Listes des serveurs de la Région

Abidjan

implantation

serveur

distribution

version kernel

version package

backup (*)

Commentaire

Abidjan

DNS,Courrier

sarge

2.4.27-2-686

2.4.27-8

Serveur à virer, services à migrer ailleurs

Abidjan

web-abidjan

Etch

linux-image-2.6.18-4-686

2.6.18.dfsg.1-12etch2

Abidjan

nfs-abidjan

Etch

linux-image-2.6.18-4-k7

2.6.18.dfsg.1-12etch2

Abidjan

mail-abidjan

Etch

linux-image-2.6.18-openvz-k7

028.18.1-2.6.18-12-1

Abidjan

fw

backport

2.4.27-2-686

2.4.27-7.backports.org.1

Pare feu à réinstaller bientôt

Bamako

implantation

serveur

distribution

version kernel

version package

backup (*)

Commentaire

Bamako

fw

Etch

2.6.18-4-k7

2.6.8

Bamako

mail

sarge

2.6.8-3-k7

2.6.8

Bamako

nfs

sarge

2.4.27-2-k7

2.4.27-7.backports.org1

sarge ou backport ?!?

Bamako

rpv

Etch

2.6.18-4-k7

2.6.8

Bamako

backup

Etch

2.6.18-4-k7

Bobo-Dioulasso

implantation

serveur

distribution

version kernel

version package

backup (*)

Commentaire

Bobo-Dioulasso

www.bobo.bf.refer.org

sarge

2.6.8-2-k7

2.6-k7 101

rsnapshot local

Conakry

serveur

distribution

version kernel

version package

backup (*)

Commentaire

fw.gn.refer.org

sarge

2.6.8-3-686

2.6.8-16sarge5

rsnapshot autre machine

www.gn.refer.org

sarge

2.6.8-3-k7

2.6.8-16sarge5

rsnapshot autre machine

nfs.gn.refer.org

sarge

2.6.8-3-k7

2.6.8-16sarge5

rsnapshot autre machine (à vérifier si tjours actif)

Cotonou

implantation

serveur

distribution

version kernel

version package

backup (*)

Commentaire

Cotonou

mail-cotonou.bj.refer.org

Etch

linux-image-2.6-k7

2.6.18-6-k7

backuppc

ok

Cotonou

cnfc.bj.refer.org

Etch

linux-image-2.6-k7

2.6.18-6-k7

backuppc

ok

Cotonou

fw.bj.refer.org

Etch

linux-image-2.6-k7

2.6.18-6-k7

backuppc

ok

Cotonou

interne

Etch

linux-image-2.6-k7

2.6.18-6-k7

backuppc

ok

Cotonou

backup.bj.refer.org

Etch

linux-image-2.6-k7

2.6.18-6-k7

backuppc

ok

Cotonou

openvz.bj.refer.org

Etch

linux-image-2.6.18-14-fza-686-bigmem

2.6.18-14-fza-686-bigmem

backuppc

ok

mail-cotonou.bj.refer.org : 81.91.236.2

Mon serveur chouchou. Il s'appelle aussi : bj.refer.org, pop.bj.refer.org, smtp.bj.refer.org, mail.bj.refer.org, imap.bj.refer.org, cotonou.bj.refer.org. Il supporte plein de services sensibles :

  • Exim :
  • DNS : Bind9
    • Tout ce qui concerne les domaines se trouve dans /etc/bind/named.conf.local

    • Les zones gérées sont : refer.bj, bj.refer.org, bj.auf.org, lerevelateur.bj

    • Tansfert uniquement pour Montréal et de Paris sur tous les domaines et pour BéninTelecoms sur lerevelateur.bj

    • Aucune mise à jour acceptée de l'extérieur pour ces domaines
    • On ne gère aucune reverse encore (en cours de discussion avev le FAI)
  • Base de données : Mysql5
    • Faire gaffe à nscd. Il faut qu'il se lance avant mysql sinon, mysql plante.
    • Il n'accepte des requètes que des réseaux locaux et de la DMZ (Conf du fw)
    • Passer le nombre max de connexions à 200
  • Hébergement de site web : Apache2
    • Tous les sites sont dans site-available
    • Tous les sites sont activés avec a2ensite

    • Activation SSL : non
    • Il écoute sur 80 et 8080 (je ne sais pas pkoi, j'ai découvert cela en faisant cette doc)
    • Il y a une déclaration par défaut des noms des Vhosts dans /etc/apache2/conf.d/virtual-host.conf

    • Le moteur php est php5
    • phpmyadmin
    • Le site du CNF est dans le dosser /var/www/cnfc

    • Tout ce qui concerne l'université est dans /var/www/uac

    • Tout ce qui concerne les autres hébergements est dans /var/www/hebergements

    • L'ancien site du CNF de Cotonou (avant Mathieu G.) est dans /var/www/benin_ct

    • Tout ce qui n'est pas destiné à être concervé (sites de test, site pour des formations, divers) se tourve dans /var/www/temporaire

  • Authentification centralisée pour les usagers : Libnss-mysql-gb + Mysql
    • Suivre la recette AUF pour la mise en place.
    • Les comptes sont toursjours créés via admincompte ( regarder dans /usr/local/bin) puis sont injectés dans la base de données par synchro-nss

    • Guia une fois terminée devrait simplifier tout ce bazar (mais qui marche ;-) ).

  • Antivirus et antispam :
    • spamassassin : Laisser la config par défaut. Cela suffit
    • clamav : Laisser également la config par défaut.

cnfc.bj.refer.org

Le serveur de fichier du CNF. Son autre nom est nfs-cotonou.bj.refer.org.

  • Stockage : Suite à l'installation du nouveau serveur, il a deux disques durs SATA de 1000Go en raid1 avec du lvm.
  • Mirroirs locaux
    • Miroir de ftp.fr.debian.org(lenny main contrib non-free) et de archive.ubuntu.com/ubuntu/ (karmic/karmic-updates/karmic-backports main restricted universe multiverse) réalisé avec apt-mirror

    • Se trouve sur "/var/miroir"
    • Regarder le fichier de configuration dans /var/miroir/mirror.list

    • Rajouter deb http://ftp.fr.debian.org/debian lenny main/debian-installer à la liste des adresses à copier si on veut faire du boot sur le réseau

    • Les miroirs sont disponibles aux adresses http://ubuntu.bj.refer.org et http://debian.bj.refer.org

    • Ils sont mis à jour chaque nuit via un cron qui se trouve dans /etc/cron.d/apt-mirror

    • Pour debian la source.list est deb http://debian.bj.refer.org/ lenny main contrib non-free

    • pour ubuntu la source.list est deb http://ubuntu.bj.refeR.org/ karmic main restricted universe multiverse

  • DNS : Bind9 : Uniquement pour les postes du LAN
    • Les zones gérées sont : cnfc, wifi.cnfc

    • Tansferts de domaine interdits. Il est le seul à gérer ces domaines.
    • Aucune mise à jour acceptée de l'extérieu pour ces domaines
    • On gère TOUTES les reverse.
  • Base de données : Mysql5
    • Faire gaffe à nscd. Il faut qu'il se lance avant mysql sinon, mysql plante.
    • Il n'accepte des requètes que des réseaux locaux et de la DMZ (Conf du fw)
    • Passer le nombre max de connexions à 200
  • Hébergement de site web : Apache2
    • Tous les sites sont dans site-available
    • Tous les sites sont activés avec a2ensite
    • Activation SSL : oui
    • Il écoute sur 80 et 443 (https pour le wifi
    • Il y a une déclaration par défaut des noms des Vhosts dans /etc/apache2/conf.d/virtual-host.conf

    • Le moteur php est php5
    • phpmyadmin
    • Il y a un domaine particulier qui est wifi.cnfc qui est en https (443) et qui permet au serveur chillispot de réaliser l'authentification.
  • Adressage dynamique
    • Adresse ip des machines fixées grace à la correspondance MAC -> Nom_des_MAchines (Bon, je dois expliquer ici : Dans le fichier /etc/dhcp3/dhcpd.conf on dit telle adresse correspond à telle nom de domaine et le serveur dhcp ensuite pose à la question au serveur dns -localhost/bind9- qui lui dans le point db.cnfc voit les corresponsances entre noms de domaine et adresse ip_interne). Eg : DHCP (fixed-address cr58.cnfc) -> DNS (cr58 IN A 172.16.3.58) et la machine recoit toujours la bonne adresse... :D.

    • Il y a un joli script que j'ai écrit avec une copine pour récupérer automatiquement la liste des adresses mac à partir des logs dhcp et écrire les fichiers dhcpd.conf,db.cnfc et db.16.172 correspondants. Il faut que je l'épure un peu et je vais le mettre dans /usr/local/bin.

  • Duplication de machine : tftpd-hpa
    • Tout se trouve dans /var/lib/tftpboot

    • Il est activé en mode daemon : Dans /etc/default/tftpd-hpa passer RUN_DAEMON à "yes"

    • Suivre la doc que je vais écrire dans quelques semaines :D

  • Proxy transparent : Squid
    • Suivre la recette AUF pas compliqué
    • sur ce serveur dévier toutes les connexions http des réseaux locaux vers squid

iptables -t nat -A PREROUTING -s $ip ! -d 81.91.236.0/27 -p tcp --dport www -j REDIRECT --to-ports 3128 
  • Désactiver la proxisaton vers une destination grâce à

iptables -t nat -A PREROUTING -s ip_source -d ip_destination -j RETURN 

(Vérifier vraiment que cela ne marche pas avant)

  • Dévier sur le fw toutes les connexion http en provenance du RPV, de la DMZ vers Squid sur ce serveur (conf la section FW)
  • Authentification wifi : freeradieus
    • On passe par PAM pour réaliser l'authentification. A lui de se débrouiller pour vérifier si le gars à un compte ou pas (dans users ajouter DEFAULT Auth-Type = Pam.

    • On est obligé de le lancer en tant que superutilisateur car sans cela, il ne peut pas utiliser pam (pour l'instant :-( )

    • Déclarer dans clients.conf le serveur chillispot.
    • Pour des raisons de souplesse dans la configuration, on a un autre serveur qui s'occupe du portail chillispot. La Openvzisation devrait permettre de réunir tout ce beau monde sur une seul machine :-) )

  • Les quotas : quota
    • Suivre la doc
    • Les limites au cnf sont à 800 Mo. Il y a un patch (taillehome.sh) dans les scripts locaux de admin-comptes dans /usr/local/bin qui permet de connaitre la taille exacte des gros fichiers (Merci Cédric). Il faut que je l'active de nouveau...

fw.bj.refer.org

Le Firewall du CNF. Son autre nom est fw.bj.auf.

  • Stockage : Un disque dire IDE de 80 Go avec du LVM. Ce qui est étrange est que j'y retrouve des partitions en durs avec une partie de l'ancien système .. :( . /!\ Il faut que je tire cela au clair

  • Protection : iptables
    • Règles de base : On interdit tout et on autorise au fur et à mesure.
    • Les règles de filtrage se trouve dans /etc/network/firewall-install

    • On passe toutes les adresses IP par des variables en début de ce fameux fichier. c'est plus facile à maintenir. Il faut éviter d'utiliser des adresses directement dans les règles iptables.

Quelques trucs qui sont spécifiques à nous

  • Ouvrir complêtement le traffic pour l'équipement de visio en TCP.
  • Autoriser l'accès ssf depuis l'ENF. L'adresse de leur fw est récupérer par un script écrit par Cédric qui se trouve dans /root/getipenf

  • Il faut toujours autoriser l'accès ssh depuis Dakar, Paris et Montréal
  • Ouvir le port udp (1194) en entrée pour la OpenVPN :

$IPT -A INPUT -p udp --dport 1194 -j ACCEPT 
  • Ouvrir UDP totalement en sortie :

$IPT -A OUTPUT -p udp -j ACCEPT 
  • Rendre le serveur astérix accessible sur le port 4569 sur tous les réseaux :

$IPTF -p udp -i $ETHOPT -o $ETHRPV -m state --state NEW -d $VOIPRPV --dport 4569 -j ACCEPT 
$IPTF -p udp -i $ETHRPV -o $ETHOPT -m state --state NEW -s $VOIPRPV --dport 4569 -j ACCEPT
$IPTF -p udp -i $ETHDMZ -o $ETHRPV -m state --state NEW -d $VOIPRPV --dport 4569 -j ACCEPT
$IPTF -p udp -i $ETHRPV -o $ETHDMZ -m state --state NEW -s $VOIPRPV --dport 4569 -j ACCEPT 
  • Ouvrir le port 1500 vers pour utiliser la plate-forme du DU UTICEF (est-ce vraiment encore utile ...???)
  • Ouvrir le port 1520 vers LPATC, Strasbourg : port 1520 : cela permettra de chater :

${IPT} -t filter -A FORWARD -s $IPCNFC -p tcp -m tcp --dport 1600 -m state --state NEW -j ACCEPT 
  • Autoriser tout le traffic en provenance de nos serveurs chéris à aller ver l'extérieur :D

  • Il faut impérativement natter tout le traffic du CNF vers l'Université avec

${IPT} -t nat -A POSTROUTING -o $ETHUNIV -j SNAT --to-source $VOIPPUB
  • Autoriser les serveurs à sortir directement sur internet sans passer par le proxy. En tout cas autoriser au moins le proxy :

$IPT -t mangle -A PREROUTING -s $IPCNFC -p tcp --dport 80 -j RETURN 
  • Redirection squid
    • ici, on marque les concernant le web avec 1 dans /etc/network/firewall-install par exemple avec :

$IPT -t mangle -A PREROUTING -i IP_RESEAU -p tcp --dport 80 -j MARK --set-mark 1 

  • et on les traite ensuite dans /etc/network/police-de-la-route en créant une route particulière vers le proxy (nfs-cotonou)

/sbin/ip route add table 11 default via $CNFC 
/sbin/ip rule add fwmark 1 table 11 
  • le RPV Ipsec : Rien à dire dessus. Suivre la recette AUF. Suivre le projet PKI. Poser des questions à TN et JC si on comprends pas un truc. Se tenir prèts...

  • Généralement, sur ce serveur, ne faire confiance à personne sauf les amis du RPV, de Dakar de Paris et de Montréal pour faire une connexion SSH. Demander à ceux qui insistent vraiment de se créer une clé ssh et de l'envoyer pour qu'on le mette sur le serveur. Être méchant et parano quand quelqu'un loue la salle de formation et souhaite mettre un serveur dans la DMZ avec un accès ssh. Dire NON !!! Point à la ligne. (J'ai pensé à une solution avec du Dnat, mais .. non, finalement, on refuse)

internet.bj.auf

backup.bj.auf

Dakar

for i in $(cat serveur); do echo $i; ssh -t root@$i "lsb_release -cr; uname -r;cat /proc/cpuinfo | grep model\ name | sort -u; cat /proc/meminfo | grep MemTotal"; done

ansible -m shell -a "lsb_release -cr ; uname -r ; grep 'model name' /proc/cpuinfo | sort -u ; grep MemTotal /proc/meminfo" 

serveur

release

Codename

kernel

cpuinfo

meminfo

Mise en prod

type

fw.refer.sn

7.9

wheezy

3.2.0-4-686-pae

Intel(R) Core(TM) i3-2100 CPU @ 3.10GHz

2051844 kB

aout 2011

clone

nfs.refer.sn

7.8

wheezy

3.2.0-4-amd64

Intel(R) Xeon(R) CPU E5530 @ 2.40GHz

10258808 kB

aout 2010

transtec 2U

mail.refer.sn

7.9

wheezy

3.2.0-4-amd64

Intel(R) Xeon(R) CPU E5430 @ 2.66GHz

8196760 kB

mai 2009

transtec 1U

cache.refer.sn

7.8

wheezy

3.2.0-4-amd64

Intel(R) Xeon(R) CPU E5606 @ 2.13GHz

6120752 kB

aout 2011

transtec 2U

vzbao.refer.sn

7.8

wheezy

2.6.32-openvz-042stab105.14-amd64

AMD Opteron(tm) Processor 6128

32939524 kB

janvier 2014

transtec 2U

bao.sn.auf

8.1

jessie

3.16.0-4-amd64

AMD Opteron(tm) Processor 248

4061308 kB

Juillet 2009

clone

telefon.sn.auf

5.0.10

lenny

2.6.26-2-amd64

AMD Athlon(tm) 64 X2 Dual Core Processor 4800+

2029720 kB

decembre 2009

clone

backup2.sn.auf

8.1

jessie

3.16.0-4-amd64

Intel(R) Xeon(R) CPU E5606 @ 2.13GHz

12323700 kB

Juillet 2012

transtec 2U

Lomé

serveur

distribution

version kernel

version package

backup (*)

Commentaire

vz-lome.tg.refer.org

Squeeze

2.6.32-5-amd64

2.6.32-5-openvz-amd64

Backuppc

rpv.tg.auf

Squeeze

2.6.32-5-686

linux-image-2.6.26-2-686

Backuppc

fw.tg.refer.org

Squeeze

2.6.32-5-686

linux-image-2.6.26-2-686

Backuppc

nfs-lome.tg.refer.org

lenny

2.6.26-2-amd64

2.6.26-17lenny2

Backuppc

backup.tg.auf

Squeeze

2.6.32-5-686

linux-image-2.6.32-5-686

Backuppc

Disque de Sauvegarde externe 2 x 500Go

Niamey

Inventaires serveurs Niamey

implantation

serveur

distribution

version kernel

version package

backup (*)

Logcheck

git

Commentaire

niamey

parefeu.refer.ne

etch

2.6.18-4-686

2.6.18.dfsg.1-12etch2

backuppc

OK

OK

niamey

www.refer.ne

etch

2.6.18-openvz-18-51.3d2-k7

backuppc

OK

Ok

vz-niamey

niamey

smtp.refer.ne

etch

2.6.18-openvz-18-51.3d2-k7

backuppc

OK

OK

vz-niamey

niamey

moodle-niamey

etch

2.6.18-openvz-18-51.3d2-k7

backuppc

OK

OK

vz-niamey

niamey

nfs-niamey.refer.ne

etch

2.6.18-6-k7

2.6.18.dfsg.1-12etch2

backuppc

OK

OK

niamey

backup.refer.ne

etch

2.6.18-6-amd64

2.6.18.dfsg.1-12etch2

backuppc

OK

OK

Nouakchott

serveur

distribution

version kernel

version package

backup (*)

Commentaire

vz-nouakchott

Etch

backuppc

parefeu

Etch

2.6.18-4-k7

2.6.18.dfsg.1-12etch2

backuppc

nfs-nouakchott

Etch

2.6.18-4-k7

2.6.18.dfsg.1-12etch2

backuppc

backup

Etch

2.6.18-4-686

2.6.18.dfsg.1-12etch2

Serveurs virtuels

serveur

distribution

hôte

mail-nouakchott

Etch

vz-nouakchott

www-nouakchott

Etch

vz-nouakchott

Ouagadougou

Ouagadougou

fw

backport

2.4.27-2-686

2.4.27-7.backports.org.1

rsnapshot local

Ouagadougou

www.bf.refer.org

sarge

2.4.27-2-k7

2.4.27-10

rsnapshot local

Ouagadougou

formation.bf.refer.org

sarge

2.4.27-2-k7

2.4.27-10

Saint-Louis

Parc Serveurs

Inventaire

N° inventaire

Marque

Modèle

Processeur

Mémoire

Interface réseau

Disque dur

État

Utilisation actuel

SN2 00187

Trantec Calleo 141

CL141U3S2-LA

Intel Xeon X3430, 2.4 GHz

8Go 1333MHz
(4*2Go)

2 iface, 1000BASE

2 Disques SATA-2
2*500.0 Go
+ Retrait du Disque Dur SATA-2 : 250 GO

Neuf: acquisition 2011

Serveur Backup

SN2 I1066

Transtec Calleo 121L

CL121U3S2-LA

Intel Xeon X3220, 2.4 GHz

4Go (2x2Go)

2 iface 1000BASE

1 disque
500 Go SATA-2

Neuf : acquisition 2009

Serveur NFS

SN2 01030

Transtec Calleo 121L

CL121WWA3-A

Intel Xeon X3220, 2.4 GHz

4Go (2x2Go)

4 iface 1000BASE

1 Disque
1 x 500 Go SATA-2

Neuf : acquisition 2008

Serveur VZ

SN2 I0001

Clone

Boitier Rack-305AWATX/ACE-828

Intel(R) Pentium(R) 4 CPU 2.00GHz

1Go (2x512Mo)

1 iface 100BASE, 2 iface 1000BASE

1 Disque
81.9 Go IDE

Ancien : acquisition 2002

Parfeu

SN2 01005

Clone

Boitier Rack-305AWATX/ACE-828

AMD Athlon(tm) XP 1800+ 1.5Ghz

1Go (2x512Mo)

3 iface, 100BASE

2 Disques IDE
hda: 40.0 Go
hdd: 41.1 Go

Ancien : acquisition 2002

Serveur Cache

Serveur physique

serveur

distribution

version kernel

Arch

backup (*)

Services

Commentaire

fw.sl.refer.sn

squeeze

2.6.32-5-686

x86_64

Backuppc sur backup.sl.sn.auf

iptables, bind, openvpn

backup.sl.sn.auf

Sqeeze

2.6.32-5-amd64

x86_64

Backuppc sur lui même

backuppc

cache.sl.refer.sn

Squeeze

2.6.32-5-686

i686

Backuppc sur backup.sl.sn.auf

squid

ovz-stlouis

Squeeze

2.6.32-5-amd64

x86_64

Backuppc sur backup.sl.sn.auf

openvz

nfs.sl.refer.sn

Squeeze

2.6.32-5-amd64

x86_64

Backuppc sur backup.sl.sn.auf

nfs_v4, auf-django-users, dhcp

Serveur Virtuel

Hôte

Serveur

CTID

distribution

kernel

Services

Commentaire

ovz-stlouis

web.sl.refer.sn

101

Squeeze

2.6.32-5-openvz-amd64

apache, debmirror, squirrelmail

ovz-stlouis

mail.sl.refer.sn

102

Squeeze

2.6.32-5-openvz-amd64

exim,dovecot

ZAO/Inventaires/Serveurs (dernière édition le 2008-04-25 13:49:50 par FranckKouyami)