24
Avr

Plusieurs instances Wapt sur un même serveur

Cet article est une sorte de PoC démontrant la possibilité d’héberger plusieurs instance de Wapt sur un même serveur.
Nous ferons dans cet article une maquette avec deux instances mais il est possible de l’adapter pour augmenter le nombre d’instances.
Wapt est un logiciel de déploiement, de mise à jour et de suppression automatisé de paquetages pour Windows edité par TranquilIT.
Wapt existe en deux versions, enterprise et community. Dans cette article nous aborderons uniquement la version community.

Nous installerons deux instances de wapt nommées wapt-dev et wapt-prod.

Pour arriver à nos fins, nous utiliserons le container docker que j’ai mis à disposition sur le docker hub. Pour simplifier la compréhension de ce PoC, le serveur nginx sera installé directement sur l’hôte et non pas dans un container.

Prérequis :

Nous utiliserons un serveur installé en version minimale de Centos 7
Le serveur doit bien évidemment posséder suffisamment de ram, d’espace disque et de puissance cpu pour supporter l’exécution de deux containers.
Deux enregistrements dns font pointer wapt-dev.be-root.com et wapt-prod.be-root.com sur l’adresse IP de notre serveur.

Configuration initiale du système :

Tout d’abord, nous configurons le firewall :

systemctl enable firewalld --now
firewall-cmd --permanent --add-service http
firewall-cmd --permanent --add-service https

et nous désactivons SELinux :

sed -i 's/enforcing/disabled/g' /etc/selinux/config /etc/selinux/config && setenforce 0

Initialisation des containers

Nous allons maintenant installer Docker et Docker-compose :

yum install -y yum-utils wget
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum install -y docker-ce docker-ce-cli containerd.io
systemctl start docker && systemctl enable docker
wget https://github.com/docker/compose/releases/download/1.25.5/docker-compose-Linux-x86_64 -O /usr/local/bin/docker-compose && chmod +x  /usr/local/bin/docker-compose && rehash

Nous allons créer l’environnement nécessaire lancer les containers ainsi que monter les volumes :

mkdir -p /opt/wapt/compose
mkdir -p /opt/wapt/wapt-prod/nginx /opt/wapt/wapt-prod/html /opt/wapt/wapt-prod/ssl
mkdir -p /opt/wapt/wapt-dev/nginx /opt/wapt/wapt-dev/html /opt/wapt/wapt-dev/ssl

Éditons (et créons) le fichier /opt/wapt/compose/docker-compose.yml :

version: '3'
services:
  wapt-dev:
    image: clamy54/wapt-ce:latest
    hostname: wapt-dev.be-root.com
    container_name: wapt-dev
    privileged: true
    ports:
      - "10080:8080"
    volumes:
      - /sys/fs/cgroup:/sys/fs/cgroup:ro
      - /opt/wapt/wapt-dev/nginx:/etc/nginx
      - /opt/wapt/wapt-dev/html:/var/www/html
      - /opt/wapt/wapt-dev/ssl:/opt/wapt/waptserver/ssl
    environment:
      - DISABLE_NGINX=1
      - WAPT_ADMIN_PASSWORD=passdev

  wapt-prod:
    image: clamy54/wapt-ce:latest
    hostname: wapt-prod.be-root.com
    container_name: wapt-prod
    privileged: true
    ports:
      - "11080:8080"
    volumes:
      - /sys/fs/cgroup:/sys/fs/cgroup:ro
      - /opt/wapt/wapt-prod/nginx:/etc/nginx
      - /opt/wapt/wapt-prod/ssl:/opt/wapt/waptserver/ssl
      - /opt/wapt/wapt-prod/html:/var/www/html
    environment:
      - DISABLE_NGINX=1
      - WAPT_ADMIN_PASSWORD=passprod

Attention, nous sommes en présence d’un fichier au formal Yaml. L’indentation est donc fondamentale.
La variable d’environnement DISABLE_NGINX=1 permet de désactiver nginx dans le container car nous utiliserons un service nginx commun en frontal directement sur l’hôte.
Cette variable permet également de faire écouter le daemon waptserver sur tous les ports et non pas seulement sur le localhost.
La variable d’environnement WAPT_ADMIN_PASSWORD permet de fixer le mot de passe admin de l’instance wapt. Le port 8080 du container wapt-prod sera mappé sur le port 11080 de l’hôte
et le port 8080 du container wapt-dev sera mappé sur le port 10080 de l’hôte.

Nous pouvons ainsi démarrer les containers :

cd /opt/wapt/compose
docker-compose up -d

Installation du frontal nginx

Pour des raisons de cohérence et de droits d’accès aux fichiers, nous allons faire en sorte que l’utilisateur nginx ait les mêmes uid/gid que l’utilisateur nginx à l’intérieur des containers (qui est forcé lors de l’initialisation de ces derniers).

groupadd -g 8080 nginx && useradd -d /var/lib/nginx -g nginx -G nginx -u 8080 -s /sbin/nologin -m nginx && passwd -l nginx

Nous allons maintenant installer nginx :

yum install -y epel-release
yum install -y nginx

Grace aux volumes montés sur l’hôte, nous pouvons ainsi configurer facilement nginx.
Nous allons d’abord copier le fichier nginx.conf depuis l’un des container :

cp /opt/wapt/wapt-prod/nginx/nginx.conf /etc/nginx/

Nous allons ensuite créer un fichier /etc/nginx/conf.d/wapt-prod.conf inspiré du fichier /opt/wapt/wapt-prod/nginx/conf.d/wapt.conf et en y adaptant certains paramètres.

server {
    listen                      80;
    listen                      443 ssl;
    server_name                 wapt-prod.be-root.com;

    ssl_certificate             "/opt/wapt/wapt-prod/ssl/cert.pem";
    ssl_certificate_key         "/opt/wapt/wapt-prod/ssl/key.pem";
    ssl_protocols               TLSv1.2;
    ssl_dhparam                 /opt/wapt/wapt-prod/ssl/dhparam.pem;
    ssl_prefer_server_ciphers   on;
    ssl_ciphers                 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
    ssl_stapling                on;
    ssl_stapling_verify         on;
    ssl_session_cache           none;
    ssl_session_tickets         off;


    #ssl_client_certificate "/opt/wapt/conf/ca-wapt-prod.be-root.com.crt";
    #ssl_crl "None";
    #ssl_verify_client optional;


    gzip_min_length     1000;
    gzip_buffers        4 8k;
    gzip_http_version   1.0;
    gzip_disable        "msie6";
    gzip_types          text/plain text/css application/json;
    gzip_vary           on;

    index index.html;


    location / {
        add_header Cache-Control "store, no-cache, must-revalidate, post-check=0, pre-check=0";
        add_header Pragma "no-cache";
        proxy_set_header X-Real-IP  $remote_addr;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        # be sure these headers are not forwarded
        proxy_set_header X-Ssl-Client-Dn  "";
        proxy_set_header X-Ssl-Authenticated  "";

        client_max_body_size 4096m;
        client_body_timeout 1800;

        location /static {
            alias "/opt/wapt/wapt-prod/html/static";
        }


        location /ssl {
            alias "/opt/wapt/wapt-prod/html/ssl";
        }


        location ~ ^/(wapt/waptsetup-tis.exe|wapt/waptagent.exe|wapt/waptdeploy.exe|sync.json)$ {
            root "/opt/wapt/wapt-prod/html";
        }

        location ~ ^/(wapt/.*|wapt-host/.*|waptwua/.*|wapt-diff-repos/.*)$ {

            root "/opt/wapt/wapt-prod/html";
        }

        location / {
            proxy_set_header X-Real-IP  $remote_addr;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;

            client_max_body_size 4096m;
            client_body_timeout 1800;


            location /add_host_kerberos {
                return 403;
            }


            location /wapt-host/Packages {
                    return 403;
            }

            location / {

                add_header X-Forwarded-List $http_x_forwarded_for;
                add_header X-Remote-IP $remote_addr;
                proxy_pass http://127.0.0.1:11080;
            }

            location /socket.io {
                proxy_http_version 1.1;
                proxy_buffering off;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection "Upgrade";
                proxy_pass http://127.0.0.1:11080/socket.io;
            }
        }
    }
}

Les paramêtres à adapter par rapport au fichier initial présent dans le volume sont les chemins des aliases, le server_name correspondant au vhost, les ports référencés dans les paramètres proxy_pass et les chemins des certificats ssl.

De la même façon, nous pouvons créer un fichier /etc/nginx/conf.d/wapt-dev.conf inspiré du fichier /opt/wapt/wapt-dev/nginx/conf.d/wapt.conf :

server {
    listen                      80;
    listen                      443 ssl;
    server_name                 wapt-dev.be-root.com;

    ssl_certificate             "/opt/wapt/wapt-dev/ssl/cert.pem";
    ssl_certificate_key         "/opt/wapt/wapt-dev/ssl/key.pem";
    ssl_protocols               TLSv1.2;
    ssl_dhparam                 /opt/wapt/wapt-dev/ssl/dhparam.pem;
    ssl_prefer_server_ciphers   on;
    ssl_ciphers                 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
    ssl_stapling                on;
    ssl_stapling_verify         on;
    ssl_session_cache           none;
    ssl_session_tickets         off;


    #ssl_client_certificate "/opt/wapt/conf/ca-wapt-dev.be-root.com.crt";
    #ssl_crl "None";
    #ssl_verify_client optional;


    gzip_min_length     1000;
    gzip_buffers        4 8k;
    gzip_http_version   1.0;
    gzip_disable        "msie6";
    gzip_types          text/plain text/css application/json;
    gzip_vary           on;

    index index.html;


    location / {
        add_header Cache-Control "store, no-cache, must-revalidate, post-check=0, pre-check=0";
        add_header Pragma "no-cache";
        proxy_set_header X-Real-IP  $remote_addr;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        # be sure these headers are not forwarded
        proxy_set_header X-Ssl-Client-Dn  "";
        proxy_set_header X-Ssl-Authenticated  "";

        client_max_body_size 4096m;
        client_body_timeout 1800;

        location /static {
            alias "/opt/wapt/wapt-dev/html/static";
        }


        location /ssl {
            alias "/opt/wapt/wapt-dev/html/ssl";
        }


        location ~ ^/(wapt/waptsetup-tis.exe|wapt/waptagent.exe|wapt/waptdeploy.exe|sync.json)$ {
            root "/opt/wapt/wapt-dev/html";
        }

        location ~ ^/(wapt/.*|wapt-host/.*|waptwua/.*|wapt-diff-repos/.*)$ {

            root "/opt/wapt/wapt-dev/html";
        }

        location / {
            proxy_set_header X-Real-IP  $remote_addr;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;

            client_max_body_size 4096m;
            client_body_timeout 1800;


            location /add_host_kerberos {
                return 403;
            }


            location /wapt-host/Packages {
                    return 403;
            }

            location / {

                add_header X-Forwarded-List $http_x_forwarded_for;
                add_header X-Remote-IP $remote_addr;
                proxy_pass http://127.0.0.1:10080;
            }

            location /socket.io {
                proxy_http_version 1.1;
                proxy_buffering off;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection "Upgrade";
                proxy_pass http://127.0.0.1:10080/socket.io;
            }
        }
    }
}

Nous pouvons ensuite lancer nginx :

systemctl enable nginx --now

En conclusion

Nos deux containers tournent et exposent le service waptserver sur les ports 10080 et 11080 de l’hôte.
Le serveur nginx installé sur l’hôte sera reverse proxy pour ces deux services grâce à des vhosts basés sur le nom.
Grace aux volumes docker montés sur l’hôte, le serveur nginx sera également capable de servir l’ensemble des pages et binaires.
Bien évidemment d’autres possibilités ou implémentations sont possibles (par exemple restreindre l’accès à un vhost, nginx en container, automatiser la génération de la configuration nginx, etc …). Déployer un container supplémentaire est facile et rapide : il suffit de créer l’arborescence pour les volumes, d’ajouter une instance au fichier docker-compose et une fois le container lancé, de générer un nouveau vhost nginx en fonction des fichiers de configurations présent dans les volumes montés de l’instance.

Pour accéder à nos instances wapt, il suffit maintenant de lancer depuis une machine Windows la console wapt. Dans « serveur » renseigner le nom de l’instance désirée (wapt-prod.be-root.com ou wapt-dev.be-root.com), de mettre admin en tant que nom d’utilisateur et de renseigner le mot de passe correpondant à l’instance (passprod ou passdev).

fenetre de connexion wapt

26
Juil

hash : Un utilitaire pour calculer la somme de contrôle d’un fichier

hash est un utilitaire Windows en ligne de commande pour calculer et comparer l’empreinte d’un fichier.

> hash.exe -a sha256 -f php-7.2.8.tar.gz
a0cb9bf2f78498fc090eb553df03cdacc198785dec0818efa7a1804c2b7a8722

Il peut placer la somme de contrôle dans le presse-papier en spécifiant l’argument c et afficher le résultat dans une boîte de dialogue avec l’argument m.

Une entrée est également disponible dans le menu contextuel de l’Explorateur Windows (optionnelle) afin de vérifier rapidement l’empreinte de n’importe quel fichier.

Les algorithmes suivants sont supportés : Adler-32, CRC-32, Gost, MD2, MD4, MD5, Panama, RIPEMD, RIPEMD-128, RIPEMD-160, RIPEMD-256, RIPEMD-320, SHA-0, SHA-1, SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256, SHA-3-224, SHA-3-256, SHA-3-384, SHA-3-512, Tiger, Tiger2, Whirlpool.

hash est un logiciel libre distribué sous licence GPLv3.

21
Sep

A la découverte du Z Shell ….

La plupart des distributions utilise bash comme shell par défaut pour les utilisateurs.
Pourtant il existe d’autres shells et nous allons, dans cette article, découvrir le Z-shell aussi appelé zsh.

Installation :

La distribution utilisée ici est LinuxMint 18 mais, hormis l’installation de zsh, le reste devrait être transposable
à n’importe quelle distribution.

Tout d’abord, il faut installer le paquet zsh :

sudo apt-get install zsh zsh-common

Ensuite, pour changer le shell par défaut de l’utilisateur courant :

chsh -s /usr/bin/zsh

Puis créer un fichier de configuration initial en editant ~/.zshrc :

autoload -Uz compinit
compinit

zstyle ':completion:*' matcher-list 'm:{a-zA-Z}={A-Za-z}' 'r:|[._-]=* r:|=*' 'l:|=* r:|=*'
setopt correctall
autoload -U promptinit
promptinit

bindkey -e
zle -N edit-command-line
bindkey '^xe' edit-command-line
bindkey '^x^e' edit-command-line

HISTSIZE=1000000
SAVEHIST=1000000
HISTFILE="$HOME/.history"
setopt HIST_VERIFY
setopt SHARE_HISTORY
setopt APPEND_HISTORY 
setopt INC_APPEND_HISTORY SHARE_HISTORY  
setopt HIST_IGNORE_ALL_DUPS  
setopt HIST_REDUCE_BLANKS

Quelques fonctionnalités :

Parmi les fonctionnalités qu’offre zsh, vous pouvez éditer facilement le contenu de variables d’environnement avec la commande vared. Par exemple :

vared PATH

La complétion est également très poussée. Par exemple, si vous tapez :

cd /v/log/a

et que vous pressez ensuite la touche tab, zsh var compléter la commande en :

cd /var/log/apt

La complétion fonctionne également à partir de sous-chaines. Par exemple, si vous tapez :

cd urea

suivi d’un appui sur TAB, zsh va compléter en :

cd Bureau

La complétion fonctionne également pour certaines commandes. Par exemple si vous tapez :

kill 

zsh va vous lister les noms des processus et les PID associés.

A noter que si vous exécutez plusieurs sessions zsh simultanément, l’historique des commandes est partagé entre les sessions. Plus besoin donc de savoir dans quel terminal vous avez tapé telle ou telle commande.

zsh permet également de faire du récursif dans les répertoires à l’aide de **. Par exemple la commande :

ls **/toto

va afficher tous les fichiers toto présents dans le répertoire courant et ses sous-répertoires.

Une autre fonctionnalité intéressante est de pouvoir éditer la ligne de commande en cours dans l’éditeur défini par la variable $EDITOR. Pour ceci, il suffit simplement de presser Ctrl+X suivi de Ctrl+E.

Z-Shell permet de créer des aliases suffixes. Par exemple, en insérant dans le .zshrc la ligne :

alias -s log="less -MN"

Ainsi, sous le shell, lorsque vous taperez le nom d’un fichier .log, zsh l’affichera à l’aide de la commande less -MN

 

Encore plus de personnalisation !

 
Nous allons maintenant installer Oh My Zsh qui est un framework permettant d’aller encore plus loin dans la personnalisation de zsh

L’installation se fait de la manière suivante :

sudo apt-get install curl git
sh -c "$(curl -fsSL https://raw.github.com/robbyrussell/oh-my-zsh/master/tools/install.sh)"

L’installation de Oh My Zsh remplace votre .zshrc qui sera renommé en .zshrc.pre-oh-my-zsh

Nous allons maintenant installer le thème powerlevel9k.

Nous allons installer la police inconsolota-awesome. Tout d’abord il nous faut la télécharger :

wget https://github.com/gabrielelana/awesome-terminal-fonts/raw/patching-strategy/patched/Inconsolata%2BAwesome.ttf

Pour l’installer, il suffit d’ouvrir un explorateur de fichier et de cliquer sur le fichier .ttf puis de cliquer sur le bouton installer.

Nous pouvons ensuite installer le thème :

git clone https://github.com/bhilburn/powerlevel9k.git ~/.oh-my-zsh/custom/themes/powerlevel9k

Puis de modifier notre .zshrc :

POWERLEVEL9K_SHORTEN_DIR_LENGTH=2
POWERLEVEL9K_LEFT_PROMPT_ELEMENTS=(os_icon dir vcs)
POWERLEVEL9K_MODE='awesome-patched'
ZSH_THEME="powerlevel9k/powerlevel9k"

Il faut aussi penser à modifier la police utilisée dans le terminal par l’inconsolata awesome medium installée précédemment :

Pour appliquer les modifications, il suffit soit de fermer et réouvrir le terminal, soit de faire un source .zshrc

Nous avons alors le thème powerlevel9k appliqué à zsh ainsi que les extensions fournies par Oh My Zsh :

Dans cet exemple un double appui sur la touche Tab lors d’une complétion de commande permet de naviguer et de sélectionner de manière visuelle le répertoire mdm.
Autre exemple, si vous tapez cd suivi d’appuis sur la fleche du haut, vous naviguerez dans l’historique de toutes les commandes cd qui auront été tapées auparavant.

Le thème Celadon pour WordPress a été créé par Themes Boutique