A l'heure où j'écris ce billet, Debian Stretch est disponible en version RC3, on approche donc de la sortie finale. En faisant des tests en machine virtuelle, je me suis aperçu que le paquet virtualbox-guest-x11 n'était plus disponible, virtualbox non plus d'ailleurs. Pourquoi ce logiciel s'est-il fait éjecter ?
En faisant quelques recherches je suis tombé sur ce thread :
Même si ce n'est pas une communication officielle, voici ce que je comprends :
Oracle ne veut plus fournir de patches ni même d'assistance pour les CVE (failles de sécurité), ils préfèrent que les utilisateurs migrent vers une version plus récente.
Le mainteneur n'a pas la capacité de patcher lui-même VirtualBox, le code étant beaucoup trop complexe.
Virtualbox sort donc des dépôts debian jusqu'à nouvel ordre. Le freeze pour Stretch étant déjà passé, il est peu probable qu'il revienne.
Pour installer VirtualBox sous Debian Stretch la seule solution est donc d'utiliser le dépôt additionnel VirtualBox, fourni par Oracle.
Ansible est un logiciel d'automatisation et de déploiement, il permet de créer des listes de tâches qui peuvent ensuite être jouées sur un ou plusieurs serveurs.
Attention cet article n'est pas un tutoriel (pour cela je vous renvoie vers la documentation officielle), mon but est de faire un petit retour d'expérience et montrer un exemple de projet Ansible.
Pourquoi Ansible ?
Il existe de nombreuses solutions de ce type mais il y a selon moi deux points qui distinguent Ansible : il est simple à prendre en main (excellente documentation et syntaxe yaml humainement lisible) et il ne nécessite pas d'agent pour fonctionner. En effet sur vos cibles, vous avez uniquement besoin de Python et SSH, présents en standard sur quasiment toutes les distributions Linux. Ansible marche aussi avec Windows et FreeBSD.
Pourquoi pas un script Bash / Perl / Python ?
Ben oui, il y a beaucoup de gens qui se sont fait leur propre script afin de configurer rapidement leur serveur. Mais en vrai les scripts c'est pas idéal :
C'est long à développer et ce n'est pas forcément votre métier.
Plus le script est complexe moins il sera lisible.
Le script doit être copié et exécuté à la main sur chaque serveur.
Il se contente d'exécuter une série de commandes sans se soucier du résultat.
Bon courage pour gérer un inventaire centralisé et des variables dynamiques.
Même en documentant votre script, vous serez le seul à comprendre réellement comment il marche.
Qui n'a jamais eu à déboguer un script obscur vieux de 10 ans ?
Ansible est beaucoup plus propre car depuis une unique machine vous gérez votre inventaire de serveurs et vos playbooks dans un même projet. Vous ne vous souciez que du résultat, vous ne demandez pas à ansible de faire un apt-get install curl, vous lui dites juste que le paquet curl doit être présent, à lui de faire en sorte de l'installer si besoin .Et c'est important non seulement car Ansible sait ce qu'il fait, mais il sait aussi le faire plusieurs fois, c'est ce qu'on appelle l'idempotence (sous réserve de ne pas faire n'importe quoi avec les playbooks, bien entendu). Enfin, il y a une énorme communauté d'utilisateurs et beaucoup de modules tiers, on trouve donc toujours des solutions aux problèmes
Exemple d'utilisation
Avertissement : Il y a plusieurs moyens de structurer un projet Ansible, consultez la page Best Practises. L'organisation que j'ai choisi n'engage que moi, vous êtes libre de faire autrement si ça colle mieux à vos besoins !
Voici un exemple de projet Ansible qui utilise un inventaire, des playbooks et des roles. Il sera utilisé pour configurer les nouveaux serveurs fraîchement installés. Objectifs :
Installer une liste de paquets de base
Configurer le /etc/hostname avec le nom du serveur
Configurer la locale fr_FR.UTF-8.
Configurer la timezone Europe/Paris.
Installer Nginx et Php-fpm sur les serveurs web
Tout en étant compatible Debian 8 & Ubuntu 16.04 (les paquets php n'ont pas le même nom !)
J'utilise régulièrement Ansible et maintient des playbooks pour des projets persos et pro, et j'en suis très satisfait. La documentation m'a permis d'être autonome et à l'aise assez vite et m'a même poussé à automatiser plus de choses que nécessaire, comme le déploiement de sites web alors que je pensais me limiter à la stack nginx / php-fpm / letsencrypt.
Même si je suis pleinement convaincu et satisfait par Ansible, je rencontre quand même certaines limitations. Par exemple l'inventaire n'est pas idéal quand on a beaucoup de serveurs et de groupes, ça peut rapidement devenir illisible. Il y a aussi certains modules tels que authorized_key pour lesquels j'aimerai plus de fonctionnalités, en l’occurrence pouvoir utiliser le paramètre 'exclusive' avec plusieurs clés.
Petits conseils en vrac
Ansible évolue vite, utilisez une version récente, disponible dans les backports debian ou via pip.
Le state: present est souvent implicite, vous n'avez donc pas besoin de le mettre, cependant c'est mieux de le faire, pour rendre le playbook plus évident à comprendre.
Pensez à utiliser les variables, pour les URLs ou les numéros de version.
Ne mettez pas de mot de passe ou de credential dans les playbooks, utilisez des variables passées au moment de l'exécution, ou dans un fichier que vous prendrez soin d'exclure si vous utilisez un repo public.
Faites un dry-run pour tester vos playbooks, on ne sait jamais.
Attention au module file et plus particulièrement aux permissions, surtout quand vous travaillez sur des fichiers existants (tels que le resolv.conf).
La commande ansible hostname -m setup vous permet de récupérer tous les 'facts' (OS, version, ip...) d'une cible, ils peuvent être utilisés dans les playbooks.
Testez vos playbooks jusqu'au bout : redémarrez le serveur pour vérifier que les modifications ne sont pas volatiles.
Faites des choses propres et simples. Si vos besoins sont trop variés ou spécifiques, n'utilisez pas Ansible, ou limitez vous au minimum.
La machine sur laquelle vous exécutez Ansible est critique, car en général vous aurez l'accès root without-password à tous vos serveurs, c'est donc un point d'entrée que vous devez sécuriser au maximum.
Conclusion
Si vous souhaitez unifier, accélérer et automatiser vos déploiements ou tout simplement vous initier au devops, Ansible est un outil que je recommande fortement, l'essayer c'est l'adopter.
Windows Update a toujours été d'une lenteur extrême, à se demander s'il ne recompile pas l'intégralité de l'OS à chaque fois, mais il a toujours plus ou moins bien fonctionné. Ce n'est plus vrai depuis l'arrivée de Windows 10 sur le marché et on observe de plus en plus de dysfonctionnements pour Windows 7 : j'en parle dans mon article Complot : Microsoft a-t-il saboté Windows Update sur Windows 7 ?.
Bonne nouvelle, il existe une solution alternative : WSUS Offline Update. Ce logiciel va vérifier, télécharger et installer les mises à jour. L'outil est très léger, ne nécessite pas d'installation, et fonctionne très bien.
Commencez par exécuter UpdateGenerator.exe puis sélectionnez la ou les versions de Windows concernées (Windows 7, 8.1 ou 10) :
Cliquez ensuite sur Start :
Etape 2 : Installation des KB
Le support d'installation des KB est maintenant créé. Dans votre dossier wsusoffline/client, exécutez UpdateInstaller.exe :
Cliquez ensuite sur Start :
A la fin de l'installation, prenez le temps de lire les messages, il est parfois demandé de redémarrer l'ordinateur pour ensuite relancer l'installation de la suite des KB.
Ouvrez les paramètres de votre machine virtuelle, rendez-vous dans "Stockage, et cochez la case "Utiliser le cache E/S de l'hôte". Validez, et profitez de performances largement supérieures, proches du natif. La différence sera d'autant plus flagrante si vous utilisez un disque dur et non un SSD pour le stockage.
Pourquoi cette option n'est-elle pas activée par défaut ? Simplement parce que l'utilisation d'un cache ne permet plus d'assurer la fiabilité d'écriture des données. En effet, si votre PC s'éteint brutalement (coupure de courant), toutes les données en cache qui n'ont pas encore été écrites sur le disque seront perdues. C'est d'ailleurs pour cela qu'on trouve des batteries sur certains contrôleurs matériel RAID des serveurs.
A titre personnel, je recommande de l'utiliser car le risque est plus théorique que pratique, de plus NTFS est très bon pour s'auto réparer en cas de coupure brutale. Et puis le gain de performances est tellement énorme qu'il est difficile de s'en passer après avoir essayé.
EDIT (17-08-2017) : j'ai constaté un effet secondaire, si vous exécutez plusieurs machines virtuelles en même temps il semble se produire un phénomène de saturation du cache. Et lorsque celui-ci se vide, il va provoquer d'énormes lag sur l'hôte. Du coup à vous de jauger pour voir si cela vaut la peine.
Quelques journalistes peu informés ont sauté sur une faille Linux pour tenter de monter un buzz à l'aide d'articles bien putaclicks. En effet il semblerait que le maintient de la touche Entrée au démarrage, sur un système protégé par le chiffrement Luks, permet d'accéder à shell root. Il n'en fallait pas plus pour voir fleurir de nombreux articles :
Mention spéciale pour Tom's Hardware et ses "millions de systèmes Linux" ...
Non, cette faille ne permet pas de contourner le chiffrement
Et heureusement, vous imaginez le malaise si une touche entrée suffit à péter un chiffrement AES ? Cette faille ouvre un shell root, mais les partitions chiffrées restent chiffrées. Donc non, on ne contourne pas le chiffrement.
Elle requiert un accès physique
Et à partir du moment où vous avez l'accès physique à une machine, il existe de nombreux moyens d'ouvrir un shell root. En voici deux exemples :
Booter un LiveCD puis faire un chroot sur le disque
Extraire le HDD et le brancher dans un autre ordinateur, puis utiliser un chroot
Donc c'est tout sauf une nouveauté, et c'est pour ça qu'on met les serveurs dans des salles sécurisées.
Conclusion
C'est un pétard mouillé qui est plus un bug qu'une véritable faille.