Systemd va pouvoir avoirune dépendance au réseau par exemple, pour monter le CIFS uniquement si la daemon réseau a bien été démarré. Le système pourra booter en level 3 même si le CIFS n’est pas joignable!

Le fichier systemd à placer dans /etc/systemd/system/

[Unit]
  Description=cifs mount script
  Requires=network-online.target
  After=network-online.service

[Mount]
  What=//192.168.56.1/mp$
  Where=/mnt/mp
  #Options=username=yourCifsUser,password=Secretpassword,workgroup=YourDomain,rw
  Options=credentials=/etc/systemd.cred.MonNas
  Type=cifs

[Install]
  WantedBy=multi-user.target

Je conseille d’utiliser le format avec un fichier de credentials qui aura des droits stricts 600 pour que seul root y accède. Laissant notre fichier systemd lisible.

• network-online permet d’attendre que la ressource réseau soit accessible avant de tenter le montage
• What est notre ressource distante
• where est notre point de montage local
• Options permet de définir les options, voir man mount.cifs
• Type est cifs dans ce cas-ci
• multi-user est le niveau 3 de démarrage, un classique

Le fichier credentials

username=MonUser
password=MonPass
domain=domain.tld

Nommage du fichier de configuration

Pour choisir un nom de fichier, attention que systemd est capricieux, il faut échapper pour être certain. Pour un répertoire, une option -p est prévue ainsi que --suffix.
Préféré un nom de point de montage avec des underscores plutôt que des tirets pour une meilleure lisibilité :

~$ systemd-escape -p --suffix=mount "/data/MON-DUMP-DB"
data-MON\x2dDUMP\x2dDB.mount
~$ systemd-escape -p --suffix=mount "/data/MON_DUMP_DB"
data-MON_DUMP_DB.mount

On relance et on active systemd :

sudo systemctl daemon-reload
sudo systemctl enable mnt-dp.mount
sudo systemctl start mnt-dp.mount

Quelques infos avec une variante pour un démontage après un temps d’inutilisation via automount.

Personnellement j’utilise ce montage pour faire les dump DB MySQL et mariaDB sur un NAS, afin de ne pas faire un backup d’une vm contenant elle-même des backups…

L’article Systemd – point de montage CIFS est apparu en premier sur Mon linux.

Installation du rôle basic

Pour installer ce rôle de configuration sous Debian ou Ubuntu rien de plus simple :

ansible-galaxy install belgotux.basic

Pré-requis sur un host Debian

Un playbook d’initialisation playbook-init-server.yml est à exécuter seulement sur un host Debian. Pour Ubuntu si vous avez installé en y ajoutant votre clé SSH dès l’installation, vous n’aviez rien à faire. Exemple :

ansible-playbook -i inventories/prod roles/basic/playbook-init-server.yml -e 'myhost=node9 user=devops become_meth=sudo' -kK

Pré-requis pour Debian ou Ubuntu

Vous devez copier basic.aliases.example vers basic.aliases pour pouvoir ajouter vos propres alias, il y en a déjà certains utiles dans le fichier d’exemple.

Configuration des variables Ansible

• bm prend la valeur yes pour installer des outils pour serveur physique
• ssh_key_filename clé SSH généré pour root, utile pour les accès serveur à serveur (default id_rsa)
• basic_list_users liste d’utilisateur et clé SSH :
  • name utilisateur
  • primarygroup groupe par défaut de l’utilisateur
  • groups groupes de l’utilisateur
  • pubkeys liste de clés publiques de l’utilisateur, les fichiers dans le dossier files
  • home home utilisateur (default /home/username)
  • shell prompt utilisateur (default /bin/bash)
  • create_home créer le répertoire utilisateur (default true)
  • append ajouter ou remplacer les groupes (default true to append)
  • passwd hash du mot de passe de l’utilisateur
    • mkpasswd --method=sha-512 résultat du genre $6$
    • docker run --rm -it ulikoehler/mkpasswd résultat en yescript $y$ pour ubuntu >22.04
  • generate_ssh_key générer une paire de clé SSH (default false)
• root_public_keys liste de clés publiques à copier depuis le dossier files pour root
• bash_alias_shared activer le partage d’alias (installé dans /usr/share uniquement avec l’utilisateur root via remote_user ou become dans le playbook) (default installe seulement les alias dans le répertoire home de l’utilisateur via remote_user)
• bash_alias_dir_share (default /usr/share)

optional

• auto_upgrade Configurer inattended-upgrades (default false)
• basic_packages_default Liste des paquets commun à installer
• basic_packages_extra Liste d’autres paquets supplémentaire pour un groupe ou une machine spécifiques
• staff_directories liste des répertoires qui peuvent être modifiés par le groupe staff
• basic_custom_scripts_common liste des scripts locaux commun à copier dans /usr/local/bin
• basic_custom_scripts_local liste des scripts locaux supplémentaires à copier dans /usr/local/bin (à utiliser dans hosts)

Exemple de playbook

- hosts: [homeservers,vps]
  remote_user: root
  roles:
    - name: basic
      vars: 
        basic_list_users:
          - name: belgotux
            primarygroup: belgotux
            groups: sudo,users,staff,adm
            shell: "/bin/zsh"
            passwd: $6$xxxx
            pubkeys:
              - xxx.pub
              - yyy.pub
        bash_alias_shared: yes
        staff_directories:
          - /usr/local/bin
          - /usr/local/etc
        auto_upgrade: true

L’article Ansible rôle de configuration Debian – Ubuntu est apparu en premier sur Mon linux.

L’utilisation d’un relais tel que Microsoft 365 facilite la sécurisation de nos échanges mails, car une intégration de DKIM et DMARC est déjà gérée nativement! Si vous avez déjà vos mails ou l’ensemble de votre active directory, c’est dans cette direction qu’il faut se diriger pour une mise en place efficace.

Je suppose qu’il est possible de faire cela également avec Infomaniak pour ceux disposant de comptes pro chez eux. Avec mon compte perso je n’ai pas vu cette option. Avec OVH, oubliez directement! Du temps où j’étais encore client chez eux, j’avais parlé DKIM DMARC au support, et on m’a posés des questions pour savoir pourquoi je veux ces fonctions etc. Vraiment comme si j’étais un extraterrestre! On était tout de même en 2020… Rien n’était fait pour le mail mutualisé donc… Longtemps client perso et pro je suis passé chez Infomaniak pour la partie mutualisée en partie pour cela. J’arrête le OFF là

Configuration dans l’Exchange 365

Il faut créer un connector dans mail flow > connectors > Add a connector :

L’authentification est faite par adresse IP ou certificat valide. Il faut savoir que votre serveur relais interne postfix va lui-même se connecter sur VOTRE_DNS.mail.protection.outlook.com et celui-ci présente un certificat valide. Votre « client » va donc authentifier le serveur de Microsoft comme valide (notre serveur relais est client par rapport au relais M365).

L’authentification par IP est déjà suffisante en soit. Mais vous pouvez décider que les serveurs relais de Microsoft n’acceptent QUE les mails si le serveur client (votre relais SMTP) présente le bon certificat client. Ce qui fait qu’il y a une identification et authentification de part et d’autre!

• Configurer une restriction par votre IP publique de sortie :

• Configurer une restriction par un certificat valide : dans ce cas cela ne doit pas forcément être le certificat *.votredomain.tld, cela peut très bien être monrelais.mondomainetechnique.tld. La seule règle étant que ce certificat soit émis par une autorité de certification reconnue.

Mettre un certbot avec let’s encrypt sur votre serveur est envisageable si vous utilisez une vérification let’s encrypt par dns.

Si vous souhaitez plus d’infos, la documentation Microsoft est bien faite.

Remarque : Les limites d’envoie pour M365 sont larges et dépendent de votre licence.

Un mot sur le serveur Postfix

Il faut tout de suite savoir que Postfix est à la fois un serveur et un client. Il faut donc bien distinguer les directives. Veillez donc bien au début qui peut être :

• smtp_tls_xxx en tant que client
• smtpd_tls_xxx en tant que serveur

Notre serveur relais est serveur par rapport à nos serveurs internes. Il est client par rapport à Microsoft 365.

Configuration de notre relais mail Postfix

J’ai distingué les directives serveurs et clients pour que la configuration soit lisible.

Pour le comportement serveur du relais SMTP :

• smtpd_tls_security_level=may permet de spécifier que notre serveur accepte une liaison client en TLS mais également en clair. Il faut penser aux copieurs ou autre matériel ne gérant pas le TLS interne à notre réseau
• smtpd_tls_loglevel permet d’avoir une trace des connexions TLS dans les logs avec les ciphers pris en compte, pratique pour voir quel client envoie encore en clair et s’il peut être modifié
• smtpd_tls_cert_file et smtpd_tls_key_file renseignent le certificat et la clé utilisé en interne
• smtpd_tls_chain_files est le nouveau format pour pouvoir contenir plusieurs clés et certificats pour différents noms de domaine. Il faut toujours la clé et puis la chaîne de certificat et le certificat final
• smtpd_tls_session_cache_database permet d’avoir un peu de performance quand beaucoup de mails sont envoyés

### SERVER ###
smtpd_tls_security_level=may
smtpd_tls_loglevel = 1

smtpd_tls_cert_file=/etc/xxx.crt
smtpd_tls_key_file=/etc/xxx.key
#alternative
#smtpd_tls_chain_files=/etc/your-key-and-local-crt-and-chain-with-your-local-ca-combined.all

#optionel
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache



### CLIENT ###
relayhost = your-domain.mail.protection.outlook.com
smtp_tls_security_level = encrypt # optionnel : secure
smtp_tls_mandatory_ciphers = high
smtp_tls_loglevel = 1
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
#optionnel
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_chain_files = /etc/xxx.all

Pour le comportement client du relais SMTP :

• relayhost on vient mettre le DNS de notre tenant M365
• smtp_tls_security_level le niveau de securité minimal accepté en TLS. Je vous conseille secure
• smtp_tls_mandatory_ciphers high contient un « bundle » de ciphers satisfaisant
• smtp_tls_loglevel permet d’avoir une trace des connexions TLS
• smtp_tls_CAfile permet de spécifié le fichier des CA faisant autorité. Un fichier du système contient déjà les CA connus du monde
• smtp_tls_session_cache_database permet d’avoir un peu de performance quand beaucoup de mails sont envoyés
• smtp_tls_chain_files spécifiez la chaine de certificats client qui est utiliser si vous aviez choisi une restriction par un certificat client pour votre connector M365. L’ordre dans la chaine est importante : votre clé privée, suivie de votre certificat, ensuite le certificat intermédiaire et pour finir le certificat du CA

host xxx.mail.protection.outlook.com[104.47.2.7] said: 550 5.4.1 Recipient address rejected: Access denied. AS(201776281) [AB4EUR01RT057.eop-EUR01.prod.protection.outlook.com] (in reply to RCPT TO command)

postfix/smtp[71318]: your-domain.mail.protection.outlook.com[104.47.0.36]:25: matched peername: *.mail.protection.outlook.com
postfix/smtp[71318]: your-domain.mail.protection.outlook.com[104.47.0.36]:25: subject_CN=mail.protection.outlook.com, issuer_CN=DigiCert Cloud Services CA-1, fingerprint=6A:DD:32:6D:2A:0C:C5:3A:9E:D7:E7:91:3D:6F:5C:F4, pkey_fingerprint=20:78:41:CD:EC:4F:19:7A:E0:B2:01:4F:3C:3D:1C:EE
postfix/smtp[71318]: Verified TLS connection established to your-domain.mail.protection.outlook.com[104.47.0.36]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

Fichier main.cf d’un relais SMTP Postfix complet :

myorigin = /etc/hostname
mydomain = your-local-domain
mydestination = $myhostname, $myorigin, localhost.localdomain, localhost, localhost.your-local-domain

# Backward compatibility off
compatibility_level = 3.6
relay_domains = $mydestination
append_dot_mydomain = yes
smtputf8_enable=yes
smtpd_banner = $myhostname ESMTP
biff = no
readme_directory = no

# TLS parameters server
smtpd_tls_chain_files=/etc/your-key-and-local-crt-and-chain-with-your-local-ca-combined.all
#alternative
#smtpd_tls_cert_file=/etc/xxx.cer
#smtpd_tls_key_file=/etc/xxx.key
smtpd_tls_security_level=may
smtpd_tls_loglevel = 1
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

# TLS parameters client
relayhost = xxx.mail.protection.outlook.com
smtp_tls_security_level = secure
smtp_tls_mandatory_ciphers = high
smtp_tls_loglevel = 1
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

# Client certificat to be identified by M365
#smtp_tls_chain_files = /etc/xxx.all

smtpd_client_restrictions = permit_mynetworks reject
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases

mynetworks = 10.0.0.0/22,xxx
mailbox_size_limit = 0
message_size_limit = 29480000
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4

header_checks = regexp:/etc/postfix/header_checks_regexp
smtp_header_checks = regexp:/etc/postfix/replace_header_checks_regexp

sender_canonical_maps = regexp:/etc/postfix/sender_canonical_regexp

Configuration d’un serveur client interne linux

Voici la partie TLS d’un fichier main.cf d’un postfix « satellite » qui se connecte à notre relais interne. Il dois évidement avoir le certificat serveur de notre relais ou notre CA interne de configuré dans les certificats du système ou via la directive smtp_tls_CAfile.

smtp_tls_security_level = may
smtp_tls_loglevel = 1
#optionnel
smtp_tls_security_level = secure
smtp_tls_mandatory_ciphers = high
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

L’article Relais mail Postfix – envoyer ses mails sécurisés vers M365 est apparu en premier sur Mon linux.

J’explique ici le cas où le suffixe DNS interne est yourdomain.lan et le domaine externe est your-domain.tld

D’abord il faut distinguer 2 types de mails :

• Ceux envoyés directement à partir de la machine ou une de ses applications locales
• Ceux envoyés depuis la machine qui fait office de relais.

Ce sont bien 2 choses différentes pour postfix et donc 2 types de filtre différents.

Filtre de sortie pour les mails générés sur la machine

sender_canonical_maps = regexp:/etc/postfix/sender_canonical_regexp

/^(.*)@(.*)\.your-local-domain\.lan$/ ${2}-${1}@your-domain.tld
/^(.*)\ <(.*)@(.*)\.your-local-domain\.lan>$/ ${1} <${3}-${2}@your-domain.tld>

postmap /etc/postfix/sender_canonical_regexp

Vous pouvez toujours ajouter un « catch all » à la fin comme décrit dans l’article précédent de réécriture de mail simple avec postfix.

Filtre de sortie pour les mails transitant sur notre relais interne

Typiquement vous avez un relais mail interne utilisé par vos autres serveurs. Il faut dans un premier temps ajouter votre adresse IP publique de sortie dans le champ SPF de votre nom de domaine. Le DKIM et DMARC permettent de sécurisé encore mieux l’authenticité de vos messages, mais une chose à la fois

Vous pouvez utilisez la directive header_checks ou smtp_header_checks. Dans mon cas j’ai besoin de faire 2 opérations pour le même filtre mail, ce qui n’est pas possible de base. Mais en jouant avec ces 2 directives, je peux arriver à mes fins : marquer les mails à problème et faire une réécriture de mail :
ATTENTION à l’ordre : c’est d’abord header_checks qui est interprété et ensuite smtp_header_checks. Il faut d’abords mettre le WARN et ensuite le REPLACE

header_checks = regexp:/etc/postfix/warn_checks_regexp
smtp_header_checks = regexp:/etc/postfix/header_checks_regexp

/^From:\ (.*)@(.*)\.yourdomain\.lan$/ WARN bad sender
/^From:\ (.*)\ <(.*)@(.*)\.yourdomain\.lan>$/ WARN bad sender

/^From:\ (.*)@(.*)\.your-local-domain\.lan$/ REPLACE From: ${2}-${1}@your-domain.tld
/^From:\ (.*)\ <(.*)@(.*)\.your-local-domain\.lan>$/ REPLACE From: ${1} <${3}-${2}@your-domain.tld>

postmap /etc/postfix/warn_checks_regexp
postmap /etc/postfix/header_checks_regexp

Le reste de votre configuration postfix dépendra :

• Si vous envoyez directement les mails vers Internet, auquel cas je vous conseille de configurer les signatures DKIM et d’utiliser le record DNS DMARC
• Si vous utilisez un serveur relais tel que M365 si vous y géré déjà vos services mails

L’article Réécriture de mail – serveur relais postfix est apparu en premier sur Mon linux.

Envoi de mail via un compte mail unique SASL

Dans le cas, il faut réécrite tout champ mail : que ce soit le corps ou l’enveloppe. Cela doit correspondre au mail du compte, afin d’éviter d’être considéré comme spam malgré l’utilisation d’un compte mail légitime.

/.+/ nas@monemail.tld

sender_canonical_maps = regexp:/etc/postfix/sender_canonical

postmap /etc/postfix/sender_canonical

service postfix restart

postmap -q root@localhost.localhost regexp:/etc/postfix/sender_canonical
nas@monemail.tld

postmap /etc/postfix/sender_canonical_regexp

Plus d’info sur la directive sender_canonical_maps sur la documentation officielle.

Je vous conseille d’utiliser mailjet pour ne pas utiliser directement les identifiants de votre provider mail. Ou du mois utilisé un token API et pas votre mot de passe principal. C’est plus sécurisant, surtout si c’est pour un VPS.

compatibility_level = 2
mydomain = nas.local
mydestination =
inet_interfaces = localhost
relayhost = in-v3.mailjet.com:587
sender_canonical_maps = regexp:/etc/postfix/sender_canonical
recipient_canonical_maps = hash:/etc/postfix/recipient_canonical
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_mechanism_filter =
smtp_tls_security_level = encrypt
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_CApath = /etc/ssl/certs
alias_maps = hash:/etc/aliases
default_destination_concurrency_limit = 2
default_destination_rate_delay = 1s
smtputf8_enable = no
default_transport = smtp

in-v3.mailjet.com:587 votremail@votredomaine.tld:motdepasse

L’article Réécriture de mail simple avec postfix est apparu en premier sur Mon linux.

Ce rôle est disponible dans l’Ansible Galaxy. Pour l’installer rien de plus simple :

ansible-galaxy install belgotux.notification_push

Je vous mets également le lien du projet de notification avec Ansible sur github.

Il ne requiert aucune dépendance, il va chercher la dernière version du script via github pour les 2 scripts actuellement supportés : Pushbullet et Telegram. Dans le cas de ce dernier, une tâche Ansible va directement chercher le chat ID, nécessaire en plus du token.

Au préalable, il faut avoir créé un compte pour Pushbullet en suivant les étages. Et un bot pour Telegram en plus en suivant l’article que j’ai écrit sur les notifications Telegram pour Debian.

Exemple Playbook

Notification pushbullet :

- hosts: servers
  roles:
      - { role: notification-push vars: notification_pushbullet_access_token: 'o.XXXXXXXXXXXXXXXXXXXXX' }

Notification Telegram :

- hosts: servers
  roles:
      - { role: notification-push vars: notification_telegram_access_token: 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX' }

Utiliser un bot API local pour Telegram

Il est tout à fait possible de pousser l’utilisation en auto-hébergement via l’utilisation de son propre service d’API bot Telegram. L’article officiel sur le site de Telegram en décrit les capacités. Le rôle est fait pour pouvoir changer l’adresse par défaut de l’API https://api.telegram.org.

- hosts: servers
  roles:
      - role: notification-push
        vars:
          notification_telegram_access_token: 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
          notification_telegram_provider_api: 'https://your_custom_api'

L’article Role Ansible notification push Linux Debian est apparu en premier sur Mon linux.

Mais le plus gros avantage étant que le canal est sécurisé car chiffré et vous n’avez pas de tiers qui peut tout lire comme avec pushbullet.

Dans le cas de cette notification, mon besoin est simple, distinguer les serveurs à la maison, de ceux en VPS via différent chatBot. Pour plus de visibilité sur les types d’alerte, les emoji sont bien utiles et complètement gérés par Telegram et par ce script.

Je vous partage donc le lien du projet github du script Telegram qui peut envoyer des notifications autant sous Debian que Ubuntu. Il peut sans doute tourner sous d’autres distributions, mais je n’ai pas testé.

Créer un compte Telegram

Rien de plus simple, vous installez Telegram sur votre Android ou autre smartphone. Il est nécessaire que votre compte soit vérifié par un numéro de téléphone. SI vous n’avez pas de smartphone, il est encore possible d’utiliser bluestacks pour émuler facilement un Android.

Une fois le compte créé, vous pouvez très bien installer le client sur votre Linux ou votre Windows pour recevoir les notifications. Il y a même un client CLI de disponible via le paquet telegram-cli.

Ajouter le contact @BotFather

Pour créer un bot il faut ajouter le contact @BotFather.

Vous faites la commande /start.

Vous demandez un nouveau bot via /newbots et suivez les instructions :

• Vous lui donnez un nom utile
• Vous créez un utilisateur qui doit être unique, le mieux étant de préfixer vos bots par votre pseudo ou un mot pas trop commun pour être certains d’avoir ce pseudo unique.
• Vous récupérez le token pour joindre l’API et vous le gardez secret.

Récupérer l’IP de chat

Sur votre compte Telegram, vous ajoutez votre nouveau bot comme contact et vous faites un /start. C’est important pour avoir un contenu et pouvoir récupérer l’ID du chat.

Avec votre navigateur ou curl, aller à l’adresse : https://api.telegram.org/bot<YourBOTToken>/getUpdates

Vous aurez un message du genre en json, ce qui nous intéresse est le chat: {"id":XXXXXXX :

{"ok":true,"result":[{"update_id":551184892,
"message":{"message_id":2,"from":{"id":1648779299,"is_bot":false,"first_name":"xxxx","language_code":"fr"},"chat":{"id":XXXXXXXXX,"first_name":"xxxx","type":"private"},"date":1670947477,"text":"/start","entities":[{"offset":0,"length":6,"type":"bot_command"}]}}]}%

Récupérer le script telegram-notification-linux

• Vous récupérez le projet git
• Vous copiez telegram-notification.sh dans /usr/local/bin/ et appliquez un chmod +x
• Vous copiez telegram-notification.conf.example dans /usr/local/etc/telegram-notification.conf
• Vous modifiez telegram-notification.conf pour y ajouter votre accessToken et votre chatID

git clone https://github.com/belgotux/telegram-notification-linux.git
cd telegram-notification-linux/
cp telegram-notification.sh /usr/local/bin/
chmod +x /usr/local/bin/telegram-notification.sh
vim telegram-notification.conf

Utilisation du script de notification Telegram

Voici différents cas d’utilisation et le résultat:

telegram-notification.sh -m "Space disc critic" -t "test" -c
telegram-notification.sh -m "Space disc high" -t "test" -w 
telegram-notification.sh -m "service blabla need attention" -w
telegram-notification.sh -m "simple report"
telegram-notification.sh -m "simple report with title" -t "my title \xF0\x9F\x90\xA2" 

L’article Notification Bot Telegram sous Linux Debian est apparu en premier sur Mon linux.

• Une vitesse d’exécution jusqu’à 2x supérieure
• Compatibilité 64 bits
• Utilisation de la mémoire vive réduit de 2/3

Pour toutes ces raisons, autant en faire profiter notre Owncloud

Vous devez être en Debian 8 Jessie minimum pour suivre ce billet? Vous aurez l’avantage de rester en Debian stable et disposer des améliorations de PHP 7. Si vous êtes sous Debian 9 stretch ou dérivé Ubuntu vous êtes déjà équipé

Guillaume Plessis de Dotdeb met à disposition des paquets PHP 7 pour Debian 8 (Jessie). Pour rappel, on est toujours en PHP 5.6 sous Debian 8 et PHP 7 ne sera ajouté que sous Debian 9. Pour les détails je vous retourne vers son blog.

PHP7 son installation via des dépôts

Ajouter les dépôts si vous faites confiance à Guillaume Plessis :

~# wget -O- https://www.dotdeb.org/dotdeb.gpg | apt-key add -

~# echo "deb http://packages.dotdeb.org jessie all" > /etc/apt/sources.list.d/dotdeb.list

~# apt-get update

Lister tous les paquets de type PHP5 afin de ne pas oublier de module :

~# dpkg -l php5* | egrep '^ii'
ii  php5            5.6.17+dfsg-0+deb8u1 all          server-side, HTML-embedded scripting language (metapackage)
ii  php5-apcu       4.0.7-1              amd64        APC User Cache for PHP 5
ii  php5-cgi        5.6.17+dfsg-0+deb8u1 amd64        server-side, HTML-embedded scripting language (CGI binary)
ii  php5-cli        5.6.17+dfsg-0+deb8u1 amd64        command-line interpreter for the php5 scripting language
ii  php5-common     5.6.17+dfsg-0+deb8u1 amd64        Common files for packages built from the php5 source
ii  php5-curl       5.6.17+dfsg-0+deb8u1 amd64        CURL module for php5
ii  php5-fpm        5.6.17+dfsg-0+deb8u1 amd64        server-side, HTML-embedded scripting language (FPM-CGI binary)
ii  php5-gd         5.6.17+dfsg-0+deb8u1 amd64        GD module for php5
ii  php5-intl       5.6.17+dfsg-0+deb8u1 amd64        internationalisation module for php5
ii  php5-json       1.3.6-1              amd64        JSON module for php5
ii  php5-mcrypt     5.6.17+dfsg-0+deb8u1 amd64        MCrypt module for php5
ii  php5-mysql      5.6.17+dfsg-0+deb8u1 amd64        MySQL module for php5
ii  php5-readline   5.6.17+dfsg-0+deb8u1 amd64        Readline module for php5
ii  php5-sqlite     5.6.17+dfsg-0+deb8u1 amd64        SQLite module for php5

Pour lister rapidement les paquets de PHP 5 à supprimer :

~# dpkg -l php5* | egrep '^ii' | while read i name v a d ; do echo -n "$name " ; done

Vérifier que tous les paquets php7.0 sont dispo avec ce dépôt Debian :

~# apt-get install php7.0 php7.0-apcu php7.0-cgi  php7.0-cli php7.0-curl php7.0-fpm php7.0-gd php7.0-json php7.0-mcrypt php7.0-mysql php7.0-sqlite

On supprime ensuite la liste donnée après vérification que tous ce que vous utilisiez est disponible pour php7.0 :

~# apt-get remove php5 php5-apcu php5-cgi php5-cli php5-common php5-curl php5-fpm php5-gd php5-intl php5-json php5-mcrypt php5-mysql php5-readline php5-sqlite

Installer les paquets correspondants :

~# apt-get install php7.0 php7.0-apcu php7.0-cgi  php7.0-cli php7.0-curl php7.0-fpm php7.0-gd php7.0-json php7.0-mcrypt php7.0-mysql php7.0-sqlite
Reading package lists... Done
Building dependency tree
Reading state information... Done
Note, selecting 'php7.0-sqlite3' for regex 'php7.0-sqlite'
The following packages were automatically installed and are no longer required:
comerr-dev krb5-multidev libapr-memcache0 libblas3gf libdrm-nouveau1a libexiv2-12 libgcrypt11-dev libgd2-xpm libgnutlsxx27 libicu48 libidn11-dev libjpeg8 libkadm5clnt-mit8 libkdb5-6
libkrb5-dev liblcms1 libldap2-dev libmagickcore5 libmagickcore5-extra libmagickwand5 libmpc2 libp11-kit-dev libpango1.0-0 libpthread-stubs0 librsvg2-2 librsvg2-common librtmp0
libssh2-1-dev libssl-doc libtasn1-3-dev libtiff4 libtime-modules-perl python-central python-gnupginterface zlib1g-dev
Use 'apt-get autoremove' to remove them.
The following extra packages will be installed:
php-common php-readline php7.0-common php7.0-opcache php7.0-readline
Suggested packages:
php-user-cache
The following NEW packages will be installed:
php-common php-readline php7.0 php7.0-apcu php7.0-cgi php7.0-cli php7.0-common php7.0-curl php7.0-fpm php7.0-gd php7.0-json php7.0-mcrypt php7.0-mysql php7.0-opcache php7.0-readline
php7.0-sqlite3
0 upgraded, 16 newly installed, 0 to remove and 0 not upgraded.
Need to get 10.0 MB of archives.
After this operation, 44.7 MB of additional disk space will be used.
Do you want to continue? [Y/n]

On installe ensuite le module Apache pour PHP 7 :

~# apt-get install libapache2-mod-php

Vérification de l’installation

Vérifier la version de PHP :

~# php -v
~# /etc/init.d/php7.0-fpm status
[ ok ] php-fpm7.0 is running.

S’il y a encore php5-fmp qui est mis en démarrage :

~# ls -l /etc/rc?.d/*php*
lrwxrwxrwx 1 root root 18 Mar 12 20:40 /etc/rc0.d/K01php5-fpm -> ../init.d/php5-fpm
lrwxrwxrwx 1 root root 20 Mar 12 22:49 /etc/rc0.d/K01php7.0-fpm -> ../init.d/php7.0-fpm
lrwxrwxrwx 1 root root 18 Mar 12 20:40 /etc/rc1.d/K01php5-fpm -> ../init.d/php5-fpm
lrwxrwxrwx 1 root root 20 Mar 12 22:49 /etc/rc1.d/K01php7.0-fpm -> ../init.d/php7.0-fpm
lrwxrwxrwx 1 root root 18 Mar 12 20:58 /etc/rc2.d/S01php5-fpm -> ../init.d/php5-fpm
lrwxrwxrwx 1 root root 20 Mar 12 22:49 /etc/rc2.d/S01php7.0-fpm -> ../init.d/php7.0-fpm
lrwxrwxrwx 1 root root 18 Mar 12 20:58 /etc/rc3.d/S01php5-fpm -> ../init.d/php5-fpm
lrwxrwxrwx 1 root root 20 Mar 12 22:49 /etc/rc3.d/S01php7.0-fpm -> ../init.d/php7.0-fpm
lrwxrwxrwx 1 root root 18 Mar 12 20:58 /etc/rc4.d/S01php5-fpm -> ../init.d/php5-fpm
lrwxrwxrwx 1 root root 20 Mar 12 22:49 /etc/rc4.d/S01php7.0-fpm -> ../init.d/php7.0-fpm
lrwxrwxrwx 1 root root 18 Mar 12 20:58 /etc/rc5.d/S01php5-fpm -> ../init.d/php5-fpm
lrwxrwxrwx 1 root root 20 Mar 12 22:49 /etc/rc5.d/S01php7.0-fpm -> ../init.d/php7.0-fpm
lrwxrwxrwx 1 root root 18 Mar 12 20:40 /etc/rc6.d/K01php5-fpm -> ../init.d/php5-fpm
lrwxrwxrwx 1 root root 20 Mar 12 22:49 /etc/rc6.d/K01php7.0-fpm -> ../init.d/php7.0-fpm

~# update-rc.d php5-fpm remove

~# ls -l /etc/rc?.d/*php*
lrwxrwxrwx 1 root root 20 Mar 12 22:49 /etc/rc0.d/K01php7.0-fpm -> ../init.d/php7.0-fpm
lrwxrwxrwx 1 root root 20 Mar 12 22:49 /etc/rc1.d/K01php7.0-fpm -> ../init.d/php7.0-fpm
lrwxrwxrwx 1 root root 20 Mar 12 22:49 /etc/rc2.d/S01php7.0-fpm -> ../init.d/php7.0-fpm
lrwxrwxrwx 1 root root 20 Mar 12 22:49 /etc/rc3.d/S01php7.0-fpm -> ../init.d/php7.0-fpm
lrwxrwxrwx 1 root root 20 Mar 12 22:49 /etc/rc4.d/S01php7.0-fpm -> ../init.d/php7.0-fpm
lrwxrwxrwx 1 root root 20 Mar 12 22:49 /etc/rc5.d/S01php7.0-fpm -> ../init.d/php7.0-fpm
lrwxrwxrwx 1 root root 20 Mar 12 22:49 /etc/rc6.d/K01php7.0-fpm -> ../init.d/php7.0-fpm

Ensuite un fichier de test contenant ceci pour valider que php fonctionne bien :

<?php phpinfo(); ?>

Et en essayant Owncloud, vous pourriez avoir ceci comme message d’erreur dans le format HTML :

Memcache \OC\Memcache\APC not available for local cache Is the matching PHP module installed and enabled?

C’est du à l’utilisation de memcached si vous l’aviez activé pour accélérer votre serveur.

Après vérification APCu est bien activé, et le problème est ailleurs : changement de nom de classe et des adaptation dans le code de Owncloud 8.2.1.4 sont à faire. Vous pouvez utiliser ce workarround pour php7. Mais également vous pouvez mettre à jour Owncloud vers la 8.2.3 ou passer le cap de la v9.

Vous pouvez faire un test en désactivant le memcache en désactivant la ligne suivant dans le fichier /var/www/owncloud/config/config.php :

'memcache.local' => '\OC\Memcache\APC',

Vous retrouverez votre interface.

Dans mon cas je n’ai pas été plus loin avec memcached car il a trouvé un remplaçant depuis quelques temps…. Il ne reste plus qu’à remplacer votre memcached par redis, qui est un cache plus performant, afin de retrouver un peu de rapidité! J’en parle dans un prochain billet.

Retour rapide sur le gain de Performance de PHP7

Ces graphiques sont pour une application WordPress. Voici le temps de réponse dynamique (bleu clair) et static (bleu foncé). On peut voir une baisse du temps de réponse sur le dernier tiers. Ce n’est pas énorme comme boost mais c’est toujours ça de gagné

Sur le CPU on remarque également une diminution de la charge :

En conclusion, ce remplacement de PHP 5.6 en PHP 7 est bien bénéfique pour mon utilisation (WordPress). Mais je n’ai par contre pas de statistiques valable pour Owncloud car c’est une utilisation personnelle et donc peu de trafic pour une comparaison.

L’article Owncloud – utiliser php7 sous Debian Jessie est apparu en premier sur Mon linux.

$ dpkg --get-selections | grep libapr
libapr1                        install
libaprutil1                    install
libaprutil1-dbd-sqlite3                install
libaprutil1-ldap                install

$ apt-mark hold libapr1
libapr1 passé en figé (« hold »).

$ dpkg --get-selections | grep libapr
libapr1                        hold
libaprutil1                    install
libaprutil1-dbd-sqlite3                install
libaprutil1-ldap                install

L’article Marquer un paquet deb pour ne pas le mettre à jour lors d’un upgrade est apparu en premier sur Mon linux.

[crit] (22)Invalid argument: alloc_listener: failed to get a socket for (empty) Syntax error on line 9 of /etc/apache2/ports.conf: Listen setup failed Action 'start' failed.

Starting web server: apache2no listening sockets available

Invalid argument: alloc_listener: failed to get a socket for 0.0.0.0

Il s’agit d’un problème lié au vserver et la librairie libapr1, utilisée par Apache, qui fait des appels noyau… Ce qui est embêtant pour mon vserver…

Il faut recompiler cette librairie.

Je me suis inspiré du sujet suivant et j’ai eu quelques soucis en chemin : debian – Apache in linux-vserver won’t start, can’t create socket – Server Fault.

Attention que les dépenses sont importantes ~900Mo, veillez à supprimer les paquets de développement par après si c’est un serveur en production.

Réinstaller la libapr1 nécessaire à Apache

$ apt-get install debhelper autoconf autotools-dev uuid-dev doxygen libtool

Pour compiler les sources :

$ apt-get source libapr1
$ tar -xf apr_1.4.6.orig.tar.gz
$ cd apr-1.4.6
$ tar -xf ../apr_1.4.6-3+deb7u1.debian.tar.gz
$ dpkg-buildpackage

Dans mon cas, j’ai eu un souci à la compilation sur le vserver, il y avait besoin de l’environnement /dev/shm, la compilation s’arrêtait sans cela…

if grep -q APR_HAS_POSIXSEM_SERIALIZE.*0 build-i386/include/apr.h ;\
then \
echo "WARNING: This is Linux but configure did not detect POSIX semaphores." ;\
if [ "" = "" ] ;\
then \
echo "ERROR: POSIX semaphores not usable and /dev/shm not mounted." ;\
echo "ERROR: Aborting." ;\
echo "HINT: If you are using pbuilder or cowbuilder, add /dev/shm to BINDMOUNTS" ;\
echo "HINT: in pbuilderrc" ;\
exit 1 ;\
fi ;\
fi
WARNING: This is Linux but configure did not detect POSIX semaphores.
ERROR: POSIX semaphores not usable and /dev/shm not mounted.
ERROR: Aborting.
HINT: If you are using pbuilder or cowbuilder, add /dev/shm to BINDMOUNTS
HINT: in pbuilderrc
make: *** [build-i386/config.status] Erreur 1
dpkg-buildpackage: erreur: debian/rules build a produit une erreur de sortie de type 2

J’ai donc modifié le fichier fstab du vserver dans la configuration du serveur hote :

$ vim /etc/vservers/SERVER/fstab

none    /dev/shm    tmpfs    size=50m,mode=1777    0 0

Et j’ai redémarré le vserver. Pour info, il existe des commandes pour le faire à chaud également.

Après compilation réussie :

$ dpkg -i libapr1_1.4.6-3+deb7u1_i386.deb
$ /etc/init.d/apache2 start
[ ok ] Starting web server: apache2.

Notre serveur Apache démarre correctement

Nettoyage des paquets inutiles

On supprime les paquets qui avaient était nécessaires pour la compilation :

$ apt-get remove debhelper autoconf autotools-dev uuid-dev doxygen libtool && apt-get autoremove && apt-get clean

L’article Apache refuse de démarrer dans un vserver à cause du socket est apparu en premier sur Mon linux.