{"id":486,"date":"2020-09-13T20:56:51","date_gmt":"2020-09-13T18:56:51","guid":{"rendered":"https:\/\/homepages.lcc-toulouse.fr\/colombet\/?p=486"},"modified":"2021-06-21T07:22:32","modified_gmt":"2021-06-21T05:22:32","slug":"debian-nas-san-open-source-avec-support-zfs","status":"publish","type":"post","link":"https:\/\/homepages.lcc-toulouse.fr\/colombet\/debian-nas-san-open-source-avec-support-zfs\/","title":{"rendered":"debian – NAS\/SAN open source avec support ZFS"},"content":{"rendered":"

\"nas\"<\/p>\n

Ces derni\u00e8res ann\u00e9es, le secteur qui a connu d’importantes \u00e9volutions est celui du stockage de donn\u00e9es. Le volume, la vitesse, les techniques de stockage et pour surtout les prix. HDD, RAID, cloud, NAS, SAN, iSCSI, … sont le vocabulaire couramment utilis\u00e9 par nos revendeurs. Dans ce tutoriel, nous nous int\u00e9resserons ici \u00e0 la mise en place d’un NAS (Network-Attached Storage) open source \u00ab made in home \u00bb a base de distribution Debian 10 et du syst\u00e8me de fichier ZFS<\/a>. Je d\u00e9taillerai ici la construction du pool de stockage, l’installation du service Samba coupl\u00e9 \u00e0 des snapshots et pour terminer un pseudo PRA via l’export zrepl du stockage vers un serveur tiers.<\/p>\n

<\/p>\n

Pr\u00e9requis mat\u00e9riels<\/h1>\n

Pour ce tutoriel j’utilise une machine type KVM sur un cluster Proxmox. Voici un exemple de configuration :<\/p>\n

\"2021-04-08<\/p>\n

ZFS depuis Debian Buster 10<\/h1>\n

\u00c0 partir de votre Debian 10 fra\u00eechement install\u00e9e, v\u00e9rifier et ajouter le d\u00e9p\u00f4t backports<\/p>\n

vi \/etc\/apt\/sources.list\n...\n###############################################\n## buster\ndeb http:\/\/deb.debian.org\/debian\/ buster main contrib non-free\ndeb-src http:\/\/deb.debian.org\/debian\/ buster main contrib non-free\n\n## buster security\ndeb http:\/\/deb.debian.org\/debian-security\/ buster\/updates main contrib non-free\ndeb-src http:\/\/deb.debian.org\/debian-security\/ buster\/updates main contrib non-free\n\n## buster update\ndeb http:\/\/deb.debian.org\/debian\/ buster-updates main contrib non-free\ndeb-src http:\/\/deb.debian.org\/debian\/ buster-updates main contrib non-free\n\n## buster backports\ndeb http:\/\/deb.debian.org\/debian buster-backports main contrib non-free\ndeb-src http:\/\/deb.debian.org\/debian buster-backports main contrib non-free\n...\n<\/code><\/pre>\n
Mettre \u00e0 jour votre syst\u00e8me et installer les paquets n\u00e9cessaires \u00e0 la prise en charge de ZFS pour debian<\/p>\n
apt update\napt install linux-headers-`uname -r` -y\napt install -t buster-backports dkms spl-dkms -y\napt install -t buster-backports zfs-dkms zfsutils-linux -y\n<\/code><\/pre>\n
D\u00e9terminer la taille maximale de l’ARC (Adaptive Replacement Cache) ZFS. Par d\u00e9faut, c’est 75 % de m\u00e9moire sur les syst\u00e8mes dot\u00e9s de moins de 4 Go de m\u00e9moire. Vous pouvez vous aider de cette calculatrice : http:\/\/www.matisse.net\/bitcalc\/<\/a><\/p>\n
\u00c9diter ensuite le fichier \/etc\/modprobe.d\/zfs.conf<\/em><\/p>\n
# vi \/etc\/modprobe.d\/zfs.conf\n<\/code><\/pre>\n
Quelques exemples en fonction de votre m\u00e9moire disponible<\/p>\n
#96Go\noptions zfs zfs_arc_max=103079215104\n#80Go\noptions zfs zfs_arc_max=85899345920\n#50Go\noptions zfs zfs_arc_max=53687091200\n#40Go\noptions zfs zfs_arc_max=42949672960\n#30Go\noptions zfs zfs_arc_max=32212254720\n#24Go\noptions zfs zfs_arc_max=25769803776\n#16Go\noptions zfs zfs_arc_max=17179869184\n<\/code><\/pre>\n
Apr\u00e8s le reboot de votre debian, v\u00e9rifier la prise en compte des xxGo<\/em> en visualisant la consommation de l’ARC<\/p>\n
# arc_summary -p 1\n...\nTarget size (adaptive):                       100.0 %   XX.0 GiB\n...\n<\/code><\/pre>\n
Afin de construite le pool ZFS et \u00e9viter d’utiliser le nom des disques sous le format sdx<\/strong> car en cas de panne d’un, la num\u00e9rotation va changer au red\u00e9marrage. Nous allons privil\u00e9gier l’utilisation des num\u00e9ros s\u00e9ries. Pour cela, visualiser les disques par ID :<\/p>\n
ls -lh \/dev\/disk\/by-id\/\nscsi-0QEMU_QEMU_HARDDISK_drive-scsi0\nscsi-0QEMU_QEMU_HARDDISK_drive-scsi1\nscsi-0QEMU_QEMU_HARDDISK_drive-scsi2\n<\/code><\/pre>\n
Cr\u00e9ation du pool tank en mode raidz \u00e9quivalent au raid1 ()<\/p>\n
zpool create tank -o ashift=12 raidz scsi-0QEMU_QEMU_HARDDISK_drive-scsi0 scsi-0QEMU_QEMU_HARDDISK_drive-scsi1 scsi-0QEMU_QEMU_HARDDISK_drive-scsi2\n<\/code><\/pre>\n
Cr\u00e9ation du volume home et timemachine sur le pool tank<\/p>\n
zfs create -o casesensitivity=mixed -o xattr=sa -o dnodesize=auto tank\/home\nzfs create -o xattr=sa -o dnodesize=auto tank\/timemachine\n<\/code><\/pre>\n
Lister le r\u00e9sultat des commandes pr\u00e9c\u00e9dentes<\/p>\n
zfs list\nNAME        USED  AVAIL     REFER  MOUNTPOINT\ntank        155K   965G     30.6K  \/tank\ntank\/home  30.6K   965G     30.6K  \/tank\/home\ntank\/timemachine  30.6K   965G     30.6K  \/tank\/timemachine\n<\/code><\/pre>\n
Changer le point de montage des volumes home et timemachine<\/p>\n
zfs set mountpoint=\/home tank\/home\nzfs set mountpoint=\/timemachine tank\/timemachine\nzfs mount -a\n<\/code><\/pre>\n
Lancer un scrub<\/p>\n
zpool scrub tank \n<\/code><\/pre>\n
Arr\u00eater un scrub<\/p>\n
zpool scrub -s tank\n<\/code><\/pre>\n
Dans le cadre de l’utilisation du NFS, CIFS et \u00e9ventullement de l’iSCSI il est recommand\u00e9 de changer les propri\u00e9t\u00e9s du pool tank comme indiqu\u00e9 (Docs Oracle Propri\u00e9t\u00e9s ZFS<\/a>)<\/p>\n
Activer les acls posix (getfacl, setfacl) :<\/p>\n
zfs set acltype=posixacl tank     \n<\/code><\/pre>\n
Stocker les attributs \u00e9tendus dans les inodes afin d’obtenir plus d’IO :<\/p>\n
zfs set dnodesize=auto tank\nzfs set xattr=sa tank\n<\/code><\/pre>\n
D\u00e9sactiver la d\u00e9duplication<\/p>\n
zfs set dedup=off tank\n<\/code><\/pre>\n
Activer la compression<\/p>\n
zfs set compression=lz4 tank\n<\/code><\/pre>\n
Pour de la performance<\/p>\n
zfs set atime=off tank\nzfs set sync=disabled tank\n<\/code><\/pre>\n
Au cours d’une op\u00e9ration chmod, les ACE autres que owner@, group@ ou everyone@ ne sont modifi\u00e9s d’aucune mani\u00e8re. Les ACE owner@, group@ ou everyone@ sont d\u00e9sactiv\u00e9s afin de d\u00e9finir le mode de fichier comme demand\u00e9 par l’op\u00e9ration chmod.<\/p>\n
zfs set aclinherit=passthrough tank\n<\/code><\/pre>\n
Visualiser les propri\u00e9t\u00e9s modifi\u00e9es sur le pool tank<\/p>\n
zfs get acltype tank\nzfs get casesensitivity tank\nzfs get dnodesize tank\nzfs get xattr tank\nzfs get dedup tank\nzfs get compression tank\nzfs get atime tank\nzfs get sync tank\nzfs get aclinherit tank\n<\/code><\/pre>\n
R\u00e9initialiser les propri\u00e9t\u00e9s modifi\u00e9es sur le pool tank \u00e0 la valeur d’origine<\/p>\n
# zfs inherit -Sr xattr tank\/home\n# zfs inherit -Sr dnodesize tank\/home\n<\/code><\/pre>\n
Visualiser toutes les valeurs locales modifi\u00e9es pour un tank<\/p>\n
# zfs get -s local all\n<\/code><\/pre>\n
Acquitter une erreur disque sur votre pool tank<\/p>\n
zpool clear tank scsi-0QEMU_QEMU_HARDDISK_drive-scsi0\nzpool status\n<\/code><\/pre>\n
Remplacement automatique disques d\u00e9fectueux dans le pool tank si un disque de spare est pr\u00e9sent<\/p>\n
zpool set autoreplace=on tank\n<\/code><\/pre>\n
Activer les notifications mail pour ZFS<\/p>\n
# apt install zfs-zed\n# vi \/etc\/zfs\/zed.d\/zed.rc\n<\/code><\/pre>\n
Activer imm\u00e9diatement SWAP on ZFS<\/p>\n
sysctl -w vm.swappiness=10\n<\/code><\/pre>\n
Activer SWAP on ZFS de mani\u00e8re persistante<\/p>\n
vi \/etc\/sysctl.conf\n\n# JEROME ZFS\n# vm.swappiness = 0 The kernel will swap only to avoid an out of memory condition\n# vm.swappiness = 1 Minimum amount of swapping without disabling it entirely\n# vm.swappiness = 10 This value is sometimes recommended to improve performance when sufficient memory exists in a system\n# vm.swappiness = 60 The default value\n# vm.swappiness = 100|The kernel will swap aggressively\n# https:\/\/pve.proxmox.com\/wiki\/ZFS_on_Linux\nvm.swappiness = 10\n<\/code><\/pre>\n
Rebooter le serveur pour prendre en compte tous les param\u00e8tres ZFS<\/p>\n
reboot\n<\/code><\/pre>\n
Smartmontools<\/h2>\n
G\u00e9rer l’\u00e9tat du smart de vos disques<\/p>\n
apt install smartmontools\nsmartctl -A \/dev\/disk\/by-id\/scsi-0QEMU_QEMU_HARDDISK_drive-scsi0\nsmartctl -t short \/dev\/disk\/by-id\/scsi-0QEMU_QEMU_HARDDISK_drive-scsi0\nsmartctl -t long \/dev\/disk\/by-id\/scsi-0QEMU_QEMU_HARDDISK_drive-scsi0\nsmartctl -l selftest \/dev\/disk\/by-id\/scsi-0QEMU_QEMU_HARDDISK_drive-scsi0\n<\/code><\/pre>\n
Paquets deb requis pour construire votre NAS<\/h2>\n
# apt install vim logwatch apticron screen git lshw unzip tree lwatch dirmngr multiarch-support net-tools python-setuptools ncdu iptraf iptraf-ng iotop iftop htop locate sudo nmap dnsutils ncdu lnav rsync ufw nfs-common ifenslave-2.6\n<\/code><\/pre>\n
V\u00e9rifier la nom pr\u00e9sence de fichier en rc<\/p>\n
# dpkg --list |grep \"^rc\"\n# dpkg --list |grep \"^rc\" | cut -d \" \" -f 3\n<\/code><\/pre>\n
Tuning de la VM<\/h1>\n
Pydf<\/h2>\n
Remplacer l’afficher df par pydf (https:\/\/github.com\/k4rtik\/pydf-pypi<\/a>)<\/p>\n
# wget http:\/\/kassiopeia.juls.savba.sk\/~garabik\/software\/pydf\/pydf_12_all.deb\n# dpkg -i pydf_12_all.deb\n<\/code><\/pre>\n
DF : ancien affichage<\/p>\n
# df\nFilesystem      Size  Used Avail Use% Mounted on\nudev            7.9G     0  7.9G   0% \/dev\ntmpfs           1.6G   11M  1.6G   1% \/run\n\/dev\/vda2        33G  2.7G   29G   9% \/\ntmpfs           7.9G     0  7.9G   0% \/dev\/shm\ntmpfs           5.0M     0  5.0M   0% \/run\/lock\ntmpfs           7.9G     0  7.9G   0% \/sys\/fs\/cgroup\n\/dev\/vda1       511M  5.2M  506M   2% \/boot\/efi\ntank            3.6G  128K  3.6G   1% \/tank\ntank\/home       3.6G  128K  3.6G   1% \/tank\/home\n<\/code><\/pre>\n
# alias df='pydf'\n<\/code><\/pre>\n
DF : nouvel affichage<\/p>\n
# df\nFilesystem  Size  Used Avail Use%                                       Mounted on\n\/dev\/vda2    33G 2728M   28G  8.1 [###................................] \/\n\/dev\/vda1   511M 5240k  506M  1.0 [...................................] \/boot\/efi\ntank       3622M  128k 3622M  0.0 [...................................] \/tank\ntank\/home  3622M  128k 3622M  0.0 [...................................] \/tank\/home\n<\/code><\/pre>\n
Zfstui<\/h2>\n
Ajouter une interface zfs en CLI pour la gestion de votre ZFS (https:\/\/github.com\/volkerp\/zfstui<\/a>)<\/p>\n
# apt install python3-setuptools\n# cd \/opt\n# git clone https:\/\/github.com\/volkerp\/zfstui.git\n# cd \/opt\/zfstui\n# python3 setup.py install\n# zfstui\n<\/code><\/pre>\n
\"\"<\/p>\n
\"\"<\/p>\n
Postfix<\/h2>\n
# apt install postfix -y\n# apt remove --purge exim4-base exim4-config exim4-daemon-light libevent-2.1-6 libgnutls-dane0 libunbound8\n<\/code><\/pre>\n
echo -e 'mondomaine.fr' &gt; \/etc\/mailname &amp;&amp; more \/etc\/mailname \n<\/code><\/pre>\n
# vi \/etc\/postfix\/main.cf\n\n# See \/usr\/share\/postfix\/main.cf.dist for a commented, more complete version\n\nsmtpd_banner = $myhostname ESMTP $mail_name (Debian\/GNU)\nbiff = no\n\n# appending .domain is the MUA's job.\nappend_dot_mydomain = no\n\n# Uncomment the next line to generate \"delayed mail\" warnings\n#delay_warning_time = 4h\n\nalias_maps = hash:\/etc\/aliases\nalias_database = hash:\/etc\/aliases\nmydestination = localhost.localdomain, localhost\nrelayhost = smtp.mondomaine.fr\nmynetworks = 127.0.0.0\/8\ninet_interfaces = loopback-only\nrecipient_delimiter = +\n\nmyorigin = \/etc\/mailname\nmailbox_size_limit = 0\ninet_protocols = ipv4\ncompatibility_level = 2\n<\/code><\/pre>\n
Relancer le service Postfix<\/p>\n
# \/etc\/init.d\/postfix restart\n<\/code><\/pre>\n
Logrotate<\/h2>\n
Param\u00e9trage du logrotate avec sortie mail<\/strong> et d\u00e9tail des logs a High<\/strong><\/p>\n
cp \/etc\/logrotate.conf \/etc\/logrotate.conf.ori\nsed -i 's\/rotate 4\/rotate 52\/g' \/etc\/logrotate.conf\nsed -i 's\/#compress\/compress\/g' \/etc\/logrotate.conf\n<\/code><\/pre>\n
Vim<\/h2>\n
ajout copier\/coller avec la souris dans vim<\/p>\n
echo -e 'set mouse-=a\\nsyntax on' &gt; \/root\/.vimrc\n<\/code><\/pre>\n
Logwatch<\/h2>\n
sed -i 's\/Output = stdout\/Output = mail\/g' \/usr\/share\/logwatch\/default.conf\/logwatch.conf\nsed -i 's\/Detail = Low\/Detail = High\/g' \/usr\/share\/logwatch\/default.conf\/logwatch.conf\nlogwatch\n<\/code><\/pre>\n
Rsyslog<\/h2>\n
Si vous souhaitez centraliser et envoyer vos logs avec un format compatible pour Grafana<\/p>\n
# vi \/etc\/rsyslog.d\/grafana.conf\n\n$template MyFormat,\"%HOSTNAME% %$YEAR%-%$MONTH%-%$DAY% %timegenerated:::date-hour%:%timegenerated:::date-minute%:%timegenerated:::date-second% %HOSTNAME% %syslogseverity-text% %syslogtag:R,ERE,1,FIELD:([a-zA-Z\\\/]+)(\\[[0-9]{1,5}\\])*:--end%%msg%\\n\"\n\n*.* @192.168.0.100:514;MyFormat\n<\/code><\/pre>\n
Xymon<\/h2>\n
Si vous utilisez un serveur xymon vous devez installer le client :<\/p>\n
# apt install xymon-client hobbit-plugins\n192.168.0.100\n<\/code><\/pre>\n
Le fichier apt_no_repo_accept permet de faire des exceptions sur des paquets pr\u00e9cis<\/p>\n
# touch \/etc\/xymon\/apt_no_repo_accept &amp;&amp; more \/etc\/default\/xymon-client\n<\/code><\/pre>\n
Unattended-Upgrade<\/h2>\n
Mise \u00e0 jour automatique de votre syst\u00e8me<\/p>\n
apt install unattended-upgrades\ndpkg-reconfigure unattended-upgrades\nunattended-upgrade -d\n<\/code><\/pre>\n
Motd<\/h2>\n
Si vous souhaitez avoir un motd sympathique (https:\/\/fr.wikipedia.org\/wiki\/FIGlet<\/a>)<\/p>\n
rm \/etc\/update-motd.d\/10-uname\ncp \/etc\/motd \/etc\/motd.ori\n0&gt;\/etc\/motd\napt install figlet python-apt -y\n<\/code><\/pre>\n
cd \/usr\/share\/figlet\/\nwget https:\/\/raw.githubusercontent.com\/xero\/figlet-fonts\/master\/ANSI%20Shadow.flf\nmv ANSI\\ Shadow.flf ANSI-Shadow.flf\ncd \/etc\/update-motd.d\n<\/code><\/pre>\n
Apticron<\/h2>\n
Si vous souhaitez \u00eatre notifi\u00e9 pour vos updates syst\u00e8mes<\/p>\n
cp \/usr\/lib\/apticron\/apticron.conf \/etc\/apticron\/\nsed -i 's\/\"root\"\/\"root@mondomaine.fr\"\/g' \/etc\/apticron\/apticron.conf\nsed -i 's\/# CUSTOM_FROM=\"\"\/CUSTOM_FROM=\"root@mondomaine.fr\"\/g' \/etc\/apticron\/apticron.conf\n<\/code><\/pre>\n
CLI Fuzzy Finder<\/h2>\n
Si vous souhaitez avoir un prompt de recherche sympathique (https:\/\/github.com\/junegunn\/fzf<\/a>)<\/p>\n
git clone --depth 1 https:\/\/github.com\/junegunn\/fzf.git ~\/.fzf\n~\/.fzf\/install\nsource ~\/.bashrc\nexec bash\n<\/code><\/pre>\n
CLI Powerline-Shell<\/h2>\n
Si vous souhaitez avoir un prompt design (https:\/\/github.com\/b-ryan\/powerline-shell<\/a>)<\/p>\n
git clone https:\/\/github.com\/b-ryan\/powerline-shell \/opt\/powerline-shell\ncd \/opt\/powerline-shell\npython setup.py install\n<\/code><\/pre>\n
NTP<\/h2>\n
Synchroniser l’horloge de votre serveur avec systemd<\/p>\n
vi \/etc\/systemd\/timesyncd.conf\n\n[Time]\nNTP=ntp.mondomaine.fr\nFallbackNTP=0.debian.pool.ntp.org 1.debian.pool.ntp.org 2.debian.pool.ntp.org 3.debian.pool.ntp.org\n<\/code><\/pre>\n
timedatectl set-ntp true \n<\/code><\/pre>\n
timedatectl status\n\nLocal time: Fri 2017-07-07 21:36:11 CEST\nUniversal time: Fri 2017-07-07 19:36:11 UTC\nRTC time: Fri 2017-07-07 19:36:11\nTime zone: Europe\/Paris (CEST, +0200)\n Network time on: yes\nNTP synchronized: yes\n RTC in local TZ: no\n\n<\/code><\/pre>\n
Relancer le service de temps de systemd et v\u00e9rifier l’\u00e9tat<\/p>\n
service systemd-timesyncd restart\nservice systemd-timesyncd status\n<\/code><\/pre>\n
D\u00e9sactivation d\u2019IPv6 au niveau des modules et du noyau<\/h2>\n
Cr\u00e9er le fichier suivant pour les modules<\/p>\n
echo 'blacklist ipv6' &gt;&gt; \/etc\/modprobe.d\/blacklist.conf\n<\/code><\/pre>\n
Il suffit d’ajouter au fichier \/etc\/sysctl.conf les instructions suivantes :<\/p>\n
vi \/etc\/sysctl.conf\n...\n# d\u00e9sactivation de ipv6 pour toutes les interfaces\nnet.ipv6.conf.all.disable_ipv6 = 1\n\n# d\u00e9sactivation de l\u2019auto configuration pour toutes les interfaces\nnet.ipv6.conf.all.autoconf = 0\n\n# d\u00e9sactivation de ipv6 pour les nouvelles interfaces (ex:si ajout de carte r\u00e9seau)\nnet.ipv6.conf.default.disable_ipv6 = 1\n\n# d\u00e9sactivation de l\u2019auto configuration pour les nouvelles interfaces\nnet.ipv6.conf.default.autoconf = 0\n...\n<\/code><\/pre>\n
Samba<\/h1>\n
Cette partie est la plus complexe, elle vous propose l’installation du service de fichiers Samba avec la configuration des quotas, de timemachine et une pseudo protection contre les ransomwares (a revoir)<\/p>\n
Pour fonctionner avec notre domaine, Samba a besoin de Winbind<\/p>\n
export DEBIAN_FRONTEND=noninteractive\napt-get install winbind krb5-user libnss-winbind smbclient libpam-winbind\nunset DEBIAN_FRONTEND\n<\/code><\/pre>\n
0&gt;\/etc\/krb5.conf\nvi \/etc\/krb5.conf\n<\/code><\/pre>\n
Exemple de fichier krb5.conf<\/p>\n
[libdefaults]\n    default_realm = MONDOMAINE.FR\n    ticket_lifetime = 1d\n        renew_lifetime = 7d\n        dns_lookup_realm = false\n        dns_lookup_kdc = true\n\n[realms]\n    MONDOMAINE.FR = {\n        kdc = 192.168.0.1\n        kdc = 192.168.0.2\n        admin_server = 192.168.0.1 192.168.0.2  }\n<\/code><\/pre>\n
Installer Samba<\/p>\n
apt install -y samba samba-common samba-vfs-modules python-samba\n<\/code><\/pre>\n
Exemple de fichier smb.conf<\/p>\n
cp \/etc\/samba\/smb.conf \/etc\/samba\/smb.conf.ori\n0&gt;\/etc\/samba\/smb.conf\nvi \/etc\/samba\/smb.conf\n<\/code><\/pre>\n
#======================= Global Settings =======================\n\n[global]\n    workgroup = MONDOMAINE\n    server string = %h server\n    dns proxy = no\n\n#### Networking ####\n\n    interfaces = 127.0.0.0\/8 eno1\n    bind interfaces only = yes\n    #hosts allow = 192.168.0.0\/24\n\n#### Debugging\/Accounting ####\n\n    log level = 0\n    log file = \/var\/log\/samba\/log.%m\n    max log size = 1000\n    panic action = \/usr\/share\/samba\/panic-action %d\n\n####### Authentication #######\n\n    security = ADS\n    realm = MONDOMAINE.FR\n    idmap config *:backend = tdb\n    idmap config *:range = 700001-800000\n    idmap config MONDOMAINE:backend = rid\n    idmap config MONDOMAINE:range = 10000-700000\n    winbind use default domain = yes\n    template homedir = \/home\/%U\n    map acl inherit = Yes\n    #store dos attributes = Yes\n    #template shell = \/bin\/bash\n\n############ Misc ############\n\n    socket options = TCP_NODELAY IPTOS_LOWDELAY\n    guest account = nobody\n    load printers = no\n    disable spoolss = yes\n    printing = bsd\n    printcap name = \/dev\/null\n    use sendfile = yes\n    aio read size = 16384\n    aio write size = 16384\n    time server = no\n    wins support = no\n    multicast dns register = no\n\n########### Shadow ###########\n\n    shadow: snapdir = .zfs\/snapshot\n    shadow: sort = desc\n    shadow: format = -%Y-%m-%d-%H%M%S\n    shadow: snapprefix = ^zfs-auto-snap\n    shadow: delimiter = -20\n    get quota command = \/home\/quotazfs.sh %U\n    vfs objects = shadow_copy2 catia fruit streams_xattr acl_xattr\n    fruit:model = Xserve\n    fruit:resource = xattr\n    fruit:encoding = native\n    fruit:copyfile = yes\n\n########### Security ###########\n\n    include = \/etc\/samba\/ransomwares.conf\n    veto files = \/.DS_Store\/._.DS_Store\/Thumbs.db\/\n    delete veto files = yes\n    client min protocol = SMB2\n    client max protocol = SMB3\n    min protocol = SMB2\n    max protocol = SMB3\n\n#======================= Share Definitions =======================\n\n[homes]\n    comment = Home directories\n    browseable = yes\n    writable = yes\n    create mask = 0600\n    force create mode = 0600\n    directory mask = 0700\n    force directory mode = 0700\n    valid users = %S\n\n[TimeMachine]\n    path = \/timemachine\/%U\n    fruit:time machine = yes\n    fruit:time machine max size = 961G\n    browseable = no\n    writable = yes\n    vfs objects = catia fruit streams_xattr\n    valid users = @mongroupe\n<\/code><\/pre>\n
Joindre votre serveur NAS au domaine<\/p>\n
net ads join -U Administrateur\nEnter Administrateur's password:\nUsing short domain name -- MONDOMAINE\nJoined 'NAS' to dns domain 'mondomaine.fr'\n<\/code><\/pre>\n
Ajouter winbind \u00e0 l’authentification linux<\/p>\n
vi \/etc\/nsswitch.conf\n\npasswd:         compat winbind\ngroup:          compat winbind\nshadow:         compat winbind\ngshadow:        files\n\nhosts:          files dns\nnetworks:       files\n\nprotocols:      db files\nservices:       db files\nethers:         db files\nrpc:            db files\n\nnetgroup:       nis\nsudoers:        files\n<\/code><\/pre>\n
Apr\u00e8s reboot v\u00e9rifiez la bonne int\u00e9gration dans votre domaine<\/p>\n
wbinfo --ping-dc\nchecking the NETLOGON for domain[MONDOMAINE] dc connection to \"dc2.mondomaine.fr\" succeeded\n<\/code><\/pre>\n
Lister les utilisateurs<\/p>\n
wbinfo -u\n<\/code><\/pre>\n
Lister les groupes<\/p>\n
wbinfo -g\n<\/code><\/pre>\n
V\u00e9rifier les informations de l’utilisateur<\/p>\n
wbinfo -i colombet\ncolombet:*:12345:10513::\/home\/colombet:\/bin\/bash\n<\/code><\/pre>\n
Cr\u00e9ation automatique du dossier utilisateur<\/p>\n
apt-get install oddjob-mkhomedir smbclient samba\npam-auth-update --force\n<\/code><\/pre>\n
Activer uniquement le service smbd<\/p>\n
systemctl enable smbd.service\nsystemctl status smbd.service\n<\/code><\/pre>\n
V\u00e9rifier les ports en \u00e9coutent<\/p>\n
netstat -tupln\ntcp        0      0 127.0.0.1:445           0.0.0.0:*               LISTEN      2219\/smbd\ntcp        0      0 192.168.xx.xx:445         0.0.0.0:*               LISTEN      2219\/smbd\ntcp        0      0 127.0.0.1:139           0.0.0.0:*               LISTEN      2219\/smbd\ntcp        0      0 192.168.xx.xx:139         0.0.0.0:*               LISTEN      2219\/smbd\n\nsmbclient -N -L localhost\nAnonymous login successful\n\n    Sharename       Type      Comment\n    ---------       ----      -------\n    homes           Disk      Home directories\n    IPC$            IPC       IPC Service (my server)\nSMB1 disabled -- no workgroup available\n<\/code><\/pre>\n
Tester votre fichier samba.conf<\/p>\n
samba-tool testparm --suppress-prompt\n<\/code><\/pre>\n
Il est maintenant possible d’utiliser les acls posix<\/p>\n
mkdir \/home\/colombet\nchmod 700 \/home\/colombet\nchown \"colombet:domain users\" \/home\/colombet\n<\/code><\/pre>\n
G\u00e9rer les ACLs depuis Windows<\/p>\n
cf : https:\/\/www.vionblog.com\/manage-samba-permissions-from-windows\/
\ncf : https:\/\/wiki.samba.org\/index.php\/Setting_up_a_Share_Using_Windows_ACLs<\/p>\n
net rpc rights grant \"MONDOMAINE\\Domain Admins\" SeDiskOperatorPrivilege -U \"MONDOMAINE\\Administrateur\"\nnet rpc rights revoke \"MONDOMAINE\\Domain Admins\" SeDiskOperatorPrivilege -U \"MONDOMAINE\\Administrateur\"\nnet rpc rights list privileges SeDiskOperatorPrivilege -U \"MONDOMAINE\\Administrateur\"  \n<\/code><\/pre>\n
Lire les acls<\/p>\n
getfacl \/home\/colombet\/\n\ngetfacl: Removing leading '\/' from absolute path names\n# file: home\/colombet\/\n# owner: colombet\n# group: domain\\040users\nuser::rwx\nuser:colombet:rwx\ngroup::---\ngroup:domain\\040users:---\ngroup:colombet:rwx\nmask::rwx\nother::---\ndefault:user::rwx\ndefault:user:colombet:rwx\ndefault:group::---\ndefault:group:domain\\040users:---\ndefault:mask::rwx\ndefault:other::---\n<\/code><\/pre>\n
Reset des ACLs en r\u00e9cursif d’un r\u00e9pertoire<\/p>\n
setfacl -Rbn \/home\/colombet\/\n<\/code><\/pre>\n
Quotas<\/h2>\n
Afin de d\u00e9finir des quotas, il faut dans un premier temps d\u00e9l\u00e9guer des permissions aux utilisateurs du domaine ou \u00e0 tout le monde d’acc\u00e9der aux variables userquota,userused.<\/p>\n
zfs allow \"Domain Users\" userquota,userused tank\/home\nou\nzfs allow everyone userquota,userused tank\/home\n<\/code><\/pre>\n
Supprimer les d\u00e9l\u00e9gations de permission<\/p>\n
zfs unallow everyone tank\/home\nzfs unallow \"Domain Users\" tank\/home\nzfs unallow colombet tank\/home\n<\/code><\/pre>\n
Mettre un quota sur l’utilisateur colombet<\/p>\n
zfs set userquota@\"MONDOMAINE\\colombet\"=1G tank\/home\nzfs set userquota@colombet=1G tank\/home\n<\/code><\/pre>\n
Afficher un quota<\/p>\n
zfs get -H \"userquota@MONDOMAINE\\colombet\" tank\/home | \/usr\/bin\/awk '{ print $3 };'\nzfs get -H \"userquota@colombet\" tank\/home\n<\/code><\/pre>\n
Supprimer un quota<\/p>\n
zfs set userquota@colombet=none tank\/home\n<\/code><\/pre>\n
Maintenant que le syst\u00e8me de fichier est pr\u00eat, il faut indiquer \u00e0 Samba comment interpr\u00e9ter les quotas ZFS. Pour cela, ajouter la directive get quota command<\/em> dans la partie globale du fichier \/etc\/samba\/smb.conf<\/p>\n
get quota command = \/opt\/scripts\/samba_quotazfs.sh %U\n<\/code><\/pre>\n
Cr\u00e9er le script bash samba_quotazfs.sh<\/em><\/p>\n
vi \/opt\/scripts\/samba_quotazfs.sh\n<\/code><\/pre>\n
#!\/bin\/sh\n# Jerome Colombet\n# 01-10-2020\nusername=$1\nif [ ! -z  \"$username\" ]; then\n  smbpath=${PWD}\n  dataset=`\/bin\/df -l ${smbpath} | \/usr\/bin\/tail -n 1 | \/usr\/bin\/awk '{ print $1 };'`\n  infoused=`\/sbin\/zfs get -Hp userused@$username $dataset`\n  infoquota=`\/sbin\/zfs get -Hp userquota@$username $dataset`\n  usedbytes=`echo ${infoused}| \/usr\/bin\/awk '{ printf \"%.f\", $3\/1024 };';`\n  quotabytes=`echo ${infoquota}| \/usr\/bin\/awk '{ if ( $3 == \"none\" ) { print \"0\"} else { printf \"%.f\", $3\/1024 }  };'`\n  echo 2 $usedbytes $quotabytes $quotabytes $usedbytes $quotabytes $quotabytes\n  #dans le cas d'une utilisation de crontab\n  #info=`\/sbin\/zfs userspace -Hpo name,used,quota $dataset | \/usr\/bin\/grep -i ${username}`\n  #info=`\/bin\/more \/tmp\/quotazfs-home | \/usr\/bin\/grep -i ${username}`\n  #usedbytes=`echo ${info}| \/usr\/bin\/awk '{ printf \"%.f\", $2\/1024 };';`\nfi\nexit\n<\/code><\/pre>\n
Si utilisation du script pr\u00e9c\u00e9dent via crontab<\/p>\n
# Quota ZFS home\n*\/5 * * * * \/sbin\/zfs userspace -Hpo name,used,quota tank\/home &gt; \/tmp\/quotazfs-home\n<\/code><\/pre>\n
Pour info ; *Flags Quotas *<\/p>\n
1 - quota flags (0 = no quotas, 1 = quotas enabled, 2 = quotas enabled and enforced)\n2 - number of currently used blocks\n3 - the softlimit number of blocks\n4 - the hardlimit number of blocks\n5 - currently used number of inodes\n6 - the softlimit number of inodes\n7 - the hardlimit number of inodes\n8 - (optional) - the number of bytes in a block(default is 1024) \n<\/code><\/pre>\n
Avahi<\/h2>\n
Afin d’utiliser TimeMachine avec Samba, il est recommand\u00e9 d’utiliser Avahi afin que le serveur soit d\u00e9tect\u00e9 par le parc MacOS<\/p>\n
apt install avahi-daemon\n<\/code><\/pre>\n
Cr\u00e9er la configuration pour le service Samba<\/p>\n
vi \/etc\/avahi\/services\/samba.service\n<\/code><\/pre>\n
Exemple de fichier samba.service<\/p>\n



    %h\n\n        _smb._tcp\n        445\n\n\n        _adisk._tcp\n        sys=waMa=0,adVF=0x100\n        dk0=adVN=TimeMachine,adVF=0x82\n\n\n        _device-info._tcp\n        0\n        model=RackMac\n\n\n\n<\/code><\/pre>\n
Clamav<\/h2>\n
Installer clamav<\/p>\n
apt-get purge -y clamav-unofficial-sigs\napt-get update &amp;&amp; apt-get install -y clamav-base clamav-freshclam clamav clamav-daemon\n<\/code><\/pre>\n
Lancer les commandes suivantes depuis votre terminal en root<\/p>\n
mkdir -p \/usr\/local\/sbin\/\nwget https:\/\/raw.githubusercontent.com\/extremeshok\/clamav-unofficial-sigs\/master\/clamav-unofficial-sigs.sh -O \/usr\/local\/sbin\/clamav-unofficial-sigs.sh &amp;&amp; chmod 755 \/usr\/local\/sbin\/clamav-unofficial-sigs.sh\nmkdir -p \/etc\/clamav-unofficial-sigs\/\nwget https:\/\/raw.githubusercontent.com\/extremeshok\/clamav-unofficial-sigs\/master\/config\/master.conf -O \/etc\/clamav-unofficial-sigs\/master.conf\nwget https:\/\/raw.githubusercontent.com\/extremeshok\/clamav-unofficial-sigs\/master\/config\/user.conf -O \/etc\/clamav-unofficial-sigs\/user.conf\nwget \"https:\/\/raw.githubusercontent.com\/extremeshok\/clamav-unofficial-sigs\/master\/config\/os\/os.debian.conf\" -O \/etc\/clamav-unofficial-sigs\/os.conf\n<\/code><\/pre>\n
Ex\u00e9cuter le script suivant afin de s’assurer qu’il n’y a pas d’erreurs, corriger les d\u00e9pendances manquantes le script doit s’ex\u00e9cuter une fois en tant que super-utilisateur pour d\u00e9finir toutes les autorisations et cr\u00e9er les r\u00e9pertoires pertinents<\/p>\n
\/usr\/local\/sbin\/clamav-unofficial-sigs.sh --force\n################################################################################\n eXtremeSHOK.com ClamAV Unofficial Signature Updater\n Version: v7.2.5 (2021-03-20)\n Required Configuration Version: v96\n Copyright (c) Adrian Jon Kriel :: admin@extremeshok.com\n################################################################################\nLoading config: \/etc\/clamav-unofficial-sigs\/master.conf\nLoading config: \/etc\/clamav-unofficial-sigs\/os.conf\nLoading config: \/etc\/clamav-unofficial-sigs\/user.conf\n+++++++++++++++++++++++\nNOTICE: forcing updates\n+++++++++++++++++++++++\n===================\nPreparing Databases\n===================\nSanesecurity public GPG key successfully downloaded\nSanesecurity public GPG key successfully imported to custom keyring\n==================================================\nSanesecurity Database &amp; GPG Signature File Updates\n==================================================\nChecking for Sanesecurity updates...\nSanesecurity mirror site used:  62.93.225.23\n<\/code><\/pre>\n
Installer la rotation des logs et le man<\/p>\n
\/usr\/local\/sbin\/clamav-unofficial-sigs.sh --install-logrotate\n\/usr\/local\/sbin\/clamav-unofficial-sigs.sh --install-man\n<\/code><\/pre>\n
Installer les services pour clamav-unofficial-sigs via systemd<\/p>\n
mkdir -p \/etc\/systemd\/system\/\nwget https:\/\/raw.githubusercontent.com\/extremeshok\/clamav-unofficial-sigs\/master\/systemd\/clamav-unofficial-sigs.service -O \/etc\/systemd\/system\/clamav-unofficial-sigs.service\nwget https:\/\/raw.githubusercontent.com\/extremeshok\/clamav-unofficial-sigs\/master\/systemd\/clamav-unofficial-sigs.timer -O \/etc\/systemd\/system\/clamav-unofficial-sigs.timer\n\nsystemctl enable clamav-unofficial-sigs.service\nsystemctl enable clamav-unofficial-sigs.timer\nsystemctl start clamav-unofficial-sigs.timer\n<\/code><\/pre>\n
Testez le scan sur le dossier \/home avec et sans r\u00e9sum\u00e9<\/p>\n
clamdscan --multiscan --allmatch --remove --no-summary --fdpass \/home\nclamdscan --multiscan --allmatch --remove --fdpass \/home\n<\/code><\/pre>\n
Cr\u00e9er le fichier de log<\/p>\n
touch \/var\/log\/clamav\/manual_clamscan.log\n<\/code><\/pre>\n
Activer le scan automatique via un crontab<\/p>\n
# Tous les jours \u00e0 20h30 passage antivirus dossier home\n30 20 * * * \/usr\/bin\/clamdscan --multiscan --allmatch --remove --fdpass \/home &gt;&gt; \/var\/log\/clamav\/manual_clamscan.log\n<\/code><\/pre>\n
Veto Ransomware<\/h2>\n
Cr\u00e9e un fichier avec le param\u00e8tre \u00ab\u00a0veto files = \u00a0\u00bb tous les fichiers de ran\u00e7on connus, afin d’essayer de prot\u00e9ger votre home.<\/p>\n
apt install jq\nmkdir \/opt\/scripts\nwget https:\/\/raw.githubusercontent.com\/mauriciomagalhaes\/Ransomware-veto-samba\/master\/ransomware-veto-smb.sh -O \/opt\/scripts\/samba_veto_ransomware.sh\n<\/code><\/pre>\n
\u00c9diter le fichier \/opt\/scripts\/samba_veto_ransomware.sh<\/em> afin de le traduire et l’adapter \u00e0 Samba Debian 10<\/p>\n
#!\/bin\/bash\n\nSMBCONF=\"\/etc\/samba\"\nSMBCONTROL=$(which smbcontrol)\nJQ=$(which jq)\n\nwhile true; do\n    if curl --output \/dev\/null --silent --head --fail https:\/\/fsrm.experiant.ca\/api\/v1\/combined; then\n        curl --silent -o $SMBCONF\/ransomwares.json https:\/\/fsrm.experiant.ca\/api\/v1\/combined &amp;&amp; break\n    fi\ndone\n\nTOTALREG=$(jq -r .api.file_group_count $SMBCONF\/ransomwares.json)\nDATA=$(jq -r .lastUpdated $SMBCONF\/ransomwares.json)\n\necho \"Total des ransomware connus : $TOTALREG\"\necho \"Derni\u00e8re mise \u00e0 jour : $DATA\"\n\n$JQ -r .filters[] $SMBCONF\/ransomwares.json &gt; $SMBCONF\/ransomwares.conf\n\nsed -i 's\/^\/\\\/\/g' $SMBCONF\/ransomwares.conf\nsed -i ':a;N;s\/\\n\/\/g;ta' $SMBCONF\/ransomwares.conf\nsed -i 's\/^\/veto files = \/g' $SMBCONF\/ransomwares.conf\n\n$SMBCONTROL smbd reload-config\n<\/code><\/pre>\n
Rendre ex\u00e9cutable le script samba_veto_ransomware.sh<\/em><\/p>\n
chmod 755 \/opt\/scripts\/samba_veto_ransomware.sh\n<\/code><\/pre>\n
Programmer une mise \u00e0 jour toutes les 6 heures via crontab<\/p>\n
crontab -l\n# Mise \u00e0 jour toutes les 6 heures des ransomware connus\n0 *\/6 * * * \/opt\/scripts\/samba_veto_ransomware.sh\n<\/code><\/pre>\n
Cr\u00e9er un include dans la section [Global] du fichier smb.conf ou dans les partages.<\/p>\n
[Global]\n...\ninclude = \/etc\/samba\/ransomwares.conf\n...\n<\/code><\/pre>\n
ZnapZend – ZFS Snapshot vers un serveur distant<\/h1>\n
T\u00e9l\u00e9charger et installer le dernier paquet depuis https:\/\/github.com\/Gregy\/znapzend-debian\/releases<\/p>\n
wget https:\/\/github.com\/Gregy\/znapzend-debian\/releases\/download\/0.20.0\/znapzend_0.20.0-1_amd64.deb\ndpkg -i znapzend_0.20.0-1_amd64.deb\napt install mbuffer \n<\/code><\/pre>\n
Cr\u00e9ation d’un plan de snapshot sans synchro distante sur 5 jours toutes les heures<\/p>\n
# znapzendzetup create --mbuffer=\/usr\/bin\/mbuffer --mbuffersize=1G --tsformat=zfs-auto-snap-%Y-%m-%d-%H%M%S SRC '5d=&gt;60min,1w=&gt;1d' tank\/home\n*** backup plan: tank\/home ***\n         enabled = on\n         mbuffer = \/usr\/bin\/mbuffer\n    mbuffer_size = 1G\n   post_znap_cmd = off\n    pre_znap_cmd = off\n       recursive = off\n             src = tank\/home\n        src_plan = 5days=&gt;60minutes,1week=&gt;1day\n        tsformat = zfs-auto-snap-%Y-%m-%d-%H%M%S\n      zend_delay = 0\n<\/code><\/pre>\n
Cr\u00e9ation de snapshot avec synchro zrepl ssh sur 5 jours toutes les heures<\/p>\n
# znapzendzetup create --mbuffer=\/usr\/bin\/mbuffer --mbuffersize=1G --tsformat=zfs-auto-snap-%Y-%m-%d-%H%M%S SRC '5d=&gt;60min,1w=&gt;1d' tank\/home DST '5d=&gt;60min,1w=&gt;1d' root@backup:tank\/home\n*** backup plan: tank\/home ***\n           dst_0 = root@backup:tank\/home\n      dst_0_plan = 5days=&gt;60minutes,1week=&gt;1day\n         enabled = on\n         mbuffer = \/usr\/bin\/mbuffer\n    mbuffer_size = 1G\n   post_znap_cmd = off\n    pre_znap_cmd = off\n       recursive = off\n             src = tank\/home\n        src_plan = 5days=&gt;60minutes,1week=&gt;1day\n        tsformat = zfs-auto-snap-%Y-%m-%d-%H%M%S\n      zend_delay = 0\n<\/code><\/pre>\n
L’exemple de PLANS de snapshot pr\u00e9c\u00e9dent peut prendre les options suivantes<\/p>\n
En local :<\/p>\n
    toutes les heures pendant 5 jours : 5d=&gt;1h\n    tous les jours pendant 1 semaine : 1w=&gt;1d\n<\/code><\/pre>\n
\u00c0 distance :<\/p>\n
    toutes les 6 heures pendant 2 jours : 2d=&gt;6h\n    tous les jours pendant 1 semaine : 1w=&gt;1d\n    garder une semaine : 1m=&gt;1w\n    garder un mois : 1m=&gt;1w\n    garder une semaine pendant 3 mois : 3m=&gt;1w\n<\/code><\/pre>\n
Activer et relancer le service znapzend.service<\/p>\n
systemctl restart znapzend.service\nsystemctl enable znapzend.service\nwatch -n 1 systemctl status znapzend.service\n<\/code><\/pre>\n
dernier snapshot vue depuis l’h\u00f4te ayant le plan de sauvegarde:<\/p>\n
# znapzendztatz -r tank\/home\nUSED    LAST SNAPSHOT       DATASET\n   0B   No Snapshots Yet     tank\/home\n   0B   No Snapshots Yet     root@backup:tank\/home\n<\/code><\/pre>\n
Le programme de backup est sauvegard\u00e9 dans les propri\u00e9t\u00e9s du dataset ZFS :<\/p>\n
# zfs get all tank\/home | grep org.znapzend\ntank\/home  org.znapzend:mbuffer_size   1G                             local\ntank\/home  org.znapzend:dst_0          root@backup:tank\/home          local\ntank\/home  org.znapzend:zend_delay     0                              local\ntank\/home  org.znapzend:tsformat       zfs-auto-snap-%Y-%m-%d-%H%M%S  local\ntank\/home  org.znapzend:enabled        on                             local\ntank\/home  org.znapzend:mbuffer        \/usr\/bin\/mbuffer               local\ntank\/home  org.znapzend:dst_0_plan     5days=&gt;1hours                  local\ntank\/home  org.znapzend:recursive      on                             local\ntank\/home  org.znapzend:post_znap_cmd  off                            local\ntank\/home  org.znapzend:src_plan       5days=&gt;1hours                  local\ntank\/home  org.znapzend:pre_znap_cmd   off                            local\n<\/code><\/pre>\n
Lister les plans de sauvegardes<\/p>\n
# znapzendzetup list\n*** backup plan: tank\/home ***\n           dst_0 = root@backup:tank\/home\n      dst_0_plan = 5days=&gt;1hours\n         enabled = on\n         mbuffer = \/usr\/bin\/mbuffer\n    mbuffer_size = 1G\n   post_znap_cmd = off\n    pre_znap_cmd = off\n       recursive = off\n             src = tank\/home\n        src_plan = 5days=&gt;1hours\n        tsformat = %Y-%m-%d-%H%M%S\n      zend_delay = 0\n<\/code><\/pre>\n
Supprimer un plan de sauvegardes et reprise en compte par le service znapzend<\/p>\n
znapzendzetup delete tank\/home\npkill -HUP znapzend\n<\/code><\/pre>\n
\u00c9diter un plan de sauvegardes et reprise en compte par le service znapzend<\/p>\n
znapzendzetup edit tank\/home\npkill -HUP znapzend\n<\/code><\/pre>\n
Zfs-Prune-Snapshots<\/h2>\n
J’ai trouv\u00e9 pour vous un petit script pour g\u00e9rer facilement vos snapshots. Il permet de supprimer des snapshots d’un ou plusieurs pools avec vos crit\u00e8res. Pour plus de d\u00e9tails : https:\/\/github.com\/bahamas10\/zfs-prune-snapshots<\/a>.<\/p>\n
wget https:\/\/raw.githubusercontent.com\/bahamas10\/zfs-prune-snapshots\/master\/zfs-prune-snapshots -O \/opt\/scripts\/zfs-prune-snapshots\nchmod 755 \/opt\/scripts\/zfs-prune-snapshots\n<\/code><\/pre>\n
Simuler une purge des snapshots au-del\u00e0 de 15 jours<\/p>\n
zfs-prune-snapshots -n 15d tank\n<\/code><\/pre>\n
Purger des snapshots au-del\u00e0 de 15 jours<\/p>\n
zfs-prune-snapshots 15d tank\n<\/code><\/pre>\n
Ce script vient \u00e0 remplacer la commande d’origine, ici pour supprimer tous les snapshot de l’h\u00f4te<\/p>\n
~~# zfs list -H -o name -t snapshot | xargs -n1 zfs destroy~~\n<\/code><\/pre>\n
iSCSI<\/h1>\n
Ajouter \u00e0 votre NAS la fonctionnalit\u00e9 SAN afin de l’interfacer votre cluster Proxmox c’est possible. Cette partie est bas\u00e9e sur cette documentation : https:\/\/deepdoc.at\/dokuwiki\/doku.php?id=virtualisierung:proxmox_kvm_und_lxc:proxmox_debian_als_zfs-over-iscsi_server_verwenden<\/a><\/p>\n
Sur votre cluster Proxmox, les noeuds doivent acc\u00e9der dynamiquement \u00e0 l’ensemble des donn\u00e9es ZFS de votre NAS. Pour cela, ils doivent \u00eatre autoris\u00e9s pour les ACLs dans targetcli. J’utilise les cl\u00e9s SSH \u00e0 cette fin.<\/p>\n
SUR VOTRE PROXMOX<\/h3>\n
Sur un de vos noeuds proxmox, g\u00e9n\u00e9rer un couple de cl\u00e9s ssh et les copier vers votre NAS<\/p>\n
cd \/etc\/pve\/priv\/zfs\nssh-keygen -f \/etc\/pve\/priv\/zfs\/192.168.0.100_id_rsa\nssh-copy-id -i \/etc\/pve\/priv\/zfs\/192.168.0.100_id_rsa.pub root@192.168.0.100\nNumber of key(s) added: 1\n<\/code><\/pre>\n
V\u00e9rifier la connexion ssh depuis les noeuds Proxmox vers votre NAS via le couple de cl\u00e9 pr\u00e9c\u00e9dent<\/p>\n
# ssh -i \/etc\/pve\/priv\/zfs\/192.168.0.100_id_rsa root@192.168.0.100\nroot@backup:~# logout\nConnection to 192.168.0.100 closed.\n<\/code><\/pre>\n
R\u00e9cup\u00e9rer tous les noms initiateurs de vos noeuds<\/p>\n
cat \/etc\/iscsi\/initiatorname.iscsi\nInitiatorName=iqn.1993-08.org.debian:01:1ae0ad6ebb5f\n<\/code><\/pre>\n
SUR VOTRE NAS<\/h3>\n
Depuis votre NAS, cr\u00e9er un pool iscsi<\/p>\n
zfs create tank\/iscsi\n<\/code><\/pre>\n
V\u00e9rifier et \u00e0 adapter selon vos propri\u00e9t\u00e9s<\/p>\n
zfs list\nNAME         USED  AVAIL     REFER  MOUNTPOINT\ntank        1.05M  3.54G      128K  \/tank\ntank\/home    128K  3.54G      128K  \/tank\/home\ntank\/iscsi   128K  3.54G      128K  \/tank\/iscsi\n<\/code><\/pre>\n
La configuration passe par la commande targetcli<\/strong>. Avec ls<\/em>, nous pouvons voir l’arborescence, help<\/em> affiche l’aide et avec saveconfig<\/em> on enregistre les modifications.<\/p>\n
# targetcli\n\ntargetcli shell version 2.1.fb48\nCopyright 2011-2013 by Datera, Inc and others.\nFor help on commands, type 'help'.\n\n\/&gt; ls\no- \/ .......................................................................................... [...]\n  o- backstores ............................................................................... [...]\n  | o- block ................................................................... [Storage Objects: 0]\n  | o- fileio .................................................................. [Storage Objects: 0]\n  | o- pscsi ................................................................... [Storage Objects: 0]\n  | o- ramdisk ................................................................. [Storage Objects: 0]\n  o- iscsi ............................................................................. [Targets: 0]\n  o- loopback .......................................................................... [Targets: 0]\n  o- vhost ............................................................................. [Targets: 0]\n  o- xen-pvscsi ........................................................................ [Targets: 0]\n\/\n<\/code><\/pre>\n
Nous allons cr\u00e9er un target entrant dans le dossier iscsi et en ex\u00e9cutant create<\/p>\n
\/&gt; cd iscsi\n\/iscsi&gt; create\nCreated target iqn.2003-01.org.linux-iscsi.nas.x8664:sn.2c0c3e76710e.\nCreated TPG 1.\nGlobal pref auto_add_default_portal=true\nCreated default portal listening on all IPs (0.0.0.0), port 3260.\n<\/code><\/pre>\n
Nous pouvons v\u00e9rifier le nom de la target unique iqn.2003-01.org.linux-iscsi.nas.x8664:sn.2c0c3e76710e<\/em><\/p>\n
\/iscsi&gt; ls\no- iscsi ............................................................................ [Targets: 1]\n  o- iqn.2003-01.org.linux-iscsi.nas.x8664:sn.2c0c3e76710e.............................. [TPGs: 1]\n    o- tpg1 ............................................................... [no-gen-acls, no-auth]\n      o- acls .......................................................................... [ACLs: 0]\n      o- luns .......................................................................... [LUNs: 0]\n      o- portals .................................................................... [Portals: 1]\n        o- 0.0.0.0:3260 ..................................................................... [OK]\n<\/code><\/pre>\n
Ajouter des ACLs avec les initiateurs de vos noeuds proxmox<\/p>\n
\/iscsi&gt;cd iqn.2003-01.org.linux-iscsi.nas.x8664:sn.2c0c3e76710e\/\n\/iscsi\/iqn.20....2c0c3e76710e&gt; cd tpg1\n\/iscsi\/iqn.20...3e76710e\/tpg1&gt; cd acls\n\/iscsi\/iqn.20...10e\/tpg1\/acls&gt; create iqn.1993-08.org.debian:01:1ae0ad6ebb5f\n<\/code><\/pre>\n
Ne pas oublier de sauvegarder vos param\u00e8tres<\/p>\n
\/&gt; saveconfig\nConfiguration saved to \/etc\/rtslib-fb-target\/saveconfig.json\n\/&gt; exit\nGlobal pref auto_save_on_exit=true\nLast 10 configs saved in \/etc\/rtslib-fb-target\/backup.\nConfiguration saved to \/etc\/rtslib-fb-target\/saveconfig.json\n<\/code><\/pre>\n
SUR VOTRE PROXMOX<\/h3>\n
Depuis l’interface, ajouter un storage ZFS over iSCSI<\/p>\n
\"2021-04-08<\/p>\n
Ou en \u00e9ditant le fichier via le CLI pour ajouter le stockage<\/p>\n
more \/etc\/pve\/storage.cfg\n\nzfs: iscsi-zfs\n    disable\n    blocksize 4k\n    iscsiprovider LIO\n    pool tank\/iscsi\n    portal 192.168.0.100\n    target iqn.2003-01.org.linux-iscsi.nas.x8664:sn.2c0c3e76710e\n    content images\n    lio_tpg tpg1\n    nodes finn\n    nowritecache 1\n    sparse 1\n<\/code><\/pre>\n
Pour supprimer une target<\/p>\n
\/&gt; cd iscsi\/\n\/iscsi&gt; delete iqn.2003-01.org.linux-iscsi.nas.x8664:sn.2c0c3e76710e\nDeleted Target iqn.2003-01.org.linux-iscsi.nas.x8664:sn.2c0c3e76710e.\n<\/code><\/pre>\n
DEBUG<\/h1>\n
Voici un petit panel des erreurs rencontr\u00e9es :<\/p>\n
Erreur 1 :<\/h3>\n
Dec  5 20:27:20 nas systemd[3272]: gpgconf: error running '\/usr\/lib\/gnupg\/scdaemon': probably not installed\n<\/code><\/pre>\n
Solution, installer les paquets manquants<\/p>\n
# apt remove gpg-agent gnupg-l10n gnupg-utils pinentry-curses gpgconf gnupg dirmngr gpg gpgconf gpgsm libgpgme11 python-gpg samba-dsdb-modules libassuan0 libksba8 libnpth0 --purge\n\n# apt install scdaemon gpg-agent gpgconf pinentry-curses dirmngr gpg gpgconf gpgsm libgpgme11 python-gpg samba-dsdb-modules \n<\/code><\/pre>\n
Erreur 2 :<\/h3>\n
 [2020\/12\/09 14:12:52.633413,  0] ..\/source3\/param\/loadparm.c:3362(process_usershare_file)\n   process_usershare_file: stat of \/var\/lib\/samba\/usershares\/systemresources failed. Permission denied\n [2020\/12\/09 14:12:52.635011,  0] ..\/source3\/param\/loadparm.c:3362(process_usershare_file)\n   process_usershare_file: stat of \/var\/lib\/samba\/usershares\/systemresources failed. No such file or directory\n<\/code><\/pre>\n
Solution, ajouter dans la partie [global] la directive usershare path \u00e0 vide<\/p>\n
usershare path =\n<\/code><\/pre>\n