Re: [FRsAG] [TECH] Adaptative retry avec Postfix
Bonjour Cyril, Je réponds un peu tardivement à ton email, donc j'imagine que tu as trouvé la réponse depuis. Mais comme je faisais le tour des derniers posts et que j'ai vu que personne n'avait répondu à celui-ci, en bon disciple d'Aristote je me suis dit qu'il fallait combler ce vide car ma nature en a horreur :) La gestion de la retransmission des emails dans positifs est principalement régie par 3 paramètres : - maximal_queue_lifetime : temps de vie de l'email dans la queue - minimal_backoff_time : temps minimum entre 2 tentatives d'envoi - maximal_backoff_time : temps maximum entre 2 tentatives d'envoi Pour faire plus clair, lorsqu'un email est bouncé avec une erreur 4XX, un tentative sera faite après minimal_backoff_time secondes. Ce temps sera ensuite doublé pour la tentative suivante et ainsi de suite, tant que le mail est refusé et ce jusqu'à atteindre la valeur maximal_backoff_time. Par exemple, avec un minimal_backoff_time de 300s, un maximal_backoff_time de 3600s et un maximal_queue_lifetime de 2 jours : - Une tentative d'envoi de l'email va être faite à M-0 - A M+5, une nouvelle tentative sera faite - A M+15, à nouveau - A M+35, à nouveau... et ainsi de suite à M+75, M+135, M+195, M+255, ... - A M+1440, après 28 tentatives, l'email sera mis à la poubelle s'il n'a toujours pas été accepté. A ma connaissance, c'est la seule stratégie utilisée par Postfix, mais c'est déjà bien suffisant à mon avis. Avec ça, tu as l'équivalent du fixed intervals et du geometrically increasing intervals sous Exim. Le mode randomized intervals étant plus une fonctionnalité proposée car elle était facile à développer que quelque chose à vraiment utiliser en production selon moi. La page suivante explique tout ça mieux que moi et en détail : http://www.postfix.org/TUNING_README.html#hammer Florian 2015-03-02 18:55 GMT+01:00 Cyril Feraudet cy...@feraudet.com: Bonjour, Utilisateur et fan d'Exim de longue date je fais ma popote avec la configuration très flexible des retry et les 3 algorithmes (fixed intervals, geometrically increasing intervals et randomized intervals). Dans ma nouvelle vie c'est Postfix qui est utilisé, je fais avec, lui trouve quelques bons côtés mais ne trouve pas de moyen élégant de faire ce que je fais avec Exim et ses retry. Suis-je passé à côté de quelque chose dans la doc ? Faut-il vraiment bidouiller avec les transports pour faire ça par domaines sans pour autant avoir de géométrie dans le temps ? Comment faite vous ? Merci d'avance, Cyril -- Cyril Feraudet http://perfwatcher.org/ https://github.com/perfwatcher/collectm ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Chassis Dell - utilisation des ports série des CMC
Bonjour, Nous avons des chassis Dell (M1000e). Sur les CMC, il y des interfaces séries : quelqu'un ici a-t'il déjà réussi à les exploiter ? Pas moi, comme pour le KVM : même pas essayé ! Je pense par exemple pour y brancher un switch... Je crois plutôt que ces ports séries sont prévus pour mettre en cascade les chassis. Il ne me semble pas qu'ils puissent servir à autre chose. Cela permet d'avoir une archi comme ça : CHASSIS 3 --[DB9]-- CHASSIS 2 --[DB9]-- CHASSIS 1 --[RJ45]-- switch C'est surtout utile si tu manques de place sur tes switchs. Florian ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Chassis Dell - utilisation des ports série des CMC
Du coup j'ai regardé la doc. Je crois plutôt que ces ports séries sont prévus pour mettre en cascade les chassis. Non, ça c'est la raison pour laquelle il y a deux ports GB sur chaque CMC. Voir le paragraphe Daisy-chain CMC Network Connection ici : http://support.euro.dell.com/support/edocs/software/smdrac3/cmc/cmc1.0/en/ug/html/install.htm#wp1181233 Le port série est en fait comme un port série sur un switch... On peut s'en servir pour configurer (et autres fonctions) la CMC : Support for serial console and RACADM CLI commands including system boot, reset, power-on, and shutdown commands Support for binary interchange for applications specifically designed to communicate with a binary protocol to a particular type of IOM Serial port can be switched to IOMs using the connect command Voir le paragraphe Supported Remote Access Connections ici : http://support.euro.dell.com/support/edocs/software/smdrac3/cmc/cmc1.0/en/ug/html/overview.htm#wp1183382 David Effectivement, ça plus de sens. C'était un vieux souvenir, mais comme tout souvenir il a été altéré avec le temps... Florian ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Optimisation architecture Web / Retour d'experience ?
Désolé, mais ce serait une annerie: depuis l'introduction des patchs hérités du projet web100.org dans le kernel (quelque-part vers le 2.6.16), celui ci affine ces réglages tout seul. Sauf besoin très spécifique, il est peu recommandé de repasser par dessus, cela risquerait de dégrader les performances. Avez-vous des références sur l'intégration de ces patchs dans le kernel et les optimisations qu'ils permettent ? Le site de web10g.org, successeur de web100.org semble dire que les patchs ne sont pas intégrés dans le kernel, mais qu'il doivent être appliqués manuellement. Florian ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Conservation et protection des fichiers de log
Bonjour, Merci à tous pour vos réponses, en particulier à Yann Richard pour le lien qu'il a communiqué vers des vidéos de conférences traitant du sujet. Pour résumer ce que j'ai retenu de ce domaine très complexe, tout le monde n'est pas d'accord et chaque organisme en jeu tire la couverture de son côté. Il semble qu'il faille trouver un bon compromis. Ce qui suit ne concerne que les logs de services web, smtp, etc... Il ne s'agit pas d'accès à Internet ou de surveillance vidéo pour lesquels les règles/lois sont différentes. Pour être en conformité avec la CNIL, il faut définir une politique de gestion des logs qui répond à deux questions : - quelles sont les types de traces conservées et pendant quelle durée - quelles sont les finalités du traitement de ces traces La durée de conservation doit être cohérente avec la finalité qu'on en a. Ainsi, il est recommandé d'avoir 2 containers de logs associés à 2 politiques différentes : - 1 container avec une durée de conservation de 3 mois maximum pour usage interne des logs (supervision, analyse d'attaques, ...) - 1 container avec une durée de conservation d'1 an maximum à présenter en cas d'injonction judiciaire D'un point de vue technique, il est nécessaire d'avoir ses serveurs à l'heure et tout défaut doit être loggé. Il est également requis/bon de mettre en place un système d'empreinte des fichiers de log pour s'assurer qu'ils n'ont pas été altérés. Dans le cas contraire, les logs pourraient ne pas être une preuve valide. Les logs doivent être conservés dans un endroit sécurisé. Cela ne veut pas forcément dire un coffre fort, mais simplement un endroit où l'on pourra prouver que la personne qui y a accédé sans autorisation a du passer des barrières difficiles à franchir pour le faire et donc qu'elle était consciente de ce qu'elle faisait. De même, les personnes ayant accès aux logs dans le cadre de leur travail doivent être sensibilisés au fait qu'ils travaillent sur des données personnelles et que celles ci ne doivent pas être copiées/diffusées/altérées... En aucun cas les logs ne doivent servir à autre chose que ce à quoi ils sont destinés. Par exemple, un admin système n'a pas le droit d'analyser les logs pour savoir si une personne contacte régulièrement une autre personne par mail si les logs ne servent normalement qu'à faire des statistiques sur les différents SMTP contactés par le serveur smtp. Maintenant, très honnêtement, il peut y avoir des avis contraires. Un avocat a fait une remarque pertinente en disant que la CNIL ne faisait pas la loi, mais que la loi faisait la CNIL. Donc, ce qui est dans la loi ne peut être remis en question par la CNIL. La notion de logs n'existant pas dans la loi, ça devient difficile de savoir quelle est leur législation. Si vous avez d'autres avis sur la questions, je reste preneur de vos remarques. Florian Coulmier ___ Liste de diffusion du FRsAG http://www.frsag.org/
[FRsAG] Conservation et protection des fichiers de log
Bonjour, C'est vendredi, mais ceci n'est pas un troll. Certains d'entre vous ont-ils déjà eu une réflexion sur la conservation des logs (en particulier, des logs mail) dans le respect de la loi française ? D'un côté, il me semble que toute entreprise est tenue de conserver ses logs un certain temps (combien ?) et de pouvoir les présenter en cas de demande ou contrôle. D'un autre côté, la CNIL indique qu'une adresse email (donc contenue dans les logs mail) est une donnée privée et que cela doit être protégé. Comment faites-vous pour concilier ces deux obligations qui semblent opposée à priori ? Florian ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Mail rejetés par les smtp d'Orange
Bonjour, Nous avons des mails rejetés sur les SMTP d'Orange avec ce message d'erreur plutôt énigmatique : host smtp.wanadoo.fr[80.12.242.62] said: 550 5.2.0 Mail rejete. Mail rejected. OFR_506 [506] (in reply to end of DATA command)) Ce type de message arrive lorsque le contenu du mail est rejeté par les nouveaux serveurs mail d'Orange. D'expérience, la réputation de l'IP n'intervient pas sur ce type de retour, mais seulement le contenu du mail. Il s'agit parfois d'un mot clé qui n'est pas aimé (par exemple les mots de, via, pour dans le From du mail). Je te conseille d'insister avec le service postmaster d'orange. Ils ont possibilité de te débloquer. Florian ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Stockage de fichiers en masse
Que faîte vous chez vous ? Au risque de dire une évidence, as-tu bien mis l'option noatime au montage de ta partition. Le gain en performance est assez phénoménale lorsqu'il y a beaucoup de lecture sur les fichiers. Florian ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Partage de sessions cluster Apache/PHP (Sharedance?)
Salut Benjamin, Personnellement j’ai déjà testé Memcached + repcached qui fonctionnait pas mal. http://memcached.org/ http://repcached.sourceforge.net/ Le principe, tu mets un daemon sur 2 serveurs (au choix sur les frontaux PHP ou sur les back MySQL) et tu mets en place une réplication croisée entre les 2. Tu fais ensuite pointer tes sessions PHP sur les 2 serveurs memcached. En revanche, pas de nouvelle version de repcached depuis pas mal de temps. Le support s’est arrêté à la version 1.2 de Memcached. Enfin, quelque soit la solution choisie, tu sera toujours embêté par les framework PHP qui redéfinissent eux même la gestion des sessions. Et il y en a pas mal qui le font… Florian From: frsag-boun...@frsag.org [mailto:frsag-boun...@frsag.org] On Behalf Of [WHD-RS] Benjamin SCHILZ Sent: Thursday, December 09, 2010 9:41 AM To: frsag@frsag.org Subject: [FRsAG] Partage de sessions cluster Apache/PHP (Sharedance?) Bonjour à tous, Je suis entrain de revoir le partage de sessions sur un cluster web Debian/Apache/PHP qui actuellement fonctionne de la façon suivante : Filer1 (master) : « Tmpfs de 2 Go » NFS (vip) Nodes (Keepalived) Filer2 (slave) : « Tmpfs de 2 Go » NFS (vip) Nodes Suite à différentes bascules ça ne fonctionne pas toujours très bien (freeze du montage, …). Je suis entrain de regarder ce qu’on pourrait faire pour améliorer ça, j’ai lu pas mal de choses sur Sharedance, je l’ai testé ça fonctionne plutôt pas mal du tout, mais dur de l’évaluer en conditions de prod. De plus il n’y a pas de nouvelles versions depuis 2006, traduction c’est super fiable/mature ou ce n’est plus développé ? Autre question le fait de redéfinir la gestion des sessions dans PHP via un auto_prepend_file, ça ne pose pas de soucis sur certaines applications ? J’ai regardé un peu PHPDance qui permettrait de faire de la redondance de Sharedance, pour le moment mes tests ne sont pas très concluants. Si quelqu’un a une expérience de Sharedance ou une meilleure solution ;) Bonne journée, Benjamin SCHILZ WHD-RS SARL ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Chance de reboot du chassis Blade Dell ?
Je confirme, suite à un problème de mise à jour de firmware, j'ai déjà eu à retirer et ré-insérer une des deux cartes de management : aucun problème. La personne du support Dell m'a dit que le châssis pouvait continuer à fonctionner même avec les deux cartes retirées (mais je me suis pas amusé à le faire). Je confirme également. En revanche, de mémoire, la CMC met assez longtemps à démarrer complètement. Il faut attendre presque 10 minutes pour être sûr qu'elle soit bien démarrée. J'ai également testé sur un nouveau chassis de retirer les 2 CMC. Pas de coupure des lames. Mais je ne conseille quand même pas de le faire... on ne sait jamais... Florian ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] [RESOLU] truc de dingue, mail from hotmail to IN A avant IN MX
Bonjour, J'ai déjà eu un problème similaire avec hotmail, mais dans une configuration bien particulière : mondomaine.com IN A 1.1.1.1 mondomaine.com IN MX 100 mx.mondomaine.com mx.mondomaine.com IN A 1.1.1.2 www.mondomaine.com IN A 1.1.1.3 mail.mondomaine.com IN CNAME www.mondomaine.com mail.mondomaine.com IN MX 100 mx.mondomaine.com Avec cette configuration, hotmail n'utilise pas le MX de mail.mondomaine.com pour envoyer des mails au sous-domaine mail.mondomaine.com, mais l'adresse IP de www.mondomaine.com. En gros, le CNAME prend le pas sur le MX. J'avoue ne pas avoir épluché les RFCs suffisamment dans le détail pour savoir si ce comportement est normal. Mais c'est intéressant à savoir. Florian -Original Message- From: frsag-boun...@frsag.org [mailto:frsag-boun...@frsag.org] On Behalf Of Radu-Adrian Feurdean Sent: Saturday, October 23, 2010 4:03 PM To: French SysAdmin Group; French SysAdmin Group Subject: Re: [FRsAG] [RESOLU] truc de dingue, mail from hotmail to IN A avant IN MX On Fri, 22 Oct 2010 23:03:56 -0500, neo futur neofu...@ww7.be said: followup : http://gw.gd/badmail http://twitter.com/#!/neofutur/status/28467596288 N hesitez pas a en rajouter une couche, c est vraiment une honte, tant au niveau du non respect des RFC , qu au niveau de la non gestion du probleme par microsoft depuis des annees Je sais pas, mais quand je lis avec attention tous les posts du thread en question je me dis que la situation n'est pas si mauvaise que ca: - si j'essaye de m'envoyer des e-mails sur ma propre addresse en utilisant le A avant le MX, ca ne passe pas (relaying denied). - si je check mon Inbox, je trouve bien des @hotmail.com. Ils viennent bien d'Hotmail. Pour la plupart j'aurais prefere qu'ils viennent pas. - ils parlent la-bas des cas bien particuliers, ou le destinataire semble avoir eu (lui aussi) des problemes - en lisant attentivement entre le lignes, on voit M$FT reconnaitre avoir eu eux aussi des problemes, lies a la resolution DNS (et non pas au respect ou non des RFC). Je n'ai pas forcement envie de defendre M$FT/Hotmail, mais quand on envoie le milliard d'emails par jour(*), il y a forcement des problemes. Vous vous rendez probablement pas compte des implications d'une peteite erreur DNS qui finit dans des caches/resolvers des FAI/FSI 1000 fois plus grands que vous. (*)pour ceux qui ne me connaissent pas encore, je travaille pour une petite societe qui envoie ~100 millions d'email par jour (petite : CA 50 MEUR). Pour plus de details consultez la base RIPE. -- Radu-Adrian Feurdean raf (a) ftml ! net ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] DSR sur du HTTPS ?
Et pourquoi ne pas faire un fail over entre les nodes directement, en évitant de passer par un LB? Il n'y a pas que Heartbeat pour cela :). Perso, selon les usages, j'apprécie énormément KeepAlived :). A ma connaissance, KeepAlived est un load-balancer... ___ Liste de diffusion du FRsAG http://www.frsag.org/