Un de mes serveurs abrite tout un éventail d'outils, divisés en deux groupes. Le premier groupe installe les systèmes, tandis que le second groupe se charge du travail administratif post-installation. Un autre répertoire contient des images, des fichiers ISO et divers blobs. Certains jours nous codons, nous configurons, nous mettons à jour... parfois en même temps.

Les outils sont importants pour nous. Heureusement, une poignée d'outils utiles fait partie de votre distribution de type Unix favorite, à moins qu'il ne s'agisse d'une version extrêmement rudimentaire de Solaris, Linux, BSD, etc. En plus de ces outils standards, nous suggérons les 10 outils NOC les plus indispensables – ceux dont vous avez besoin dans le centre d'opérations réseau. Ne vous connectez pas sans eux. (Voir également notre autre article, 10 Indispensable NOC Software Tools for Windows Server Administrators (10 outils logiciels NOC indispensables pour les administrateurs serveurs Windows.).)

Ne les mettez pas à la portée de non-initiés ; il s'agit d'outils administrateur pouvant être à l'origine de préjudices si on ne les manipule pas avec la prudence qui s'impose. De toute façon, peu de non-initiés connaissent la différence entre etc et bin.

Nagios
Bien qu'il ne soit pas particulièrement spectaculaire et évolue en permanence, Nagios est un kit de surveillance très utile. Auparavant difficile à utiliser, Nagios peut aujourd'hui être téléchargé en tant qu'application VMware (donc convertible ou exécutable sur d'autres hyperviseurs compatibles avec VMware) et est incroyablement simple à installer.

Le système Nagios surveille les clients, serveurs ou appliances Linux, BSD et Windows. Vous définissez des déclencheurs sur les moniteurs afin d'envoyer des messages (SMS, e-mails, nombreuses options) lorsqu'un composant surveillé (par exemple l'espace disque) dépasse un seuil défini par vos soins. De nombreuses informations peuvent être suivies avec Nagios, et votre première tâche consiste à des seuils adaptés au profil de votre entreprise. S'ils sont trop bas, vous recevrez une multitude d'alertes par seconde. S'ils sont trop élevés, Nagios ne vous sera d'aucune utilité.

Vous pouvez ensuite utiliser les rapports et alertes Nagios comme système de gestion NOC de base, où gestion est synonyme de réponse réactive à des conditions. Nagios peut secondairement être utilisé pour la planification, étant donné qu'il conserve un long historique des conditions trouvées. Il n'est actuellement pas en mesure de faire des choses comme déplacer des machines virtuelles, ou interpeller votre patron afin d'avoir plus de budget pour des pipes et des routeurs plus performants. Il est cependant très pratique, en particulier pour les NOC de petites entreprises ou de succursales.

Zenoss Core
Comme Nagios, Zenoss est un plan de gestion supporté par une communauté, derrière lequel se trouve une entreprise commerciale. Il dispose également de plus de 150 plug-ins pour une "surveillance approfondie" des facettes du serveur. Nous savons par expérience qu'il est plus lourd que Nagios, mais si l'approche "fouillis" ne vous gêne pas, il offre une très bonne surveillance des installations d'une infrastructure NOC hétérogène (qui inclut effectivement Windows et même Solaris).

Zenoss, un produit géré par base de données, ne doit pas être confondu avec Xen. Pour moi, le gros défaut de Zenoss a toujours été qu'il empêche un travail léger et agile : la base de données (plusieurs types de bases de données peuvent être utilisés) doit être protégée, voire mise en miroir, puisqu'elle est le centre névralgique de ce qui se passe.

L'orientation base de données signifie également que vous pouvez obtenir de très bons rapports. C'est très bien si vous êtes dans un environnement audité, mais compliqué si vous êtes en mode de modification constante (c'est-à-dire sur des sites de non-production). Dans le cas contraire, ceci correspond aux deux tiers de votre kit d'outils.

Zenoss peut facilement être codé si vous savez comment utiliser son API ainsi que ses commandes REST ou XML pour la communication entre les périphériques surveillés. Le support de la communauté Zenoss est grand et souvent utile lorsque vous vous êtes tiré une balle dans le pied. La théorie de fonctionnement est facile à comprendre mais nécessite un peu de temps pour atteindre la vitesse de croisière. Si vous aimez les choses rapides et pas soignées, vous devez aller ailleurs. Si vous avez besoin de choses concrètes et solides, arrêtez-vous ici.

Puppet-MCollective
Nous avons examiné Puppet-MCollective ailleurs après l'avoir vu dans une version de serveur Ubuntu. MCollective est un système de configuration ainsi que de commande et de contrôle de PuppetLabs. Il est sous licence Apache, bien qu'inclus dans Ubuntu server editions ; un support commercial est disponible.

Le "maître" Puppet contrôle ses "esclaves" (MCollective) en plusieurs étapes faciles à apprendre. Une fois la préparation terminée, le maître peut lancer des instances Linux VMware (et compatibles) qui répondent également au maître, sur votre propre couche de serveur NOC ou sur Amazon Web Services (AWS), au rythme de centaines par minute. Ou moins s'il vous en faut quelques unes seulement.

Vous devez savoir comment les processus sous-jacents fonctionnent. Un démon préalablement chargé dans chaque instance peut servir de gestionnaire de commande de connexion. Les commandes peuvent facilement être filtrées. Vous pouvez donc dire au maître de demander à tous les serveurs Web du Milwaukee de faire un rapport sur un état spécifique, ou d'exécuter telle ou telle commande. Vous pouvez utiliser les serveurs pour convertir des vidéos ou analyser des segments d'ADN, puis les arrêter et les faire disparaître si c'est votre souhait. C'est vraiment comme avoir votre propre botnet, intelligent mais sécurisé. Faites-en bon usage.

CloudPassage
CloudPassage ressemble à Nagios mais est spécifique à Linux kernel 2.16 et versions ultérieures. Il s'agit d'un démon qui établit une connexion gratuite au site Web CloudPassage (autres services à venir à un coût réel), qui vérifie l'intégrité d'une configuration. C'est comme si votre professeur Unix/Linux vous informait du degré de renforcement de votre serveur. Ai-je dis : gratuit ?

Vous devez vous inscrire. Vous devez autoriser les démons CloudPassage à s'adresser à CloudPassage à travers votre périmètre de sécurité. Vous devez utiliser une version compatible de Linux dans le serveur (ou le client en l'occurrence) que vous avez déployé avec le démon CloudPassage. La première fois, il doit être exécuté en tant que racine, ce qui fera frémir les puristes de la sécurité, mais c'est la seule fois où ce sera nécessaire.

Attendez alors que le démon CloudPassage examine les dessous de vos fichiers de configuration et dites-vous que vous n'aviez aucune raison de vous inquiéter. Il trouvera une liste très longue de toutes sortes d'erreurs que vous avez faites, probablement parce que vous avez déployé le serveur avec les paramètres par défaut. CloudPassage connaît de nombreux paramètres d'applications et de serveurs, et vous indique les erreurs que vous avez commises en mentionnant les références, à commencer par les bulletins CVE essentiels, juste pour vous montrer à quel point vous avez manqué de vigilance.

CloudPassage vaut son pesant d'or si l'on considère que vous pouvez le déployer dans des instances compatibles, y compris dans la myriade de machines virtuelles pour cloud public que vous venez de louer. Il regarde, faits des rapports et débusque toutes les erreurs. Vous l'adorerez.

Votre équipe SWAT
SAMBA permet de connecter Linux à SMB et à Microsoft Active Directory. Malgré toutes ses qualités, il nécessite une interface graphique utilisateur pour faciliter la tâche à l'administrateur. L'outil Samba Web Access Tool (SWAT) est une interface de ce type et est inclus dans certaines versions d'Ubuntu et autres distributions Linux.

La plupart des gens qui installent SWAT n'arrivent pas à le faire fonctionner. Les instructions sont un peu vagues, mais en fait le problème est autre. Le démon inet.d le bloque et son fichier inetd.conf file doit être modifié. Vous devez laisser un port ouvert, ce qui est inacceptable pour ceux qui ne comprennent rien à la sécurité.

Dès que vous avez modifié le fichier conf, vous travaillez avec SAMBA d'une toute autre manière, sans le gros problème de la syntaxe diabolique des lignes de commande. Ceci signifie que vous pouvez réunir des configurations SAMBA plus simplement pour les adapter à votre Windows Active Directory (AD) et vice versa. Même si vous êtes un expert de SAMBA, cela vaut la peine d'installer les objets visuels. C'est gratuit et assez bien documenté ; ils ont rarement été source d'échec ou d'erreurs.

Hamachi VPN
LogMeIn produit un outil appelé Hamachi, qui est un outil dangereux servant à établir des connexions VPN. Hamachi résout le problème du travail dans les réseaux utilisant la traduction d'adresse réseau (Network Address Translation ou NAT), c'est-à-dire dans la plupart d'entre eux. Ceci inclut la plupart des réseaux domestiques, étant donné que ces derniers ont rarement de véritables adresses IP statiques publiques.

Etant donné que le NAT se heurte à des protocoles VPN tels qu'IPSec, Hamachi prend sa place, mais il le fait en violant certaines "règles". Ceci dit, il fonctionne au-delà de frontières qui sont normalement bloquées par la traduction intermédiaire de l'adressage IP. LogMeIn propose également d'autres produits pour l'accès personnel à distance via des navigateurs Web.

Le danger réside dans le fait que certains réseaux ne sont pas supposés être réunis dans un VPN. La stratégie de la société, la sécurité ou le problème des conventions d'affectation de noms peuvent en être la raison. L'avantage de Hamachi est qu'IPSec est un VPN de couche 2 et peut être complètement perturbé par le NAT – un problème que Hamachi a résolu de manière pratique grâce à une transparence de base. Mais parfois nous ne souhaitions pas que ce soit le cas. Je le souhaite souvent. Mais je connais des entreprises qui monteraient aux barricades si c'était le cas.

Htop
L'application htop vous permet de voir tous les processus exécutés dans un ordinateur, donc beaucoup plus qu'avec top ou ps. Vous voyez les dépendances. Vous voyez la mémoire utilisée. Vous pouvez faire des choses importantes, comme identifier les choses et documents suspects et les éliminer. Les processus aux noms bizarres voient leurs dépendances révélées, ce qui vous permet de comprendre quel élément fait quoi. C'est presque aussi bien qu'Activity Monitor, un utilitaire Mac OS.

Htop est un outil interactif basé sur des textes et des graphiques, plutôt que dépendant d'une plateforme de gestion d'interface graphique utilisateur/de fenêtres. Une version compatible de ncurses est nécessaire, mais je n'en ai pas trouvé qui ne soit pas compatible.

Outre sa valeur didactique, htop est un très bon outil pour effectuer un diagnostic d'urgence des problèmes tout en sachant ce que vous faites, du moins nous l'espérons. Il n'est pas vraiment dépendant du serveur ou du NOC et fonctionne partout dans Linuxville. Comparez-le à dtrace-light; dtrace est le merveilleux outils d'Oracle/Sun pouvant être compilé dans une application pour révéler les caractéristiques de ses éléments constitutifs depuis une perspective de diagnostic. L'outil htop peut diagnostiquer les problèmes de votre serveur ou juste vérifier les caractéristiques de processus. Il fait partie des bons outils qui devraient se trouver dans chaque répertoire d'outils de serveur, hors de portée des non-initiés qui pourraient jouer avec.

Xen
Presque chaque hyperviseur et une grande partie de la révolution de la virtualisation et du cloud doivent leur succès au petit superviseur modeste qu'est Xen. Vous recherchiez un moyen peu onéreux de consolider des serveurs ? Xen fonctionne toujours. Il est toujours gratuit. Il est toujours modérément attrayant. De nombreux utilitaires peuvent cependant être utilisés pour le gérer, y compris quelques applications d'interface utilisateur modérément attrayantes.

Mais Xen est solide comme un roc et il existe des versions commerciales de Xen, par exemple Citrix XenServer et son étrange cousin, Hyper-V de Microsoft. Alors que je constate que les versions "lite" et "de communauté" des trois principales gammes d'hyperviseurs associées à Xen (Xen, XenServer, Hyper-V) sont souvent gratuites, le bon vieux X est un poids léger, et il est gratuit pour un serveur comme pour 24 cœurs dans cent serveurs. Difficile de battre ce prix.

Pour terminer, voici deux autres outils également mentionnés dans la liste des 10 outils NOC pour Windows :

SysRescCD.ISO
SysRescCD.ISO peut faire de vous un héros, une héroïne ou un conspirateur. Pourquoi est-il inclus dans les outils Linux et BSD ? Il s'agit du CD System Rescue pour Windows, utilisé pour récupérer les systèmes Windows lorsque le mot de passe a été oublié ou altéré. Téléchargez le fichier et gravez-le sur un CD ou, encore mieux, stockez-le sur un lecteur USB.

Assurez-vous que vous pouvez utiliser ce fichier en toute légalité. Cet outil vous permet expressément de remplacer le mot de passe de l'administrateur/de l'utilisateur le plus privilégié. Il est possible que vous ayez besoin d'une autorisation spécifique pour le faire. La législation sur le décodage des mots de passe varie d'un pays à l'autre. Commencez par vérifier la législation en vigueur dans votre pays.

Faites démarrer l'ordinateur qui refuse le mot de passe à l'aide du CD ou du lecteur USB. Les instructions sont données dans le fichier ISO. Vous pouvez également aller sur le site Web ISO pour consulter la documentation indiquant comment tout récupérer sous Windows 2000, Windows XP, Windows 2003 et les éditions intermédiaires.

Vous n'aurez pas souvent besoin de cet outil, mais il est indispensable au support technique. Dans le NOC, où l'activité est intense et où la documentation peut omettre certains points, c'est la seule manière de récupérer le mot de passe d'administration. Gardez cela pour vous et n'oubliez pas que rien ne protège un ordinateur si un utilisateur – donc vous – y a physiquement accès.

WireShark
Combien de fois Wireshark est-il venu à mon secours ? Souvent. Il est capable des choses suivantes : il écoute les périphériques Ethernet de proximité (y compris la WiFi) et assemble des paquets. Vous pouvez les exporter, les trier, associer des conversations et, pour terminer, "renifler" sur les réseaux, filaires ou non. Il s'agit d'un outil de reniflage vous permettant de détecter tout le trafic, qui peut être massif, donc de minimiser le volume de paquets capturé afin de le rendre gérable.

Il existe de nombreuses astuces pour utiliser Wireshark et d'autres outils de capture de paquets. La plupart des commutateurs de couches 2/3 vous permettent de mettre des ports en miroir, donc de capturer le trafic sur des segments auxquels vous n'êtes pas logiquement connectés. (Bien que la sagesse de réflexion des ports dépende de l'utilisateur astucieux. Ce qui signifie : soyez prudent.)

Avec Wireshark, vous pouvez diagnostiquer et vérifier l'élimination de nombreuses maladies des serveurs, de la compréhension des surcharges du trafic serveur au décodage de messages d'erreurs concernant les paquets et segments au niveau du protocole (plutôt qu'au niveau stupide du système opérationnel). Vous pouvez alors par exemple remettre rapidement des serveurs DHCP en forme, détecter des rogues, des logiciels malveillants du type phone-home, ainsi qu'une myriade d'autres problèmes. Pour bien l'utiliser, attendez-vous à revenir au livre utilisé pour votre cours traitant des protocoles réseau, celui où vous avez dormi ; mais vous y prendrez beaucoup de plaisir.

N'oubliez pas que votre entreprise est peut-être guidée par des principes de confidentialité très stricts, et que les données affichées peuvent ne pas vous être destinées. L'utilisation d'un tel outil implique que vous connaissiez les règles et que vous sachiez ce que vous faites. Vous l'utiliserez alors à bon escient.

Quels sont les autres outils que vous considérez être indispensables ? Parlez-nous-en dans les commentaires, nous pourrons ainsi les ajouter à l'ensemble des connaissances de la communauté.