19:00 +0200

Depuis 15 jours maintenant hypadrie.eu est passé en production, avec comme premier utilisateur le festival de clown de Theix Clowhorspiste.

Ce matin une nouvelle étape a été franchie avec l'ouverture des réservations, Hypadrie passe enfin en mode production sur toutes ses fonctionnalités.

Rendez-vous sur http://hypadrie.eu/clownhorspiste/ pour réserver vos places !

sslh pour se connecter en ssh sur 443

Rodolphe Quiédeville — Fri, 14 Sep 2012 09:37:00 +0200

Au détour d'un tweet d'Arthur Lutz 1 j'ai découvert un outil fort pratique que tout bon admin/sys devrait mettre dans sa boîte à outil pour contrer les firewall ; sslh 2 un multiplexer ssl/ssh. Le principe de sslh est d'être à l'écoute sur un port TCP et de rediriger le traffic suivant le protocole client qui se connectera sur le port idoine. Le cas pratique le plus courant sera de mettre sslh à l'écoute sur le port HTTPS (443) et de le configurer pour rediriger le HTTPS et SSH. On voit tout de suite l'intérêt d'une telle configuration, on pourra se connecter en ssh sur la machine par le port 443 qui n'est que très rarement filtré par les firewall restrictif.

sslh est présent dans sa dernière version stable (1.13) dans Debian/Wheezy 3, sa configuration se fait dans /etc/default/sslh par la définition des options, la configuration par défaut est :

DAEMON_OPTS="--user sslh --listen 0.0.0.0:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1:443 --pidfile /var/run/sslh/sslh.pid"

Par défaut sslh est en écoute sur le port 443 et gère ssh et https. Dans sa mise en place on prendra soin au préalable de faire écouter sshd et apache sur le loopback avant de démarrer sslh.

Il reste à dire que sslh gère également OpenVpn, XMPP, HTTP, tinc et tous les protocoles qui peuvent être détecté au moyen d'un regexp.

1. https://twitter.com/arthurlutz/status/246167110705897472

2. http://www.rutschle.net/tech/sslh.shtml

3. http://packages.debian.org/wheezy/sslh