Linux Server Wiki - Contributions [fr]

Exiftool

2026-04-05T00:54:17Z

Pfoo :

<pre>exiftool -p '$filename has date $filemodifydate and $dateTimeOriginal and $CreateDate and $ModifyDate' -q -f *</pre>

Enlever 1h au metadata Modify Date, Create Date et Date/Time Original :
<pre>exiftool -AllDates-=1 file.jpg</pre>

Définir les metadata Modify Date, Create Date et Date/Time Original à la date de dernière modification du fichier (File Modification Date/Time) :
<pre>exiftool -preserve '-alldates<filemodifydate' *.jpg</pre>

Définir les metadata Modify Date, Create Date et Date/Time Original à la date de dernière modification du fichier (File Modification Date/Time), uniquement si DateTimeOriginal est absent ou a 0 :
exiftool -preserve '-alldates<filemodifydate' -if '(not $DateTimeOriginal or ($DateTimeOriginal eq "0000:00:00 00:00:00""))' *.jpg

Définir les metadata Modify Date, Create Date et Date/Time Original à la même valeur que Date/Time Original :
<pre>exiftool -preserve '-alldates<datetimeoriginal' *.jpg</pre>

Définir les metadata Modify Date, Create Date et Date/Time Original fonction du nom du fichier en tronquant le prefixe IMG- et le suffixe -WA* puis en ajoutant une heure à 00:00:00 :
<pre>exiftool -preserve '-alldates<${filename;s/IMG-//;s/-WA.*//} 00:00:00' *.jpg</pre>

-alldates est un alias pour -CreateDate -DateTimeOriginal -ModifyDate

Exiftool

2026-04-05T00:51:40Z

Pfoo :

<pre>exiftool -p '$filename has date $filemodifydate and $dateTimeOriginal and $CreateDate and $ModifyDate' -q -f *</pre>

Enlever 1h au metadata Modify Date, Create Date et Date/Time Original :
<pre>exiftool -AllDates-=1 file.jpg</pre>

Définir les metadata Modify Date, Create Date et Date/Time Original à la date de dernière modification du fichier (File Modification Date/Time) :
<pre>exiftool -preserve '-alldates<filemodifydate' *.jpg</pre>

Définir les metadata Modify Date, Create Date et Date/Time Original à la même valeur que Date/Time Original :
<pre>exiftool -preserve '-alldates<datetimeoriginal' *.jpg</pre>

Définir les metadata Modify Date, Create Date et Date/Time Original fonction du nom du fichier en tronquant le prefixe IMG- et le suffixe -WA* puis en ajoutant une heure à 00:00:00 :
<pre>exiftool -preserve '-alldates<${filename;s/IMG-//;s/-WA.*//} 00:00:00' *.jpg</pre>

-alldates est un alias pour -CreateDate -DateTimeOriginal -ModifyDate

Exiftool

2026-04-05T00:50:33Z

Pfoo :

Exiftool

2026-04-05T00:47:03Z

Pfoo :

Exiftool

2026-04-05T00:45:24Z

Pfoo :

Exiftool

2026-04-05T00:42:50Z

Pfoo : Page créée avec « <pre>exiftool -p '$filename has date $filemodifydate and $dateTimeOriginal and $CreateDate and $ModifyDate' -q -f *</pre> »

<pre>exiftool -p '$filename has date $filemodifydate and $dateTimeOriginal and $CreateDate and $ModifyDate' -q -f *</pre>

Accueil

2026-01-02T15:30:00Z

Pfoo : Annulation des modifications 4423 de Pfoo (discussion)

__NOTOC__
{|style="width:100%; background:#F5F5F5;" cellpadding="10"
!style="font-size:200%; color:#056FFA;"|Bienvenu sur ce wiki
|-
|Ce wiki est dédié aux différentes distributions linux et aux logiciels libres qui les accompagnent.
|}

{|style="width:100%; border:1px solid #FFFFFF; background:#FFFFFF; color:#FFFFFF;" cellpadding="4" cellspacing="0"
!style="font-size:115%; background:#056FFA;"|Rechercher par
|-align="center"
| [[Special:Categories|Catégories]] [[:Catégorie:Distributions|Distributions]]
|}

=Généralités=
[[Généralités sur linux]]


{| style="background:transparent;"


| style="width:50%; vertical-align:top;" |
= Serveur =
; [[:Category:serveur|Liste des pages]]
:
; [[Sécuriser_ses_sites_avec_letsencrypt_et_acme-tiny|letsencrypt]]
; [[:Category:monitoring|Monitoring]]
: Tutoriels détaillants des outils de supervision et de métrologie
;[[Proxmox 8]]
:Tutoriel détaillant l'installation de proxmox 8.x sous debian
;[[Sécurisation d'un serveur linux]]
:Guideline basique de propositions de sécurisation d'un serveur linux
; [[:Category:security|Sécurité]]
: outils de sécurité
; [[:Category:virtualisation|virtualisation]]
: proxmox principalement


| style="width:50%; vertical-align:top;" |
= Bureautique =
; [[:Category:desktop|Liste des pages]]
:
;[[Kubuntu / KDE : login ssh automatique par clé]]
:
;[[ssh : le client libre de OpenSSH]]
:
;[[Court-circuiter la vérification dns]]
:
;[[Graver un iso bootable sur une clé usb]]
:Vos CDRW ne marchent plus ? Vous n'avez pas de lecteur cd sur votre netbook ?
:
;[[Diagnostic smart d'un disque]]
:
;[[Fibre orange en DHCP avec routeur pfsense]]


| style="width:50%; vertical-align:top;" |

|-


| style="width:50%; vertical-align:top;" |
= Développement =
; [[:Category:développement|Liste des pages]]
:
; [[Auto-complétion_avec_Vim|Auto-complétion avec Vim]]
: Configurer l'auto-complétion C++ dans l'editeur de texte Vim
;[[Git]]
:Gestionnaire de version décentralisé


| style="width:50%; vertical-align:top;" |
= Divers =
; [[:Category:Tools|Outils]]
:


|}

Accueil

2026-01-02T15:29:40Z

Pfoo :

__NOTOC__
{|style="width:100%; background:#F5F5F5;" cellpadding="10"
!style="font-size:200%; color:#056FFA;"|Bienvenu sur ce wiki
|-
|Ce wiki est dédié aux différentes distributions linux et aux logiciels libres qui les accompagnent.
|}

{|style="width:100%; border:1px solid #FFFFFF; background:#FFFFFF; color:#FFFFFF;" cellpadding="4" cellspacing="0"
!style="font-size:115%; background:#056FFA;"|Rechercher par
|-align="center"
| [[Special:Categories|Catégories]] [[:Catégorie:Distributions|Distributions]]
|}

=Généralités=
[[Généralités sur linux]]


{| style="background:transparent;"


| style="width:25%; vertical-align:top;" |
= Serveur =
; [[:Category:serveur|Liste des pages]]
:
; [[Sécuriser_ses_sites_avec_letsencrypt_et_acme-tiny|letsencrypt]]
; [[:Category:monitoring|Monitoring]]
: Tutoriels détaillants des outils de supervision et de métrologie
;[[Proxmox 8]]
:Tutoriel détaillant l'installation de proxmox 8.x sous debian
;[[Sécurisation d'un serveur linux]]
:Guideline basique de propositions de sécurisation d'un serveur linux
; [[:Category:security|Sécurité]]
: outils de sécurité
; [[:Category:virtualisation|virtualisation]]
: proxmox principalement


| style="width:25%; vertical-align:top;" |
= Bureautique =
; [[:Category:desktop|Liste des pages]]
:
;[[Kubuntu / KDE : login ssh automatique par clé]]
:
;[[ssh : le client libre de OpenSSH]]
:
;[[Court-circuiter la vérification dns]]
:
;[[Graver un iso bootable sur une clé usb]]
:Vos CDRW ne marchent plus ? Vous n'avez pas de lecteur cd sur votre netbook ?
:
;[[Diagnostic smart d'un disque]]
:
;[[Fibre orange en DHCP avec routeur pfsense]]

|-


| style="width:25%; vertical-align:top;" |
= Développement =
; [[:Category:développement|Liste des pages]]
:
; [[Auto-complétion_avec_Vim|Auto-complétion avec Vim]]
: Configurer l'auto-complétion C++ dans l'editeur de texte Vim
;[[Git]]
:Gestionnaire de version décentralisé


| style="width:25%; vertical-align:top;" |
= Divers =
; [[:Category:Tools|Outils]]
:


|}

Accueil

2026-01-02T15:27:27Z

Pfoo :

Accueil

2026-01-02T15:24:47Z

Pfoo :

__NOTOC__
{|style="width:100%; background:#F5F5F5;" cellpadding="10"
!style="font-size:200%; color:#056FFA;"|Bienvenu sur ce wiki
|-
|Ce wiki est dédié aux différentes distributions linux et aux logiciels libres qui les accompagnent.
|}

{|style="width:100%; border:1px solid #FFFFFF; background:#FFFFFF; color:#FFFFFF;" cellpadding="4" cellspacing="0"
!style="font-size:115%; background:#056FFA;"|Rechercher par
|-align="center"
| [[Special:Categories|Catégories]]  [[:Catégorie:Distributions|Distributions]]
|}

=Généralités=
[[Généralités sur linux]]

{| style="background:transparent;"

| style="width:50%; vertical-align:top;" |
= Serveur =
; [[:Category:serveur|Liste des pages]]
:
; [[Sécuriser_ses_sites_avec_letsencrypt_et_acme-tiny|letsencrypt]]
; [[:Category:monitoring|Monitoring]]
: Tutoriels détaillants des outils de supervision et de métrologie
;[[Proxmox 8]]
:Tutoriel détaillant l'installation de proxmox 8.x sous debian
;[[Sécurisation d'un serveur linux]]
:Guideline basique de propositions de sécurisation d'un serveur linux
; [[:Category:security|Sécurité]]
: outils de sécurité
; [[:Category:virtualisation|virtualisation]]
: proxmox principalement

| style="width:50%; vertical-align:top;" |
= Bureautique =
; [[:Category:desktop|Liste des pages]]
:
;[[Kubuntu / KDE : login ssh automatique par clé]]
:
;[[ssh : le client libre de OpenSSH]]
:
;[[Court-circuiter la vérification dns]]
:
;[[Graver un iso bootable sur une clé usb]]
:Vos CDRW ne marchent plus ? Vous n'avez pas de lecteur cd sur votre netbook ?
:
;[[Diagnostic smart d'un disque]]
:
;[[Fibre orange en DHCP avec routeur pfsense]]

| style="width:50%; vertical-align:top;" |

|-

| style="width:50%; vertical-align:top;" |
= Développement =
; [[:Category:développement|Liste des pages]]
:
; [[Auto-complétion_avec_Vim|Auto-complétion avec Vim]]
: Configurer l'auto-complétion C++ dans l'editeur de texte Vim
;[[Git]]
:Gestionnaire de version décentralisé

| style="width:50%; vertical-align:top;" |
= Divers =
; [[:Category:Tools|Outils]]
:

|}

Find

2025-12-31T21:24:48Z

Pfoo :

Rechercher des fichiers et dossier avec la permission d'écriture pour le groupe. Dans cet exemple on ignore les liens symboliques (qui sont forcément en mode 777) :
<pre>find ./ ! -type l -perm -g=w</pre>

Find

2025-12-31T21:05:26Z

Pfoo :

Rechercher des fichiers et dossier avec la permission d'écriture pour le groupe. Dans cet exemple on ignore les liens symboliques (qui sont forcément en mode 777) :
<pre>find ./ -type l -perm -g=w</pre>

Find

2025-12-29T23:24:08Z

Pfoo : Page créée avec « Rechercher des fichiers et dossier avec la permission d'écriture pour le groupe : <pre>find ./ -perm -g=w</pre> »

Rechercher des fichiers et dossier avec la permission d'écriture pour le groupe :
<pre>find ./ -perm -g=w</pre>

Migration de Debian Bookworm vers Trixie

2025-12-29T00:58:39Z

Pfoo : /* Modifications du umask par défaut / permissions */

[[Category:serveur]]
[[Category:debian]]
[[Category:bookworm]]
[[Category:trixie]]

=Préparation=

==Assurez vous que vous êtes à la dernière version de debian==

<pre>apt update
apt full-upgrade</pre>

==Vérifiez l'absence d'action en attente si vous utilisez aptitude==

Lancez <code>aptitude</code> puis tapez <code>G</code>

==Supprimez les paquets obsolètes==

<pre>
apt list '~o'
apt purge '~o'
</pre>

==Identifiez les paquets non-debian qui pourraient poser soucis lors de la mise à jour==

Tous les paquets non fournis par debian peuvent poser problème. A vos risques et péril. 
Pour les identifier :
<pre>
apt list '?narrow(?installed, ?not(?origin(Debian)))'
apt-forktracer | sort
</pre>

A vous de décider ou non de les supprimer avant la mise à niveau, certains paquets peuvent néanmoins gêner la mise à niveau.

==Supprimez les fichiers de configuration non utilisés==
<pre>find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error'</pre>

==Désactivez le pinning==

Dans <code>/etc/apt/preferences</code> et <code>/etc/apt/preferences.d/</code>

==Vérifiez l'absence de paquets cassés==

<pre>dpkg --audit</pre>

==Enlevez les éventuels holds qui pourraient faire échouer la mise à jour==

Pour identifier les paquets en hold :

<pre>
apt-mark showhold
aptitude search "~ahold"
dpkg --get-selections | grep 'hold$'
</pre>

Pour supprimer un hold :
<pre>apt-mark unhold package_name</pre>

==Désactivez les entrées backports de votre sources.list==

==Sources non officielles==
Assurez vous que ces sources possèdent des paquets compilés pour la nouvelle version de debian

=Spécificités trixie=

==Mariadb==

MariaDB ne supporte pas une récupération d'erreur entre deux versions majeurs, il faut donc s'assurer que vos bases de données sont propres et que les données et buffers sont bien écrit sur le disque avant de mettre à jour debian. Pour cela :

<pre>service mariadb stop</pre>

Puis vérifiez dans les logs la présence d'une ligne <code>Shutdown complete</code>. Si ce n'est pas le cas, relancez mariadb pour lancer la récupération automatique des tables, attendez, puis stoppez à nouveau mariadb et vérifiez dans les logs que le nouvel arrêt s'est fait proprement.

=Mise à jour=

==Mise à jour de /etc/apt/sources.list==

Debian Trixie utilise la nouvelle version deb822-style pour les sources apt.

Il faut transformer le fichier <code>/etc/apt/sources.list</code> et tout fichier <code>*.list</code> situé dans <code>/etc/apt/sources.list.d/</code> en un fichier <code>/etc/apt/sources.list.d/debian.sources</code>

Exemple de fichier <code>debian.sources</code> :

<pre>
# main and updates
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# security
Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
</pre>

==Mise à jour de la liste des paquets==
<pre>apt update</pre>

==Assure vous d'avoir assez d'espace libre==

La commande suivante permet de voir l'espace nécessaire pour la mise à jour :
<pre>apt -o APT::Get::Trivial-Only=true full-upgrade</pre>

==Enregistrez les actions effectuées==

apt loguera les packets modifiés dans <code>/var/log/apt/history.log</code> et la sortie du terminal dans <code>/var/log/apt/term.log</code>

==Mise à jour==
<pre>
apt upgrade --without-new-pkgs
apt full-upgrade
</pre>

Si un prompt vous demande s'il doit installer une nouvelle version d'un fichier, répondez de préférence oui puis faites les adaptations nécessaires à votre configuration après la fin de la mise à jour. L'ancien fichier restera disponible, suffixé de .dpkg-old

=Cleanup=

==Supprimez les paquets qui ne sont plus nécessaires==

<pre>apt autoremove</pre>

==Identifiez les configurations et fichier résiduels des paquets qui ne sont plus nécessaires==

<pre>apt list '~c'</pre>

===Purgez ces paquets===

<pre>apt purge '~c'</pre>

==Identifiez et supprimez les paquets obsolètes==

Ce sont des paquets qui ne sont plus maintenu par debian.

* Pour les lister :

<pre>apt list '~o'</pre>

* Pour les supprimer :

<pre>apt purge '~o'</pre>

=Spécificités trixie=

==Risque de modification du nom des interfaces réseaux==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#network-interface-names-may-change

==Modifications du umask par défaut / permissions==

Si l'utilisateur n'est pas root, et que que le nom d'utilisateur est le même que le nom du groupe primaire de l'utilisateur, l'umask groupe sera forcé à celui de l'umask utilisateur (exemple : 022 -> 002, 077 -> 007). Pour remettre le comportement antérieur et ne pas interférer avec l'umask groupe :
<pre>
sed -i -E '/^session optional[[:blank:]]+pam_umask.so$/ s/$/ nousergroups/' /etc/pam.d/common-session
sed -i -E '/^session optional[[:blank:]]+pam_umask.so$/ s/$/ nousergroups/' /etc/pam.d/common-session-noninteractive
</pre>

Cf https://wiki.debian.org/UserPrivateGroups & https://wiki.debian.org/Permissions#System-wide_umask_configuration

==Le dossier des fichiers temporaires /tmp est maintenant un tmpfs==

Pour récupérer ou supprimer les anciens fichiers du dossier /tmp il faut faire un bind mount :
<pre>mount --bind / /mnt</pre>

Les anciens fichiers tmp seront dans <code>/mnt/tmp/</code>

Par défaut, le dossier <code>/tmp</code> disposera de 50% de la mémoire du système. Vous pouvez modifier l'espace alloué avec <code>systemctl edit tmp.mount</code> et modifier par exemple :
<pre>
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
</pre>

Si vous souhaitez retrouver un dossier <code>/tmp</code> classique (sans tmpfs) :
<pre>systemctl mask tmp.mount</pre>
Puis redémarrer

==Les dossiers /tmp et /var/tmp sont purgés automatiquement==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#the-directories-tmp-and-var-tmp-are-now-regularly-cleaned

Cette fonctionnalité n'est pas activé automatiquement après l'upgrade. Pour l'activer supprimez le fichier <code>/etc/tmpfiles.d/tmp.conf</code> :
<pre>rm -f /etc/tmpfiles.d/tmp.conf</pre>

Après cela, les fichiers dans <code>/tmp</code> seront automatiquement supprimé après 10 jours et les fichiers dans <code>/var/tmp</code> après 30 jours

==Le fichier /etc/sysctl.conf n'est plus appliqué==

A partir de debian trixie, le fichier <code>/etc/sysctl.conf</code> n'est plus lu, en faveur du fichier <code>/usr/lib/sysctl.d/50-default.conf</code> fournit par le paquet <code>linux-sysctl-defaults</code>. Si vous souhaitez éditer les sysctl, il faudra désormais créer un fichier <code> /etc/sysctl.d/*.conf</code>.

==Les paquets isc-dhcp sont dépréciés==
Si vous utilisez NetworkManager ou systemd-networkd : rien à faire et vous pouvez supprimer le paquet <code>isc-dhcp-client</code>.

Si vous utilisez ifupdown, le paquet <code>dhcpcd-base</code> fourni un client dhcp de remplacement (dans ce cas, supprimez les lignes <code>inet6 dhcp</code> de votre fichier <code>/etc/network/interfaces</code>)

A noter un bug IPv6 avec isc-dhcp-client : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1088852

==si la commande ping ne fonctionne plus pour les utilisateurs==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#ping-no-longer-runs-with-elevated-privileges

=Appendice=
https://www.debian.org/releases/trixie/release-notes/upgrading.en.html

Migration de Debian Bookworm vers Trixie

2025-12-29T00:58:13Z

Pfoo : /* Modifications du umask par défaut / permissions */

[[Category:serveur]]
[[Category:debian]]
[[Category:bookworm]]
[[Category:trixie]]

=Préparation=

==Assurez vous que vous êtes à la dernière version de debian==

<pre>apt update
apt full-upgrade</pre>

==Vérifiez l'absence d'action en attente si vous utilisez aptitude==

Lancez <code>aptitude</code> puis tapez <code>G</code>

==Supprimez les paquets obsolètes==

<pre>
apt list '~o'
apt purge '~o'
</pre>

==Identifiez les paquets non-debian qui pourraient poser soucis lors de la mise à jour==

Tous les paquets non fournis par debian peuvent poser problème. A vos risques et péril. 
Pour les identifier :
<pre>
apt list '?narrow(?installed, ?not(?origin(Debian)))'
apt-forktracer | sort
</pre>

A vous de décider ou non de les supprimer avant la mise à niveau, certains paquets peuvent néanmoins gêner la mise à niveau.

==Supprimez les fichiers de configuration non utilisés==
<pre>find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error'</pre>

==Désactivez le pinning==

Dans <code>/etc/apt/preferences</code> et <code>/etc/apt/preferences.d/</code>

==Vérifiez l'absence de paquets cassés==

<pre>dpkg --audit</pre>

==Enlevez les éventuels holds qui pourraient faire échouer la mise à jour==

Pour identifier les paquets en hold :

<pre>
apt-mark showhold
aptitude search "~ahold"
dpkg --get-selections | grep 'hold$'
</pre>

Pour supprimer un hold :
<pre>apt-mark unhold package_name</pre>

==Désactivez les entrées backports de votre sources.list==

==Sources non officielles==
Assurez vous que ces sources possèdent des paquets compilés pour la nouvelle version de debian

=Spécificités trixie=

==Mariadb==

MariaDB ne supporte pas une récupération d'erreur entre deux versions majeurs, il faut donc s'assurer que vos bases de données sont propres et que les données et buffers sont bien écrit sur le disque avant de mettre à jour debian. Pour cela :

<pre>service mariadb stop</pre>

Puis vérifiez dans les logs la présence d'une ligne <code>Shutdown complete</code>. Si ce n'est pas le cas, relancez mariadb pour lancer la récupération automatique des tables, attendez, puis stoppez à nouveau mariadb et vérifiez dans les logs que le nouvel arrêt s'est fait proprement.

=Mise à jour=

==Mise à jour de /etc/apt/sources.list==

Debian Trixie utilise la nouvelle version deb822-style pour les sources apt.

Il faut transformer le fichier <code>/etc/apt/sources.list</code> et tout fichier <code>*.list</code> situé dans <code>/etc/apt/sources.list.d/</code> en un fichier <code>/etc/apt/sources.list.d/debian.sources</code>

Exemple de fichier <code>debian.sources</code> :

<pre>
# main and updates
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# security
Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
</pre>

==Mise à jour de la liste des paquets==
<pre>apt update</pre>

==Assure vous d'avoir assez d'espace libre==

La commande suivante permet de voir l'espace nécessaire pour la mise à jour :
<pre>apt -o APT::Get::Trivial-Only=true full-upgrade</pre>

==Enregistrez les actions effectuées==

apt loguera les packets modifiés dans <code>/var/log/apt/history.log</code> et la sortie du terminal dans <code>/var/log/apt/term.log</code>

==Mise à jour==
<pre>
apt upgrade --without-new-pkgs
apt full-upgrade
</pre>

Si un prompt vous demande s'il doit installer une nouvelle version d'un fichier, répondez de préférence oui puis faites les adaptations nécessaires à votre configuration après la fin de la mise à jour. L'ancien fichier restera disponible, suffixé de .dpkg-old

=Cleanup=

==Supprimez les paquets qui ne sont plus nécessaires==

<pre>apt autoremove</pre>

==Identifiez les configurations et fichier résiduels des paquets qui ne sont plus nécessaires==

<pre>apt list '~c'</pre>

===Purgez ces paquets===

<pre>apt purge '~c'</pre>

==Identifiez et supprimez les paquets obsolètes==

Ce sont des paquets qui ne sont plus maintenu par debian.

* Pour les lister :

<pre>apt list '~o'</pre>

* Pour les supprimer :

<pre>apt purge '~o'</pre>

=Spécificités trixie=

==Risque de modification du nom des interfaces réseaux==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#network-interface-names-may-change

==Modifications du umask par défaut / permissions==

Si l'utilisateur n'est pas root, que que le nom d'utilisateur est le même que le nom du groupe primaire de l'utilisateur, l'umask groupe sera forcé à celui de l'umask utilisateur (exemple : 022 -> 002, 077 -> 007). Pour remettre le comportement antérieur et ne pas interférer avec l'umask groupe :
<pre>
sed -i -E '/^session optional[[:blank:]]+pam_umask.so$/ s/$/ nousergroups/' /etc/pam.d/common-session
sed -i -E '/^session optional[[:blank:]]+pam_umask.so$/ s/$/ nousergroups/' /etc/pam.d/common-session-noninteractive
</pre>

Cf https://wiki.debian.org/UserPrivateGroups & https://wiki.debian.org/Permissions#System-wide_umask_configuration

==Le dossier des fichiers temporaires /tmp est maintenant un tmpfs==

Pour récupérer ou supprimer les anciens fichiers du dossier /tmp il faut faire un bind mount :
<pre>mount --bind / /mnt</pre>

Les anciens fichiers tmp seront dans <code>/mnt/tmp/</code>

Par défaut, le dossier <code>/tmp</code> disposera de 50% de la mémoire du système. Vous pouvez modifier l'espace alloué avec <code>systemctl edit tmp.mount</code> et modifier par exemple :
<pre>
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
</pre>

Si vous souhaitez retrouver un dossier <code>/tmp</code> classique (sans tmpfs) :
<pre>systemctl mask tmp.mount</pre>
Puis redémarrer

==Les dossiers /tmp et /var/tmp sont purgés automatiquement==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#the-directories-tmp-and-var-tmp-are-now-regularly-cleaned

Cette fonctionnalité n'est pas activé automatiquement après l'upgrade. Pour l'activer supprimez le fichier <code>/etc/tmpfiles.d/tmp.conf</code> :
<pre>rm -f /etc/tmpfiles.d/tmp.conf</pre>

Après cela, les fichiers dans <code>/tmp</code> seront automatiquement supprimé après 10 jours et les fichiers dans <code>/var/tmp</code> après 30 jours

==Le fichier /etc/sysctl.conf n'est plus appliqué==

A partir de debian trixie, le fichier <code>/etc/sysctl.conf</code> n'est plus lu, en faveur du fichier <code>/usr/lib/sysctl.d/50-default.conf</code> fournit par le paquet <code>linux-sysctl-defaults</code>. Si vous souhaitez éditer les sysctl, il faudra désormais créer un fichier <code> /etc/sysctl.d/*.conf</code>.

==Les paquets isc-dhcp sont dépréciés==
Si vous utilisez NetworkManager ou systemd-networkd : rien à faire et vous pouvez supprimer le paquet <code>isc-dhcp-client</code>.

Si vous utilisez ifupdown, le paquet <code>dhcpcd-base</code> fourni un client dhcp de remplacement (dans ce cas, supprimez les lignes <code>inet6 dhcp</code> de votre fichier <code>/etc/network/interfaces</code>)

A noter un bug IPv6 avec isc-dhcp-client : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1088852

==si la commande ping ne fonctionne plus pour les utilisateurs==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#ping-no-longer-runs-with-elevated-privileges

=Appendice=
https://www.debian.org/releases/trixie/release-notes/upgrading.en.html

Migration de Debian Bookworm vers Trixie

2025-12-29T00:18:58Z

Pfoo : /* Modifications du umask par défaut / permissions */

[[Category:serveur]]
[[Category:debian]]
[[Category:bookworm]]
[[Category:trixie]]

=Préparation=

==Assurez vous que vous êtes à la dernière version de debian==

<pre>apt update
apt full-upgrade</pre>

==Vérifiez l'absence d'action en attente si vous utilisez aptitude==

Lancez <code>aptitude</code> puis tapez <code>G</code>

==Supprimez les paquets obsolètes==

<pre>
apt list '~o'
apt purge '~o'
</pre>

==Identifiez les paquets non-debian qui pourraient poser soucis lors de la mise à jour==

Tous les paquets non fournis par debian peuvent poser problème. A vos risques et péril. 
Pour les identifier :
<pre>
apt list '?narrow(?installed, ?not(?origin(Debian)))'
apt-forktracer | sort
</pre>

A vous de décider ou non de les supprimer avant la mise à niveau, certains paquets peuvent néanmoins gêner la mise à niveau.

==Supprimez les fichiers de configuration non utilisés==
<pre>find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error'</pre>

==Désactivez le pinning==

Dans <code>/etc/apt/preferences</code> et <code>/etc/apt/preferences.d/</code>

==Vérifiez l'absence de paquets cassés==

<pre>dpkg --audit</pre>

==Enlevez les éventuels holds qui pourraient faire échouer la mise à jour==

Pour identifier les paquets en hold :

<pre>
apt-mark showhold
aptitude search "~ahold"
dpkg --get-selections | grep 'hold$'
</pre>

Pour supprimer un hold :
<pre>apt-mark unhold package_name</pre>

==Désactivez les entrées backports de votre sources.list==

==Sources non officielles==
Assurez vous que ces sources possèdent des paquets compilés pour la nouvelle version de debian

=Spécificités trixie=

==Mariadb==

MariaDB ne supporte pas une récupération d'erreur entre deux versions majeurs, il faut donc s'assurer que vos bases de données sont propres et que les données et buffers sont bien écrit sur le disque avant de mettre à jour debian. Pour cela :

<pre>service mariadb stop</pre>

Puis vérifiez dans les logs la présence d'une ligne <code>Shutdown complete</code>. Si ce n'est pas le cas, relancez mariadb pour lancer la récupération automatique des tables, attendez, puis stoppez à nouveau mariadb et vérifiez dans les logs que le nouvel arrêt s'est fait proprement.

=Mise à jour=

==Mise à jour de /etc/apt/sources.list==

Debian Trixie utilise la nouvelle version deb822-style pour les sources apt.

Il faut transformer le fichier <code>/etc/apt/sources.list</code> et tout fichier <code>*.list</code> situé dans <code>/etc/apt/sources.list.d/</code> en un fichier <code>/etc/apt/sources.list.d/debian.sources</code>

Exemple de fichier <code>debian.sources</code> :

<pre>
# main and updates
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# security
Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
</pre>

==Mise à jour de la liste des paquets==
<pre>apt update</pre>

==Assure vous d'avoir assez d'espace libre==

La commande suivante permet de voir l'espace nécessaire pour la mise à jour :
<pre>apt -o APT::Get::Trivial-Only=true full-upgrade</pre>

==Enregistrez les actions effectuées==

apt loguera les packets modifiés dans <code>/var/log/apt/history.log</code> et la sortie du terminal dans <code>/var/log/apt/term.log</code>

==Mise à jour==
<pre>
apt upgrade --without-new-pkgs
apt full-upgrade
</pre>

Si un prompt vous demande s'il doit installer une nouvelle version d'un fichier, répondez de préférence oui puis faites les adaptations nécessaires à votre configuration après la fin de la mise à jour. L'ancien fichier restera disponible, suffixé de .dpkg-old

=Cleanup=

==Supprimez les paquets qui ne sont plus nécessaires==

<pre>apt autoremove</pre>

==Identifiez les configurations et fichier résiduels des paquets qui ne sont plus nécessaires==

<pre>apt list '~c'</pre>

===Purgez ces paquets===

<pre>apt purge '~c'</pre>

==Identifiez et supprimez les paquets obsolètes==

Ce sont des paquets qui ne sont plus maintenu par debian.

* Pour les lister :

<pre>apt list '~o'</pre>

* Pour les supprimer :

<pre>apt purge '~o'</pre>

=Spécificités trixie=

==Risque de modification du nom des interfaces réseaux==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#network-interface-names-may-change

==Modifications du umask par défaut / permissions==

Si vos utilisateurs ont le même nom de groupe que le nom d'utilisateur, l'umask sera forcé à 0002 au lieu de 0022. Pour remettre le comportement antérieur :
<pre>
sed -i -E '/^session optional[[:blank:]]+pam_umask.so$/ s/$/ nousergroups/' /etc/pam.d/common-session
sed -i -E '/^session optional[[:blank:]]+pam_umask.so$/ s/$/ nousergroups/' /etc/pam.d/common-session-noninteractive
</pre>

Cf https://wiki.debian.org/UserPrivateGroups

==Le dossier des fichiers temporaires /tmp est maintenant un tmpfs==

Pour récupérer ou supprimer les anciens fichiers du dossier /tmp il faut faire un bind mount :
<pre>mount --bind / /mnt</pre>

Les anciens fichiers tmp seront dans <code>/mnt/tmp/</code>

Par défaut, le dossier <code>/tmp</code> disposera de 50% de la mémoire du système. Vous pouvez modifier l'espace alloué avec <code>systemctl edit tmp.mount</code> et modifier par exemple :
<pre>
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
</pre>

Si vous souhaitez retrouver un dossier <code>/tmp</code> classique (sans tmpfs) :
<pre>systemctl mask tmp.mount</pre>
Puis redémarrer

==Les dossiers /tmp et /var/tmp sont purgés automatiquement==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#the-directories-tmp-and-var-tmp-are-now-regularly-cleaned

Cette fonctionnalité n'est pas activé automatiquement après l'upgrade. Pour l'activer supprimez le fichier <code>/etc/tmpfiles.d/tmp.conf</code> :
<pre>rm -f /etc/tmpfiles.d/tmp.conf</pre>

Après cela, les fichiers dans <code>/tmp</code> seront automatiquement supprimé après 10 jours et les fichiers dans <code>/var/tmp</code> après 30 jours

==Le fichier /etc/sysctl.conf n'est plus appliqué==

A partir de debian trixie, le fichier <code>/etc/sysctl.conf</code> n'est plus lu, en faveur du fichier <code>/usr/lib/sysctl.d/50-default.conf</code> fournit par le paquet <code>linux-sysctl-defaults</code>. Si vous souhaitez éditer les sysctl, il faudra désormais créer un fichier <code> /etc/sysctl.d/*.conf</code>.

==Les paquets isc-dhcp sont dépréciés==
Si vous utilisez NetworkManager ou systemd-networkd : rien à faire et vous pouvez supprimer le paquet <code>isc-dhcp-client</code>.

Si vous utilisez ifupdown, le paquet <code>dhcpcd-base</code> fourni un client dhcp de remplacement (dans ce cas, supprimez les lignes <code>inet6 dhcp</code> de votre fichier <code>/etc/network/interfaces</code>)

A noter un bug IPv6 avec isc-dhcp-client : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1088852

==si la commande ping ne fonctionne plus pour les utilisateurs==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#ping-no-longer-runs-with-elevated-privileges

=Appendice=
https://www.debian.org/releases/trixie/release-notes/upgrading.en.html

Migration de Debian Bookworm vers Trixie

2025-12-29T00:06:53Z

Pfoo : /* Risque de modification du nom des interfaces réseaux */

[[Category:serveur]]
[[Category:debian]]
[[Category:bookworm]]
[[Category:trixie]]

=Préparation=

==Assurez vous que vous êtes à la dernière version de debian==

<pre>apt update
apt full-upgrade</pre>

==Vérifiez l'absence d'action en attente si vous utilisez aptitude==

Lancez <code>aptitude</code> puis tapez <code>G</code>

==Supprimez les paquets obsolètes==

<pre>
apt list '~o'
apt purge '~o'
</pre>

==Identifiez les paquets non-debian qui pourraient poser soucis lors de la mise à jour==

Tous les paquets non fournis par debian peuvent poser problème. A vos risques et péril. 
Pour les identifier :
<pre>
apt list '?narrow(?installed, ?not(?origin(Debian)))'
apt-forktracer | sort
</pre>

A vous de décider ou non de les supprimer avant la mise à niveau, certains paquets peuvent néanmoins gêner la mise à niveau.

==Supprimez les fichiers de configuration non utilisés==
<pre>find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error'</pre>

==Désactivez le pinning==

Dans <code>/etc/apt/preferences</code> et <code>/etc/apt/preferences.d/</code>

==Vérifiez l'absence de paquets cassés==

<pre>dpkg --audit</pre>

==Enlevez les éventuels holds qui pourraient faire échouer la mise à jour==

Pour identifier les paquets en hold :

<pre>
apt-mark showhold
aptitude search "~ahold"
dpkg --get-selections | grep 'hold$'
</pre>

Pour supprimer un hold :
<pre>apt-mark unhold package_name</pre>

==Désactivez les entrées backports de votre sources.list==

==Sources non officielles==
Assurez vous que ces sources possèdent des paquets compilés pour la nouvelle version de debian

=Spécificités trixie=

==Mariadb==

MariaDB ne supporte pas une récupération d'erreur entre deux versions majeurs, il faut donc s'assurer que vos bases de données sont propres et que les données et buffers sont bien écrit sur le disque avant de mettre à jour debian. Pour cela :

<pre>service mariadb stop</pre>

Puis vérifiez dans les logs la présence d'une ligne <code>Shutdown complete</code>. Si ce n'est pas le cas, relancez mariadb pour lancer la récupération automatique des tables, attendez, puis stoppez à nouveau mariadb et vérifiez dans les logs que le nouvel arrêt s'est fait proprement.

=Mise à jour=

==Mise à jour de /etc/apt/sources.list==

Debian Trixie utilise la nouvelle version deb822-style pour les sources apt.

Il faut transformer le fichier <code>/etc/apt/sources.list</code> et tout fichier <code>*.list</code> situé dans <code>/etc/apt/sources.list.d/</code> en un fichier <code>/etc/apt/sources.list.d/debian.sources</code>

Exemple de fichier <code>debian.sources</code> :

<pre>
# main and updates
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# security
Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
</pre>

==Mise à jour de la liste des paquets==
<pre>apt update</pre>

==Assure vous d'avoir assez d'espace libre==

La commande suivante permet de voir l'espace nécessaire pour la mise à jour :
<pre>apt -o APT::Get::Trivial-Only=true full-upgrade</pre>

==Enregistrez les actions effectuées==

apt loguera les packets modifiés dans <code>/var/log/apt/history.log</code> et la sortie du terminal dans <code>/var/log/apt/term.log</code>

==Mise à jour==
<pre>
apt upgrade --without-new-pkgs
apt full-upgrade
</pre>

Si un prompt vous demande s'il doit installer une nouvelle version d'un fichier, répondez de préférence oui puis faites les adaptations nécessaires à votre configuration après la fin de la mise à jour. L'ancien fichier restera disponible, suffixé de .dpkg-old

=Cleanup=

==Supprimez les paquets qui ne sont plus nécessaires==

<pre>apt autoremove</pre>

==Identifiez les configurations et fichier résiduels des paquets qui ne sont plus nécessaires==

<pre>apt list '~c'</pre>

===Purgez ces paquets===

<pre>apt purge '~c'</pre>

==Identifiez et supprimez les paquets obsolètes==

Ce sont des paquets qui ne sont plus maintenu par debian.

* Pour les lister :

<pre>apt list '~o'</pre>

* Pour les supprimer :

<pre>apt purge '~o'</pre>

=Spécificités trixie=

==Risque de modification du nom des interfaces réseaux==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#network-interface-names-may-change

==Modifications du umask par défaut / permissions==

Si vos utilisateurs ont le même nom de groupe que le nom d'utilisateur, l'umask sera forcé à 0002 au lieu de 0022. Pour remettre le comportement antérieur :
<pre>
sed -i -E '/^session optional[[:blank:]]+pam_umask.so$/ s/$/ nousergroups/' /etc/pam.d/common-session
sed -i -E '/^session optional[[:blank:]]+pam_umask.so$/ s/$/ nousergroups/' /etc/pam.d/common-session-noninteractive
</pre>

==Le dossier des fichiers temporaires /tmp est maintenant un tmpfs==

Pour récupérer ou supprimer les anciens fichiers du dossier /tmp il faut faire un bind mount :
<pre>mount --bind / /mnt</pre>

Les anciens fichiers tmp seront dans <code>/mnt/tmp/</code>

Par défaut, le dossier <code>/tmp</code> disposera de 50% de la mémoire du système. Vous pouvez modifier l'espace alloué avec <code>systemctl edit tmp.mount</code> et modifier par exemple :
<pre>
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
</pre>

Si vous souhaitez retrouver un dossier <code>/tmp</code> classique (sans tmpfs) :
<pre>systemctl mask tmp.mount</pre>
Puis redémarrer

==Les dossiers /tmp et /var/tmp sont purgés automatiquement==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#the-directories-tmp-and-var-tmp-are-now-regularly-cleaned

Cette fonctionnalité n'est pas activé automatiquement après l'upgrade. Pour l'activer supprimez le fichier <code>/etc/tmpfiles.d/tmp.conf</code> :
<pre>rm -f /etc/tmpfiles.d/tmp.conf</pre>

Après cela, les fichiers dans <code>/tmp</code> seront automatiquement supprimé après 10 jours et les fichiers dans <code>/var/tmp</code> après 30 jours

==Le fichier /etc/sysctl.conf n'est plus appliqué==

A partir de debian trixie, le fichier <code>/etc/sysctl.conf</code> n'est plus lu, en faveur du fichier <code>/usr/lib/sysctl.d/50-default.conf</code> fournit par le paquet <code>linux-sysctl-defaults</code>. Si vous souhaitez éditer les sysctl, il faudra désormais créer un fichier <code> /etc/sysctl.d/*.conf</code>.

==Les paquets isc-dhcp sont dépréciés==
Si vous utilisez NetworkManager ou systemd-networkd : rien à faire et vous pouvez supprimer le paquet <code>isc-dhcp-client</code>.

Si vous utilisez ifupdown, le paquet <code>dhcpcd-base</code> fourni un client dhcp de remplacement (dans ce cas, supprimez les lignes <code>inet6 dhcp</code> de votre fichier <code>/etc/network/interfaces</code>)

A noter un bug IPv6 avec isc-dhcp-client : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1088852

==si la commande ping ne fonctionne plus pour les utilisateurs==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#ping-no-longer-runs-with-elevated-privileges

=Appendice=
https://www.debian.org/releases/trixie/release-notes/upgrading.en.html

Wireguard

2025-12-26T13:54:14Z

Pfoo :

[[category:serveur]]
[[category:debian]]
[[Category:networking]]
[[Category:VPN]]
[[Category:wireguard]]

<pre>apt install wireguard</pre>

=Sur node1=
<pre>cd /etc/wireguard/
umask 077
wg genkey > wg0-private.key
wg pubkey < wg0-private.key > wg0-public.key
wg genpsk > wg0-psk.key
</pre>

<pre>
cat > wg0.conf <<EOF
[Interface]
PrivateKey = $(cat wg0-private.key)
ListenPort = 51820

[Peer]
PublicKey = <Public key du node2>
PresharedKey = $(cat wg0-psk.key)
Endpoint = <IP public du node2>
AllowedIPs = 10.99.99.2/32
EOF
</pre>

<pre>
ip link add dev wg0 type wireguard
ip address add dev wg0 10.99.99.1/24
wg setconf wg0 /etc/wireguard/wg0.conf
ip link set up dev wg0
</pre>

=Sur node2=

<pre>cd /etc/wireguard/
umask 077
wg genkey > wg0-private.key
wg pubkey < wg0-private.key > wg0-public.key
</pre>

Transférer le fichier <code>wg0-psk.key</code> de node1 à node2 et placez le dans <code/etc/wireguard/</code>.

<pre>
cat > wg0.conf <<EOF
[Interface]
PrivateKey = $(cat wg0-private.key)
ListenPort = 51820

[Peer]
PublicKey = <Public key du node1>
PresharedKey = $(cat wg0-psk.key)
Endpoint = <IP public du node1>
AllowedIPs = 10.99.99.1/32
EOF
</pre>

<pre>
ip link add dev wg0 type wireguard
ip address add dev wg0 10.99.99.2/24
wg setconf wg0 /etc/wireguard/wg0.conf
ip link set up dev wg0
</pre>

=Couper le lien=
<pre>
ip link del wg0
</pre>

=AllowedIPs=

Attention ! tout trafic destiné à une adresse de destination qui n'est pas défini dans la directive "AllowedIPs" sera refusé.

Wireguard

2025-12-26T12:37:15Z

Pfoo : Page créée avec « category:serveur category:debian Category:networking Category:VPN Category:wireguard <pre>apt install wireguard</pre> =Sur node1= <pre>cd /etc/wireguard/ umask 077 wg genkey > wg0-private.key wg pubkey < wg0-private.key > wg0-public.key wg genpsk > wg0-psk.key </pre> <pre> cat > wg0.conf <<EOF [Interface] PrivateKey = $(cat wg0-private.key) ListenPort = 51820 [Peer] PublicKey = <Public key du node2> PresharedKey = $(cat wg0-psk.key) Endpoi... »

Shred

2025-12-22T08:56:27Z

Pfoo :

[[category:documentation]]
<pre>find <dir> -type f -print0 | xargs -0 shred -fuzv</pre>

Shred

2025-12-22T08:52:25Z

Pfoo :

[[category:documentation]]
<pre>find <dir> -type f -print0 | xargs -0 shred -fuz</pre>

Shred

2025-10-25T22:12:00Z

Pfoo :

[[category:documentation]]
<pre>find <dir> -type f -print0 | xargs -0 shred</pre>

Monitoring UPS Eaton avec Nut

2025-10-16T19:32:18Z

Pfoo : /* Automatisation */

[[category:debian]]
[[category:monitoring]]

=Eaton 3S=
<pre>
#$ lsusb
...
Bus 003 Device 002: ID 0463:ffff MGE UPS Systems UPS
...
</pre>

Installez nut :
<pre>apt install nut</pre>

/etc/nut/ups.conf (vendorid basé sur la sortie de <code>lsusb</code>) :
<pre>
[eaton]
driver = usbhid-ups
port = auto
vendorid = 0463
pollfreq = 15
desc = "Eaton 3S"
</pre>

Dans le fichier <code>/etc/nut/nut.conf</code> modifier la valeur <code>MODE=none</code> en :
<pre>MODE=standalone</pre>

Lancez le driver :
<pre>
#$ upsdrvctl start
Network UPS Tools - UPS driver controller 2.8.1
Network UPS Tools - Generic HID driver 0.52 (2.8.1)
USB communication driver (libusb 1.0) 0.46
libusb1: Could not open any HID devices: insufficient permissions on everything
No matching HID UPS found
upsnotify: failed to notify about state 4: no notification tech defined, will not spam more about it
Driver failed to start (exit status=1)
</pre>

Vous terminez avec une erreur. C'est lié au fait que le device usb n'est accessible qu'a root, alors que le démon upsd tourne sous l'utilisateur ups. 
Notez l'id vendeur (0463) et l'id produit (ffff). 
Le fix est très simple : créer le fichier <code>/etc/udev/rules.d/90-nut-ups.rules</code> contenant :
<pre>
# Eaton 3S
ACTION=="add", SUBSYSTEM=="usb", ATTR{idVendor}=="0463", ATTR{idProduct}=="ffff", MODE="0660", GROUP="nut"
</pre>

Ensuite relancez udev, puis déconnetez/connectez le port usb de votre onduleur :
<pre>systemctl restart udev</pre>

Ca marche tout de suite mieux !
<pre>
#$ upsdrvctl start
Network UPS Tools - UPS driver controller 2.8.1
Network UPS Tools - Generic HID driver 0.52 (2.8.1)
USB communication driver (libusb 1.0) 0.46
Duplicate driver instance detected (PID file /run/nut/usbhid-ups-eaton.pid exists)! Terminating other driver!
Using subdriver: MGE HID 1.46
</pre>

Connectez vous :
<pre>
upsc -l
upsc eaton@localhost
</pre>

Pour voir la durée restante sur batterie :
<pre>upsc eaton@localhost battery.runtime</pre>

==Automatisation==
Créez un utilisateur dans <code>/etc/nut/upsd.users</code> :
<pre>
[upsmon]
password = <Password>
actions = SET
instcmds = ALL
</pre>

Puis dans <code>/etc/nut/upsmon.conf</code> :
<pre>
MONITOR eaton@localhost 1 upsmon <Password> primary
</pre>

Relancez les services :
<pre>
systemctl restart nut-server.service
systemctl restart nut-monitor.service
</pre>

Vous pouvez a modifier la charge batterie minimale avant shutdown (20 par défaut) :
<pre>upsrw -s battery.charge.low=15 -u upsmon -p <Password> eaton@localhost</pre>

Monitoring UPS Eaton avec Nut

2025-10-16T19:04:59Z

Pfoo : /* Eaton 3S */

[[category:debian]]
[[category:monitoring]]

=Eaton 3S=
<pre>
#$ lsusb
...
Bus 003 Device 002: ID 0463:ffff MGE UPS Systems UPS
...
</pre>

Installez nut :
<pre>apt install nut</pre>

/etc/nut/ups.conf (vendorid basé sur la sortie de <code>lsusb</code>) :
<pre>
[eaton]
driver = usbhid-ups
port = auto
vendorid = 0463
pollfreq = 15
desc = "Eaton 3S"
</pre>

Dans le fichier <code>/etc/nut/nut.conf</code> modifier la valeur <code>MODE=none</code> en :
<pre>MODE=standalone</pre>

Lancez le driver :
<pre>
#$ upsdrvctl start
Network UPS Tools - UPS driver controller 2.8.1
Network UPS Tools - Generic HID driver 0.52 (2.8.1)
USB communication driver (libusb 1.0) 0.46
libusb1: Could not open any HID devices: insufficient permissions on everything
No matching HID UPS found
upsnotify: failed to notify about state 4: no notification tech defined, will not spam more about it
Driver failed to start (exit status=1)
</pre>

Vous terminez avec une erreur. C'est lié au fait que le device usb n'est accessible qu'a root, alors que le démon upsd tourne sous l'utilisateur ups. 
Notez l'id vendeur (0463) et l'id produit (ffff). 
Le fix est très simple : créer le fichier <code>/etc/udev/rules.d/90-nut-ups.rules</code> contenant :
<pre>
# Eaton 3S
ACTION=="add", SUBSYSTEM=="usb", ATTR{idVendor}=="0463", ATTR{idProduct}=="ffff", MODE="0660", GROUP="nut"
</pre>

Ensuite relancez udev, puis déconnetez/connectez le port usb de votre onduleur :
<pre>systemctl restart udev</pre>

Ca marche tout de suite mieux !
<pre>
#$ upsdrvctl start
Network UPS Tools - UPS driver controller 2.8.1
Network UPS Tools - Generic HID driver 0.52 (2.8.1)
USB communication driver (libusb 1.0) 0.46
Duplicate driver instance detected (PID file /run/nut/usbhid-ups-eaton.pid exists)! Terminating other driver!
Using subdriver: MGE HID 1.46
</pre>

Connectez vous :
<pre>
upsc -l
upsc eaton@localhost
</pre>

Pour voir la durée restante sur batterie :
<pre>upsc eaton@localhost battery.runtime</pre>

==Automatisation==
Créez un utilisateur dans <code>/etc/nut/upsd.users</code> :
<pre>
[upsmon]
password = <Password>
actions = SET
instcmds = ALL
MONITOR eaton@localhost 1 upsmon <Password> slave
</pre>

Relancez les services :
<pre>
systemctl restart nut-server.service
systemctl restart nut-monitor.service
</pre>

Vous pouvez a modifier la charge batterie minimale avant shutdown (20 par défaut) :
<pre>upsrw -s battery.charge.low=15 -u upsmon -p <Password> eaton@localhost</pre>

Proxmox 8

2025-10-04T10:33:08Z

Pfoo : /* Utiliser son propre certificat SSL proxmox avec un signataire intermédiaire */

[[Category:serveur]]
[[Category:debian]]
[[Category:virtualisation]]

Nous allons voir comment installer proxmox 8.x sur un raid 1 logiciel (md / mdadm) avec debootstrap.

=Prérequis=

Ce tutoriel se base sur l'utilisation de debootstrap pour installer une base de système d'exploitation debian. La plupart des hébergeurs proposent un système de "rescue" permettant l'installation de debian par ce moyen.
Si vous ne disposez pas de mode rescue, vous pouvez toujours utiliser l'installeur proposé par votre hébergeur, ou encore passer par un kvm pour installer vous même le système avec l'iso de debian.

=Pour les débutants=

Si vous êtes débutant en administration linux, je vous conseil de sauvegarder quelque part les fichier suivant issu d'une précédente installation de debian ou de proxmox
* <code>/etc/networks</code>
* <code>/etc/network/interfaces</code>
* <code>/etc/resolv.conf</code>
* <code>/etc/hosts</code>
* <code>/etc/fstab</code>
* <code>/etc/mdadm/mdadm.conf</code> si vous disposez d'un raid logiciel
* tout fichier de personnalisation de grub (<code>/etc/grub.d/</code> par exemple)

Cela vous permettra de vous faire une idée plus précise de ce qui doit figurer dans ces différents fichiers.

=Partitionnement et système de fichier=

Voici le partitionnement que je vais utiliser :
* Partition root (/) de 20 Go (/) en raid 1 sur les disques sda et sdb
* Partitions swap de 4096 Go chacune réparties sur sda et sdb
* Le reste de l'espace sera utilisé plus tard pour un LVM dédié aux VMs

==Partitionnement==

===Possibilité 1 : Partitionnement GPT pour EFI / UEFI===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions EFI (ESP), obligatoire pour le démarrage EFI/UEFI. Il faudra leur attribuer le type <code>EF00</code>. Pour assurer une bonne compatibilité avec les multiples firmwares EFI, il est recommandé de leur attribuer une taille de 512 MiB (+512M au prompt gdisk).
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

 

Pour les partitions EFI, nous créons un système de fichier FAT32 avec le label (nom) <code>EFI_SYSPART</code> :
<pre>
mkfs.fat -F 32 -n EFI_SYSPART /dev/sda1
mkfs.fat -F 32 -n EFI_SYSPART /dev/sdb1
</pre>

===Possibilité 2 : Partitionnement GPT pour BIOS===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions pour le bootloader. Il faudra leur attribuer le type <code>EF02</code>. On peut la créer idéalement du secteur 34 au secteur 2047 du disque.
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

Notez que la partition du bootloader ne doit pas être formatée.

===Possibilité 3 : partitionnement MBR pour BIOS (non prise en charge dans ce wiki)===

A titre informatif : création avec <code>parted</code>, sans nécessité de créer une partition dédiée au bootloader/grub.

==Création du RAID==

Pour des raisons esthétiques, définissez l'hostname de votre système de rescue :
<pre>hostname proxmox</pre>

Pour créer votre raid 1 avec 2 disques :
<pre>
mdadm --create --verbose /dev/md2 --level=1 --raid-devices=2 /dev/sda2 /dev/sdb2
</pre>

Notez que si vous souhaitez utiliser plus que 2 disques, il faut augmenter la valeur de <code>--raid-devices</code> et ajouter les partitions des disques à la suite.

Attendez que le raid soit synchronisé avant de continuer. Vous pouvez surveiller facilement cela avec la commande <code>watch cat /proc/mdstat</code>.

==Création des systèmes de fichiers==

Créez un système de fichier ext4 pour le raid du root :
<pre>
mkfs.ext4 /dev/md2
</pre>

Enfin, initialisez les swaps :
<pre>
mkswap /dev/sda3
mkswap /dev/sdb3
</pre>

=Installation de proxmox=

==Installation du système de base==

Nous débutons par installer le système de base de Debian avec <code>debootstrap</code>

Installez les paquets nécessaires dans votre rescue :
<pre>apt install debootstrap debian-keyring debian-archive-keyring</pre>

Montez votre partition raid root sur <code>/mnt</code> :
<pre>
mount /dev/md2 /mnt
</pre>

Installez le système de base debian, version bookworm :
<pre>debootstrap --arch=amd64 bookworm /mnt http://ftp.fr.debian.org/debian</pre>

==Configuration de Debian==

Montez les vfs suivants, puis chrootez dans votre nouveau système debian :
<pre>
mount -o bind /proc /mnt/proc
mount -o bind /dev /mnt/dev
mount -o bind /dev/pts /mnt/dev/pts
mount -o bind /sys /mnt/sys
chroot /mnt
</pre>

Configurez les archives apt : éditez le fichier <code>/etc/apt/sources.list</code> :
<pre>
# main archive
deb http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware

# security updates
deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware

# bookworm-updates, previously known as 'volatile'
deb http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware

# backports archive
deb http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
</pre>

Mettez à jour les paquets :
<pre>
apt update
apt full-upgrade
</pre>

Installez les locales et la configuration de console :
<pre>
apt install locales
dpkg-reconfigure locales
apt install console-data console-setup-linux console-setup wget
dpkg-reconfigure console-data # from arch > french > latin9)
</pre>

Définissez la zone horaire :
<pre>
tzselect
dpkg-reconfigure tzdata
</pre>

Configurez votre fichier <code>/etc/fstab</code>. 
Pour GPT pour EFI / UEFI :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda1 /boot/efi vfat defaults 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Pour GPT pour BIOS :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Montez la partition EFI / ESP dans le cas d'un partitionnement GPT pour EFI / UEFI :
<pre>
mkdir /boot/efi
mount /boot/efi
</pre>

Configurez les interfaces réseaux dans <code>/etc/network/interfaces</code> :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

auto eno3
iface eno3 inet static
address XXXX/24
gateway XXXX
</pre>

Configurez le fichier <code>/etc/hosts</code> :
<pre>
# local
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

# main
ipdelamachine proxmox.domain.tld proxmox pvelocalhost
</pre>

Définissez les hostnames dans ces fichiers :
<pre>
# Pour celui la : non-fqdn
echo proxmox > /etc/hostname
# Pour celui la : fqdn
echo proxmox.domain.tld > /etc/mailname
</pre>

'''ATTENTION''' Le fichier <code>/etc/hosts</code> DOIT être cohérent avec le fichier <code>/etc/hostname</code>. 
Par exemple, si le contenu de <code>/etc/hostname</code> est <code>proxmox</code> et que l'ip de votre proxmox est 225.182.54.9 il faudra veiller a avoir les informations suivantes dans <code>/etc/hosts</code> :
<pre>
127.0.0.1 localhost
225.182.54.9 proxmox.domain.tld proxmox pvelocalhost
</pre>

'''Attention : n'utilisez pas 127.0.1.1 (comme le fait debian) mais bien la vrai ip (ici 225.182.54.9)'''

N'oubliez pas de configurer les dns (ceux de votre hébergeur dédié) dans <code>/etc/resolv.conf</code> :
<pre>nameserver XX.XX.XX.XX</pre>

Installez postfix :
<pre>
hostname -F /etc/hostname
apt install postfix
</pre>

Enfin, comme nous installons notre partition de boot sur un raid software, il faut installer <code>madadm</code> à ce stade :
<pre>apt install mdadm</pre>

Vérifiez si votre array root s'est bien défini automatiquement dans <code>/etc/mdadm/mdadm.conf</code>. Si ce n'est pas me cas, ajoutez la configuration de l'array manuellement :
<pre>mdadm --examine --scan >> /etc/mdadm/mdadm.conf</pre>

==Installation de proxmox - kernel==

Ajoutez le dépot proxmox dans le fichier /etc/apt/source.list :
<pre>
# PVE pve-no-subscription repository provided by proxmox.com, NOT recommended for production use
deb http://download.proxmox.com/debian/pve bookworm pve-no-subscription
</pre>

Ajoutez la clé du dépôt proxmox :
<pre>
wget https://enterprise.proxmox.com/debian/proxmox-release-bookworm.gpg -O /etc/apt/trusted.gpg.d/proxmox-release-bookworm.gpg
</pre>

Mettez à jour le système :
<pre>
apt update
apt full-upgrade
</pre>

===Possibilité 1 : Partitions GPT pour EFI / UEFI===

Vérifiez que <code>/boot/efi</code> est bien monté. Si ce n'est pas le cas, faites le.

Installez le kernel proxmox :
<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-efi-amd64 gdisk
</pre>

Supprimez les paquets suivant si vous n'avez pas besoin de secureboot :
<pre>apt purge grub-efi-amd64-signed mokutil shim-helpers-amd64-signed shim-signed shim-signed-common shim-unsigned</pre>

Normalement tout doit se faire avec des promps. Si ce n'était pas le cas :
<pre>grub-install --bootloader-id=proxmox</pre>

Si jamais vous utilisez un démarrage en PXE (c'est le cas sur un serveur OVH par exemple), utilisez l'argument <code>--no-nvram</code> pour empêcher grub de mettre à jour la NVRAM et casser votre mécanique de démarrage PXE :
<pre>grub-install --bootloader-id=proxmox --no-nvram</pre>

Etant donné que seul <code>/dev/sda1</code> est monté sur <code>/boot/efi</code>, il faut transférer manuellement les données sur <code>/dev/sdb1</code> :
<pre>
mount /dev/sdb1 /mnt
rsync -av /boot/efi/ /mnt/
umount /mnt
</pre>

Si pour une raison quelconque, vous aviez besoin des headers du kernel :
<pre>apt install pve-headers-5.15</pre>

===Possibilité 2 : Partitions GPT pour BIOS OU Partitions MBR pour BIOS===

<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-pc gdisk
</pre>

Lorsqu'on vous demandera où installer grub, choisissez <code>sda</code> ET <code>sdb</code>. Sinon :
<pre>
grub-install /dev/sda
grub-install /dev/sdb
</pre>

==Installation de proxmox - OpenSSH==

Installez openssh et définissez un password root. Autorisez le login root par password temporairement.
<pre>
hostname -F /etc/hostname
apt install openssh-server
passwd
sed -i "s/#PermitRootLogin prohibit-password/PermitRootLogin yes/g" /etc/ssh/sshd_config
</pre>

==Installation de proxmox - Vérifications finales et redémarrage sur le kernel proxmox==

Si vous avez une configuration particulière à entrer dans <code>/etc/default/grub</code>, faites le maintenant. Par exemple :
<pre>
GRUB_CMDLINE_LINUX="nomodeset iommu=pt"
</pre>

Puis régénérez la configuration de grub :
<pre>update-grub</pre>

Vous pouvez vérifier que votre fstab est valide avec :
<pre>findmnt --verify --verbose</pre>

Vous pouvez maintenant sortir de votre chroot et démonter le système de fichier

<pre>
umount /boot/efi/
exit
umount /mnt/sys
umount /mnt/dev/pts
umount /mnt/dev
umount /mnt/proc
umount /mnt
</pre>

Enfin, redémarrez le serveur sur le disque dur.

==Installation de ifupdown2==

Le paquet <code>ifupdown2</code> est en voie de devenir le remplaçant officiel de <code>ifupdown</code> pour proxmox.

<pre>
apt install ifupdown2
apt purge ifupdown
systemctl enable networking
</pre>

Pour vérifier que votre configuration est fonctionnelle : lancez <code>ifquery -a</code>

Redémarrez à nouveau votre serveur

==Installation de proxmox - pve==

Une fois le redémarrage effectué, vous allez enfin pouvoir installer pve :
<pre>apt install proxmox-ve ksm-control-daemon chrony</pre>
<pre>apt remove os-prober</pre>

Editez la configuration réseau <code>/etc/network/interfaces</code> afin d'y créer votre bridge :
<pre>
auto eno3
iface eno3 inet manual

auto vmbr0
iface vmbr0 inet static
address xxxxx/24
gateway xxxx
hwaddress AA:BB:CC:11:22:33
bridge_ports eno3
bridge_stp off
bridge_fd 0
</pre>

Définissez la ligne <code>hwaddress</code> avec l'adresse MAC de l'interface eno3.

Installez votre clé SSH dans <code>/root/.ssh/authorized_keys</code> puis désactivez le login root par password de OpenSSH dans <code>/etc/ssh/sshd_config</code>.
 

Une fois tout installé, je vous conseille de reconfigurer grub afin de mettre à jour la configuration interne de debian:
* Pour EFI : <code>dpkg-reconfigure grub-efi-amd64</code>
* Pour BIOS : <code>dpkg-reconfigure grub-pc</code>

 
Redémarrez une dernière fois pour appliquer les changements.

Votre proxmox sera accessible à l'adresse https://ip:8006

==Nettoyage des paquets==

Si vous ne comptez pas utiliser ZFS, vous pouvez supprimer les paquets suivantes :
<pre>apt purge zfs-zed libnvpair3linux libuutil3linux libzfs4linux libzpool5linux zfsutils-linux</pre>

==Configuration réseau avancée==

===Ajout d'une IPv6 sur vmbr0===

===Ajout d'un réseau interne vmbr1===

Nous allons voir comment créer un réseau interne avec proxmox, c'est à dire, un réseau qui ne sera attaché à aucune interface réseau physique. L'intérêt est d'offrir un débit bien supérieur pour les communications entre les VMs.

Ajoutez les lignes suivantes dans <code>/etc/network/interfaces</code> :

<pre>
auto vmbr1
iface vmbr1 inet static
address 192.168.0.1
netmask 255.255.255.0
</pre>

Note : vous pouvez faire de même en ipv6 :
* il faut utiliser le range Unique Local Address (ULA) fd00::/8 (http://en.wikipedia.org/wiki/Unique_Local_Address)
* pour générer votre ULA : http://pfoo.unscdf.org/ula/gen-ula.html

==Sécurisation de base==

Je vous conseil de commencer à sécuriser votre ssh :
* désactivez le login root (directive <code>PermitRootLogin no</code> dans <code>/etc/ssh/sshd_config</code>). Pensez néanmoins à créer un utilisateur pour vous connecter en ssh avant de désactiver le login root.
* utilisez la directive <code>allowusers <user></code> dans <code>/etc/ssh/sshd_config</code> pour n'autoriser que certains utilisateurs à se connecter en ssh.

Il est aussi préférable d'installer le serveur de temps NTP à la place de systemd-timesyncd:
<pre>
apt install chrony
apt purge systemd-timesyncd
</pre>

=Configurer le serveur mail postfix=

==Configuration==

==Certificats SSL==
Si vous avez votre propre autorité ssl, vous pouvez générer votre propre certificat. Si ce n'est pas le cas, vous pouvez toujours aller lire [http://wiki.unscdf.org/index.php?title=Installation_et_configuration_de_OpenSSL ceci] afin d'apprendre à créer votre autorité ssl.

Ajoutez les lignes suivantes dans <code>/etc/ssl/openssl.cnf</code> :
<pre>
[POSTFIX]
nsComment = "SMTP Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
issuerAltName = issuer:copy
basicConstraints = critical,CA:FALSE
keyUsage = critical, digitalSignature, nonRepudiation, keyEncipherment
nsCertType = server
extendedKeyUsage = serverAuth
</pre>

Puis générez la clé et le certificat, et signez le avec votre autorité (int_ca dans mon cas) :
<pre>
openssl req -config /etc/ssl/openssl.cnf -nodes -newkey rsa:2048 -keyout postfix.key -out postfix.req
openssl ca -config /etc/ssl/openssl.cnf -name int_ca -extensions POSTFIX -in postfix.req -out postfix.pem
</pre>

Déplacez les fichiers dans le répertoire <code>/etc/postfix/ssl</code> :
<pre>
mkdir /etc/postfix/ssl
mv postfix.key /etc/postfix/ssl/
mv postfix.pem /etc/postfix/ssl/
chmod 600 /etc/postfix/ssl/*
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/int_ca/int_ca.pem > /etc/postfix/ssl/ca_chain.pem
</pre>

Il faut encore modifier <code>/etc/postfix/main.cf</code> :
<pre>
smtpd_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtpd_tls_key_file=/etc/postfix/ssl/postfix.key
smtpd_tls_CAfile=/etc/postfix/ssl/ca_chain.pem
smtpd_use_tls=yes
smtp_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtp_tls_key_file=/etc/postfix/ssl/postfix.key
smtp_tls_CAfile=/etc/postfix/ssl/ca_chain.pem

smtpd_tls_security_level=may
smtp_tls_security_level=may
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1

#smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
</pre>

=Utiliser son propre certificat SSL proxmox avec un signataire intermédiaire=

Depuis Proxmox 5.2, il n'est plus recommandé d'adapter manuellement les fichiers contenant les certificats et clés privés de proxmox. 
Cependant, vous pouvez placer directement votre clé privé dans le fichier <code>/etc/pve/local/pveproxy-ssl.key</code> et la chaîne de certification dans le fichier <code>/etc/pve/local/pveproxy-ssl.pem</code>. Vous pouvez également déposer ces fichiers via la webui de proxmox au niveau de chaque serveur.

Si vous avez endommagé les certificats autogénérés par proxmox (<code>/etc/pve/pve-root-ca.pem</code>, <code>/etc/pve/priv/pve-root-ca.key</code>, <code>/etc/pve/nodes/<node>/pve-ssl.pem</code>, <code>/etc/pve/nodes/<node>/pve-ssl.key</code>), vous pouvez les régénérer avec :
<pre>pvecm updatecerts -f</pre>

=Surveiller l'état des disques avec SMART=

Commencez par installer le paquet smartmontools :
<pre>apt install smartmontools</pre>

Vérifiez que vos disques gèrent smart et qu'il est activé :
<pre>
smartctl -i /dev/sda
smartctl -i /dev/sdb
</pre>

Si smart n'est pas activé, essayez de l'activer comme ceci :
<pre>
smartctl -s on /dev/sda
smartctl -s on /dev/sdb
</pre>

Vérifiez le statut de santé de vos disques :
<pre>
smartctl -H /dev/sda
smartctl -H /dev/sdb
</pre>
S'il indique <code>PASSED</code> c'est bon de ce côté. S'il vous indique <code>FAILED</code>, sauvegardez immédiatement vos données !

Vérifiez la présence d'erreurs dans le log smart :
<pre>
smartctl -l error /dev/sda
smartctl -l error /dev/sdb
</pre>

Si vous voyez <code>No Errors Logged</code> ou quelques erreurs, c'est bon. S'il y eu a beaucoup, il faut envisager de changer le disque.

Le fichier de configuration de smartd est <code>/etc/smartd.conf</code>. Commentez la ligne <code>DEVICESCAN</code> puis ajoutez les lignes suivantes pour surveiller les deux disques durs :
<pre>
/dev/sda -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
/dev/sdb -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
</pre>

Nous activons la surveillance globale (<code>-a</code>), la vérification automatique offline, (<code>-o on</code>), la sauvegarde automatique des attributs (<code>-S on</code> et lançons un <code>short self test</code> tous les jours à 2h du matin, et un <code>long self test</code> tous les samedi à 3h du matin. Si des erreurs sont détectés, un email est envoyé à vous@domain.tld. 

Relancez smartd :
<pre>/etc/init.d/smartmontools restart</pre>

Pour plus d'information sur SMART et ses arguments : [[Diagnostic smart d'un disque]]

=Protégez votre proxmox=

==Désactiver le login root sur l'interface proxmox==
Avant toute manipulation, n'oubliez pas de créer un utilisateur ayant les droits d'administration pour accéder à l'interface de proxmox

===Via l'interface proxmox===
Dans Datacenter > Permissions > Users : Editez l'utilisateur root et décochez la case <code>Enabled</code>

===Via les droits linux===
<pre>passwd --lock root</pre>

Attention, dans ce cas, vous ne pourrez plus vous loguer en root sur le serveur par ssh (sauf si vous avez une clé ssh défini), écran ou kvm !

===Via PAM===
Vous pouvez désactiver le login pam en éditant <code>/etc/pam.d/other</code> et en y ajoutant, en début de fichier, les lignes suivantes :
<pre>
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
account required pam_warn.so
</pre>

Attention, cette méthode peut avoir des effets de bord si d'autres programmes utilisent l'entité pam/other

==Désactiver rpcbind==

Si vous n'utilisez pas de montage NFS vous pouvez désactiver rpcbind. 
Editez <code>/etc/default/nfs-common</code> et passez l'argument suivant :
<pre>NEED_STATD=no</pre>

Puis désactivez rpcbind :
<pre>
systemctl disable rpcbind.target
systemctl disable rpcbind.socket
systemctl disable rpcbind.service
systemctl stop rpcbind.target
systemctl stop rpcbind.socket
systemctl stop rpcbind.service
</pre>

==Eviter les reboots accidentels avec molly-gard==
<pre>apt install molly-guard</pre>

==Protection SSH avec sshguard==

[[Protéger SSH avec sshguard]]

==Protéger l'interface web avec fail2ban==

<pre>apt install fail2ban</pre>

Créez le fichier <code>/etc/fail2ban/jail.local</code> contenant :
<pre>
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 1800
maxretry = 3

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

action = %(action_mwl)s

[ssh]
enabled = false

[sshd]
enabled = false

[proxmox]
enabled = true
port = https,http,8006
filter = proxmox
backend = systemd
maxretry = 4
findtime = 2d
bantime = 1h
</pre>

Créez le fichier <code>/etc/fail2ban/filter.d/proxmox.conf</code> :
<pre>
[Definition]
failregex = pvedaemon\[.*authentication failure; rhost=<HOST> user=.* msg=.*
ignoreregex =
journalmatch = _SYSTEMD_UNIT=pvedaemon.service
</pre>

Relancez fail2ban :
<pre>/etc/init.d/fail2ban restart</pre>

==firewall iptables==

=Création d'un stockage pour les VMs=

Créez les partitions sda4 et sdb4 au moyen de gdisk (EFI) ou parted (BIOS).

Créez sur ces partitions un raid :
<pre>mdadm --create --verbose /dev/md4 --level=1 --raid-devices=2 /dev/sda4 /dev/sdb4</pre>

Maintenez à jour <code>mdadm.conf</code> et votre initramfs afin de conserver le bon naming du raid après reboot :
<pre>
mdadm --examine --scan >> /etc/mdadm/mdadm.conf
update-initramfs -u
</pre>

Puis initialisez-y un LVM :
<pre>
pvcreate /dev/md4
vgcreate main /dev/md4
</pre>

Il ne reste plus qu'a déclarer ce Volume Group LVM dans l'interface proxmox.

=VM qemu/kvm=

==Télécharger vos images==

Vous pouvez placer les iso dans <code>/var/lib/vz/template/iso/</code> avec <code>wget</code> par exemple.
Notez que l'interface graphique de proxmox propose également une fonction d'upload.

==Créer votre première VM==

Une fois la VM crées dans l'interface proxmox, je vous recommande d'écrire des zero sur son disque afin de réduire la taille des futurs backups. Si votre vm porte le numéro 100 et possède un seul disque :
<pre>dd if=/dev/zero | pv -ptrb | dd of=/dev/main/vm-100-disk1 bs=1M</pre>

===Configuration réseau en bridge vmbr0 (ip public)===

===Configuration réseau en bridge vmbr1 (ip locale)===

Configuration réseau de la VM :
<pre>
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
gateway 192.168.0.1
</pre>

Règle iptables à ajouter sur l'hôte :
<pre>iptables -t nat -A POSTROUTING -s 192.168.0.2 -o vmbr0 -j SNAT --to IP-PUBLIC-DE-VOTRE-HOTE</pre>

Si vous souhaitez rendre accessible l'un des services de la VM depuis l'ip de l'hote sur un port sépcifique :
<pre>
iptables -t nat -A PREROUTING -p tcp -d <ip de l'hote> --dport <port souhaité> -i vmbr0 -j DNAT --to-destination 192.168.0.2:port
</pre>

==Bloquer le spoofing d'adresse mac==
Sur l'hyperviseur, installez <code>ebtables</code> :
<pre>apt install ebtables</pre>

Admettons ensuite que votre VM a comme adresse ip <code>84.93.26.3</code> et que son adresse mac doit être <code>52:54:00:00:98:b6</code> :
<pre>ebtables -A FORWARD -p IPv4 --ip-src 84.93.26.3 -s ! 52:54:00:00:98:b6 -j DROP</pre>

Vous pouvez faire de même pour l'ipv6. Dans l'exemple suivant, seul le bloc ipv6 <code>2a01:d4h:123b:100::/56</code> est utilisable par la vm :
<pre>ebtables -A FORWARD -p IPv6 --ip6-src 2a01:d4h:123b:100::/56 -s ! 52:54:00:00:08:b1 -j DROP</pre>

==Importer une VM depuis vmware ESXi==

==qm et modification des VMs en ligne de commande==

==Monter les partitions d'une VM depuis l'host==

<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

pour la partition 1 : start*blocksize = offset
donc 2048*512 = 1048576

<pre>losetup /dev/loop1 -o 1048576 /dev/main/vm-101-disk-1 </pre>

Et enfin :
<pre>mount /dev/loop1 /mnt</pre>

Quand vous avez terminé vos modifications :
<pre>
umount /mnt
losetup -d /dev/loop1
losetup -d /dev/loop0
</pre>

===Si la partition que vous voulez monter est un LVM===

Scannez les nouveaux volumes :
<pre>lvm pvscan</pre>

Activez les groupes :
<pre>lvm vgchange -ay</pre>

listez les lvms avec :
<pre>lvm lvs</pre>

Les LV devraient apparaître dans <code>/dev/mapper/</code>

Quand vous avez terminé :
* démontez les LV
* Désactivez le groupe avec <code>vgchange -an</code>
* désactivez le loopback : <code>losetup -d /dev/loop0</code>

==Augmenter la taille du disque d'une VM==

Coupez la VM.

Sur l'host pour modifier la taille du disque 1 de la vm 110 ) 140G :
<pre>lvextend -L 140G /dev/main/vm-110-disk-1</pre>

Il faut ensuite, sur la vm lancée, utiliser resize2fs

==Migrer une VM vers un autre serveur manuellement (pas de cluster) avec un downtime minimum==

Nous allons voir comment migrer une VM proxmox stockée sur un LVM d'un serveur à un autre, et ce, en minimisant au maximum le downtime. Pour cela, nous allons coupler la fonctionnalité de snapshot de lvm avec un petit script (lvmsync) qui permet de ne transférer que les blocs modifiés d'un snapshot.

Installez dmsetup et ruby (1.8 minimum) sur le serveur d'origine et de destination :
<pre>apt install dmsetup ruby</pre>

Récupérez <code>lvmsync</code> sur https://github.com/mpalmer/lvmsync et placez le dans /sbin/ sur les serveurs d'origine et de destination.

Dans cet exemple, nous allons migrer la vm 102 disposant d'un seul disque virtuel nommé vm-102-disk-1 et stocké dans le vg main du serveur server1.domain.tld vers le serveur server2.domain.tld.
Pour commencer, créez un snapshot de votre vm sur server1 :
<pre>lvcreate --snapshot -L200G -n 102-lvmsync main/vm-102-disk-1</pre>

Désormais, tous les io de cette vm seront stockés dans le snapshot 102-lvmsync.

Sur votre nouveau serveur, créez une VM identique à celle de votre premier serveur (surtout en qui concerne la taille de disque).
Depuis server1, copiez avec un dd over ssh le disque d'origine de votre vm vers votre nouveau serveur.
<pre>dd if=/dev/main/vm-102-disk-1 | pv -ptrb | ssh -o "Compression no" root@server2.domain.tld "dd of=/dev/main/vm-102-disk-1 bs=100M"</pre>

Note : sur un réseauu 100Mbps utilisez plutôt <code>-o "Compressionlevel 1"</code>

Une fois la copie terminée, coupez la vm 102 sur server1, puis lancez lvmsync sur le snapshot (toujours sur server1) :
<pre>lvmsync /dev/main/102-lvmsync server2.domain.tld:/dev/main/vm-102-disk-1</pre>

Une fois le travail de lvmsync achevé, il ne nous reste plus qu'a relancer la vm sur server2

A titre d'information, si vous voulez merger le snapshot de la vm 102 sur server 1, tapez :
<pre>lvconvert --merge /dev/main/102-lvmsync</pre>

=Conteneur LXC=

==Empêcher la mise à jour automatique de certains fichiers de configuration système du conteneur==

Certains fichiers de configuration du conteneur sont mis à jour automatiquement à chaque démarrage (voir https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_guest_operating_system_configuration)

On peut empêcher la mise à jour de ces fichiers en créant un fichier <code>.pve-ignore.NOM</code> 
Par exemple, <code>/etc/.pve-ignore.resolv.conf</code> empêchera le fichier <code>/etc/resolv.conf</code> d'être mis à jour à chaque démarrage.

=Annexes=

==Problème de layout dans la console vnc==
Dans l'interface web de proxmox : datacenter > option > passez Keyboard de <code>default</code> à <code>French</code>.

==Erreurs du type <code>IPv6 addrconf: prefix with wrong length 56</code> ==

Cette erreur est typique sous linux si les routeurs de votre serveur annoncent des blocs IPv6 /56 alors que vous configurez des /64.
Ajouter les lignes suivantes dans un fichier <code>/etc/sysctl.d/local.conf</code> :
<pre>
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.eno3.autoconf = 0
net.ipv6.conf.vmbr0.autoconf = 0
</pre>

Terminez par relancer procps :
<pre>/etc/init.d/procps restart</pre>

==paramètre sysctl ipv6 non appliqué au boot==
Ajoutez le module ipv6 dans /etc/modules afin d'assurer le chargement d'ipv6 avant l’exécution de sysctl :
<pre>echo ipv6 >> /etc/modules</pre>

==LVM inaccessible depuis l'host==

<pre>
lvm pvscan
lvm vgchange -ay
</pre>

==L'interface web ne fonctionne pas et la commande qm retourne une erreur ipcc_send_rec failed: Connection refused==

Vérifiez la présence de fichiers et dossiers dans <code>/etc/pve/</code>. Si ce dossier est vide, c'est probablement que votre fichier <code>/etc/hosts</code> est mal configuré. 
Essayez de relancer <code>pve-cluster</code> :
<pre>/etc/init.d/pve-cluster restart</pre>

Si vous avez une erreur ou un warning, lancez la commande pmxcfs. Vous devriez obtenir ceci :
<pre>
$# pmxcfs
Jan 21 15:28:19 proxmox pmxcfs[1846]: Unable to get local IP address (pmxcfs.c:721:main)
</pre>

Vérifiez alors que le contenu de <code>/etc/hostname</code> est défini dans <code>/etc/hosts</code>.

Si par exemple <code>/etc/hostname</code> contient <code>proxmox.domain.tld</code> vous devriez avoir la ligne suivante dans <code>/etc/hosts</code> :
<pre>VOTREIP proxmox.domain.tld proxmox</pre>

==Pas assez d'interfaces loopback==

Créer le fichier <code>/etc/modprobe.d/local-loop.conf</code> contenant :
<pre>options loop max_loop=64</pre>

Vous pouvez ensuite redémarrer ou recharger le module loop :
<pre> rmmod loop && modprobe loop</pre>

==Défragmentation LVM : exemple==
<pre>
hub:~# pvdisplay --maps
--- Physical volume ---
PV Name /dev/sda4
VG Name main
PV Size 1.76 TB / not usable 456.00 KB
Allocatable yes
PE Size (KByte) 4096
Total PE 461649
Free PE 208721
Allocated PE 252928
PV UUID PUqV5Q-WRW2-n20t-eFVM-CA1r-RhDl-2RTJHq

--- Physical Segments ---
Physical extent 0 to 7935:
Logical volume /dev/main/vm-101-disk-1
Logical extents 0 to 7935
Physical extent 7936 to 72191:
Logical volume /dev/main/vm-101-disk-2
Logical extents 0 to 64255
Physical extent 72192 to 136703:
Logical volume /dev/main/vm-102-disk-1
Logical extents 0 to 64511
Physical extent 136704 to 144895:
Logical volume /dev/main/vm-103-disk-1
Logical extents 0 to 8191
Physical extent 144896 to 209151:
Logical volume /dev/main/vm-103-disk-2
Logical extents 0 to 64255
Physical extent 209152 to 214271:
Logical volume /dev/main/vm-104-disk-1
Logical extents 0 to 5119
Physical extent 214272 to 227327:
Logical volume /dev/main/vm-104-disk-2
Logical extents 0 to 13055
Physical extent 227328 to 282111:
FREE
Physical extent 282112 to 307711:
Logical volume /dev/main/vm-108-disk-1
Logical extents 0 to 25599
Physical extent 307712 to 461648:
FREE
</pre>

Comme vous pouvez le voir, on a un trou "vide" entre l'extent 227328 et 282111, puis à nouveau des données entre l'extent 282112 et 307711.

Pour combler ce trou, nous allons déplacer les données des /dev/main/vm-108-disk-1 situés entre les extents 282112 et 307711 (soit 25599 extents au total) vers l'espace libre avec <code>pvmove</code> : 
pvmove /dev/sda4:282112-307711 /dev/sda4:227328-252927 --alloc anywhere

Notez qu'il faut attribuer exactement le même nombre d'extents à la destination qu'à l'origine : 227328 + 25599 = 252927

==Oups: j'ai supprimé le mauvais lvm==

Pas de panique, mais ne bougez plus ! Pour l'instant, seul les métadonnées du lvm sont impactés.
Et comme c'est bien foutu, lvm conserve un backup des anciennes metadonnées après chaque modification. Ces archives sont situés dans <code>/etc/lvm/archive/</code>. Les fichiers y sont nommés sous la forme vg_XXXX-YYYYYYY.vg. Normalement, le fichier ayant le XXXX le plus élevé sera celui de l'état précédent votre erreur.
Pour vérifier que vous avez sélectionné le bon fichier, vous pouvez l'ouvrir avec nano et regarder si l'état du lvm dans cette archive correspond a ce que vous attendez.

Pour restaurer l'archive des métadonnées main_00007-587941649.vg pour le vg main :
<pre>
vgcfgrestore -f /etc/lvm/archive/main_00007-587941649.vg main
lvm vgchange -ay
</pre>

Votre volume devrait être de retour.

Il faut encore vérifier que la table de partition contenu sur ce lvm n'a pas morphlé. En admettant que /dev/main/vm-101-disk-1 est la lvm que vous venez de restaurer :
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

Si vous voyez ça, c'est bon, vous êtes sauvés ! Si ce n'est pas le cas, continuez à lire ;)

===Récupération de la table de partition===

Si fdisk vous envois chier avec un message du style <code>Disk /dev/loop0 doesn't contain a valid partition table</code>, il va falloir récupérer la table de partition.

Installez testdisk :
<pre>apt install testdisk</pre>

Lancez le:
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# testdisk /dev/loop0
</pre>

Selectionez le media <code>/dev/loop0</code> et validez avec <code>enter</code>.
Au menu suivant, sélectionnez <code>intel</code> comme type de table de partition.
Au menu suivant, sélectionnez <code>analyse</code>
A l'écran suivant, tapez enter.
Avec de la chance, testdisk retrouvera vos partitions. Une fois qu'il aura terminé de travailler, il ne restera plus qu'à taper sur enter encore une fois, puis demander à testdisk de sauvegarder la table de partition

==L'interface proxmox n'affiche pas les disques de certaines VMs==

Ceci arrive typiquement si vous avez créé un volume logique à la main sans y ajouter le bon tag.
Vérifiez la présence des tags sur vos LV avec la commande <code>lvs --options 'vg_name,lv_name,lv_size,tags'</code> :
<pre>
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 20.00g
</pre>

Comme vous le voyez, le lv de la vm 101 n'est pas tagué. Vous pouvez ajouter le tag avec <code>lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1</code> :
<pre>
~# lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 16.00g pve-vm-101
</pre>

Si cela ne fonctionne pas, essayez de passer un petit coup de <code>qm rescan</code>

Proxmox 8

2025-10-04T10:28:00Z

Pfoo : /* Utiliser son propre certificat SSL proxmox avec un signataire intermédiaire */

[[Category:serveur]]
[[Category:debian]]
[[Category:virtualisation]]

Nous allons voir comment installer proxmox 8.x sur un raid 1 logiciel (md / mdadm) avec debootstrap.

=Prérequis=

Ce tutoriel se base sur l'utilisation de debootstrap pour installer une base de système d'exploitation debian. La plupart des hébergeurs proposent un système de "rescue" permettant l'installation de debian par ce moyen.
Si vous ne disposez pas de mode rescue, vous pouvez toujours utiliser l'installeur proposé par votre hébergeur, ou encore passer par un kvm pour installer vous même le système avec l'iso de debian.

=Pour les débutants=

Si vous êtes débutant en administration linux, je vous conseil de sauvegarder quelque part les fichier suivant issu d'une précédente installation de debian ou de proxmox
* <code>/etc/networks</code>
* <code>/etc/network/interfaces</code>
* <code>/etc/resolv.conf</code>
* <code>/etc/hosts</code>
* <code>/etc/fstab</code>
* <code>/etc/mdadm/mdadm.conf</code> si vous disposez d'un raid logiciel
* tout fichier de personnalisation de grub (<code>/etc/grub.d/</code> par exemple)

Cela vous permettra de vous faire une idée plus précise de ce qui doit figurer dans ces différents fichiers.

=Partitionnement et système de fichier=

Voici le partitionnement que je vais utiliser :
* Partition root (/) de 20 Go (/) en raid 1 sur les disques sda et sdb
* Partitions swap de 4096 Go chacune réparties sur sda et sdb
* Le reste de l'espace sera utilisé plus tard pour un LVM dédié aux VMs

==Partitionnement==

===Possibilité 1 : Partitionnement GPT pour EFI / UEFI===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions EFI (ESP), obligatoire pour le démarrage EFI/UEFI. Il faudra leur attribuer le type <code>EF00</code>. Pour assurer une bonne compatibilité avec les multiples firmwares EFI, il est recommandé de leur attribuer une taille de 512 MiB (+512M au prompt gdisk).
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

 

Pour les partitions EFI, nous créons un système de fichier FAT32 avec le label (nom) <code>EFI_SYSPART</code> :
<pre>
mkfs.fat -F 32 -n EFI_SYSPART /dev/sda1
mkfs.fat -F 32 -n EFI_SYSPART /dev/sdb1
</pre>

===Possibilité 2 : Partitionnement GPT pour BIOS===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions pour le bootloader. Il faudra leur attribuer le type <code>EF02</code>. On peut la créer idéalement du secteur 34 au secteur 2047 du disque.
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

Notez que la partition du bootloader ne doit pas être formatée.

===Possibilité 3 : partitionnement MBR pour BIOS (non prise en charge dans ce wiki)===

A titre informatif : création avec <code>parted</code>, sans nécessité de créer une partition dédiée au bootloader/grub.

==Création du RAID==

Pour des raisons esthétiques, définissez l'hostname de votre système de rescue :
<pre>hostname proxmox</pre>

Pour créer votre raid 1 avec 2 disques :
<pre>
mdadm --create --verbose /dev/md2 --level=1 --raid-devices=2 /dev/sda2 /dev/sdb2
</pre>

Notez que si vous souhaitez utiliser plus que 2 disques, il faut augmenter la valeur de <code>--raid-devices</code> et ajouter les partitions des disques à la suite.

Attendez que le raid soit synchronisé avant de continuer. Vous pouvez surveiller facilement cela avec la commande <code>watch cat /proc/mdstat</code>.

==Création des systèmes de fichiers==

Créez un système de fichier ext4 pour le raid du root :
<pre>
mkfs.ext4 /dev/md2
</pre>

Enfin, initialisez les swaps :
<pre>
mkswap /dev/sda3
mkswap /dev/sdb3
</pre>

=Installation de proxmox=

==Installation du système de base==

Nous débutons par installer le système de base de Debian avec <code>debootstrap</code>

Installez les paquets nécessaires dans votre rescue :
<pre>apt install debootstrap debian-keyring debian-archive-keyring</pre>

Montez votre partition raid root sur <code>/mnt</code> :
<pre>
mount /dev/md2 /mnt
</pre>

Installez le système de base debian, version bookworm :
<pre>debootstrap --arch=amd64 bookworm /mnt http://ftp.fr.debian.org/debian</pre>

==Configuration de Debian==

Montez les vfs suivants, puis chrootez dans votre nouveau système debian :
<pre>
mount -o bind /proc /mnt/proc
mount -o bind /dev /mnt/dev
mount -o bind /dev/pts /mnt/dev/pts
mount -o bind /sys /mnt/sys
chroot /mnt
</pre>

Configurez les archives apt : éditez le fichier <code>/etc/apt/sources.list</code> :
<pre>
# main archive
deb http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware

# security updates
deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware

# bookworm-updates, previously known as 'volatile'
deb http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware

# backports archive
deb http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
</pre>

Mettez à jour les paquets :
<pre>
apt update
apt full-upgrade
</pre>

Installez les locales et la configuration de console :
<pre>
apt install locales
dpkg-reconfigure locales
apt install console-data console-setup-linux console-setup wget
dpkg-reconfigure console-data # from arch > french > latin9)
</pre>

Définissez la zone horaire :
<pre>
tzselect
dpkg-reconfigure tzdata
</pre>

Configurez votre fichier <code>/etc/fstab</code>. 
Pour GPT pour EFI / UEFI :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda1 /boot/efi vfat defaults 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Pour GPT pour BIOS :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Montez la partition EFI / ESP dans le cas d'un partitionnement GPT pour EFI / UEFI :
<pre>
mkdir /boot/efi
mount /boot/efi
</pre>

Configurez les interfaces réseaux dans <code>/etc/network/interfaces</code> :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

auto eno3
iface eno3 inet static
address XXXX/24
gateway XXXX
</pre>

Configurez le fichier <code>/etc/hosts</code> :
<pre>
# local
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

# main
ipdelamachine proxmox.domain.tld proxmox pvelocalhost
</pre>

Définissez les hostnames dans ces fichiers :
<pre>
# Pour celui la : non-fqdn
echo proxmox > /etc/hostname
# Pour celui la : fqdn
echo proxmox.domain.tld > /etc/mailname
</pre>

'''ATTENTION''' Le fichier <code>/etc/hosts</code> DOIT être cohérent avec le fichier <code>/etc/hostname</code>. 
Par exemple, si le contenu de <code>/etc/hostname</code> est <code>proxmox</code> et que l'ip de votre proxmox est 225.182.54.9 il faudra veiller a avoir les informations suivantes dans <code>/etc/hosts</code> :
<pre>
127.0.0.1 localhost
225.182.54.9 proxmox.domain.tld proxmox pvelocalhost
</pre>

'''Attention : n'utilisez pas 127.0.1.1 (comme le fait debian) mais bien la vrai ip (ici 225.182.54.9)'''

N'oubliez pas de configurer les dns (ceux de votre hébergeur dédié) dans <code>/etc/resolv.conf</code> :
<pre>nameserver XX.XX.XX.XX</pre>

Installez postfix :
<pre>
hostname -F /etc/hostname
apt install postfix
</pre>

Enfin, comme nous installons notre partition de boot sur un raid software, il faut installer <code>madadm</code> à ce stade :
<pre>apt install mdadm</pre>

Vérifiez si votre array root s'est bien défini automatiquement dans <code>/etc/mdadm/mdadm.conf</code>. Si ce n'est pas me cas, ajoutez la configuration de l'array manuellement :
<pre>mdadm --examine --scan >> /etc/mdadm/mdadm.conf</pre>

==Installation de proxmox - kernel==

Ajoutez le dépot proxmox dans le fichier /etc/apt/source.list :
<pre>
# PVE pve-no-subscription repository provided by proxmox.com, NOT recommended for production use
deb http://download.proxmox.com/debian/pve bookworm pve-no-subscription
</pre>

Ajoutez la clé du dépôt proxmox :
<pre>
wget https://enterprise.proxmox.com/debian/proxmox-release-bookworm.gpg -O /etc/apt/trusted.gpg.d/proxmox-release-bookworm.gpg
</pre>

Mettez à jour le système :
<pre>
apt update
apt full-upgrade
</pre>

===Possibilité 1 : Partitions GPT pour EFI / UEFI===

Vérifiez que <code>/boot/efi</code> est bien monté. Si ce n'est pas le cas, faites le.

Installez le kernel proxmox :
<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-efi-amd64 gdisk
</pre>

Supprimez les paquets suivant si vous n'avez pas besoin de secureboot :
<pre>apt purge grub-efi-amd64-signed mokutil shim-helpers-amd64-signed shim-signed shim-signed-common shim-unsigned</pre>

Normalement tout doit se faire avec des promps. Si ce n'était pas le cas :
<pre>grub-install --bootloader-id=proxmox</pre>

Si jamais vous utilisez un démarrage en PXE (c'est le cas sur un serveur OVH par exemple), utilisez l'argument <code>--no-nvram</code> pour empêcher grub de mettre à jour la NVRAM et casser votre mécanique de démarrage PXE :
<pre>grub-install --bootloader-id=proxmox --no-nvram</pre>

Etant donné que seul <code>/dev/sda1</code> est monté sur <code>/boot/efi</code>, il faut transférer manuellement les données sur <code>/dev/sdb1</code> :
<pre>
mount /dev/sdb1 /mnt
rsync -av /boot/efi/ /mnt/
umount /mnt
</pre>

Si pour une raison quelconque, vous aviez besoin des headers du kernel :
<pre>apt install pve-headers-5.15</pre>

===Possibilité 2 : Partitions GPT pour BIOS OU Partitions MBR pour BIOS===

<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-pc gdisk
</pre>

Lorsqu'on vous demandera où installer grub, choisissez <code>sda</code> ET <code>sdb</code>. Sinon :
<pre>
grub-install /dev/sda
grub-install /dev/sdb
</pre>

==Installation de proxmox - OpenSSH==

Installez openssh et définissez un password root. Autorisez le login root par password temporairement.
<pre>
hostname -F /etc/hostname
apt install openssh-server
passwd
sed -i "s/#PermitRootLogin prohibit-password/PermitRootLogin yes/g" /etc/ssh/sshd_config
</pre>

==Installation de proxmox - Vérifications finales et redémarrage sur le kernel proxmox==

Si vous avez une configuration particulière à entrer dans <code>/etc/default/grub</code>, faites le maintenant. Par exemple :
<pre>
GRUB_CMDLINE_LINUX="nomodeset iommu=pt"
</pre>

Puis régénérez la configuration de grub :
<pre>update-grub</pre>

Vous pouvez vérifier que votre fstab est valide avec :
<pre>findmnt --verify --verbose</pre>

Vous pouvez maintenant sortir de votre chroot et démonter le système de fichier

<pre>
umount /boot/efi/
exit
umount /mnt/sys
umount /mnt/dev/pts
umount /mnt/dev
umount /mnt/proc
umount /mnt
</pre>

Enfin, redémarrez le serveur sur le disque dur.

==Installation de ifupdown2==

Le paquet <code>ifupdown2</code> est en voie de devenir le remplaçant officiel de <code>ifupdown</code> pour proxmox.

<pre>
apt install ifupdown2
apt purge ifupdown
systemctl enable networking
</pre>

Pour vérifier que votre configuration est fonctionnelle : lancez <code>ifquery -a</code>

Redémarrez à nouveau votre serveur

==Installation de proxmox - pve==

Une fois le redémarrage effectué, vous allez enfin pouvoir installer pve :
<pre>apt install proxmox-ve ksm-control-daemon chrony</pre>
<pre>apt remove os-prober</pre>

Editez la configuration réseau <code>/etc/network/interfaces</code> afin d'y créer votre bridge :
<pre>
auto eno3
iface eno3 inet manual

auto vmbr0
iface vmbr0 inet static
address xxxxx/24
gateway xxxx
hwaddress AA:BB:CC:11:22:33
bridge_ports eno3
bridge_stp off
bridge_fd 0
</pre>

Définissez la ligne <code>hwaddress</code> avec l'adresse MAC de l'interface eno3.

Installez votre clé SSH dans <code>/root/.ssh/authorized_keys</code> puis désactivez le login root par password de OpenSSH dans <code>/etc/ssh/sshd_config</code>.
 

Une fois tout installé, je vous conseille de reconfigurer grub afin de mettre à jour la configuration interne de debian:
* Pour EFI : <code>dpkg-reconfigure grub-efi-amd64</code>
* Pour BIOS : <code>dpkg-reconfigure grub-pc</code>

 
Redémarrez une dernière fois pour appliquer les changements.

Votre proxmox sera accessible à l'adresse https://ip:8006

==Nettoyage des paquets==

Si vous ne comptez pas utiliser ZFS, vous pouvez supprimer les paquets suivantes :
<pre>apt purge zfs-zed libnvpair3linux libuutil3linux libzfs4linux libzpool5linux zfsutils-linux</pre>

==Configuration réseau avancée==

===Ajout d'une IPv6 sur vmbr0===

===Ajout d'un réseau interne vmbr1===

Nous allons voir comment créer un réseau interne avec proxmox, c'est à dire, un réseau qui ne sera attaché à aucune interface réseau physique. L'intérêt est d'offrir un débit bien supérieur pour les communications entre les VMs.

Ajoutez les lignes suivantes dans <code>/etc/network/interfaces</code> :

<pre>
auto vmbr1
iface vmbr1 inet static
address 192.168.0.1
netmask 255.255.255.0
</pre>

Note : vous pouvez faire de même en ipv6 :
* il faut utiliser le range Unique Local Address (ULA) fd00::/8 (http://en.wikipedia.org/wiki/Unique_Local_Address)
* pour générer votre ULA : http://pfoo.unscdf.org/ula/gen-ula.html

==Sécurisation de base==

Je vous conseil de commencer à sécuriser votre ssh :
* désactivez le login root (directive <code>PermitRootLogin no</code> dans <code>/etc/ssh/sshd_config</code>). Pensez néanmoins à créer un utilisateur pour vous connecter en ssh avant de désactiver le login root.
* utilisez la directive <code>allowusers <user></code> dans <code>/etc/ssh/sshd_config</code> pour n'autoriser que certains utilisateurs à se connecter en ssh.

Il est aussi préférable d'installer le serveur de temps NTP à la place de systemd-timesyncd:
<pre>
apt install chrony
apt purge systemd-timesyncd
</pre>

=Configurer le serveur mail postfix=

==Configuration==

==Certificats SSL==
Si vous avez votre propre autorité ssl, vous pouvez générer votre propre certificat. Si ce n'est pas le cas, vous pouvez toujours aller lire [http://wiki.unscdf.org/index.php?title=Installation_et_configuration_de_OpenSSL ceci] afin d'apprendre à créer votre autorité ssl.

Ajoutez les lignes suivantes dans <code>/etc/ssl/openssl.cnf</code> :
<pre>
[POSTFIX]
nsComment = "SMTP Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
issuerAltName = issuer:copy
basicConstraints = critical,CA:FALSE
keyUsage = critical, digitalSignature, nonRepudiation, keyEncipherment
nsCertType = server
extendedKeyUsage = serverAuth
</pre>

Puis générez la clé et le certificat, et signez le avec votre autorité (int_ca dans mon cas) :
<pre>
openssl req -config /etc/ssl/openssl.cnf -nodes -newkey rsa:2048 -keyout postfix.key -out postfix.req
openssl ca -config /etc/ssl/openssl.cnf -name int_ca -extensions POSTFIX -in postfix.req -out postfix.pem
</pre>

Déplacez les fichiers dans le répertoire <code>/etc/postfix/ssl</code> :
<pre>
mkdir /etc/postfix/ssl
mv postfix.key /etc/postfix/ssl/
mv postfix.pem /etc/postfix/ssl/
chmod 600 /etc/postfix/ssl/*
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/int_ca/int_ca.pem > /etc/postfix/ssl/ca_chain.pem
</pre>

Il faut encore modifier <code>/etc/postfix/main.cf</code> :
<pre>
smtpd_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtpd_tls_key_file=/etc/postfix/ssl/postfix.key
smtpd_tls_CAfile=/etc/postfix/ssl/ca_chain.pem
smtpd_use_tls=yes
smtp_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtp_tls_key_file=/etc/postfix/ssl/postfix.key
smtp_tls_CAfile=/etc/postfix/ssl/ca_chain.pem

smtpd_tls_security_level=may
smtp_tls_security_level=may
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1

#smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
</pre>

=Utiliser son propre certificat SSL proxmox avec un signataire intermédiaire=

Depuis Proxmox 5.2, il n'est plus recommandé d'adapter manuellement les fichiers contenant les certificats et clés privés de proxmox. 
Cependant, vous pouvez placer directement votre clé privé dans le fichier <code>/etc/pve/local/pveproxy-ssl.key</code> et la chaîne de certification dans le fichier <code>/etc/pve/local/pveproxy-ssl.pem</code>. Vous pouvez également déposer ces fichiers via la webui de proxmox au niveau de chaque serveur.

Si vous avez endommagé les certificats autogénérés par proxmox, vous pouvez les régénérer avec :
<pre>pvecm updatecerts -f</pre>

=Surveiller l'état des disques avec SMART=

Commencez par installer le paquet smartmontools :
<pre>apt install smartmontools</pre>

Vérifiez que vos disques gèrent smart et qu'il est activé :
<pre>
smartctl -i /dev/sda
smartctl -i /dev/sdb
</pre>

Si smart n'est pas activé, essayez de l'activer comme ceci :
<pre>
smartctl -s on /dev/sda
smartctl -s on /dev/sdb
</pre>

Vérifiez le statut de santé de vos disques :
<pre>
smartctl -H /dev/sda
smartctl -H /dev/sdb
</pre>
S'il indique <code>PASSED</code> c'est bon de ce côté. S'il vous indique <code>FAILED</code>, sauvegardez immédiatement vos données !

Vérifiez la présence d'erreurs dans le log smart :
<pre>
smartctl -l error /dev/sda
smartctl -l error /dev/sdb
</pre>

Si vous voyez <code>No Errors Logged</code> ou quelques erreurs, c'est bon. S'il y eu a beaucoup, il faut envisager de changer le disque.

Le fichier de configuration de smartd est <code>/etc/smartd.conf</code>. Commentez la ligne <code>DEVICESCAN</code> puis ajoutez les lignes suivantes pour surveiller les deux disques durs :
<pre>
/dev/sda -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
/dev/sdb -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
</pre>

Nous activons la surveillance globale (<code>-a</code>), la vérification automatique offline, (<code>-o on</code>), la sauvegarde automatique des attributs (<code>-S on</code> et lançons un <code>short self test</code> tous les jours à 2h du matin, et un <code>long self test</code> tous les samedi à 3h du matin. Si des erreurs sont détectés, un email est envoyé à vous@domain.tld. 

Relancez smartd :
<pre>/etc/init.d/smartmontools restart</pre>

Pour plus d'information sur SMART et ses arguments : [[Diagnostic smart d'un disque]]

=Protégez votre proxmox=

==Désactiver le login root sur l'interface proxmox==
Avant toute manipulation, n'oubliez pas de créer un utilisateur ayant les droits d'administration pour accéder à l'interface de proxmox

===Via l'interface proxmox===
Dans Datacenter > Permissions > Users : Editez l'utilisateur root et décochez la case <code>Enabled</code>

===Via les droits linux===
<pre>passwd --lock root</pre>

Attention, dans ce cas, vous ne pourrez plus vous loguer en root sur le serveur par ssh (sauf si vous avez une clé ssh défini), écran ou kvm !

===Via PAM===
Vous pouvez désactiver le login pam en éditant <code>/etc/pam.d/other</code> et en y ajoutant, en début de fichier, les lignes suivantes :
<pre>
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
account required pam_warn.so
</pre>

Attention, cette méthode peut avoir des effets de bord si d'autres programmes utilisent l'entité pam/other

==Désactiver rpcbind==

Si vous n'utilisez pas de montage NFS vous pouvez désactiver rpcbind. 
Editez <code>/etc/default/nfs-common</code> et passez l'argument suivant :
<pre>NEED_STATD=no</pre>

Puis désactivez rpcbind :
<pre>
systemctl disable rpcbind.target
systemctl disable rpcbind.socket
systemctl disable rpcbind.service
systemctl stop rpcbind.target
systemctl stop rpcbind.socket
systemctl stop rpcbind.service
</pre>

==Eviter les reboots accidentels avec molly-gard==
<pre>apt install molly-guard</pre>

==Protection SSH avec sshguard==

[[Protéger SSH avec sshguard]]

==Protéger l'interface web avec fail2ban==

<pre>apt install fail2ban</pre>

Créez le fichier <code>/etc/fail2ban/jail.local</code> contenant :
<pre>
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 1800
maxretry = 3

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

action = %(action_mwl)s

[ssh]
enabled = false

[sshd]
enabled = false

[proxmox]
enabled = true
port = https,http,8006
filter = proxmox
backend = systemd
maxretry = 4
findtime = 2d
bantime = 1h
</pre>

Créez le fichier <code>/etc/fail2ban/filter.d/proxmox.conf</code> :
<pre>
[Definition]
failregex = pvedaemon\[.*authentication failure; rhost=<HOST> user=.* msg=.*
ignoreregex =
journalmatch = _SYSTEMD_UNIT=pvedaemon.service
</pre>

Relancez fail2ban :
<pre>/etc/init.d/fail2ban restart</pre>

==firewall iptables==

=Création d'un stockage pour les VMs=

Créez les partitions sda4 et sdb4 au moyen de gdisk (EFI) ou parted (BIOS).

Créez sur ces partitions un raid :
<pre>mdadm --create --verbose /dev/md4 --level=1 --raid-devices=2 /dev/sda4 /dev/sdb4</pre>

Maintenez à jour <code>mdadm.conf</code> et votre initramfs afin de conserver le bon naming du raid après reboot :
<pre>
mdadm --examine --scan >> /etc/mdadm/mdadm.conf
update-initramfs -u
</pre>

Puis initialisez-y un LVM :
<pre>
pvcreate /dev/md4
vgcreate main /dev/md4
</pre>

Il ne reste plus qu'a déclarer ce Volume Group LVM dans l'interface proxmox.

=VM qemu/kvm=

==Télécharger vos images==

Vous pouvez placer les iso dans <code>/var/lib/vz/template/iso/</code> avec <code>wget</code> par exemple.
Notez que l'interface graphique de proxmox propose également une fonction d'upload.

==Créer votre première VM==

Une fois la VM crées dans l'interface proxmox, je vous recommande d'écrire des zero sur son disque afin de réduire la taille des futurs backups. Si votre vm porte le numéro 100 et possède un seul disque :
<pre>dd if=/dev/zero | pv -ptrb | dd of=/dev/main/vm-100-disk1 bs=1M</pre>

===Configuration réseau en bridge vmbr0 (ip public)===

===Configuration réseau en bridge vmbr1 (ip locale)===

Configuration réseau de la VM :
<pre>
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
gateway 192.168.0.1
</pre>

Règle iptables à ajouter sur l'hôte :
<pre>iptables -t nat -A POSTROUTING -s 192.168.0.2 -o vmbr0 -j SNAT --to IP-PUBLIC-DE-VOTRE-HOTE</pre>

Si vous souhaitez rendre accessible l'un des services de la VM depuis l'ip de l'hote sur un port sépcifique :
<pre>
iptables -t nat -A PREROUTING -p tcp -d <ip de l'hote> --dport <port souhaité> -i vmbr0 -j DNAT --to-destination 192.168.0.2:port
</pre>

==Bloquer le spoofing d'adresse mac==
Sur l'hyperviseur, installez <code>ebtables</code> :
<pre>apt install ebtables</pre>

Admettons ensuite que votre VM a comme adresse ip <code>84.93.26.3</code> et que son adresse mac doit être <code>52:54:00:00:98:b6</code> :
<pre>ebtables -A FORWARD -p IPv4 --ip-src 84.93.26.3 -s ! 52:54:00:00:98:b6 -j DROP</pre>

Vous pouvez faire de même pour l'ipv6. Dans l'exemple suivant, seul le bloc ipv6 <code>2a01:d4h:123b:100::/56</code> est utilisable par la vm :
<pre>ebtables -A FORWARD -p IPv6 --ip6-src 2a01:d4h:123b:100::/56 -s ! 52:54:00:00:08:b1 -j DROP</pre>

==Importer une VM depuis vmware ESXi==

==qm et modification des VMs en ligne de commande==

==Monter les partitions d'une VM depuis l'host==

<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

pour la partition 1 : start*blocksize = offset
donc 2048*512 = 1048576

<pre>losetup /dev/loop1 -o 1048576 /dev/main/vm-101-disk-1 </pre>

Et enfin :
<pre>mount /dev/loop1 /mnt</pre>

Quand vous avez terminé vos modifications :
<pre>
umount /mnt
losetup -d /dev/loop1
losetup -d /dev/loop0
</pre>

===Si la partition que vous voulez monter est un LVM===

Scannez les nouveaux volumes :
<pre>lvm pvscan</pre>

Activez les groupes :
<pre>lvm vgchange -ay</pre>

listez les lvms avec :
<pre>lvm lvs</pre>

Les LV devraient apparaître dans <code>/dev/mapper/</code>

Quand vous avez terminé :
* démontez les LV
* Désactivez le groupe avec <code>vgchange -an</code>
* désactivez le loopback : <code>losetup -d /dev/loop0</code>

==Augmenter la taille du disque d'une VM==

Coupez la VM.

Sur l'host pour modifier la taille du disque 1 de la vm 110 ) 140G :
<pre>lvextend -L 140G /dev/main/vm-110-disk-1</pre>

Il faut ensuite, sur la vm lancée, utiliser resize2fs

==Migrer une VM vers un autre serveur manuellement (pas de cluster) avec un downtime minimum==

Nous allons voir comment migrer une VM proxmox stockée sur un LVM d'un serveur à un autre, et ce, en minimisant au maximum le downtime. Pour cela, nous allons coupler la fonctionnalité de snapshot de lvm avec un petit script (lvmsync) qui permet de ne transférer que les blocs modifiés d'un snapshot.

Installez dmsetup et ruby (1.8 minimum) sur le serveur d'origine et de destination :
<pre>apt install dmsetup ruby</pre>

Récupérez <code>lvmsync</code> sur https://github.com/mpalmer/lvmsync et placez le dans /sbin/ sur les serveurs d'origine et de destination.

Dans cet exemple, nous allons migrer la vm 102 disposant d'un seul disque virtuel nommé vm-102-disk-1 et stocké dans le vg main du serveur server1.domain.tld vers le serveur server2.domain.tld.
Pour commencer, créez un snapshot de votre vm sur server1 :
<pre>lvcreate --snapshot -L200G -n 102-lvmsync main/vm-102-disk-1</pre>

Désormais, tous les io de cette vm seront stockés dans le snapshot 102-lvmsync.

Sur votre nouveau serveur, créez une VM identique à celle de votre premier serveur (surtout en qui concerne la taille de disque).
Depuis server1, copiez avec un dd over ssh le disque d'origine de votre vm vers votre nouveau serveur.
<pre>dd if=/dev/main/vm-102-disk-1 | pv -ptrb | ssh -o "Compression no" root@server2.domain.tld "dd of=/dev/main/vm-102-disk-1 bs=100M"</pre>

Note : sur un réseauu 100Mbps utilisez plutôt <code>-o "Compressionlevel 1"</code>

Une fois la copie terminée, coupez la vm 102 sur server1, puis lancez lvmsync sur le snapshot (toujours sur server1) :
<pre>lvmsync /dev/main/102-lvmsync server2.domain.tld:/dev/main/vm-102-disk-1</pre>

Une fois le travail de lvmsync achevé, il ne nous reste plus qu'a relancer la vm sur server2

A titre d'information, si vous voulez merger le snapshot de la vm 102 sur server 1, tapez :
<pre>lvconvert --merge /dev/main/102-lvmsync</pre>

=Conteneur LXC=

==Empêcher la mise à jour automatique de certains fichiers de configuration système du conteneur==

Certains fichiers de configuration du conteneur sont mis à jour automatiquement à chaque démarrage (voir https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_guest_operating_system_configuration)

On peut empêcher la mise à jour de ces fichiers en créant un fichier <code>.pve-ignore.NOM</code> 
Par exemple, <code>/etc/.pve-ignore.resolv.conf</code> empêchera le fichier <code>/etc/resolv.conf</code> d'être mis à jour à chaque démarrage.

=Annexes=

==Problème de layout dans la console vnc==
Dans l'interface web de proxmox : datacenter > option > passez Keyboard de <code>default</code> à <code>French</code>.

==Erreurs du type <code>IPv6 addrconf: prefix with wrong length 56</code> ==

Cette erreur est typique sous linux si les routeurs de votre serveur annoncent des blocs IPv6 /56 alors que vous configurez des /64.
Ajouter les lignes suivantes dans un fichier <code>/etc/sysctl.d/local.conf</code> :
<pre>
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.eno3.autoconf = 0
net.ipv6.conf.vmbr0.autoconf = 0
</pre>

Terminez par relancer procps :
<pre>/etc/init.d/procps restart</pre>

==paramètre sysctl ipv6 non appliqué au boot==
Ajoutez le module ipv6 dans /etc/modules afin d'assurer le chargement d'ipv6 avant l’exécution de sysctl :
<pre>echo ipv6 >> /etc/modules</pre>

==LVM inaccessible depuis l'host==

<pre>
lvm pvscan
lvm vgchange -ay
</pre>

==L'interface web ne fonctionne pas et la commande qm retourne une erreur ipcc_send_rec failed: Connection refused==

Vérifiez la présence de fichiers et dossiers dans <code>/etc/pve/</code>. Si ce dossier est vide, c'est probablement que votre fichier <code>/etc/hosts</code> est mal configuré. 
Essayez de relancer <code>pve-cluster</code> :
<pre>/etc/init.d/pve-cluster restart</pre>

Si vous avez une erreur ou un warning, lancez la commande pmxcfs. Vous devriez obtenir ceci :
<pre>
$# pmxcfs
Jan 21 15:28:19 proxmox pmxcfs[1846]: Unable to get local IP address (pmxcfs.c:721:main)
</pre>

Vérifiez alors que le contenu de <code>/etc/hostname</code> est défini dans <code>/etc/hosts</code>.

Si par exemple <code>/etc/hostname</code> contient <code>proxmox.domain.tld</code> vous devriez avoir la ligne suivante dans <code>/etc/hosts</code> :
<pre>VOTREIP proxmox.domain.tld proxmox</pre>

==Pas assez d'interfaces loopback==

Créer le fichier <code>/etc/modprobe.d/local-loop.conf</code> contenant :
<pre>options loop max_loop=64</pre>

Vous pouvez ensuite redémarrer ou recharger le module loop :
<pre> rmmod loop && modprobe loop</pre>

==Défragmentation LVM : exemple==
<pre>
hub:~# pvdisplay --maps
--- Physical volume ---
PV Name /dev/sda4
VG Name main
PV Size 1.76 TB / not usable 456.00 KB
Allocatable yes
PE Size (KByte) 4096
Total PE 461649
Free PE 208721
Allocated PE 252928
PV UUID PUqV5Q-WRW2-n20t-eFVM-CA1r-RhDl-2RTJHq

--- Physical Segments ---
Physical extent 0 to 7935:
Logical volume /dev/main/vm-101-disk-1
Logical extents 0 to 7935
Physical extent 7936 to 72191:
Logical volume /dev/main/vm-101-disk-2
Logical extents 0 to 64255
Physical extent 72192 to 136703:
Logical volume /dev/main/vm-102-disk-1
Logical extents 0 to 64511
Physical extent 136704 to 144895:
Logical volume /dev/main/vm-103-disk-1
Logical extents 0 to 8191
Physical extent 144896 to 209151:
Logical volume /dev/main/vm-103-disk-2
Logical extents 0 to 64255
Physical extent 209152 to 214271:
Logical volume /dev/main/vm-104-disk-1
Logical extents 0 to 5119
Physical extent 214272 to 227327:
Logical volume /dev/main/vm-104-disk-2
Logical extents 0 to 13055
Physical extent 227328 to 282111:
FREE
Physical extent 282112 to 307711:
Logical volume /dev/main/vm-108-disk-1
Logical extents 0 to 25599
Physical extent 307712 to 461648:
FREE
</pre>

Comme vous pouvez le voir, on a un trou "vide" entre l'extent 227328 et 282111, puis à nouveau des données entre l'extent 282112 et 307711.

Pour combler ce trou, nous allons déplacer les données des /dev/main/vm-108-disk-1 situés entre les extents 282112 et 307711 (soit 25599 extents au total) vers l'espace libre avec <code>pvmove</code> : 
pvmove /dev/sda4:282112-307711 /dev/sda4:227328-252927 --alloc anywhere

Notez qu'il faut attribuer exactement le même nombre d'extents à la destination qu'à l'origine : 227328 + 25599 = 252927

==Oups: j'ai supprimé le mauvais lvm==

Pas de panique, mais ne bougez plus ! Pour l'instant, seul les métadonnées du lvm sont impactés.
Et comme c'est bien foutu, lvm conserve un backup des anciennes metadonnées après chaque modification. Ces archives sont situés dans <code>/etc/lvm/archive/</code>. Les fichiers y sont nommés sous la forme vg_XXXX-YYYYYYY.vg. Normalement, le fichier ayant le XXXX le plus élevé sera celui de l'état précédent votre erreur.
Pour vérifier que vous avez sélectionné le bon fichier, vous pouvez l'ouvrir avec nano et regarder si l'état du lvm dans cette archive correspond a ce que vous attendez.

Pour restaurer l'archive des métadonnées main_00007-587941649.vg pour le vg main :
<pre>
vgcfgrestore -f /etc/lvm/archive/main_00007-587941649.vg main
lvm vgchange -ay
</pre>

Votre volume devrait être de retour.

Il faut encore vérifier que la table de partition contenu sur ce lvm n'a pas morphlé. En admettant que /dev/main/vm-101-disk-1 est la lvm que vous venez de restaurer :
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

Si vous voyez ça, c'est bon, vous êtes sauvés ! Si ce n'est pas le cas, continuez à lire ;)

===Récupération de la table de partition===

Si fdisk vous envois chier avec un message du style <code>Disk /dev/loop0 doesn't contain a valid partition table</code>, il va falloir récupérer la table de partition.

Installez testdisk :
<pre>apt install testdisk</pre>

Lancez le:
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# testdisk /dev/loop0
</pre>

Selectionez le media <code>/dev/loop0</code> et validez avec <code>enter</code>.
Au menu suivant, sélectionnez <code>intel</code> comme type de table de partition.
Au menu suivant, sélectionnez <code>analyse</code>
A l'écran suivant, tapez enter.
Avec de la chance, testdisk retrouvera vos partitions. Une fois qu'il aura terminé de travailler, il ne restera plus qu'à taper sur enter encore une fois, puis demander à testdisk de sauvegarder la table de partition

==L'interface proxmox n'affiche pas les disques de certaines VMs==

Ceci arrive typiquement si vous avez créé un volume logique à la main sans y ajouter le bon tag.
Vérifiez la présence des tags sur vos LV avec la commande <code>lvs --options 'vg_name,lv_name,lv_size,tags'</code> :
<pre>
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 20.00g
</pre>

Comme vous le voyez, le lv de la vm 101 n'est pas tagué. Vous pouvez ajouter le tag avec <code>lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1</code> :
<pre>
~# lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 16.00g pve-vm-101
</pre>

Si cela ne fonctionne pas, essayez de passer un petit coup de <code>qm rescan</code>

Proxmox 8

2025-10-04T10:27:52Z

Pfoo : /* Utiliser son propre certificat SSL proxmox avec un signataire intermédiaire */

[[Category:serveur]]
[[Category:debian]]
[[Category:virtualisation]]

Nous allons voir comment installer proxmox 8.x sur un raid 1 logiciel (md / mdadm) avec debootstrap.

=Prérequis=

Ce tutoriel se base sur l'utilisation de debootstrap pour installer une base de système d'exploitation debian. La plupart des hébergeurs proposent un système de "rescue" permettant l'installation de debian par ce moyen.
Si vous ne disposez pas de mode rescue, vous pouvez toujours utiliser l'installeur proposé par votre hébergeur, ou encore passer par un kvm pour installer vous même le système avec l'iso de debian.

=Pour les débutants=

Si vous êtes débutant en administration linux, je vous conseil de sauvegarder quelque part les fichier suivant issu d'une précédente installation de debian ou de proxmox
* <code>/etc/networks</code>
* <code>/etc/network/interfaces</code>
* <code>/etc/resolv.conf</code>
* <code>/etc/hosts</code>
* <code>/etc/fstab</code>
* <code>/etc/mdadm/mdadm.conf</code> si vous disposez d'un raid logiciel
* tout fichier de personnalisation de grub (<code>/etc/grub.d/</code> par exemple)

Cela vous permettra de vous faire une idée plus précise de ce qui doit figurer dans ces différents fichiers.

=Partitionnement et système de fichier=

Voici le partitionnement que je vais utiliser :
* Partition root (/) de 20 Go (/) en raid 1 sur les disques sda et sdb
* Partitions swap de 4096 Go chacune réparties sur sda et sdb
* Le reste de l'espace sera utilisé plus tard pour un LVM dédié aux VMs

==Partitionnement==

===Possibilité 1 : Partitionnement GPT pour EFI / UEFI===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions EFI (ESP), obligatoire pour le démarrage EFI/UEFI. Il faudra leur attribuer le type <code>EF00</code>. Pour assurer une bonne compatibilité avec les multiples firmwares EFI, il est recommandé de leur attribuer une taille de 512 MiB (+512M au prompt gdisk).
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

 

Pour les partitions EFI, nous créons un système de fichier FAT32 avec le label (nom) <code>EFI_SYSPART</code> :
<pre>
mkfs.fat -F 32 -n EFI_SYSPART /dev/sda1
mkfs.fat -F 32 -n EFI_SYSPART /dev/sdb1
</pre>

===Possibilité 2 : Partitionnement GPT pour BIOS===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions pour le bootloader. Il faudra leur attribuer le type <code>EF02</code>. On peut la créer idéalement du secteur 34 au secteur 2047 du disque.
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

Notez que la partition du bootloader ne doit pas être formatée.

===Possibilité 3 : partitionnement MBR pour BIOS (non prise en charge dans ce wiki)===

A titre informatif : création avec <code>parted</code>, sans nécessité de créer une partition dédiée au bootloader/grub.

==Création du RAID==

Pour des raisons esthétiques, définissez l'hostname de votre système de rescue :
<pre>hostname proxmox</pre>

Pour créer votre raid 1 avec 2 disques :
<pre>
mdadm --create --verbose /dev/md2 --level=1 --raid-devices=2 /dev/sda2 /dev/sdb2
</pre>

Notez que si vous souhaitez utiliser plus que 2 disques, il faut augmenter la valeur de <code>--raid-devices</code> et ajouter les partitions des disques à la suite.

Attendez que le raid soit synchronisé avant de continuer. Vous pouvez surveiller facilement cela avec la commande <code>watch cat /proc/mdstat</code>.

==Création des systèmes de fichiers==

Créez un système de fichier ext4 pour le raid du root :
<pre>
mkfs.ext4 /dev/md2
</pre>

Enfin, initialisez les swaps :
<pre>
mkswap /dev/sda3
mkswap /dev/sdb3
</pre>

=Installation de proxmox=

==Installation du système de base==

Nous débutons par installer le système de base de Debian avec <code>debootstrap</code>

Installez les paquets nécessaires dans votre rescue :
<pre>apt install debootstrap debian-keyring debian-archive-keyring</pre>

Montez votre partition raid root sur <code>/mnt</code> :
<pre>
mount /dev/md2 /mnt
</pre>

Installez le système de base debian, version bookworm :
<pre>debootstrap --arch=amd64 bookworm /mnt http://ftp.fr.debian.org/debian</pre>

==Configuration de Debian==

Montez les vfs suivants, puis chrootez dans votre nouveau système debian :
<pre>
mount -o bind /proc /mnt/proc
mount -o bind /dev /mnt/dev
mount -o bind /dev/pts /mnt/dev/pts
mount -o bind /sys /mnt/sys
chroot /mnt
</pre>

Configurez les archives apt : éditez le fichier <code>/etc/apt/sources.list</code> :
<pre>
# main archive
deb http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware

# security updates
deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware

# bookworm-updates, previously known as 'volatile'
deb http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware

# backports archive
deb http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
</pre>

Mettez à jour les paquets :
<pre>
apt update
apt full-upgrade
</pre>

Installez les locales et la configuration de console :
<pre>
apt install locales
dpkg-reconfigure locales
apt install console-data console-setup-linux console-setup wget
dpkg-reconfigure console-data # from arch > french > latin9)
</pre>

Définissez la zone horaire :
<pre>
tzselect
dpkg-reconfigure tzdata
</pre>

Configurez votre fichier <code>/etc/fstab</code>. 
Pour GPT pour EFI / UEFI :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda1 /boot/efi vfat defaults 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Pour GPT pour BIOS :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Montez la partition EFI / ESP dans le cas d'un partitionnement GPT pour EFI / UEFI :
<pre>
mkdir /boot/efi
mount /boot/efi
</pre>

Configurez les interfaces réseaux dans <code>/etc/network/interfaces</code> :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

auto eno3
iface eno3 inet static
address XXXX/24
gateway XXXX
</pre>

Configurez le fichier <code>/etc/hosts</code> :
<pre>
# local
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

# main
ipdelamachine proxmox.domain.tld proxmox pvelocalhost
</pre>

Définissez les hostnames dans ces fichiers :
<pre>
# Pour celui la : non-fqdn
echo proxmox > /etc/hostname
# Pour celui la : fqdn
echo proxmox.domain.tld > /etc/mailname
</pre>

'''ATTENTION''' Le fichier <code>/etc/hosts</code> DOIT être cohérent avec le fichier <code>/etc/hostname</code>. 
Par exemple, si le contenu de <code>/etc/hostname</code> est <code>proxmox</code> et que l'ip de votre proxmox est 225.182.54.9 il faudra veiller a avoir les informations suivantes dans <code>/etc/hosts</code> :
<pre>
127.0.0.1 localhost
225.182.54.9 proxmox.domain.tld proxmox pvelocalhost
</pre>

'''Attention : n'utilisez pas 127.0.1.1 (comme le fait debian) mais bien la vrai ip (ici 225.182.54.9)'''

N'oubliez pas de configurer les dns (ceux de votre hébergeur dédié) dans <code>/etc/resolv.conf</code> :
<pre>nameserver XX.XX.XX.XX</pre>

Installez postfix :
<pre>
hostname -F /etc/hostname
apt install postfix
</pre>

Enfin, comme nous installons notre partition de boot sur un raid software, il faut installer <code>madadm</code> à ce stade :
<pre>apt install mdadm</pre>

Vérifiez si votre array root s'est bien défini automatiquement dans <code>/etc/mdadm/mdadm.conf</code>. Si ce n'est pas me cas, ajoutez la configuration de l'array manuellement :
<pre>mdadm --examine --scan >> /etc/mdadm/mdadm.conf</pre>

==Installation de proxmox - kernel==

Ajoutez le dépot proxmox dans le fichier /etc/apt/source.list :
<pre>
# PVE pve-no-subscription repository provided by proxmox.com, NOT recommended for production use
deb http://download.proxmox.com/debian/pve bookworm pve-no-subscription
</pre>

Ajoutez la clé du dépôt proxmox :
<pre>
wget https://enterprise.proxmox.com/debian/proxmox-release-bookworm.gpg -O /etc/apt/trusted.gpg.d/proxmox-release-bookworm.gpg
</pre>

Mettez à jour le système :
<pre>
apt update
apt full-upgrade
</pre>

===Possibilité 1 : Partitions GPT pour EFI / UEFI===

Vérifiez que <code>/boot/efi</code> est bien monté. Si ce n'est pas le cas, faites le.

Installez le kernel proxmox :
<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-efi-amd64 gdisk
</pre>

Supprimez les paquets suivant si vous n'avez pas besoin de secureboot :
<pre>apt purge grub-efi-amd64-signed mokutil shim-helpers-amd64-signed shim-signed shim-signed-common shim-unsigned</pre>

Normalement tout doit se faire avec des promps. Si ce n'était pas le cas :
<pre>grub-install --bootloader-id=proxmox</pre>

Si jamais vous utilisez un démarrage en PXE (c'est le cas sur un serveur OVH par exemple), utilisez l'argument <code>--no-nvram</code> pour empêcher grub de mettre à jour la NVRAM et casser votre mécanique de démarrage PXE :
<pre>grub-install --bootloader-id=proxmox --no-nvram</pre>

Etant donné que seul <code>/dev/sda1</code> est monté sur <code>/boot/efi</code>, il faut transférer manuellement les données sur <code>/dev/sdb1</code> :
<pre>
mount /dev/sdb1 /mnt
rsync -av /boot/efi/ /mnt/
umount /mnt
</pre>

Si pour une raison quelconque, vous aviez besoin des headers du kernel :
<pre>apt install pve-headers-5.15</pre>

===Possibilité 2 : Partitions GPT pour BIOS OU Partitions MBR pour BIOS===

<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-pc gdisk
</pre>

Lorsqu'on vous demandera où installer grub, choisissez <code>sda</code> ET <code>sdb</code>. Sinon :
<pre>
grub-install /dev/sda
grub-install /dev/sdb
</pre>

==Installation de proxmox - OpenSSH==

Installez openssh et définissez un password root. Autorisez le login root par password temporairement.
<pre>
hostname -F /etc/hostname
apt install openssh-server
passwd
sed -i "s/#PermitRootLogin prohibit-password/PermitRootLogin yes/g" /etc/ssh/sshd_config
</pre>

==Installation de proxmox - Vérifications finales et redémarrage sur le kernel proxmox==

Si vous avez une configuration particulière à entrer dans <code>/etc/default/grub</code>, faites le maintenant. Par exemple :
<pre>
GRUB_CMDLINE_LINUX="nomodeset iommu=pt"
</pre>

Puis régénérez la configuration de grub :
<pre>update-grub</pre>

Vous pouvez vérifier que votre fstab est valide avec :
<pre>findmnt --verify --verbose</pre>

Vous pouvez maintenant sortir de votre chroot et démonter le système de fichier

<pre>
umount /boot/efi/
exit
umount /mnt/sys
umount /mnt/dev/pts
umount /mnt/dev
umount /mnt/proc
umount /mnt
</pre>

Enfin, redémarrez le serveur sur le disque dur.

==Installation de ifupdown2==

Le paquet <code>ifupdown2</code> est en voie de devenir le remplaçant officiel de <code>ifupdown</code> pour proxmox.

<pre>
apt install ifupdown2
apt purge ifupdown
systemctl enable networking
</pre>

Pour vérifier que votre configuration est fonctionnelle : lancez <code>ifquery -a</code>

Redémarrez à nouveau votre serveur

==Installation de proxmox - pve==

Une fois le redémarrage effectué, vous allez enfin pouvoir installer pve :
<pre>apt install proxmox-ve ksm-control-daemon chrony</pre>
<pre>apt remove os-prober</pre>

Editez la configuration réseau <code>/etc/network/interfaces</code> afin d'y créer votre bridge :
<pre>
auto eno3
iface eno3 inet manual

auto vmbr0
iface vmbr0 inet static
address xxxxx/24
gateway xxxx
hwaddress AA:BB:CC:11:22:33
bridge_ports eno3
bridge_stp off
bridge_fd 0
</pre>

Définissez la ligne <code>hwaddress</code> avec l'adresse MAC de l'interface eno3.

Installez votre clé SSH dans <code>/root/.ssh/authorized_keys</code> puis désactivez le login root par password de OpenSSH dans <code>/etc/ssh/sshd_config</code>.
 

Une fois tout installé, je vous conseille de reconfigurer grub afin de mettre à jour la configuration interne de debian:
* Pour EFI : <code>dpkg-reconfigure grub-efi-amd64</code>
* Pour BIOS : <code>dpkg-reconfigure grub-pc</code>

 
Redémarrez une dernière fois pour appliquer les changements.

Votre proxmox sera accessible à l'adresse https://ip:8006

==Nettoyage des paquets==

Si vous ne comptez pas utiliser ZFS, vous pouvez supprimer les paquets suivantes :
<pre>apt purge zfs-zed libnvpair3linux libuutil3linux libzfs4linux libzpool5linux zfsutils-linux</pre>

==Configuration réseau avancée==

===Ajout d'une IPv6 sur vmbr0===

===Ajout d'un réseau interne vmbr1===

Nous allons voir comment créer un réseau interne avec proxmox, c'est à dire, un réseau qui ne sera attaché à aucune interface réseau physique. L'intérêt est d'offrir un débit bien supérieur pour les communications entre les VMs.

Ajoutez les lignes suivantes dans <code>/etc/network/interfaces</code> :

<pre>
auto vmbr1
iface vmbr1 inet static
address 192.168.0.1
netmask 255.255.255.0
</pre>

Note : vous pouvez faire de même en ipv6 :
* il faut utiliser le range Unique Local Address (ULA) fd00::/8 (http://en.wikipedia.org/wiki/Unique_Local_Address)
* pour générer votre ULA : http://pfoo.unscdf.org/ula/gen-ula.html

==Sécurisation de base==

Je vous conseil de commencer à sécuriser votre ssh :
* désactivez le login root (directive <code>PermitRootLogin no</code> dans <code>/etc/ssh/sshd_config</code>). Pensez néanmoins à créer un utilisateur pour vous connecter en ssh avant de désactiver le login root.
* utilisez la directive <code>allowusers <user></code> dans <code>/etc/ssh/sshd_config</code> pour n'autoriser que certains utilisateurs à se connecter en ssh.

Il est aussi préférable d'installer le serveur de temps NTP à la place de systemd-timesyncd:
<pre>
apt install chrony
apt purge systemd-timesyncd
</pre>

=Configurer le serveur mail postfix=

==Configuration==

==Certificats SSL==
Si vous avez votre propre autorité ssl, vous pouvez générer votre propre certificat. Si ce n'est pas le cas, vous pouvez toujours aller lire [http://wiki.unscdf.org/index.php?title=Installation_et_configuration_de_OpenSSL ceci] afin d'apprendre à créer votre autorité ssl.

Ajoutez les lignes suivantes dans <code>/etc/ssl/openssl.cnf</code> :
<pre>
[POSTFIX]
nsComment = "SMTP Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
issuerAltName = issuer:copy
basicConstraints = critical,CA:FALSE
keyUsage = critical, digitalSignature, nonRepudiation, keyEncipherment
nsCertType = server
extendedKeyUsage = serverAuth
</pre>

Puis générez la clé et le certificat, et signez le avec votre autorité (int_ca dans mon cas) :
<pre>
openssl req -config /etc/ssl/openssl.cnf -nodes -newkey rsa:2048 -keyout postfix.key -out postfix.req
openssl ca -config /etc/ssl/openssl.cnf -name int_ca -extensions POSTFIX -in postfix.req -out postfix.pem
</pre>

Déplacez les fichiers dans le répertoire <code>/etc/postfix/ssl</code> :
<pre>
mkdir /etc/postfix/ssl
mv postfix.key /etc/postfix/ssl/
mv postfix.pem /etc/postfix/ssl/
chmod 600 /etc/postfix/ssl/*
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/int_ca/int_ca.pem > /etc/postfix/ssl/ca_chain.pem
</pre>

Il faut encore modifier <code>/etc/postfix/main.cf</code> :
<pre>
smtpd_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtpd_tls_key_file=/etc/postfix/ssl/postfix.key
smtpd_tls_CAfile=/etc/postfix/ssl/ca_chain.pem
smtpd_use_tls=yes
smtp_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtp_tls_key_file=/etc/postfix/ssl/postfix.key
smtp_tls_CAfile=/etc/postfix/ssl/ca_chain.pem

smtpd_tls_security_level=may
smtp_tls_security_level=may
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1

#smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
</pre>

=Utiliser son propre certificat SSL proxmox avec un signataire intermédiaire=

Depuis Proxmox 5.2, il n'est plus recommandé d'adapter manuellement les fichiers contenant les certificats et clés privés de proxmox. 
Cependant, vous pouvez placer directement votre clé privé dans le fichier <code>/etc/pve/local/pveproxy-ssl.key</code> et la chaîne de certification dans le fichier <code>/etc/pve/local/pveproxy-ssl.pem</code>. Vous pouvez également déposer ces fichiers via la webui de proxmox au niveau de chaque serveur.

Si vous avez endommagé les certificats autogénérés par proxmox, vous pouvez les régénérer avec :
<pre>pvecm updatecerts -f<:pre>

=Surveiller l'état des disques avec SMART=

Commencez par installer le paquet smartmontools :
<pre>apt install smartmontools</pre>

Vérifiez que vos disques gèrent smart et qu'il est activé :
<pre>
smartctl -i /dev/sda
smartctl -i /dev/sdb
</pre>

Si smart n'est pas activé, essayez de l'activer comme ceci :
<pre>
smartctl -s on /dev/sda
smartctl -s on /dev/sdb
</pre>

Vérifiez le statut de santé de vos disques :
<pre>
smartctl -H /dev/sda
smartctl -H /dev/sdb
</pre>
S'il indique <code>PASSED</code> c'est bon de ce côté. S'il vous indique <code>FAILED</code>, sauvegardez immédiatement vos données !

Vérifiez la présence d'erreurs dans le log smart :
<pre>
smartctl -l error /dev/sda
smartctl -l error /dev/sdb
</pre>

Si vous voyez <code>No Errors Logged</code> ou quelques erreurs, c'est bon. S'il y eu a beaucoup, il faut envisager de changer le disque.

Le fichier de configuration de smartd est <code>/etc/smartd.conf</code>. Commentez la ligne <code>DEVICESCAN</code> puis ajoutez les lignes suivantes pour surveiller les deux disques durs :
<pre>
/dev/sda -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
/dev/sdb -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
</pre>

Nous activons la surveillance globale (<code>-a</code>), la vérification automatique offline, (<code>-o on</code>), la sauvegarde automatique des attributs (<code>-S on</code> et lançons un <code>short self test</code> tous les jours à 2h du matin, et un <code>long self test</code> tous les samedi à 3h du matin. Si des erreurs sont détectés, un email est envoyé à vous@domain.tld. 

Relancez smartd :
<pre>/etc/init.d/smartmontools restart</pre>

Pour plus d'information sur SMART et ses arguments : [[Diagnostic smart d'un disque]]

=Protégez votre proxmox=

==Désactiver le login root sur l'interface proxmox==
Avant toute manipulation, n'oubliez pas de créer un utilisateur ayant les droits d'administration pour accéder à l'interface de proxmox

===Via l'interface proxmox===
Dans Datacenter > Permissions > Users : Editez l'utilisateur root et décochez la case <code>Enabled</code>

===Via les droits linux===
<pre>passwd --lock root</pre>

Attention, dans ce cas, vous ne pourrez plus vous loguer en root sur le serveur par ssh (sauf si vous avez une clé ssh défini), écran ou kvm !

===Via PAM===
Vous pouvez désactiver le login pam en éditant <code>/etc/pam.d/other</code> et en y ajoutant, en début de fichier, les lignes suivantes :
<pre>
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
account required pam_warn.so
</pre>

Attention, cette méthode peut avoir des effets de bord si d'autres programmes utilisent l'entité pam/other

==Désactiver rpcbind==

Si vous n'utilisez pas de montage NFS vous pouvez désactiver rpcbind. 
Editez <code>/etc/default/nfs-common</code> et passez l'argument suivant :
<pre>NEED_STATD=no</pre>

Puis désactivez rpcbind :
<pre>
systemctl disable rpcbind.target
systemctl disable rpcbind.socket
systemctl disable rpcbind.service
systemctl stop rpcbind.target
systemctl stop rpcbind.socket
systemctl stop rpcbind.service
</pre>

==Eviter les reboots accidentels avec molly-gard==
<pre>apt install molly-guard</pre>

==Protection SSH avec sshguard==

[[Protéger SSH avec sshguard]]

==Protéger l'interface web avec fail2ban==

<pre>apt install fail2ban</pre>

Créez le fichier <code>/etc/fail2ban/jail.local</code> contenant :
<pre>
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 1800
maxretry = 3

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

action = %(action_mwl)s

[ssh]
enabled = false

[sshd]
enabled = false

[proxmox]
enabled = true
port = https,http,8006
filter = proxmox
backend = systemd
maxretry = 4
findtime = 2d
bantime = 1h
</pre>

Créez le fichier <code>/etc/fail2ban/filter.d/proxmox.conf</code> :
<pre>
[Definition]
failregex = pvedaemon\[.*authentication failure; rhost=<HOST> user=.* msg=.*
ignoreregex =
journalmatch = _SYSTEMD_UNIT=pvedaemon.service
</pre>

Relancez fail2ban :
<pre>/etc/init.d/fail2ban restart</pre>

==firewall iptables==

=Création d'un stockage pour les VMs=

Créez les partitions sda4 et sdb4 au moyen de gdisk (EFI) ou parted (BIOS).

Créez sur ces partitions un raid :
<pre>mdadm --create --verbose /dev/md4 --level=1 --raid-devices=2 /dev/sda4 /dev/sdb4</pre>

Maintenez à jour <code>mdadm.conf</code> et votre initramfs afin de conserver le bon naming du raid après reboot :
<pre>
mdadm --examine --scan >> /etc/mdadm/mdadm.conf
update-initramfs -u
</pre>

Puis initialisez-y un LVM :
<pre>
pvcreate /dev/md4
vgcreate main /dev/md4
</pre>

Il ne reste plus qu'a déclarer ce Volume Group LVM dans l'interface proxmox.

=VM qemu/kvm=

==Télécharger vos images==

Vous pouvez placer les iso dans <code>/var/lib/vz/template/iso/</code> avec <code>wget</code> par exemple.
Notez que l'interface graphique de proxmox propose également une fonction d'upload.

==Créer votre première VM==

Une fois la VM crées dans l'interface proxmox, je vous recommande d'écrire des zero sur son disque afin de réduire la taille des futurs backups. Si votre vm porte le numéro 100 et possède un seul disque :
<pre>dd if=/dev/zero | pv -ptrb | dd of=/dev/main/vm-100-disk1 bs=1M</pre>

===Configuration réseau en bridge vmbr0 (ip public)===

===Configuration réseau en bridge vmbr1 (ip locale)===

Configuration réseau de la VM :
<pre>
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
gateway 192.168.0.1
</pre>

Règle iptables à ajouter sur l'hôte :
<pre>iptables -t nat -A POSTROUTING -s 192.168.0.2 -o vmbr0 -j SNAT --to IP-PUBLIC-DE-VOTRE-HOTE</pre>

Si vous souhaitez rendre accessible l'un des services de la VM depuis l'ip de l'hote sur un port sépcifique :
<pre>
iptables -t nat -A PREROUTING -p tcp -d <ip de l'hote> --dport <port souhaité> -i vmbr0 -j DNAT --to-destination 192.168.0.2:port
</pre>

==Bloquer le spoofing d'adresse mac==
Sur l'hyperviseur, installez <code>ebtables</code> :
<pre>apt install ebtables</pre>

Admettons ensuite que votre VM a comme adresse ip <code>84.93.26.3</code> et que son adresse mac doit être <code>52:54:00:00:98:b6</code> :
<pre>ebtables -A FORWARD -p IPv4 --ip-src 84.93.26.3 -s ! 52:54:00:00:98:b6 -j DROP</pre>

Vous pouvez faire de même pour l'ipv6. Dans l'exemple suivant, seul le bloc ipv6 <code>2a01:d4h:123b:100::/56</code> est utilisable par la vm :
<pre>ebtables -A FORWARD -p IPv6 --ip6-src 2a01:d4h:123b:100::/56 -s ! 52:54:00:00:08:b1 -j DROP</pre>

==Importer une VM depuis vmware ESXi==

==qm et modification des VMs en ligne de commande==

==Monter les partitions d'une VM depuis l'host==

<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

pour la partition 1 : start*blocksize = offset
donc 2048*512 = 1048576

<pre>losetup /dev/loop1 -o 1048576 /dev/main/vm-101-disk-1 </pre>

Et enfin :
<pre>mount /dev/loop1 /mnt</pre>

Quand vous avez terminé vos modifications :
<pre>
umount /mnt
losetup -d /dev/loop1
losetup -d /dev/loop0
</pre>

===Si la partition que vous voulez monter est un LVM===

Scannez les nouveaux volumes :
<pre>lvm pvscan</pre>

Activez les groupes :
<pre>lvm vgchange -ay</pre>

listez les lvms avec :
<pre>lvm lvs</pre>

Les LV devraient apparaître dans <code>/dev/mapper/</code>

Quand vous avez terminé :
* démontez les LV
* Désactivez le groupe avec <code>vgchange -an</code>
* désactivez le loopback : <code>losetup -d /dev/loop0</code>

==Augmenter la taille du disque d'une VM==

Coupez la VM.

Sur l'host pour modifier la taille du disque 1 de la vm 110 ) 140G :
<pre>lvextend -L 140G /dev/main/vm-110-disk-1</pre>

Il faut ensuite, sur la vm lancée, utiliser resize2fs

==Migrer une VM vers un autre serveur manuellement (pas de cluster) avec un downtime minimum==

Nous allons voir comment migrer une VM proxmox stockée sur un LVM d'un serveur à un autre, et ce, en minimisant au maximum le downtime. Pour cela, nous allons coupler la fonctionnalité de snapshot de lvm avec un petit script (lvmsync) qui permet de ne transférer que les blocs modifiés d'un snapshot.

Installez dmsetup et ruby (1.8 minimum) sur le serveur d'origine et de destination :
<pre>apt install dmsetup ruby</pre>

Récupérez <code>lvmsync</code> sur https://github.com/mpalmer/lvmsync et placez le dans /sbin/ sur les serveurs d'origine et de destination.

Dans cet exemple, nous allons migrer la vm 102 disposant d'un seul disque virtuel nommé vm-102-disk-1 et stocké dans le vg main du serveur server1.domain.tld vers le serveur server2.domain.tld.
Pour commencer, créez un snapshot de votre vm sur server1 :
<pre>lvcreate --snapshot -L200G -n 102-lvmsync main/vm-102-disk-1</pre>

Désormais, tous les io de cette vm seront stockés dans le snapshot 102-lvmsync.

Sur votre nouveau serveur, créez une VM identique à celle de votre premier serveur (surtout en qui concerne la taille de disque).
Depuis server1, copiez avec un dd over ssh le disque d'origine de votre vm vers votre nouveau serveur.
<pre>dd if=/dev/main/vm-102-disk-1 | pv -ptrb | ssh -o "Compression no" root@server2.domain.tld "dd of=/dev/main/vm-102-disk-1 bs=100M"</pre>

Note : sur un réseauu 100Mbps utilisez plutôt <code>-o "Compressionlevel 1"</code>

Une fois la copie terminée, coupez la vm 102 sur server1, puis lancez lvmsync sur le snapshot (toujours sur server1) :
<pre>lvmsync /dev/main/102-lvmsync server2.domain.tld:/dev/main/vm-102-disk-1</pre>

Une fois le travail de lvmsync achevé, il ne nous reste plus qu'a relancer la vm sur server2

A titre d'information, si vous voulez merger le snapshot de la vm 102 sur server 1, tapez :
<pre>lvconvert --merge /dev/main/102-lvmsync</pre>

=Conteneur LXC=

==Empêcher la mise à jour automatique de certains fichiers de configuration système du conteneur==

Certains fichiers de configuration du conteneur sont mis à jour automatiquement à chaque démarrage (voir https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_guest_operating_system_configuration)

On peut empêcher la mise à jour de ces fichiers en créant un fichier <code>.pve-ignore.NOM</code> 
Par exemple, <code>/etc/.pve-ignore.resolv.conf</code> empêchera le fichier <code>/etc/resolv.conf</code> d'être mis à jour à chaque démarrage.

=Annexes=

==Problème de layout dans la console vnc==
Dans l'interface web de proxmox : datacenter > option > passez Keyboard de <code>default</code> à <code>French</code>.

==Erreurs du type <code>IPv6 addrconf: prefix with wrong length 56</code> ==

Cette erreur est typique sous linux si les routeurs de votre serveur annoncent des blocs IPv6 /56 alors que vous configurez des /64.
Ajouter les lignes suivantes dans un fichier <code>/etc/sysctl.d/local.conf</code> :
<pre>
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.eno3.autoconf = 0
net.ipv6.conf.vmbr0.autoconf = 0
</pre>

Terminez par relancer procps :
<pre>/etc/init.d/procps restart</pre>

==paramètre sysctl ipv6 non appliqué au boot==
Ajoutez le module ipv6 dans /etc/modules afin d'assurer le chargement d'ipv6 avant l’exécution de sysctl :
<pre>echo ipv6 >> /etc/modules</pre>

==LVM inaccessible depuis l'host==

<pre>
lvm pvscan
lvm vgchange -ay
</pre>

==L'interface web ne fonctionne pas et la commande qm retourne une erreur ipcc_send_rec failed: Connection refused==

Vérifiez la présence de fichiers et dossiers dans <code>/etc/pve/</code>. Si ce dossier est vide, c'est probablement que votre fichier <code>/etc/hosts</code> est mal configuré. 
Essayez de relancer <code>pve-cluster</code> :
<pre>/etc/init.d/pve-cluster restart</pre>

Si vous avez une erreur ou un warning, lancez la commande pmxcfs. Vous devriez obtenir ceci :
<pre>
$# pmxcfs
Jan 21 15:28:19 proxmox pmxcfs[1846]: Unable to get local IP address (pmxcfs.c:721:main)
</pre>

Vérifiez alors que le contenu de <code>/etc/hostname</code> est défini dans <code>/etc/hosts</code>.

Si par exemple <code>/etc/hostname</code> contient <code>proxmox.domain.tld</code> vous devriez avoir la ligne suivante dans <code>/etc/hosts</code> :
<pre>VOTREIP proxmox.domain.tld proxmox</pre>

==Pas assez d'interfaces loopback==

Créer le fichier <code>/etc/modprobe.d/local-loop.conf</code> contenant :
<pre>options loop max_loop=64</pre>

Vous pouvez ensuite redémarrer ou recharger le module loop :
<pre> rmmod loop && modprobe loop</pre>

==Défragmentation LVM : exemple==
<pre>
hub:~# pvdisplay --maps
--- Physical volume ---
PV Name /dev/sda4
VG Name main
PV Size 1.76 TB / not usable 456.00 KB
Allocatable yes
PE Size (KByte) 4096
Total PE 461649
Free PE 208721
Allocated PE 252928
PV UUID PUqV5Q-WRW2-n20t-eFVM-CA1r-RhDl-2RTJHq

--- Physical Segments ---
Physical extent 0 to 7935:
Logical volume /dev/main/vm-101-disk-1
Logical extents 0 to 7935
Physical extent 7936 to 72191:
Logical volume /dev/main/vm-101-disk-2
Logical extents 0 to 64255
Physical extent 72192 to 136703:
Logical volume /dev/main/vm-102-disk-1
Logical extents 0 to 64511
Physical extent 136704 to 144895:
Logical volume /dev/main/vm-103-disk-1
Logical extents 0 to 8191
Physical extent 144896 to 209151:
Logical volume /dev/main/vm-103-disk-2
Logical extents 0 to 64255
Physical extent 209152 to 214271:
Logical volume /dev/main/vm-104-disk-1
Logical extents 0 to 5119
Physical extent 214272 to 227327:
Logical volume /dev/main/vm-104-disk-2
Logical extents 0 to 13055
Physical extent 227328 to 282111:
FREE
Physical extent 282112 to 307711:
Logical volume /dev/main/vm-108-disk-1
Logical extents 0 to 25599
Physical extent 307712 to 461648:
FREE
</pre>

Comme vous pouvez le voir, on a un trou "vide" entre l'extent 227328 et 282111, puis à nouveau des données entre l'extent 282112 et 307711.

Pour combler ce trou, nous allons déplacer les données des /dev/main/vm-108-disk-1 situés entre les extents 282112 et 307711 (soit 25599 extents au total) vers l'espace libre avec <code>pvmove</code> : 
pvmove /dev/sda4:282112-307711 /dev/sda4:227328-252927 --alloc anywhere

Notez qu'il faut attribuer exactement le même nombre d'extents à la destination qu'à l'origine : 227328 + 25599 = 252927

==Oups: j'ai supprimé le mauvais lvm==

Pas de panique, mais ne bougez plus ! Pour l'instant, seul les métadonnées du lvm sont impactés.
Et comme c'est bien foutu, lvm conserve un backup des anciennes metadonnées après chaque modification. Ces archives sont situés dans <code>/etc/lvm/archive/</code>. Les fichiers y sont nommés sous la forme vg_XXXX-YYYYYYY.vg. Normalement, le fichier ayant le XXXX le plus élevé sera celui de l'état précédent votre erreur.
Pour vérifier que vous avez sélectionné le bon fichier, vous pouvez l'ouvrir avec nano et regarder si l'état du lvm dans cette archive correspond a ce que vous attendez.

Pour restaurer l'archive des métadonnées main_00007-587941649.vg pour le vg main :
<pre>
vgcfgrestore -f /etc/lvm/archive/main_00007-587941649.vg main
lvm vgchange -ay
</pre>

Votre volume devrait être de retour.

Il faut encore vérifier que la table de partition contenu sur ce lvm n'a pas morphlé. En admettant que /dev/main/vm-101-disk-1 est la lvm que vous venez de restaurer :
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

Si vous voyez ça, c'est bon, vous êtes sauvés ! Si ce n'est pas le cas, continuez à lire ;)

===Récupération de la table de partition===

Si fdisk vous envois chier avec un message du style <code>Disk /dev/loop0 doesn't contain a valid partition table</code>, il va falloir récupérer la table de partition.

Installez testdisk :
<pre>apt install testdisk</pre>

Lancez le:
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# testdisk /dev/loop0
</pre>

Selectionez le media <code>/dev/loop0</code> et validez avec <code>enter</code>.
Au menu suivant, sélectionnez <code>intel</code> comme type de table de partition.
Au menu suivant, sélectionnez <code>analyse</code>
A l'écran suivant, tapez enter.
Avec de la chance, testdisk retrouvera vos partitions. Une fois qu'il aura terminé de travailler, il ne restera plus qu'à taper sur enter encore une fois, puis demander à testdisk de sauvegarder la table de partition

==L'interface proxmox n'affiche pas les disques de certaines VMs==

Ceci arrive typiquement si vous avez créé un volume logique à la main sans y ajouter le bon tag.
Vérifiez la présence des tags sur vos LV avec la commande <code>lvs --options 'vg_name,lv_name,lv_size,tags'</code> :
<pre>
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 20.00g
</pre>

Comme vous le voyez, le lv de la vm 101 n'est pas tagué. Vous pouvez ajouter le tag avec <code>lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1</code> :
<pre>
~# lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 16.00g pve-vm-101
</pre>

Si cela ne fonctionne pas, essayez de passer un petit coup de <code>qm rescan</code>

Proxmox 8

2025-10-03T11:27:03Z

Pfoo :

[[Category:serveur]]
[[Category:debian]]
[[Category:virtualisation]]

Nous allons voir comment installer proxmox 8.x sur un raid 1 logiciel (md / mdadm) avec debootstrap.

=Prérequis=

Ce tutoriel se base sur l'utilisation de debootstrap pour installer une base de système d'exploitation debian. La plupart des hébergeurs proposent un système de "rescue" permettant l'installation de debian par ce moyen.
Si vous ne disposez pas de mode rescue, vous pouvez toujours utiliser l'installeur proposé par votre hébergeur, ou encore passer par un kvm pour installer vous même le système avec l'iso de debian.

=Pour les débutants=

Si vous êtes débutant en administration linux, je vous conseil de sauvegarder quelque part les fichier suivant issu d'une précédente installation de debian ou de proxmox
* <code>/etc/networks</code>
* <code>/etc/network/interfaces</code>
* <code>/etc/resolv.conf</code>
* <code>/etc/hosts</code>
* <code>/etc/fstab</code>
* <code>/etc/mdadm/mdadm.conf</code> si vous disposez d'un raid logiciel
* tout fichier de personnalisation de grub (<code>/etc/grub.d/</code> par exemple)

Cela vous permettra de vous faire une idée plus précise de ce qui doit figurer dans ces différents fichiers.

=Partitionnement et système de fichier=

Voici le partitionnement que je vais utiliser :
* Partition root (/) de 20 Go (/) en raid 1 sur les disques sda et sdb
* Partitions swap de 4096 Go chacune réparties sur sda et sdb
* Le reste de l'espace sera utilisé plus tard pour un LVM dédié aux VMs

==Partitionnement==

===Possibilité 1 : Partitionnement GPT pour EFI / UEFI===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions EFI (ESP), obligatoire pour le démarrage EFI/UEFI. Il faudra leur attribuer le type <code>EF00</code>. Pour assurer une bonne compatibilité avec les multiples firmwares EFI, il est recommandé de leur attribuer une taille de 512 MiB (+512M au prompt gdisk).
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

 

Pour les partitions EFI, nous créons un système de fichier FAT32 avec le label (nom) <code>EFI_SYSPART</code> :
<pre>
mkfs.fat -F 32 -n EFI_SYSPART /dev/sda1
mkfs.fat -F 32 -n EFI_SYSPART /dev/sdb1
</pre>

===Possibilité 2 : Partitionnement GPT pour BIOS===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions pour le bootloader. Il faudra leur attribuer le type <code>EF02</code>. On peut la créer idéalement du secteur 34 au secteur 2047 du disque.
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

Notez que la partition du bootloader ne doit pas être formatée.

===Possibilité 3 : partitionnement MBR pour BIOS (non prise en charge dans ce wiki)===

A titre informatif : création avec <code>parted</code>, sans nécessité de créer une partition dédiée au bootloader/grub.

==Création du RAID==

Pour des raisons esthétiques, définissez l'hostname de votre système de rescue :
<pre>hostname proxmox</pre>

Pour créer votre raid 1 avec 2 disques :
<pre>
mdadm --create --verbose /dev/md2 --level=1 --raid-devices=2 /dev/sda2 /dev/sdb2
</pre>

Notez que si vous souhaitez utiliser plus que 2 disques, il faut augmenter la valeur de <code>--raid-devices</code> et ajouter les partitions des disques à la suite.

Attendez que le raid soit synchronisé avant de continuer. Vous pouvez surveiller facilement cela avec la commande <code>watch cat /proc/mdstat</code>.

==Création des systèmes de fichiers==

Créez un système de fichier ext4 pour le raid du root :
<pre>
mkfs.ext4 /dev/md2
</pre>

Enfin, initialisez les swaps :
<pre>
mkswap /dev/sda3
mkswap /dev/sdb3
</pre>

=Installation de proxmox=

==Installation du système de base==

Nous débutons par installer le système de base de Debian avec <code>debootstrap</code>

Installez les paquets nécessaires dans votre rescue :
<pre>apt install debootstrap debian-keyring debian-archive-keyring</pre>

Montez votre partition raid root sur <code>/mnt</code> :
<pre>
mount /dev/md2 /mnt
</pre>

Installez le système de base debian, version bookworm :
<pre>debootstrap --arch=amd64 bookworm /mnt http://ftp.fr.debian.org/debian</pre>

==Configuration de Debian==

Montez les vfs suivants, puis chrootez dans votre nouveau système debian :
<pre>
mount -o bind /proc /mnt/proc
mount -o bind /dev /mnt/dev
mount -o bind /dev/pts /mnt/dev/pts
mount -o bind /sys /mnt/sys
chroot /mnt
</pre>

Configurez les archives apt : éditez le fichier <code>/etc/apt/sources.list</code> :
<pre>
# main archive
deb http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware

# security updates
deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware

# bookworm-updates, previously known as 'volatile'
deb http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware

# backports archive
deb http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
</pre>

Mettez à jour les paquets :
<pre>
apt update
apt full-upgrade
</pre>

Installez les locales et la configuration de console :
<pre>
apt install locales
dpkg-reconfigure locales
apt install console-data console-setup-linux console-setup wget
dpkg-reconfigure console-data # from arch > french > latin9)
</pre>

Définissez la zone horaire :
<pre>
tzselect
dpkg-reconfigure tzdata
</pre>

Configurez votre fichier <code>/etc/fstab</code>. 
Pour GPT pour EFI / UEFI :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda1 /boot/efi vfat defaults 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Pour GPT pour BIOS :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Montez la partition EFI / ESP dans le cas d'un partitionnement GPT pour EFI / UEFI :
<pre>
mkdir /boot/efi
mount /boot/efi
</pre>

Configurez les interfaces réseaux dans <code>/etc/network/interfaces</code> :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

auto eno3
iface eno3 inet static
address XXXX/24
gateway XXXX
</pre>

Configurez le fichier <code>/etc/hosts</code> :
<pre>
# local
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

# main
ipdelamachine proxmox.domain.tld proxmox pvelocalhost
</pre>

Définissez les hostnames dans ces fichiers :
<pre>
# Pour celui la : non-fqdn
echo proxmox > /etc/hostname
# Pour celui la : fqdn
echo proxmox.domain.tld > /etc/mailname
</pre>

'''ATTENTION''' Le fichier <code>/etc/hosts</code> DOIT être cohérent avec le fichier <code>/etc/hostname</code>. 
Par exemple, si le contenu de <code>/etc/hostname</code> est <code>proxmox</code> et que l'ip de votre proxmox est 225.182.54.9 il faudra veiller a avoir les informations suivantes dans <code>/etc/hosts</code> :
<pre>
127.0.0.1 localhost
225.182.54.9 proxmox.domain.tld proxmox pvelocalhost
</pre>

'''Attention : n'utilisez pas 127.0.1.1 (comme le fait debian) mais bien la vrai ip (ici 225.182.54.9)'''

N'oubliez pas de configurer les dns (ceux de votre hébergeur dédié) dans <code>/etc/resolv.conf</code> :
<pre>nameserver XX.XX.XX.XX</pre>

Installez postfix :
<pre>
hostname -F /etc/hostname
apt install postfix
</pre>

Enfin, comme nous installons notre partition de boot sur un raid software, il faut installer <code>madadm</code> à ce stade :
<pre>apt install mdadm</pre>

Vérifiez si votre array root s'est bien défini automatiquement dans <code>/etc/mdadm/mdadm.conf</code>. Si ce n'est pas me cas, ajoutez la configuration de l'array manuellement :
<pre>mdadm --examine --scan >> /etc/mdadm/mdadm.conf</pre>

==Installation de proxmox - kernel==

Ajoutez le dépot proxmox dans le fichier /etc/apt/source.list :
<pre>
# PVE pve-no-subscription repository provided by proxmox.com, NOT recommended for production use
deb http://download.proxmox.com/debian/pve bookworm pve-no-subscription
</pre>

Ajoutez la clé du dépôt proxmox :
<pre>
wget https://enterprise.proxmox.com/debian/proxmox-release-bookworm.gpg -O /etc/apt/trusted.gpg.d/proxmox-release-bookworm.gpg
</pre>

Mettez à jour le système :
<pre>
apt update
apt full-upgrade
</pre>

===Possibilité 1 : Partitions GPT pour EFI / UEFI===

Vérifiez que <code>/boot/efi</code> est bien monté. Si ce n'est pas le cas, faites le.

Installez le kernel proxmox :
<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-efi-amd64 gdisk
</pre>

Supprimez les paquets suivant si vous n'avez pas besoin de secureboot :
<pre>apt purge grub-efi-amd64-signed mokutil shim-helpers-amd64-signed shim-signed shim-signed-common shim-unsigned</pre>

Normalement tout doit se faire avec des promps. Si ce n'était pas le cas :
<pre>grub-install --bootloader-id=proxmox</pre>

Si jamais vous utilisez un démarrage en PXE (c'est le cas sur un serveur OVH par exemple), utilisez l'argument <code>--no-nvram</code> pour empêcher grub de mettre à jour la NVRAM et casser votre mécanique de démarrage PXE :
<pre>grub-install --bootloader-id=proxmox --no-nvram</pre>

Etant donné que seul <code>/dev/sda1</code> est monté sur <code>/boot/efi</code>, il faut transférer manuellement les données sur <code>/dev/sdb1</code> :
<pre>
mount /dev/sdb1 /mnt
rsync -av /boot/efi/ /mnt/
umount /mnt
</pre>

Si pour une raison quelconque, vous aviez besoin des headers du kernel :
<pre>apt install pve-headers-5.15</pre>

===Possibilité 2 : Partitions GPT pour BIOS OU Partitions MBR pour BIOS===

<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-pc gdisk
</pre>

Lorsqu'on vous demandera où installer grub, choisissez <code>sda</code> ET <code>sdb</code>. Sinon :
<pre>
grub-install /dev/sda
grub-install /dev/sdb
</pre>

==Installation de proxmox - OpenSSH==

Installez openssh et définissez un password root. Autorisez le login root par password temporairement.
<pre>
hostname -F /etc/hostname
apt install openssh-server
passwd
sed -i "s/#PermitRootLogin prohibit-password/PermitRootLogin yes/g" /etc/ssh/sshd_config
</pre>

==Installation de proxmox - Vérifications finales et redémarrage sur le kernel proxmox==

Si vous avez une configuration particulière à entrer dans <code>/etc/default/grub</code>, faites le maintenant. Par exemple :
<pre>
GRUB_CMDLINE_LINUX="nomodeset iommu=pt"
</pre>

Puis régénérez la configuration de grub :
<pre>update-grub</pre>

Vous pouvez vérifier que votre fstab est valide avec :
<pre>findmnt --verify --verbose</pre>

Vous pouvez maintenant sortir de votre chroot et démonter le système de fichier

<pre>
umount /boot/efi/
exit
umount /mnt/sys
umount /mnt/dev/pts
umount /mnt/dev
umount /mnt/proc
umount /mnt
</pre>

Enfin, redémarrez le serveur sur le disque dur.

==Installation de ifupdown2==

Le paquet <code>ifupdown2</code> est en voie de devenir le remplaçant officiel de <code>ifupdown</code> pour proxmox.

<pre>
apt install ifupdown2
apt purge ifupdown
systemctl enable networking
</pre>

Pour vérifier que votre configuration est fonctionnelle : lancez <code>ifquery -a</code>

Redémarrez à nouveau votre serveur

==Installation de proxmox - pve==

Une fois le redémarrage effectué, vous allez enfin pouvoir installer pve :
<pre>apt install proxmox-ve ksm-control-daemon chrony</pre>
<pre>apt remove os-prober</pre>

Editez la configuration réseau <code>/etc/network/interfaces</code> afin d'y créer votre bridge :
<pre>
auto eno3
iface eno3 inet manual

auto vmbr0
iface vmbr0 inet static
address xxxxx/24
gateway xxxx
hwaddress AA:BB:CC:11:22:33
bridge_ports eno3
bridge_stp off
bridge_fd 0
</pre>

Définissez la ligne <code>hwaddress</code> avec l'adresse MAC de l'interface eno3.

Installez votre clé SSH dans <code>/root/.ssh/authorized_keys</code> puis désactivez le login root par password de OpenSSH dans <code>/etc/ssh/sshd_config</code>.
 

Une fois tout installé, je vous conseille de reconfigurer grub afin de mettre à jour la configuration interne de debian:
* Pour EFI : <code>dpkg-reconfigure grub-efi-amd64</code>
* Pour BIOS : <code>dpkg-reconfigure grub-pc</code>

 
Redémarrez une dernière fois pour appliquer les changements.

Votre proxmox sera accessible à l'adresse https://ip:8006

==Nettoyage des paquets==

Si vous ne comptez pas utiliser ZFS, vous pouvez supprimer les paquets suivantes :
<pre>apt purge zfs-zed libnvpair3linux libuutil3linux libzfs4linux libzpool5linux zfsutils-linux</pre>

==Configuration réseau avancée==

===Ajout d'une IPv6 sur vmbr0===

===Ajout d'un réseau interne vmbr1===

Nous allons voir comment créer un réseau interne avec proxmox, c'est à dire, un réseau qui ne sera attaché à aucune interface réseau physique. L'intérêt est d'offrir un débit bien supérieur pour les communications entre les VMs.

Ajoutez les lignes suivantes dans <code>/etc/network/interfaces</code> :

<pre>
auto vmbr1
iface vmbr1 inet static
address 192.168.0.1
netmask 255.255.255.0
</pre>

Note : vous pouvez faire de même en ipv6 :
* il faut utiliser le range Unique Local Address (ULA) fd00::/8 (http://en.wikipedia.org/wiki/Unique_Local_Address)
* pour générer votre ULA : http://pfoo.unscdf.org/ula/gen-ula.html

==Sécurisation de base==

Je vous conseil de commencer à sécuriser votre ssh :
* désactivez le login root (directive <code>PermitRootLogin no</code> dans <code>/etc/ssh/sshd_config</code>). Pensez néanmoins à créer un utilisateur pour vous connecter en ssh avant de désactiver le login root.
* utilisez la directive <code>allowusers <user></code> dans <code>/etc/ssh/sshd_config</code> pour n'autoriser que certains utilisateurs à se connecter en ssh.

Il est aussi préférable d'installer le serveur de temps NTP à la place de systemd-timesyncd:
<pre>
apt install chrony
apt purge systemd-timesyncd
</pre>

=Configurer le serveur mail postfix=

==Configuration==

==Certificats SSL==
Si vous avez votre propre autorité ssl, vous pouvez générer votre propre certificat. Si ce n'est pas le cas, vous pouvez toujours aller lire [http://wiki.unscdf.org/index.php?title=Installation_et_configuration_de_OpenSSL ceci] afin d'apprendre à créer votre autorité ssl.

Ajoutez les lignes suivantes dans <code>/etc/ssl/openssl.cnf</code> :
<pre>
[POSTFIX]
nsComment = "SMTP Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
issuerAltName = issuer:copy
basicConstraints = critical,CA:FALSE
keyUsage = critical, digitalSignature, nonRepudiation, keyEncipherment
nsCertType = server
extendedKeyUsage = serverAuth
</pre>

Puis générez la clé et le certificat, et signez le avec votre autorité (int_ca dans mon cas) :
<pre>
openssl req -config /etc/ssl/openssl.cnf -nodes -newkey rsa:2048 -keyout postfix.key -out postfix.req
openssl ca -config /etc/ssl/openssl.cnf -name int_ca -extensions POSTFIX -in postfix.req -out postfix.pem
</pre>

Déplacez les fichiers dans le répertoire <code>/etc/postfix/ssl</code> :
<pre>
mkdir /etc/postfix/ssl
mv postfix.key /etc/postfix/ssl/
mv postfix.pem /etc/postfix/ssl/
chmod 600 /etc/postfix/ssl/*
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/int_ca/int_ca.pem > /etc/postfix/ssl/ca_chain.pem
</pre>

Il faut encore modifier <code>/etc/postfix/main.cf</code> :
<pre>
smtpd_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtpd_tls_key_file=/etc/postfix/ssl/postfix.key
smtpd_tls_CAfile=/etc/postfix/ssl/ca_chain.pem
smtpd_use_tls=yes
smtp_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtp_tls_key_file=/etc/postfix/ssl/postfix.key
smtp_tls_CAfile=/etc/postfix/ssl/ca_chain.pem

smtpd_tls_security_level=may
smtp_tls_security_level=may
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1

#smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
</pre>

=Utiliser son propre certificat SSL proxmox avec un signataire intermédiaire=

Depuis Proxmox 5.2, il n'est plus recommandé d'adapter manuellement les fichiers contenant les certificats et clés privés de proxmox. 
Cependant, vous pouvez placer directement votre clé privé dans le fichier <code>/etc/pve/local/pveproxy-ssl.key</code> et la chaîne de certification dans le fichier <code>/etc/pve/local/pveproxy-ssl.pem</code>. Vous pouvez également déposer ces fichiers via la webui de proxmox au niveau de chaque serveur.

=Surveiller l'état des disques avec SMART=

Commencez par installer le paquet smartmontools :
<pre>apt install smartmontools</pre>

Vérifiez que vos disques gèrent smart et qu'il est activé :
<pre>
smartctl -i /dev/sda
smartctl -i /dev/sdb
</pre>

Si smart n'est pas activé, essayez de l'activer comme ceci :
<pre>
smartctl -s on /dev/sda
smartctl -s on /dev/sdb
</pre>

Vérifiez le statut de santé de vos disques :
<pre>
smartctl -H /dev/sda
smartctl -H /dev/sdb
</pre>
S'il indique <code>PASSED</code> c'est bon de ce côté. S'il vous indique <code>FAILED</code>, sauvegardez immédiatement vos données !

Vérifiez la présence d'erreurs dans le log smart :
<pre>
smartctl -l error /dev/sda
smartctl -l error /dev/sdb
</pre>

Si vous voyez <code>No Errors Logged</code> ou quelques erreurs, c'est bon. S'il y eu a beaucoup, il faut envisager de changer le disque.

Le fichier de configuration de smartd est <code>/etc/smartd.conf</code>. Commentez la ligne <code>DEVICESCAN</code> puis ajoutez les lignes suivantes pour surveiller les deux disques durs :
<pre>
/dev/sda -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
/dev/sdb -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
</pre>

Nous activons la surveillance globale (<code>-a</code>), la vérification automatique offline, (<code>-o on</code>), la sauvegarde automatique des attributs (<code>-S on</code> et lançons un <code>short self test</code> tous les jours à 2h du matin, et un <code>long self test</code> tous les samedi à 3h du matin. Si des erreurs sont détectés, un email est envoyé à vous@domain.tld. 

Relancez smartd :
<pre>/etc/init.d/smartmontools restart</pre>

Pour plus d'information sur SMART et ses arguments : [[Diagnostic smart d'un disque]]

=Protégez votre proxmox=

==Désactiver le login root sur l'interface proxmox==
Avant toute manipulation, n'oubliez pas de créer un utilisateur ayant les droits d'administration pour accéder à l'interface de proxmox

===Via l'interface proxmox===
Dans Datacenter > Permissions > Users : Editez l'utilisateur root et décochez la case <code>Enabled</code>

===Via les droits linux===
<pre>passwd --lock root</pre>

Attention, dans ce cas, vous ne pourrez plus vous loguer en root sur le serveur par ssh (sauf si vous avez une clé ssh défini), écran ou kvm !

===Via PAM===
Vous pouvez désactiver le login pam en éditant <code>/etc/pam.d/other</code> et en y ajoutant, en début de fichier, les lignes suivantes :
<pre>
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
account required pam_warn.so
</pre>

Attention, cette méthode peut avoir des effets de bord si d'autres programmes utilisent l'entité pam/other

==Désactiver rpcbind==

Si vous n'utilisez pas de montage NFS vous pouvez désactiver rpcbind. 
Editez <code>/etc/default/nfs-common</code> et passez l'argument suivant :
<pre>NEED_STATD=no</pre>

Puis désactivez rpcbind :
<pre>
systemctl disable rpcbind.target
systemctl disable rpcbind.socket
systemctl disable rpcbind.service
systemctl stop rpcbind.target
systemctl stop rpcbind.socket
systemctl stop rpcbind.service
</pre>

==Eviter les reboots accidentels avec molly-gard==
<pre>apt install molly-guard</pre>

==Protection SSH avec sshguard==

[[Protéger SSH avec sshguard]]

==Protéger l'interface web avec fail2ban==

<pre>apt install fail2ban</pre>

Créez le fichier <code>/etc/fail2ban/jail.local</code> contenant :
<pre>
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 1800
maxretry = 3

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

action = %(action_mwl)s

[ssh]
enabled = false

[sshd]
enabled = false

[proxmox]
enabled = true
port = https,http,8006
filter = proxmox
backend = systemd
maxretry = 4
findtime = 2d
bantime = 1h
</pre>

Créez le fichier <code>/etc/fail2ban/filter.d/proxmox.conf</code> :
<pre>
[Definition]
failregex = pvedaemon\[.*authentication failure; rhost=<HOST> user=.* msg=.*
ignoreregex =
journalmatch = _SYSTEMD_UNIT=pvedaemon.service
</pre>

Relancez fail2ban :
<pre>/etc/init.d/fail2ban restart</pre>

==firewall iptables==

=Création d'un stockage pour les VMs=

Créez les partitions sda4 et sdb4 au moyen de gdisk (EFI) ou parted (BIOS).

Créez sur ces partitions un raid :
<pre>mdadm --create --verbose /dev/md4 --level=1 --raid-devices=2 /dev/sda4 /dev/sdb4</pre>

Maintenez à jour <code>mdadm.conf</code> et votre initramfs afin de conserver le bon naming du raid après reboot :
<pre>
mdadm --examine --scan >> /etc/mdadm/mdadm.conf
update-initramfs -u
</pre>

Puis initialisez-y un LVM :
<pre>
pvcreate /dev/md4
vgcreate main /dev/md4
</pre>

Il ne reste plus qu'a déclarer ce Volume Group LVM dans l'interface proxmox.

=VM qemu/kvm=

==Télécharger vos images==

Vous pouvez placer les iso dans <code>/var/lib/vz/template/iso/</code> avec <code>wget</code> par exemple.
Notez que l'interface graphique de proxmox propose également une fonction d'upload.

==Créer votre première VM==

Une fois la VM crées dans l'interface proxmox, je vous recommande d'écrire des zero sur son disque afin de réduire la taille des futurs backups. Si votre vm porte le numéro 100 et possède un seul disque :
<pre>dd if=/dev/zero | pv -ptrb | dd of=/dev/main/vm-100-disk1 bs=1M</pre>

===Configuration réseau en bridge vmbr0 (ip public)===

===Configuration réseau en bridge vmbr1 (ip locale)===

Configuration réseau de la VM :
<pre>
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
gateway 192.168.0.1
</pre>

Règle iptables à ajouter sur l'hôte :
<pre>iptables -t nat -A POSTROUTING -s 192.168.0.2 -o vmbr0 -j SNAT --to IP-PUBLIC-DE-VOTRE-HOTE</pre>

Si vous souhaitez rendre accessible l'un des services de la VM depuis l'ip de l'hote sur un port sépcifique :
<pre>
iptables -t nat -A PREROUTING -p tcp -d <ip de l'hote> --dport <port souhaité> -i vmbr0 -j DNAT --to-destination 192.168.0.2:port
</pre>

==Bloquer le spoofing d'adresse mac==
Sur l'hyperviseur, installez <code>ebtables</code> :
<pre>apt install ebtables</pre>

Admettons ensuite que votre VM a comme adresse ip <code>84.93.26.3</code> et que son adresse mac doit être <code>52:54:00:00:98:b6</code> :
<pre>ebtables -A FORWARD -p IPv4 --ip-src 84.93.26.3 -s ! 52:54:00:00:98:b6 -j DROP</pre>

Vous pouvez faire de même pour l'ipv6. Dans l'exemple suivant, seul le bloc ipv6 <code>2a01:d4h:123b:100::/56</code> est utilisable par la vm :
<pre>ebtables -A FORWARD -p IPv6 --ip6-src 2a01:d4h:123b:100::/56 -s ! 52:54:00:00:08:b1 -j DROP</pre>

==Importer une VM depuis vmware ESXi==

==qm et modification des VMs en ligne de commande==

==Monter les partitions d'une VM depuis l'host==

<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

pour la partition 1 : start*blocksize = offset
donc 2048*512 = 1048576

<pre>losetup /dev/loop1 -o 1048576 /dev/main/vm-101-disk-1 </pre>

Et enfin :
<pre>mount /dev/loop1 /mnt</pre>

Quand vous avez terminé vos modifications :
<pre>
umount /mnt
losetup -d /dev/loop1
losetup -d /dev/loop0
</pre>

===Si la partition que vous voulez monter est un LVM===

Scannez les nouveaux volumes :
<pre>lvm pvscan</pre>

Activez les groupes :
<pre>lvm vgchange -ay</pre>

listez les lvms avec :
<pre>lvm lvs</pre>

Les LV devraient apparaître dans <code>/dev/mapper/</code>

Quand vous avez terminé :
* démontez les LV
* Désactivez le groupe avec <code>vgchange -an</code>
* désactivez le loopback : <code>losetup -d /dev/loop0</code>

==Augmenter la taille du disque d'une VM==

Coupez la VM.

Sur l'host pour modifier la taille du disque 1 de la vm 110 ) 140G :
<pre>lvextend -L 140G /dev/main/vm-110-disk-1</pre>

Il faut ensuite, sur la vm lancée, utiliser resize2fs

==Migrer une VM vers un autre serveur manuellement (pas de cluster) avec un downtime minimum==

Nous allons voir comment migrer une VM proxmox stockée sur un LVM d'un serveur à un autre, et ce, en minimisant au maximum le downtime. Pour cela, nous allons coupler la fonctionnalité de snapshot de lvm avec un petit script (lvmsync) qui permet de ne transférer que les blocs modifiés d'un snapshot.

Installez dmsetup et ruby (1.8 minimum) sur le serveur d'origine et de destination :
<pre>apt install dmsetup ruby</pre>

Récupérez <code>lvmsync</code> sur https://github.com/mpalmer/lvmsync et placez le dans /sbin/ sur les serveurs d'origine et de destination.

Dans cet exemple, nous allons migrer la vm 102 disposant d'un seul disque virtuel nommé vm-102-disk-1 et stocké dans le vg main du serveur server1.domain.tld vers le serveur server2.domain.tld.
Pour commencer, créez un snapshot de votre vm sur server1 :
<pre>lvcreate --snapshot -L200G -n 102-lvmsync main/vm-102-disk-1</pre>

Désormais, tous les io de cette vm seront stockés dans le snapshot 102-lvmsync.

Sur votre nouveau serveur, créez une VM identique à celle de votre premier serveur (surtout en qui concerne la taille de disque).
Depuis server1, copiez avec un dd over ssh le disque d'origine de votre vm vers votre nouveau serveur.
<pre>dd if=/dev/main/vm-102-disk-1 | pv -ptrb | ssh -o "Compression no" root@server2.domain.tld "dd of=/dev/main/vm-102-disk-1 bs=100M"</pre>

Note : sur un réseauu 100Mbps utilisez plutôt <code>-o "Compressionlevel 1"</code>

Une fois la copie terminée, coupez la vm 102 sur server1, puis lancez lvmsync sur le snapshot (toujours sur server1) :
<pre>lvmsync /dev/main/102-lvmsync server2.domain.tld:/dev/main/vm-102-disk-1</pre>

Une fois le travail de lvmsync achevé, il ne nous reste plus qu'a relancer la vm sur server2

A titre d'information, si vous voulez merger le snapshot de la vm 102 sur server 1, tapez :
<pre>lvconvert --merge /dev/main/102-lvmsync</pre>

=Conteneur LXC=

==Empêcher la mise à jour automatique de certains fichiers de configuration système du conteneur==

Certains fichiers de configuration du conteneur sont mis à jour automatiquement à chaque démarrage (voir https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_guest_operating_system_configuration)

On peut empêcher la mise à jour de ces fichiers en créant un fichier <code>.pve-ignore.NOM</code> 
Par exemple, <code>/etc/.pve-ignore.resolv.conf</code> empêchera le fichier <code>/etc/resolv.conf</code> d'être mis à jour à chaque démarrage.

=Annexes=

==Problème de layout dans la console vnc==
Dans l'interface web de proxmox : datacenter > option > passez Keyboard de <code>default</code> à <code>French</code>.

==Erreurs du type <code>IPv6 addrconf: prefix with wrong length 56</code> ==

Cette erreur est typique sous linux si les routeurs de votre serveur annoncent des blocs IPv6 /56 alors que vous configurez des /64.
Ajouter les lignes suivantes dans un fichier <code>/etc/sysctl.d/local.conf</code> :
<pre>
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.eno3.autoconf = 0
net.ipv6.conf.vmbr0.autoconf = 0
</pre>

Terminez par relancer procps :
<pre>/etc/init.d/procps restart</pre>

==paramètre sysctl ipv6 non appliqué au boot==
Ajoutez le module ipv6 dans /etc/modules afin d'assurer le chargement d'ipv6 avant l’exécution de sysctl :
<pre>echo ipv6 >> /etc/modules</pre>

==LVM inaccessible depuis l'host==

<pre>
lvm pvscan
lvm vgchange -ay
</pre>

==L'interface web ne fonctionne pas et la commande qm retourne une erreur ipcc_send_rec failed: Connection refused==

Vérifiez la présence de fichiers et dossiers dans <code>/etc/pve/</code>. Si ce dossier est vide, c'est probablement que votre fichier <code>/etc/hosts</code> est mal configuré. 
Essayez de relancer <code>pve-cluster</code> :
<pre>/etc/init.d/pve-cluster restart</pre>

Si vous avez une erreur ou un warning, lancez la commande pmxcfs. Vous devriez obtenir ceci :
<pre>
$# pmxcfs
Jan 21 15:28:19 proxmox pmxcfs[1846]: Unable to get local IP address (pmxcfs.c:721:main)
</pre>

Vérifiez alors que le contenu de <code>/etc/hostname</code> est défini dans <code>/etc/hosts</code>.

Si par exemple <code>/etc/hostname</code> contient <code>proxmox.domain.tld</code> vous devriez avoir la ligne suivante dans <code>/etc/hosts</code> :
<pre>VOTREIP proxmox.domain.tld proxmox</pre>

==Pas assez d'interfaces loopback==

Créer le fichier <code>/etc/modprobe.d/local-loop.conf</code> contenant :
<pre>options loop max_loop=64</pre>

Vous pouvez ensuite redémarrer ou recharger le module loop :
<pre> rmmod loop && modprobe loop</pre>

==Défragmentation LVM : exemple==
<pre>
hub:~# pvdisplay --maps
--- Physical volume ---
PV Name /dev/sda4
VG Name main
PV Size 1.76 TB / not usable 456.00 KB
Allocatable yes
PE Size (KByte) 4096
Total PE 461649
Free PE 208721
Allocated PE 252928
PV UUID PUqV5Q-WRW2-n20t-eFVM-CA1r-RhDl-2RTJHq

--- Physical Segments ---
Physical extent 0 to 7935:
Logical volume /dev/main/vm-101-disk-1
Logical extents 0 to 7935
Physical extent 7936 to 72191:
Logical volume /dev/main/vm-101-disk-2
Logical extents 0 to 64255
Physical extent 72192 to 136703:
Logical volume /dev/main/vm-102-disk-1
Logical extents 0 to 64511
Physical extent 136704 to 144895:
Logical volume /dev/main/vm-103-disk-1
Logical extents 0 to 8191
Physical extent 144896 to 209151:
Logical volume /dev/main/vm-103-disk-2
Logical extents 0 to 64255
Physical extent 209152 to 214271:
Logical volume /dev/main/vm-104-disk-1
Logical extents 0 to 5119
Physical extent 214272 to 227327:
Logical volume /dev/main/vm-104-disk-2
Logical extents 0 to 13055
Physical extent 227328 to 282111:
FREE
Physical extent 282112 to 307711:
Logical volume /dev/main/vm-108-disk-1
Logical extents 0 to 25599
Physical extent 307712 to 461648:
FREE
</pre>

Comme vous pouvez le voir, on a un trou "vide" entre l'extent 227328 et 282111, puis à nouveau des données entre l'extent 282112 et 307711.

Pour combler ce trou, nous allons déplacer les données des /dev/main/vm-108-disk-1 situés entre les extents 282112 et 307711 (soit 25599 extents au total) vers l'espace libre avec <code>pvmove</code> : 
pvmove /dev/sda4:282112-307711 /dev/sda4:227328-252927 --alloc anywhere

Notez qu'il faut attribuer exactement le même nombre d'extents à la destination qu'à l'origine : 227328 + 25599 = 252927

==Oups: j'ai supprimé le mauvais lvm==

Pas de panique, mais ne bougez plus ! Pour l'instant, seul les métadonnées du lvm sont impactés.
Et comme c'est bien foutu, lvm conserve un backup des anciennes metadonnées après chaque modification. Ces archives sont situés dans <code>/etc/lvm/archive/</code>. Les fichiers y sont nommés sous la forme vg_XXXX-YYYYYYY.vg. Normalement, le fichier ayant le XXXX le plus élevé sera celui de l'état précédent votre erreur.
Pour vérifier que vous avez sélectionné le bon fichier, vous pouvez l'ouvrir avec nano et regarder si l'état du lvm dans cette archive correspond a ce que vous attendez.

Pour restaurer l'archive des métadonnées main_00007-587941649.vg pour le vg main :
<pre>
vgcfgrestore -f /etc/lvm/archive/main_00007-587941649.vg main
lvm vgchange -ay
</pre>

Votre volume devrait être de retour.

Il faut encore vérifier que la table de partition contenu sur ce lvm n'a pas morphlé. En admettant que /dev/main/vm-101-disk-1 est la lvm que vous venez de restaurer :
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

Si vous voyez ça, c'est bon, vous êtes sauvés ! Si ce n'est pas le cas, continuez à lire ;)

===Récupération de la table de partition===

Si fdisk vous envois chier avec un message du style <code>Disk /dev/loop0 doesn't contain a valid partition table</code>, il va falloir récupérer la table de partition.

Installez testdisk :
<pre>apt install testdisk</pre>

Lancez le:
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# testdisk /dev/loop0
</pre>

Selectionez le media <code>/dev/loop0</code> et validez avec <code>enter</code>.
Au menu suivant, sélectionnez <code>intel</code> comme type de table de partition.
Au menu suivant, sélectionnez <code>analyse</code>
A l'écran suivant, tapez enter.
Avec de la chance, testdisk retrouvera vos partitions. Une fois qu'il aura terminé de travailler, il ne restera plus qu'à taper sur enter encore une fois, puis demander à testdisk de sauvegarder la table de partition

==L'interface proxmox n'affiche pas les disques de certaines VMs==

Ceci arrive typiquement si vous avez créé un volume logique à la main sans y ajouter le bon tag.
Vérifiez la présence des tags sur vos LV avec la commande <code>lvs --options 'vg_name,lv_name,lv_size,tags'</code> :
<pre>
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 20.00g
</pre>

Comme vous le voyez, le lv de la vm 101 n'est pas tagué. Vous pouvez ajouter le tag avec <code>lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1</code> :
<pre>
~# lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 16.00g pve-vm-101
</pre>

Si cela ne fonctionne pas, essayez de passer un petit coup de <code>qm rescan</code>

Accueil

2025-10-03T11:26:52Z

Pfoo :

__NOTOC__
{|style="width:100%; background:#F5F5F5;" cellpadding="10"
!style="font-size:200%; color:#056FFA;"|Bienvenu sur ce wiki
|-
|Ce wiki est dédié aux différentes distributions linux et aux logiciels libres qui les accompagnent.
|}

{|style="width:100%; border:1px solid #FFFFFF; background:#FFFFFF; color:#FFFFFF;" cellpadding="4" cellspacing="0"
!style="font-size:115%; background:#056FFA;"|Rechercher par
|-align="center"
| [[Special:Categories|Catégories]]  [[:Catégorie:Distributions|Distributions]]
|}

=Généralités=
[[Généralités sur linux]]

{| style="background:transparent;"
| style="width:50%; vertical-align:top;" |

= Serveur =

; [[:Category:serveur|Liste des pages]]
:
; [[Sécuriser_ses_sites_avec_letsencrypt_et_acme-tiny|letsencrypt]]
; [[:Category:monitoring|Monitoring]]
: Tutoriels détaillants des outils de supervision et de métrologie
;[[Proxmox 8]]
:Tutoriel détaillant l'installation de proxmox 8.x sous debian
;[[Sécurisation d'un serveur linux]]
:Guideline basique de propositions de sécurisation d'un serveur linux
; [[:Category:security|Sécurité]]
: outils de sécurité
; [[:Category:virtualisation|virtualisation]]
: proxmox principalement

| style="width:50%; vertical-align:top;" |

= Bureautique =

; [[:Category:desktop|Liste des pages]]
:
;[[Kubuntu / KDE : login ssh automatique par clé]]
:
;[[ssh : le client libre de OpenSSH]]
:
;[[Court-circuiter la vérification dns]]
:
;[[Graver un iso bootable sur une clé usb]]
:Vos CDRW ne marchent plus ? Vous n'avez pas de lecteur cd sur votre netbook ?
:
;[[Diagnostic smart d'un disque]]
:
;[[Fibre orange en DHCP avec routeur pfsense]]

|-
| style="width:50%; vertical-align:top;" |

= Développement =
; [[:Category:développement|Liste des pages]]
:
; [[Auto-complétion_avec_Vim|Auto-complétion avec Vim]]
: Configurer l'auto-complétion C++ dans l'editeur de texte Vim
;[[Git]]
:Gestionnaire de version décentralisé

| style="width:50%; vertical-align:top;" |

= Divers =
; [[:Category:Tools|Outils]]
:

|}

Proxmox 8

2025-10-03T11:19:58Z

Pfoo : /* Récupération de la table de partition */

[[Category:serveur]]
[[Category:debian]]
[[Category:virtualisation]]

Nous allons voir comment installer proxmox 7.x sur un raid 1 logiciel (md / mdadm) avec debootstrap.

=Prérequis=

Ce tutoriel se base sur l'utilisation de debootstrap pour installer une base de système d'exploitation debian. La plupart des hébergeurs proposent un système de "rescue" permettant l'installation de debian par ce moyen.
Si vous ne disposez pas de mode rescue, vous pouvez toujours utiliser l'installeur proposé par votre hébergeur, ou encore passer par un kvm pour installer vous même le système avec l'iso de debian.

=Pour les débutants=

Si vous êtes débutant en administration linux, je vous conseil de sauvegarder quelque part les fichier suivant issu d'une précédente installation de debian ou de proxmox
* <code>/etc/networks</code>
* <code>/etc/network/interfaces</code>
* <code>/etc/resolv.conf</code>
* <code>/etc/hosts</code>
* <code>/etc/fstab</code>
* <code>/etc/mdadm/mdadm.conf</code> si vous disposez d'un raid logiciel
* tout fichier de personnalisation de grub (<code>/etc/grub.d/</code> par exemple)

Cela vous permettra de vous faire une idée plus précise de ce qui doit figurer dans ces différents fichiers.

=Partitionnement et système de fichier=

Voici le partitionnement que je vais utiliser :
* Partition root (/) de 20 Go (/) en raid 1 sur les disques sda et sdb
* Partitions swap de 4096 Go chacune réparties sur sda et sdb
* Le reste de l'espace sera utilisé plus tard pour un LVM dédié aux VMs

==Partitionnement==

===Possibilité 1 : Partitionnement GPT pour EFI / UEFI===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions EFI (ESP), obligatoire pour le démarrage EFI/UEFI. Il faudra leur attribuer le type <code>EF00</code>. Pour assurer une bonne compatibilité avec les multiples firmwares EFI, il est recommandé de leur attribuer une taille de 512 MiB (+512M au prompt gdisk).
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

 

Pour les partitions EFI, nous créons un système de fichier FAT32 avec le label (nom) <code>EFI_SYSPART</code> :
<pre>
mkfs.fat -F 32 -n EFI_SYSPART /dev/sda1
mkfs.fat -F 32 -n EFI_SYSPART /dev/sdb1
</pre>

===Possibilité 2 : Partitionnement GPT pour BIOS===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions pour le bootloader. Il faudra leur attribuer le type <code>EF02</code>. On peut la créer idéalement du secteur 34 au secteur 2047 du disque.
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

Notez que la partition du bootloader ne doit pas être formatée.

===Possibilité 3 : partitionnement MBR pour BIOS (non prise en charge dans ce wiki)===

A titre informatif : création avec <code>parted</code>, sans nécessité de créer une partition dédiée au bootloader/grub.

==Création du RAID==

Pour des raisons esthétiques, définissez l'hostname de votre système de rescue :
<pre>hostname proxmox</pre>

Pour créer votre raid 1 avec 2 disques :
<pre>
mdadm --create --verbose /dev/md2 --level=1 --raid-devices=2 /dev/sda2 /dev/sdb2
</pre>

Notez que si vous souhaitez utiliser plus que 2 disques, il faut augmenter la valeur de <code>--raid-devices</code> et ajouter les partitions des disques à la suite.

Attendez que le raid soit synchronisé avant de continuer. Vous pouvez surveiller facilement cela avec la commande <code>watch cat /proc/mdstat</code>.

==Création des systèmes de fichiers==

Créez un système de fichier ext4 pour le raid du root :
<pre>
mkfs.ext4 /dev/md2
</pre>

Enfin, initialisez les swaps :
<pre>
mkswap /dev/sda3
mkswap /dev/sdb3
</pre>

=Installation de proxmox=

==Installation du système de base==

Nous débutons par installer le système de base de Debian avec <code>debootstrap</code>

Installez les paquets nécessaires dans votre rescue :
<pre>apt install debootstrap debian-keyring debian-archive-keyring</pre>

Montez votre partition raid root sur <code>/mnt</code> :
<pre>
mount /dev/md2 /mnt
</pre>

Installez le système de base debian, version bookworm :
<pre>debootstrap --arch=amd64 bookworm /mnt http://ftp.fr.debian.org/debian</pre>

==Configuration de Debian==

Montez les vfs suivants, puis chrootez dans votre nouveau système debian :
<pre>
mount -o bind /proc /mnt/proc
mount -o bind /dev /mnt/dev
mount -o bind /dev/pts /mnt/dev/pts
mount -o bind /sys /mnt/sys
chroot /mnt
</pre>

Configurez les archives apt : éditez le fichier <code>/etc/apt/sources.list</code> :
<pre>
# main archive
deb http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware

# security updates
deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware

# bookworm-updates, previously known as 'volatile'
deb http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware

# backports archive
deb http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
</pre>

Mettez à jour les paquets :
<pre>
apt update
apt full-upgrade
</pre>

Installez les locales et la configuration de console :
<pre>
apt install locales
dpkg-reconfigure locales
apt install console-data console-setup-linux console-setup wget
dpkg-reconfigure console-data # from arch > french > latin9)
</pre>

Définissez la zone horaire :
<pre>
tzselect
dpkg-reconfigure tzdata
</pre>

Configurez votre fichier <code>/etc/fstab</code>. 
Pour GPT pour EFI / UEFI :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda1 /boot/efi vfat defaults 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Pour GPT pour BIOS :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Montez la partition EFI / ESP dans le cas d'un partitionnement GPT pour EFI / UEFI :
<pre>
mkdir /boot/efi
mount /boot/efi
</pre>

Configurez les interfaces réseaux dans <code>/etc/network/interfaces</code> :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

auto eno3
iface eno3 inet static
address XXXX/24
gateway XXXX
</pre>

Configurez le fichier <code>/etc/hosts</code> :
<pre>
# local
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

# main
ipdelamachine proxmox.domain.tld proxmox pvelocalhost
</pre>

Définissez les hostnames dans ces fichiers :
<pre>
# Pour celui la : non-fqdn
echo proxmox > /etc/hostname
# Pour celui la : fqdn
echo proxmox.domain.tld > /etc/mailname
</pre>

'''ATTENTION''' Le fichier <code>/etc/hosts</code> DOIT être cohérent avec le fichier <code>/etc/hostname</code>. 
Par exemple, si le contenu de <code>/etc/hostname</code> est <code>proxmox</code> et que l'ip de votre proxmox est 225.182.54.9 il faudra veiller a avoir les informations suivantes dans <code>/etc/hosts</code> :
<pre>
127.0.0.1 localhost
225.182.54.9 proxmox.domain.tld proxmox pvelocalhost
</pre>

'''Attention : n'utilisez pas 127.0.1.1 (comme le fait debian) mais bien la vrai ip (ici 225.182.54.9)'''

N'oubliez pas de configurer les dns (ceux de votre hébergeur dédié) dans <code>/etc/resolv.conf</code> :
<pre>nameserver XX.XX.XX.XX</pre>

Installez postfix :
<pre>
hostname -F /etc/hostname
apt install postfix
</pre>

Enfin, comme nous installons notre partition de boot sur un raid software, il faut installer <code>madadm</code> à ce stade :
<pre>apt install mdadm</pre>

Vérifiez si votre array root s'est bien défini automatiquement dans <code>/etc/mdadm/mdadm.conf</code>. Si ce n'est pas me cas, ajoutez la configuration de l'array manuellement :
<pre>mdadm --examine --scan >> /etc/mdadm/mdadm.conf</pre>

==Installation de proxmox - kernel==

Ajoutez le dépot proxmox dans le fichier /etc/apt/source.list :
<pre>
# PVE pve-no-subscription repository provided by proxmox.com, NOT recommended for production use
deb http://download.proxmox.com/debian/pve bookworm pve-no-subscription
</pre>

Ajoutez la clé du dépôt proxmox :
<pre>
wget https://enterprise.proxmox.com/debian/proxmox-release-bookworm.gpg -O /etc/apt/trusted.gpg.d/proxmox-release-bookworm.gpg
</pre>

Mettez à jour le système :
<pre>
apt update
apt full-upgrade
</pre>

===Possibilité 1 : Partitions GPT pour EFI / UEFI===

Vérifiez que <code>/boot/efi</code> est bien monté. Si ce n'est pas le cas, faites le.

Installez le kernel proxmox :
<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-efi-amd64 gdisk
</pre>

Supprimez les paquets suivant si vous n'avez pas besoin de secureboot :
<pre>apt purge grub-efi-amd64-signed mokutil shim-helpers-amd64-signed shim-signed shim-signed-common shim-unsigned</pre>

Normalement tout doit se faire avec des promps. Si ce n'était pas le cas :
<pre>grub-install --bootloader-id=proxmox</pre>

Si jamais vous utilisez un démarrage en PXE (c'est le cas sur un serveur OVH par exemple), utilisez l'argument <code>--no-nvram</code> pour empêcher grub de mettre à jour la NVRAM et casser votre mécanique de démarrage PXE :
<pre>grub-install --bootloader-id=proxmox --no-nvram</pre>

Etant donné que seul <code>/dev/sda1</code> est monté sur <code>/boot/efi</code>, il faut transférer manuellement les données sur <code>/dev/sdb1</code> :
<pre>
mount /dev/sdb1 /mnt
rsync -av /boot/efi/ /mnt/
umount /mnt
</pre>

Si pour une raison quelconque, vous aviez besoin des headers du kernel :
<pre>apt install pve-headers-5.15</pre>

===Possibilité 2 : Partitions GPT pour BIOS OU Partitions MBR pour BIOS===

<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-pc gdisk
</pre>

Lorsqu'on vous demandera où installer grub, choisissez <code>sda</code> ET <code>sdb</code>. Sinon :
<pre>
grub-install /dev/sda
grub-install /dev/sdb
</pre>

==Installation de proxmox - OpenSSH==

Installez openssh et définissez un password root. Autorisez le login root par password temporairement.
<pre>
hostname -F /etc/hostname
apt install openssh-server
passwd
sed -i "s/#PermitRootLogin prohibit-password/PermitRootLogin yes/g" /etc/ssh/sshd_config
</pre>

==Installation de proxmox - Vérifications finales et redémarrage sur le kernel proxmox==

Si vous avez une configuration particulière à entrer dans <code>/etc/default/grub</code>, faites le maintenant. Par exemple :
<pre>
GRUB_CMDLINE_LINUX="nomodeset iommu=pt"
</pre>

Puis régénérez la configuration de grub :
<pre>update-grub</pre>

Vous pouvez vérifier que votre fstab est valide avec :
<pre>findmnt --verify --verbose</pre>

Vous pouvez maintenant sortir de votre chroot et démonter le système de fichier

<pre>
umount /boot/efi/
exit
umount /mnt/sys
umount /mnt/dev/pts
umount /mnt/dev
umount /mnt/proc
umount /mnt
</pre>

Enfin, redémarrez le serveur sur le disque dur.

==Installation de ifupdown2==

Le paquet <code>ifupdown2</code> est en voie de devenir le remplaçant officiel de <code>ifupdown</code> pour proxmox.

<pre>
apt install ifupdown2
apt purge ifupdown
systemctl enable networking
</pre>

Pour vérifier que votre configuration est fonctionnelle : lancez <code>ifquery -a</code>

Redémarrez à nouveau votre serveur

==Installation de proxmox - pve==

Une fois le redémarrage effectué, vous allez enfin pouvoir installer pve :
<pre>apt install proxmox-ve ksm-control-daemon chrony</pre>
<pre>apt remove os-prober</pre>

Editez la configuration réseau <code>/etc/network/interfaces</code> afin d'y créer votre bridge :
<pre>
auto eno3
iface eno3 inet manual

auto vmbr0
iface vmbr0 inet static
address xxxxx/24
gateway xxxx
hwaddress AA:BB:CC:11:22:33
bridge_ports eno3
bridge_stp off
bridge_fd 0
</pre>

Définissez la ligne <code>hwaddress</code> avec l'adresse MAC de l'interface eno3.

Installez votre clé SSH dans <code>/root/.ssh/authorized_keys</code> puis désactivez le login root par password de OpenSSH dans <code>/etc/ssh/sshd_config</code>.
 

Une fois tout installé, je vous conseille de reconfigurer grub afin de mettre à jour la configuration interne de debian:
* Pour EFI : <code>dpkg-reconfigure grub-efi-amd64</code>
* Pour BIOS : <code>dpkg-reconfigure grub-pc</code>

 
Redémarrez une dernière fois pour appliquer les changements.

Votre proxmox sera accessible à l'adresse https://ip:8006

==Nettoyage des paquets==

Si vous ne comptez pas utiliser ZFS, vous pouvez supprimer les paquets suivantes :
<pre>apt purge zfs-zed libnvpair3linux libuutil3linux libzfs4linux libzpool5linux zfsutils-linux</pre>

==Configuration réseau avancée==

===Ajout d'une IPv6 sur vmbr0===

===Ajout d'un réseau interne vmbr1===

Nous allons voir comment créer un réseau interne avec proxmox, c'est à dire, un réseau qui ne sera attaché à aucune interface réseau physique. L'intérêt est d'offrir un débit bien supérieur pour les communications entre les VMs.

Ajoutez les lignes suivantes dans <code>/etc/network/interfaces</code> :

<pre>
auto vmbr1
iface vmbr1 inet static
address 192.168.0.1
netmask 255.255.255.0
</pre>

Note : vous pouvez faire de même en ipv6 :
* il faut utiliser le range Unique Local Address (ULA) fd00::/8 (http://en.wikipedia.org/wiki/Unique_Local_Address)
* pour générer votre ULA : http://pfoo.unscdf.org/ula/gen-ula.html

==Sécurisation de base==

Je vous conseil de commencer à sécuriser votre ssh :
* désactivez le login root (directive <code>PermitRootLogin no</code> dans <code>/etc/ssh/sshd_config</code>). Pensez néanmoins à créer un utilisateur pour vous connecter en ssh avant de désactiver le login root.
* utilisez la directive <code>allowusers <user></code> dans <code>/etc/ssh/sshd_config</code> pour n'autoriser que certains utilisateurs à se connecter en ssh.

Il est aussi préférable d'installer le serveur de temps NTP à la place de systemd-timesyncd:
<pre>
apt install chrony
apt purge systemd-timesyncd
</pre>

=Configurer le serveur mail postfix=

==Configuration==

==Certificats SSL==
Si vous avez votre propre autorité ssl, vous pouvez générer votre propre certificat. Si ce n'est pas le cas, vous pouvez toujours aller lire [http://wiki.unscdf.org/index.php?title=Installation_et_configuration_de_OpenSSL ceci] afin d'apprendre à créer votre autorité ssl.

Ajoutez les lignes suivantes dans <code>/etc/ssl/openssl.cnf</code> :
<pre>
[POSTFIX]
nsComment = "SMTP Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
issuerAltName = issuer:copy
basicConstraints = critical,CA:FALSE
keyUsage = critical, digitalSignature, nonRepudiation, keyEncipherment
nsCertType = server
extendedKeyUsage = serverAuth
</pre>

Puis générez la clé et le certificat, et signez le avec votre autorité (int_ca dans mon cas) :
<pre>
openssl req -config /etc/ssl/openssl.cnf -nodes -newkey rsa:2048 -keyout postfix.key -out postfix.req
openssl ca -config /etc/ssl/openssl.cnf -name int_ca -extensions POSTFIX -in postfix.req -out postfix.pem
</pre>

Déplacez les fichiers dans le répertoire <code>/etc/postfix/ssl</code> :
<pre>
mkdir /etc/postfix/ssl
mv postfix.key /etc/postfix/ssl/
mv postfix.pem /etc/postfix/ssl/
chmod 600 /etc/postfix/ssl/*
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/int_ca/int_ca.pem > /etc/postfix/ssl/ca_chain.pem
</pre>

Il faut encore modifier <code>/etc/postfix/main.cf</code> :
<pre>
smtpd_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtpd_tls_key_file=/etc/postfix/ssl/postfix.key
smtpd_tls_CAfile=/etc/postfix/ssl/ca_chain.pem
smtpd_use_tls=yes
smtp_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtp_tls_key_file=/etc/postfix/ssl/postfix.key
smtp_tls_CAfile=/etc/postfix/ssl/ca_chain.pem

smtpd_tls_security_level=may
smtp_tls_security_level=may
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1

#smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
</pre>

=Utiliser son propre certificat SSL proxmox avec un signataire intermédiaire=

Depuis Proxmox 5.2, il n'est plus recommandé d'adapter manuellement les fichiers contenant les certificats et clés privés de proxmox. 
Cependant, vous pouvez placer directement votre clé privé dans le fichier <code>/etc/pve/local/pveproxy-ssl.key</code> et la chaîne de certification dans le fichier <code>/etc/pve/local/pveproxy-ssl.pem</code>. Vous pouvez également déposer ces fichiers via la webui de proxmox au niveau de chaque serveur.

=Surveiller l'état des disques avec SMART=

Commencez par installer le paquet smartmontools :
<pre>apt install smartmontools</pre>

Vérifiez que vos disques gèrent smart et qu'il est activé :
<pre>
smartctl -i /dev/sda
smartctl -i /dev/sdb
</pre>

Si smart n'est pas activé, essayez de l'activer comme ceci :
<pre>
smartctl -s on /dev/sda
smartctl -s on /dev/sdb
</pre>

Vérifiez le statut de santé de vos disques :
<pre>
smartctl -H /dev/sda
smartctl -H /dev/sdb
</pre>
S'il indique <code>PASSED</code> c'est bon de ce côté. S'il vous indique <code>FAILED</code>, sauvegardez immédiatement vos données !

Vérifiez la présence d'erreurs dans le log smart :
<pre>
smartctl -l error /dev/sda
smartctl -l error /dev/sdb
</pre>

Si vous voyez <code>No Errors Logged</code> ou quelques erreurs, c'est bon. S'il y eu a beaucoup, il faut envisager de changer le disque.

Le fichier de configuration de smartd est <code>/etc/smartd.conf</code>. Commentez la ligne <code>DEVICESCAN</code> puis ajoutez les lignes suivantes pour surveiller les deux disques durs :
<pre>
/dev/sda -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
/dev/sdb -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
</pre>

Nous activons la surveillance globale (<code>-a</code>), la vérification automatique offline, (<code>-o on</code>), la sauvegarde automatique des attributs (<code>-S on</code> et lançons un <code>short self test</code> tous les jours à 2h du matin, et un <code>long self test</code> tous les samedi à 3h du matin. Si des erreurs sont détectés, un email est envoyé à vous@domain.tld. 

Relancez smartd :
<pre>/etc/init.d/smartmontools restart</pre>

Pour plus d'information sur SMART et ses arguments : [[Diagnostic smart d'un disque]]

=Protégez votre proxmox=

==Désactiver le login root sur l'interface proxmox==
Avant toute manipulation, n'oubliez pas de créer un utilisateur ayant les droits d'administration pour accéder à l'interface de proxmox

===Via l'interface proxmox===
Dans Datacenter > Permissions > Users : Editez l'utilisateur root et décochez la case <code>Enabled</code>

===Via les droits linux===
<pre>passwd --lock root</pre>

Attention, dans ce cas, vous ne pourrez plus vous loguer en root sur le serveur par ssh (sauf si vous avez une clé ssh défini), écran ou kvm !

===Via PAM===
Vous pouvez désactiver le login pam en éditant <code>/etc/pam.d/other</code> et en y ajoutant, en début de fichier, les lignes suivantes :
<pre>
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
account required pam_warn.so
</pre>

Attention, cette méthode peut avoir des effets de bord si d'autres programmes utilisent l'entité pam/other

==Désactiver rpcbind==

Si vous n'utilisez pas de montage NFS vous pouvez désactiver rpcbind. 
Editez <code>/etc/default/nfs-common</code> et passez l'argument suivant :
<pre>NEED_STATD=no</pre>

Puis désactivez rpcbind :
<pre>
systemctl disable rpcbind.target
systemctl disable rpcbind.socket
systemctl disable rpcbind.service
systemctl stop rpcbind.target
systemctl stop rpcbind.socket
systemctl stop rpcbind.service
</pre>

==Eviter les reboots accidentels avec molly-gard==
<pre>apt install molly-guard</pre>

==Protection SSH avec sshguard==

[[Protéger SSH avec sshguard]]

==Protéger l'interface web avec fail2ban==

<pre>apt install fail2ban</pre>

Créez le fichier <code>/etc/fail2ban/jail.local</code> contenant :
<pre>
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 1800
maxretry = 3

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

action = %(action_mwl)s

[ssh]
enabled = false

[sshd]
enabled = false

[proxmox]
enabled = true
port = https,http,8006
filter = proxmox
backend = systemd
maxretry = 4
findtime = 2d
bantime = 1h
</pre>

Créez le fichier <code>/etc/fail2ban/filter.d/proxmox.conf</code> :
<pre>
[Definition]
failregex = pvedaemon\[.*authentication failure; rhost=<HOST> user=.* msg=.*
ignoreregex =
journalmatch = _SYSTEMD_UNIT=pvedaemon.service
</pre>

Relancez fail2ban :
<pre>/etc/init.d/fail2ban restart</pre>

==firewall iptables==

=Création d'un stockage pour les VMs=

Créez les partitions sda4 et sdb4 au moyen de gdisk (EFI) ou parted (BIOS).

Créez sur ces partitions un raid :
<pre>mdadm --create --verbose /dev/md4 --level=1 --raid-devices=2 /dev/sda4 /dev/sdb4</pre>

Maintenez à jour <code>mdadm.conf</code> et votre initramfs afin de conserver le bon naming du raid après reboot :
<pre>
mdadm --examine --scan >> /etc/mdadm/mdadm.conf
update-initramfs -u
</pre>

Puis initialisez-y un LVM :
<pre>
pvcreate /dev/md4
vgcreate main /dev/md4
</pre>

Il ne reste plus qu'a déclarer ce Volume Group LVM dans l'interface proxmox.

=VM qemu/kvm=

==Télécharger vos images==

Vous pouvez placer les iso dans <code>/var/lib/vz/template/iso/</code> avec <code>wget</code> par exemple.
Notez que l'interface graphique de proxmox propose également une fonction d'upload.

==Créer votre première VM==

Une fois la VM crées dans l'interface proxmox, je vous recommande d'écrire des zero sur son disque afin de réduire la taille des futurs backups. Si votre vm porte le numéro 100 et possède un seul disque :
<pre>dd if=/dev/zero | pv -ptrb | dd of=/dev/main/vm-100-disk1 bs=1M</pre>

===Configuration réseau en bridge vmbr0 (ip public)===

===Configuration réseau en bridge vmbr1 (ip locale)===

Configuration réseau de la VM :
<pre>
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
gateway 192.168.0.1
</pre>

Règle iptables à ajouter sur l'hôte :
<pre>iptables -t nat -A POSTROUTING -s 192.168.0.2 -o vmbr0 -j SNAT --to IP-PUBLIC-DE-VOTRE-HOTE</pre>

Si vous souhaitez rendre accessible l'un des services de la VM depuis l'ip de l'hote sur un port sépcifique :
<pre>
iptables -t nat -A PREROUTING -p tcp -d <ip de l'hote> --dport <port souhaité> -i vmbr0 -j DNAT --to-destination 192.168.0.2:port
</pre>

==Bloquer le spoofing d'adresse mac==
Sur l'hyperviseur, installez <code>ebtables</code> :
<pre>apt install ebtables</pre>

Admettons ensuite que votre VM a comme adresse ip <code>84.93.26.3</code> et que son adresse mac doit être <code>52:54:00:00:98:b6</code> :
<pre>ebtables -A FORWARD -p IPv4 --ip-src 84.93.26.3 -s ! 52:54:00:00:98:b6 -j DROP</pre>

Vous pouvez faire de même pour l'ipv6. Dans l'exemple suivant, seul le bloc ipv6 <code>2a01:d4h:123b:100::/56</code> est utilisable par la vm :
<pre>ebtables -A FORWARD -p IPv6 --ip6-src 2a01:d4h:123b:100::/56 -s ! 52:54:00:00:08:b1 -j DROP</pre>

==Importer une VM depuis vmware ESXi==

==qm et modification des VMs en ligne de commande==

==Monter les partitions d'une VM depuis l'host==

<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

pour la partition 1 : start*blocksize = offset
donc 2048*512 = 1048576

<pre>losetup /dev/loop1 -o 1048576 /dev/main/vm-101-disk-1 </pre>

Et enfin :
<pre>mount /dev/loop1 /mnt</pre>

Quand vous avez terminé vos modifications :
<pre>
umount /mnt
losetup -d /dev/loop1
losetup -d /dev/loop0
</pre>

===Si la partition que vous voulez monter est un LVM===

Scannez les nouveaux volumes :
<pre>lvm pvscan</pre>

Activez les groupes :
<pre>lvm vgchange -ay</pre>

listez les lvms avec :
<pre>lvm lvs</pre>

Les LV devraient apparaître dans <code>/dev/mapper/</code>

Quand vous avez terminé :
* démontez les LV
* Désactivez le groupe avec <code>vgchange -an</code>
* désactivez le loopback : <code>losetup -d /dev/loop0</code>

==Augmenter la taille du disque d'une VM==

Coupez la VM.

Sur l'host pour modifier la taille du disque 1 de la vm 110 ) 140G :
<pre>lvextend -L 140G /dev/main/vm-110-disk-1</pre>

Il faut ensuite, sur la vm lancée, utiliser resize2fs

==Migrer une VM vers un autre serveur manuellement (pas de cluster) avec un downtime minimum==

Nous allons voir comment migrer une VM proxmox stockée sur un LVM d'un serveur à un autre, et ce, en minimisant au maximum le downtime. Pour cela, nous allons coupler la fonctionnalité de snapshot de lvm avec un petit script (lvmsync) qui permet de ne transférer que les blocs modifiés d'un snapshot.

Installez dmsetup et ruby (1.8 minimum) sur le serveur d'origine et de destination :
<pre>apt install dmsetup ruby</pre>

Récupérez <code>lvmsync</code> sur https://github.com/mpalmer/lvmsync et placez le dans /sbin/ sur les serveurs d'origine et de destination.

Dans cet exemple, nous allons migrer la vm 102 disposant d'un seul disque virtuel nommé vm-102-disk-1 et stocké dans le vg main du serveur server1.domain.tld vers le serveur server2.domain.tld.
Pour commencer, créez un snapshot de votre vm sur server1 :
<pre>lvcreate --snapshot -L200G -n 102-lvmsync main/vm-102-disk-1</pre>

Désormais, tous les io de cette vm seront stockés dans le snapshot 102-lvmsync.

Sur votre nouveau serveur, créez une VM identique à celle de votre premier serveur (surtout en qui concerne la taille de disque).
Depuis server1, copiez avec un dd over ssh le disque d'origine de votre vm vers votre nouveau serveur.
<pre>dd if=/dev/main/vm-102-disk-1 | pv -ptrb | ssh -o "Compression no" root@server2.domain.tld "dd of=/dev/main/vm-102-disk-1 bs=100M"</pre>

Note : sur un réseauu 100Mbps utilisez plutôt <code>-o "Compressionlevel 1"</code>

Une fois la copie terminée, coupez la vm 102 sur server1, puis lancez lvmsync sur le snapshot (toujours sur server1) :
<pre>lvmsync /dev/main/102-lvmsync server2.domain.tld:/dev/main/vm-102-disk-1</pre>

Une fois le travail de lvmsync achevé, il ne nous reste plus qu'a relancer la vm sur server2

A titre d'information, si vous voulez merger le snapshot de la vm 102 sur server 1, tapez :
<pre>lvconvert --merge /dev/main/102-lvmsync</pre>

=Conteneur LXC=

==Empêcher la mise à jour automatique de certains fichiers de configuration système du conteneur==

Certains fichiers de configuration du conteneur sont mis à jour automatiquement à chaque démarrage (voir https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_guest_operating_system_configuration)

On peut empêcher la mise à jour de ces fichiers en créant un fichier <code>.pve-ignore.NOM</code> 
Par exemple, <code>/etc/.pve-ignore.resolv.conf</code> empêchera le fichier <code>/etc/resolv.conf</code> d'être mis à jour à chaque démarrage.

=Annexes=

==Problème de layout dans la console vnc==
Dans l'interface web de proxmox : datacenter > option > passez Keyboard de <code>default</code> à <code>French</code>.

==Erreurs du type <code>IPv6 addrconf: prefix with wrong length 56</code> ==

Cette erreur est typique sous linux si les routeurs de votre serveur annoncent des blocs IPv6 /56 alors que vous configurez des /64.
Ajouter les lignes suivantes dans un fichier <code>/etc/sysctl.d/local.conf</code> :
<pre>
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.eno3.autoconf = 0
net.ipv6.conf.vmbr0.autoconf = 0
</pre>

Terminez par relancer procps :
<pre>/etc/init.d/procps restart</pre>

==paramètre sysctl ipv6 non appliqué au boot==
Ajoutez le module ipv6 dans /etc/modules afin d'assurer le chargement d'ipv6 avant l’exécution de sysctl :
<pre>echo ipv6 >> /etc/modules</pre>

==LVM inaccessible depuis l'host==

<pre>
lvm pvscan
lvm vgchange -ay
</pre>

==L'interface web ne fonctionne pas et la commande qm retourne une erreur ipcc_send_rec failed: Connection refused==

Vérifiez la présence de fichiers et dossiers dans <code>/etc/pve/</code>. Si ce dossier est vide, c'est probablement que votre fichier <code>/etc/hosts</code> est mal configuré. 
Essayez de relancer <code>pve-cluster</code> :
<pre>/etc/init.d/pve-cluster restart</pre>

Si vous avez une erreur ou un warning, lancez la commande pmxcfs. Vous devriez obtenir ceci :
<pre>
$# pmxcfs
Jan 21 15:28:19 proxmox pmxcfs[1846]: Unable to get local IP address (pmxcfs.c:721:main)
</pre>

Vérifiez alors que le contenu de <code>/etc/hostname</code> est défini dans <code>/etc/hosts</code>.

Si par exemple <code>/etc/hostname</code> contient <code>proxmox.domain.tld</code> vous devriez avoir la ligne suivante dans <code>/etc/hosts</code> :
<pre>VOTREIP proxmox.domain.tld proxmox</pre>

==Pas assez d'interfaces loopback==

Créer le fichier <code>/etc/modprobe.d/local-loop.conf</code> contenant :
<pre>options loop max_loop=64</pre>

Vous pouvez ensuite redémarrer ou recharger le module loop :
<pre> rmmod loop && modprobe loop</pre>

==Défragmentation LVM : exemple==
<pre>
hub:~# pvdisplay --maps
--- Physical volume ---
PV Name /dev/sda4
VG Name main
PV Size 1.76 TB / not usable 456.00 KB
Allocatable yes
PE Size (KByte) 4096
Total PE 461649
Free PE 208721
Allocated PE 252928
PV UUID PUqV5Q-WRW2-n20t-eFVM-CA1r-RhDl-2RTJHq

--- Physical Segments ---
Physical extent 0 to 7935:
Logical volume /dev/main/vm-101-disk-1
Logical extents 0 to 7935
Physical extent 7936 to 72191:
Logical volume /dev/main/vm-101-disk-2
Logical extents 0 to 64255
Physical extent 72192 to 136703:
Logical volume /dev/main/vm-102-disk-1
Logical extents 0 to 64511
Physical extent 136704 to 144895:
Logical volume /dev/main/vm-103-disk-1
Logical extents 0 to 8191
Physical extent 144896 to 209151:
Logical volume /dev/main/vm-103-disk-2
Logical extents 0 to 64255
Physical extent 209152 to 214271:
Logical volume /dev/main/vm-104-disk-1
Logical extents 0 to 5119
Physical extent 214272 to 227327:
Logical volume /dev/main/vm-104-disk-2
Logical extents 0 to 13055
Physical extent 227328 to 282111:
FREE
Physical extent 282112 to 307711:
Logical volume /dev/main/vm-108-disk-1
Logical extents 0 to 25599
Physical extent 307712 to 461648:
FREE
</pre>

Comme vous pouvez le voir, on a un trou "vide" entre l'extent 227328 et 282111, puis à nouveau des données entre l'extent 282112 et 307711.

Pour combler ce trou, nous allons déplacer les données des /dev/main/vm-108-disk-1 situés entre les extents 282112 et 307711 (soit 25599 extents au total) vers l'espace libre avec <code>pvmove</code> : 
pvmove /dev/sda4:282112-307711 /dev/sda4:227328-252927 --alloc anywhere

Notez qu'il faut attribuer exactement le même nombre d'extents à la destination qu'à l'origine : 227328 + 25599 = 252927

==Oups: j'ai supprimé le mauvais lvm==

Pas de panique, mais ne bougez plus ! Pour l'instant, seul les métadonnées du lvm sont impactés.
Et comme c'est bien foutu, lvm conserve un backup des anciennes metadonnées après chaque modification. Ces archives sont situés dans <code>/etc/lvm/archive/</code>. Les fichiers y sont nommés sous la forme vg_XXXX-YYYYYYY.vg. Normalement, le fichier ayant le XXXX le plus élevé sera celui de l'état précédent votre erreur.
Pour vérifier que vous avez sélectionné le bon fichier, vous pouvez l'ouvrir avec nano et regarder si l'état du lvm dans cette archive correspond a ce que vous attendez.

Pour restaurer l'archive des métadonnées main_00007-587941649.vg pour le vg main :
<pre>
vgcfgrestore -f /etc/lvm/archive/main_00007-587941649.vg main
lvm vgchange -ay
</pre>

Votre volume devrait être de retour.

Il faut encore vérifier que la table de partition contenu sur ce lvm n'a pas morphlé. En admettant que /dev/main/vm-101-disk-1 est la lvm que vous venez de restaurer :
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

Si vous voyez ça, c'est bon, vous êtes sauvés ! Si ce n'est pas le cas, continuez à lire ;)

===Récupération de la table de partition===

Si fdisk vous envois chier avec un message du style <code>Disk /dev/loop0 doesn't contain a valid partition table</code>, il va falloir récupérer la table de partition.

Installez testdisk :
<pre>apt install testdisk</pre>

Lancez le:
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# testdisk /dev/loop0
</pre>

Selectionez le media <code>/dev/loop0</code> et validez avec <code>enter</code>.
Au menu suivant, sélectionnez <code>intel</code> comme type de table de partition.
Au menu suivant, sélectionnez <code>analyse</code>
A l'écran suivant, tapez enter.
Avec de la chance, testdisk retrouvera vos partitions. Une fois qu'il aura terminé de travailler, il ne restera plus qu'à taper sur enter encore une fois, puis demander à testdisk de sauvegarder la table de partition

==L'interface proxmox n'affiche pas les disques de certaines VMs==

Ceci arrive typiquement si vous avez créé un volume logique à la main sans y ajouter le bon tag.
Vérifiez la présence des tags sur vos LV avec la commande <code>lvs --options 'vg_name,lv_name,lv_size,tags'</code> :
<pre>
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 20.00g
</pre>

Comme vous le voyez, le lv de la vm 101 n'est pas tagué. Vous pouvez ajouter le tag avec <code>lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1</code> :
<pre>
~# lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 16.00g pve-vm-101
</pre>

Si cela ne fonctionne pas, essayez de passer un petit coup de <code>qm rescan</code>

Proxmox 8

2025-10-03T11:19:51Z

Pfoo : /* Migrer une VM vers un autre serveur manuellement (pas de cluster) avec un downtime minimum */

[[Category:serveur]]
[[Category:debian]]
[[Category:virtualisation]]

Nous allons voir comment installer proxmox 7.x sur un raid 1 logiciel (md / mdadm) avec debootstrap.

=Prérequis=

Ce tutoriel se base sur l'utilisation de debootstrap pour installer une base de système d'exploitation debian. La plupart des hébergeurs proposent un système de "rescue" permettant l'installation de debian par ce moyen.
Si vous ne disposez pas de mode rescue, vous pouvez toujours utiliser l'installeur proposé par votre hébergeur, ou encore passer par un kvm pour installer vous même le système avec l'iso de debian.

=Pour les débutants=

Si vous êtes débutant en administration linux, je vous conseil de sauvegarder quelque part les fichier suivant issu d'une précédente installation de debian ou de proxmox
* <code>/etc/networks</code>
* <code>/etc/network/interfaces</code>
* <code>/etc/resolv.conf</code>
* <code>/etc/hosts</code>
* <code>/etc/fstab</code>
* <code>/etc/mdadm/mdadm.conf</code> si vous disposez d'un raid logiciel
* tout fichier de personnalisation de grub (<code>/etc/grub.d/</code> par exemple)

Cela vous permettra de vous faire une idée plus précise de ce qui doit figurer dans ces différents fichiers.

=Partitionnement et système de fichier=

Voici le partitionnement que je vais utiliser :
* Partition root (/) de 20 Go (/) en raid 1 sur les disques sda et sdb
* Partitions swap de 4096 Go chacune réparties sur sda et sdb
* Le reste de l'espace sera utilisé plus tard pour un LVM dédié aux VMs

==Partitionnement==

===Possibilité 1 : Partitionnement GPT pour EFI / UEFI===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions EFI (ESP), obligatoire pour le démarrage EFI/UEFI. Il faudra leur attribuer le type <code>EF00</code>. Pour assurer une bonne compatibilité avec les multiples firmwares EFI, il est recommandé de leur attribuer une taille de 512 MiB (+512M au prompt gdisk).
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

 

Pour les partitions EFI, nous créons un système de fichier FAT32 avec le label (nom) <code>EFI_SYSPART</code> :
<pre>
mkfs.fat -F 32 -n EFI_SYSPART /dev/sda1
mkfs.fat -F 32 -n EFI_SYSPART /dev/sdb1
</pre>

===Possibilité 2 : Partitionnement GPT pour BIOS===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions pour le bootloader. Il faudra leur attribuer le type <code>EF02</code>. On peut la créer idéalement du secteur 34 au secteur 2047 du disque.
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

Notez que la partition du bootloader ne doit pas être formatée.

===Possibilité 3 : partitionnement MBR pour BIOS (non prise en charge dans ce wiki)===

A titre informatif : création avec <code>parted</code>, sans nécessité de créer une partition dédiée au bootloader/grub.

==Création du RAID==

Pour des raisons esthétiques, définissez l'hostname de votre système de rescue :
<pre>hostname proxmox</pre>

Pour créer votre raid 1 avec 2 disques :
<pre>
mdadm --create --verbose /dev/md2 --level=1 --raid-devices=2 /dev/sda2 /dev/sdb2
</pre>

Notez que si vous souhaitez utiliser plus que 2 disques, il faut augmenter la valeur de <code>--raid-devices</code> et ajouter les partitions des disques à la suite.

Attendez que le raid soit synchronisé avant de continuer. Vous pouvez surveiller facilement cela avec la commande <code>watch cat /proc/mdstat</code>.

==Création des systèmes de fichiers==

Créez un système de fichier ext4 pour le raid du root :
<pre>
mkfs.ext4 /dev/md2
</pre>

Enfin, initialisez les swaps :
<pre>
mkswap /dev/sda3
mkswap /dev/sdb3
</pre>

=Installation de proxmox=

==Installation du système de base==

Nous débutons par installer le système de base de Debian avec <code>debootstrap</code>

Installez les paquets nécessaires dans votre rescue :
<pre>apt install debootstrap debian-keyring debian-archive-keyring</pre>

Montez votre partition raid root sur <code>/mnt</code> :
<pre>
mount /dev/md2 /mnt
</pre>

Installez le système de base debian, version bookworm :
<pre>debootstrap --arch=amd64 bookworm /mnt http://ftp.fr.debian.org/debian</pre>

==Configuration de Debian==

Montez les vfs suivants, puis chrootez dans votre nouveau système debian :
<pre>
mount -o bind /proc /mnt/proc
mount -o bind /dev /mnt/dev
mount -o bind /dev/pts /mnt/dev/pts
mount -o bind /sys /mnt/sys
chroot /mnt
</pre>

Configurez les archives apt : éditez le fichier <code>/etc/apt/sources.list</code> :
<pre>
# main archive
deb http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware

# security updates
deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware

# bookworm-updates, previously known as 'volatile'
deb http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware

# backports archive
deb http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
</pre>

Mettez à jour les paquets :
<pre>
apt update
apt full-upgrade
</pre>

Installez les locales et la configuration de console :
<pre>
apt install locales
dpkg-reconfigure locales
apt install console-data console-setup-linux console-setup wget
dpkg-reconfigure console-data # from arch > french > latin9)
</pre>

Définissez la zone horaire :
<pre>
tzselect
dpkg-reconfigure tzdata
</pre>

Configurez votre fichier <code>/etc/fstab</code>. 
Pour GPT pour EFI / UEFI :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda1 /boot/efi vfat defaults 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Pour GPT pour BIOS :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Montez la partition EFI / ESP dans le cas d'un partitionnement GPT pour EFI / UEFI :
<pre>
mkdir /boot/efi
mount /boot/efi
</pre>

Configurez les interfaces réseaux dans <code>/etc/network/interfaces</code> :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

auto eno3
iface eno3 inet static
address XXXX/24
gateway XXXX
</pre>

Configurez le fichier <code>/etc/hosts</code> :
<pre>
# local
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

# main
ipdelamachine proxmox.domain.tld proxmox pvelocalhost
</pre>

Définissez les hostnames dans ces fichiers :
<pre>
# Pour celui la : non-fqdn
echo proxmox > /etc/hostname
# Pour celui la : fqdn
echo proxmox.domain.tld > /etc/mailname
</pre>

'''ATTENTION''' Le fichier <code>/etc/hosts</code> DOIT être cohérent avec le fichier <code>/etc/hostname</code>. 
Par exemple, si le contenu de <code>/etc/hostname</code> est <code>proxmox</code> et que l'ip de votre proxmox est 225.182.54.9 il faudra veiller a avoir les informations suivantes dans <code>/etc/hosts</code> :
<pre>
127.0.0.1 localhost
225.182.54.9 proxmox.domain.tld proxmox pvelocalhost
</pre>

'''Attention : n'utilisez pas 127.0.1.1 (comme le fait debian) mais bien la vrai ip (ici 225.182.54.9)'''

N'oubliez pas de configurer les dns (ceux de votre hébergeur dédié) dans <code>/etc/resolv.conf</code> :
<pre>nameserver XX.XX.XX.XX</pre>

Installez postfix :
<pre>
hostname -F /etc/hostname
apt install postfix
</pre>

Enfin, comme nous installons notre partition de boot sur un raid software, il faut installer <code>madadm</code> à ce stade :
<pre>apt install mdadm</pre>

Vérifiez si votre array root s'est bien défini automatiquement dans <code>/etc/mdadm/mdadm.conf</code>. Si ce n'est pas me cas, ajoutez la configuration de l'array manuellement :
<pre>mdadm --examine --scan >> /etc/mdadm/mdadm.conf</pre>

==Installation de proxmox - kernel==

Ajoutez le dépot proxmox dans le fichier /etc/apt/source.list :
<pre>
# PVE pve-no-subscription repository provided by proxmox.com, NOT recommended for production use
deb http://download.proxmox.com/debian/pve bookworm pve-no-subscription
</pre>

Ajoutez la clé du dépôt proxmox :
<pre>
wget https://enterprise.proxmox.com/debian/proxmox-release-bookworm.gpg -O /etc/apt/trusted.gpg.d/proxmox-release-bookworm.gpg
</pre>

Mettez à jour le système :
<pre>
apt update
apt full-upgrade
</pre>

===Possibilité 1 : Partitions GPT pour EFI / UEFI===

Vérifiez que <code>/boot/efi</code> est bien monté. Si ce n'est pas le cas, faites le.

Installez le kernel proxmox :
<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-efi-amd64 gdisk
</pre>

Supprimez les paquets suivant si vous n'avez pas besoin de secureboot :
<pre>apt purge grub-efi-amd64-signed mokutil shim-helpers-amd64-signed shim-signed shim-signed-common shim-unsigned</pre>

Normalement tout doit se faire avec des promps. Si ce n'était pas le cas :
<pre>grub-install --bootloader-id=proxmox</pre>

Si jamais vous utilisez un démarrage en PXE (c'est le cas sur un serveur OVH par exemple), utilisez l'argument <code>--no-nvram</code> pour empêcher grub de mettre à jour la NVRAM et casser votre mécanique de démarrage PXE :
<pre>grub-install --bootloader-id=proxmox --no-nvram</pre>

Etant donné que seul <code>/dev/sda1</code> est monté sur <code>/boot/efi</code>, il faut transférer manuellement les données sur <code>/dev/sdb1</code> :
<pre>
mount /dev/sdb1 /mnt
rsync -av /boot/efi/ /mnt/
umount /mnt
</pre>

Si pour une raison quelconque, vous aviez besoin des headers du kernel :
<pre>apt install pve-headers-5.15</pre>

===Possibilité 2 : Partitions GPT pour BIOS OU Partitions MBR pour BIOS===

<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-pc gdisk
</pre>

Lorsqu'on vous demandera où installer grub, choisissez <code>sda</code> ET <code>sdb</code>. Sinon :
<pre>
grub-install /dev/sda
grub-install /dev/sdb
</pre>

==Installation de proxmox - OpenSSH==

Installez openssh et définissez un password root. Autorisez le login root par password temporairement.
<pre>
hostname -F /etc/hostname
apt install openssh-server
passwd
sed -i "s/#PermitRootLogin prohibit-password/PermitRootLogin yes/g" /etc/ssh/sshd_config
</pre>

==Installation de proxmox - Vérifications finales et redémarrage sur le kernel proxmox==

Si vous avez une configuration particulière à entrer dans <code>/etc/default/grub</code>, faites le maintenant. Par exemple :
<pre>
GRUB_CMDLINE_LINUX="nomodeset iommu=pt"
</pre>

Puis régénérez la configuration de grub :
<pre>update-grub</pre>

Vous pouvez vérifier que votre fstab est valide avec :
<pre>findmnt --verify --verbose</pre>

Vous pouvez maintenant sortir de votre chroot et démonter le système de fichier

<pre>
umount /boot/efi/
exit
umount /mnt/sys
umount /mnt/dev/pts
umount /mnt/dev
umount /mnt/proc
umount /mnt
</pre>

Enfin, redémarrez le serveur sur le disque dur.

==Installation de ifupdown2==

Le paquet <code>ifupdown2</code> est en voie de devenir le remplaçant officiel de <code>ifupdown</code> pour proxmox.

<pre>
apt install ifupdown2
apt purge ifupdown
systemctl enable networking
</pre>

Pour vérifier que votre configuration est fonctionnelle : lancez <code>ifquery -a</code>

Redémarrez à nouveau votre serveur

==Installation de proxmox - pve==

Une fois le redémarrage effectué, vous allez enfin pouvoir installer pve :
<pre>apt install proxmox-ve ksm-control-daemon chrony</pre>
<pre>apt remove os-prober</pre>

Editez la configuration réseau <code>/etc/network/interfaces</code> afin d'y créer votre bridge :
<pre>
auto eno3
iface eno3 inet manual

auto vmbr0
iface vmbr0 inet static
address xxxxx/24
gateway xxxx
hwaddress AA:BB:CC:11:22:33
bridge_ports eno3
bridge_stp off
bridge_fd 0
</pre>

Définissez la ligne <code>hwaddress</code> avec l'adresse MAC de l'interface eno3.

Installez votre clé SSH dans <code>/root/.ssh/authorized_keys</code> puis désactivez le login root par password de OpenSSH dans <code>/etc/ssh/sshd_config</code>.
 

Une fois tout installé, je vous conseille de reconfigurer grub afin de mettre à jour la configuration interne de debian:
* Pour EFI : <code>dpkg-reconfigure grub-efi-amd64</code>
* Pour BIOS : <code>dpkg-reconfigure grub-pc</code>

 
Redémarrez une dernière fois pour appliquer les changements.

Votre proxmox sera accessible à l'adresse https://ip:8006

==Nettoyage des paquets==

Si vous ne comptez pas utiliser ZFS, vous pouvez supprimer les paquets suivantes :
<pre>apt purge zfs-zed libnvpair3linux libuutil3linux libzfs4linux libzpool5linux zfsutils-linux</pre>

==Configuration réseau avancée==

===Ajout d'une IPv6 sur vmbr0===

===Ajout d'un réseau interne vmbr1===

Nous allons voir comment créer un réseau interne avec proxmox, c'est à dire, un réseau qui ne sera attaché à aucune interface réseau physique. L'intérêt est d'offrir un débit bien supérieur pour les communications entre les VMs.

Ajoutez les lignes suivantes dans <code>/etc/network/interfaces</code> :

<pre>
auto vmbr1
iface vmbr1 inet static
address 192.168.0.1
netmask 255.255.255.0
</pre>

Note : vous pouvez faire de même en ipv6 :
* il faut utiliser le range Unique Local Address (ULA) fd00::/8 (http://en.wikipedia.org/wiki/Unique_Local_Address)
* pour générer votre ULA : http://pfoo.unscdf.org/ula/gen-ula.html

==Sécurisation de base==

Je vous conseil de commencer à sécuriser votre ssh :
* désactivez le login root (directive <code>PermitRootLogin no</code> dans <code>/etc/ssh/sshd_config</code>). Pensez néanmoins à créer un utilisateur pour vous connecter en ssh avant de désactiver le login root.
* utilisez la directive <code>allowusers <user></code> dans <code>/etc/ssh/sshd_config</code> pour n'autoriser que certains utilisateurs à se connecter en ssh.

Il est aussi préférable d'installer le serveur de temps NTP à la place de systemd-timesyncd:
<pre>
apt install chrony
apt purge systemd-timesyncd
</pre>

=Configurer le serveur mail postfix=

==Configuration==

==Certificats SSL==
Si vous avez votre propre autorité ssl, vous pouvez générer votre propre certificat. Si ce n'est pas le cas, vous pouvez toujours aller lire [http://wiki.unscdf.org/index.php?title=Installation_et_configuration_de_OpenSSL ceci] afin d'apprendre à créer votre autorité ssl.

Ajoutez les lignes suivantes dans <code>/etc/ssl/openssl.cnf</code> :
<pre>
[POSTFIX]
nsComment = "SMTP Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
issuerAltName = issuer:copy
basicConstraints = critical,CA:FALSE
keyUsage = critical, digitalSignature, nonRepudiation, keyEncipherment
nsCertType = server
extendedKeyUsage = serverAuth
</pre>

Puis générez la clé et le certificat, et signez le avec votre autorité (int_ca dans mon cas) :
<pre>
openssl req -config /etc/ssl/openssl.cnf -nodes -newkey rsa:2048 -keyout postfix.key -out postfix.req
openssl ca -config /etc/ssl/openssl.cnf -name int_ca -extensions POSTFIX -in postfix.req -out postfix.pem
</pre>

Déplacez les fichiers dans le répertoire <code>/etc/postfix/ssl</code> :
<pre>
mkdir /etc/postfix/ssl
mv postfix.key /etc/postfix/ssl/
mv postfix.pem /etc/postfix/ssl/
chmod 600 /etc/postfix/ssl/*
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/int_ca/int_ca.pem > /etc/postfix/ssl/ca_chain.pem
</pre>

Il faut encore modifier <code>/etc/postfix/main.cf</code> :
<pre>
smtpd_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtpd_tls_key_file=/etc/postfix/ssl/postfix.key
smtpd_tls_CAfile=/etc/postfix/ssl/ca_chain.pem
smtpd_use_tls=yes
smtp_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtp_tls_key_file=/etc/postfix/ssl/postfix.key
smtp_tls_CAfile=/etc/postfix/ssl/ca_chain.pem

smtpd_tls_security_level=may
smtp_tls_security_level=may
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1

#smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
</pre>

=Utiliser son propre certificat SSL proxmox avec un signataire intermédiaire=

Depuis Proxmox 5.2, il n'est plus recommandé d'adapter manuellement les fichiers contenant les certificats et clés privés de proxmox. 
Cependant, vous pouvez placer directement votre clé privé dans le fichier <code>/etc/pve/local/pveproxy-ssl.key</code> et la chaîne de certification dans le fichier <code>/etc/pve/local/pveproxy-ssl.pem</code>. Vous pouvez également déposer ces fichiers via la webui de proxmox au niveau de chaque serveur.

=Surveiller l'état des disques avec SMART=

Commencez par installer le paquet smartmontools :
<pre>apt install smartmontools</pre>

Vérifiez que vos disques gèrent smart et qu'il est activé :
<pre>
smartctl -i /dev/sda
smartctl -i /dev/sdb
</pre>

Si smart n'est pas activé, essayez de l'activer comme ceci :
<pre>
smartctl -s on /dev/sda
smartctl -s on /dev/sdb
</pre>

Vérifiez le statut de santé de vos disques :
<pre>
smartctl -H /dev/sda
smartctl -H /dev/sdb
</pre>
S'il indique <code>PASSED</code> c'est bon de ce côté. S'il vous indique <code>FAILED</code>, sauvegardez immédiatement vos données !

Vérifiez la présence d'erreurs dans le log smart :
<pre>
smartctl -l error /dev/sda
smartctl -l error /dev/sdb
</pre>

Si vous voyez <code>No Errors Logged</code> ou quelques erreurs, c'est bon. S'il y eu a beaucoup, il faut envisager de changer le disque.

Le fichier de configuration de smartd est <code>/etc/smartd.conf</code>. Commentez la ligne <code>DEVICESCAN</code> puis ajoutez les lignes suivantes pour surveiller les deux disques durs :
<pre>
/dev/sda -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
/dev/sdb -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
</pre>

Nous activons la surveillance globale (<code>-a</code>), la vérification automatique offline, (<code>-o on</code>), la sauvegarde automatique des attributs (<code>-S on</code> et lançons un <code>short self test</code> tous les jours à 2h du matin, et un <code>long self test</code> tous les samedi à 3h du matin. Si des erreurs sont détectés, un email est envoyé à vous@domain.tld. 

Relancez smartd :
<pre>/etc/init.d/smartmontools restart</pre>

Pour plus d'information sur SMART et ses arguments : [[Diagnostic smart d'un disque]]

=Protégez votre proxmox=

==Désactiver le login root sur l'interface proxmox==
Avant toute manipulation, n'oubliez pas de créer un utilisateur ayant les droits d'administration pour accéder à l'interface de proxmox

===Via l'interface proxmox===
Dans Datacenter > Permissions > Users : Editez l'utilisateur root et décochez la case <code>Enabled</code>

===Via les droits linux===
<pre>passwd --lock root</pre>

Attention, dans ce cas, vous ne pourrez plus vous loguer en root sur le serveur par ssh (sauf si vous avez une clé ssh défini), écran ou kvm !

===Via PAM===
Vous pouvez désactiver le login pam en éditant <code>/etc/pam.d/other</code> et en y ajoutant, en début de fichier, les lignes suivantes :
<pre>
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
account required pam_warn.so
</pre>

Attention, cette méthode peut avoir des effets de bord si d'autres programmes utilisent l'entité pam/other

==Désactiver rpcbind==

Si vous n'utilisez pas de montage NFS vous pouvez désactiver rpcbind. 
Editez <code>/etc/default/nfs-common</code> et passez l'argument suivant :
<pre>NEED_STATD=no</pre>

Puis désactivez rpcbind :
<pre>
systemctl disable rpcbind.target
systemctl disable rpcbind.socket
systemctl disable rpcbind.service
systemctl stop rpcbind.target
systemctl stop rpcbind.socket
systemctl stop rpcbind.service
</pre>

==Eviter les reboots accidentels avec molly-gard==
<pre>apt install molly-guard</pre>

==Protection SSH avec sshguard==

[[Protéger SSH avec sshguard]]

==Protéger l'interface web avec fail2ban==

<pre>apt install fail2ban</pre>

Créez le fichier <code>/etc/fail2ban/jail.local</code> contenant :
<pre>
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 1800
maxretry = 3

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

action = %(action_mwl)s

[ssh]
enabled = false

[sshd]
enabled = false

[proxmox]
enabled = true
port = https,http,8006
filter = proxmox
backend = systemd
maxretry = 4
findtime = 2d
bantime = 1h
</pre>

Créez le fichier <code>/etc/fail2ban/filter.d/proxmox.conf</code> :
<pre>
[Definition]
failregex = pvedaemon\[.*authentication failure; rhost=<HOST> user=.* msg=.*
ignoreregex =
journalmatch = _SYSTEMD_UNIT=pvedaemon.service
</pre>

Relancez fail2ban :
<pre>/etc/init.d/fail2ban restart</pre>

==firewall iptables==

=Création d'un stockage pour les VMs=

Créez les partitions sda4 et sdb4 au moyen de gdisk (EFI) ou parted (BIOS).

Créez sur ces partitions un raid :
<pre>mdadm --create --verbose /dev/md4 --level=1 --raid-devices=2 /dev/sda4 /dev/sdb4</pre>

Maintenez à jour <code>mdadm.conf</code> et votre initramfs afin de conserver le bon naming du raid après reboot :
<pre>
mdadm --examine --scan >> /etc/mdadm/mdadm.conf
update-initramfs -u
</pre>

Puis initialisez-y un LVM :
<pre>
pvcreate /dev/md4
vgcreate main /dev/md4
</pre>

Il ne reste plus qu'a déclarer ce Volume Group LVM dans l'interface proxmox.

=VM qemu/kvm=

==Télécharger vos images==

Vous pouvez placer les iso dans <code>/var/lib/vz/template/iso/</code> avec <code>wget</code> par exemple.
Notez que l'interface graphique de proxmox propose également une fonction d'upload.

==Créer votre première VM==

Une fois la VM crées dans l'interface proxmox, je vous recommande d'écrire des zero sur son disque afin de réduire la taille des futurs backups. Si votre vm porte le numéro 100 et possède un seul disque :
<pre>dd if=/dev/zero | pv -ptrb | dd of=/dev/main/vm-100-disk1 bs=1M</pre>

===Configuration réseau en bridge vmbr0 (ip public)===

===Configuration réseau en bridge vmbr1 (ip locale)===

Configuration réseau de la VM :
<pre>
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
gateway 192.168.0.1
</pre>

Règle iptables à ajouter sur l'hôte :
<pre>iptables -t nat -A POSTROUTING -s 192.168.0.2 -o vmbr0 -j SNAT --to IP-PUBLIC-DE-VOTRE-HOTE</pre>

Si vous souhaitez rendre accessible l'un des services de la VM depuis l'ip de l'hote sur un port sépcifique :
<pre>
iptables -t nat -A PREROUTING -p tcp -d <ip de l'hote> --dport <port souhaité> -i vmbr0 -j DNAT --to-destination 192.168.0.2:port
</pre>

==Bloquer le spoofing d'adresse mac==
Sur l'hyperviseur, installez <code>ebtables</code> :
<pre>apt install ebtables</pre>

Admettons ensuite que votre VM a comme adresse ip <code>84.93.26.3</code> et que son adresse mac doit être <code>52:54:00:00:98:b6</code> :
<pre>ebtables -A FORWARD -p IPv4 --ip-src 84.93.26.3 -s ! 52:54:00:00:98:b6 -j DROP</pre>

Vous pouvez faire de même pour l'ipv6. Dans l'exemple suivant, seul le bloc ipv6 <code>2a01:d4h:123b:100::/56</code> est utilisable par la vm :
<pre>ebtables -A FORWARD -p IPv6 --ip6-src 2a01:d4h:123b:100::/56 -s ! 52:54:00:00:08:b1 -j DROP</pre>

==Importer une VM depuis vmware ESXi==

==qm et modification des VMs en ligne de commande==

==Monter les partitions d'une VM depuis l'host==

<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

pour la partition 1 : start*blocksize = offset
donc 2048*512 = 1048576

<pre>losetup /dev/loop1 -o 1048576 /dev/main/vm-101-disk-1 </pre>

Et enfin :
<pre>mount /dev/loop1 /mnt</pre>

Quand vous avez terminé vos modifications :
<pre>
umount /mnt
losetup -d /dev/loop1
losetup -d /dev/loop0
</pre>

===Si la partition que vous voulez monter est un LVM===

Scannez les nouveaux volumes :
<pre>lvm pvscan</pre>

Activez les groupes :
<pre>lvm vgchange -ay</pre>

listez les lvms avec :
<pre>lvm lvs</pre>

Les LV devraient apparaître dans <code>/dev/mapper/</code>

Quand vous avez terminé :
* démontez les LV
* Désactivez le groupe avec <code>vgchange -an</code>
* désactivez le loopback : <code>losetup -d /dev/loop0</code>

==Augmenter la taille du disque d'une VM==

Coupez la VM.

Sur l'host pour modifier la taille du disque 1 de la vm 110 ) 140G :
<pre>lvextend -L 140G /dev/main/vm-110-disk-1</pre>

Il faut ensuite, sur la vm lancée, utiliser resize2fs

==Migrer une VM vers un autre serveur manuellement (pas de cluster) avec un downtime minimum==

Nous allons voir comment migrer une VM proxmox stockée sur un LVM d'un serveur à un autre, et ce, en minimisant au maximum le downtime. Pour cela, nous allons coupler la fonctionnalité de snapshot de lvm avec un petit script (lvmsync) qui permet de ne transférer que les blocs modifiés d'un snapshot.

Installez dmsetup et ruby (1.8 minimum) sur le serveur d'origine et de destination :
<pre>apt install dmsetup ruby</pre>

Récupérez <code>lvmsync</code> sur https://github.com/mpalmer/lvmsync et placez le dans /sbin/ sur les serveurs d'origine et de destination.

Dans cet exemple, nous allons migrer la vm 102 disposant d'un seul disque virtuel nommé vm-102-disk-1 et stocké dans le vg main du serveur server1.domain.tld vers le serveur server2.domain.tld.
Pour commencer, créez un snapshot de votre vm sur server1 :
<pre>lvcreate --snapshot -L200G -n 102-lvmsync main/vm-102-disk-1</pre>

Désormais, tous les io de cette vm seront stockés dans le snapshot 102-lvmsync.

Sur votre nouveau serveur, créez une VM identique à celle de votre premier serveur (surtout en qui concerne la taille de disque).
Depuis server1, copiez avec un dd over ssh le disque d'origine de votre vm vers votre nouveau serveur.
<pre>dd if=/dev/main/vm-102-disk-1 | pv -ptrb | ssh -o "Compression no" root@server2.domain.tld "dd of=/dev/main/vm-102-disk-1 bs=100M"</pre>

Note : sur un réseauu 100Mbps utilisez plutôt <code>-o "Compressionlevel 1"</code>

Une fois la copie terminée, coupez la vm 102 sur server1, puis lancez lvmsync sur le snapshot (toujours sur server1) :
<pre>lvmsync /dev/main/102-lvmsync server2.domain.tld:/dev/main/vm-102-disk-1</pre>

Une fois le travail de lvmsync achevé, il ne nous reste plus qu'a relancer la vm sur server2

A titre d'information, si vous voulez merger le snapshot de la vm 102 sur server 1, tapez :
<pre>lvconvert --merge /dev/main/102-lvmsync</pre>

=Conteneur LXC=

==Empêcher la mise à jour automatique de certains fichiers de configuration système du conteneur==

Certains fichiers de configuration du conteneur sont mis à jour automatiquement à chaque démarrage (voir https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_guest_operating_system_configuration)

On peut empêcher la mise à jour de ces fichiers en créant un fichier <code>.pve-ignore.NOM</code> 
Par exemple, <code>/etc/.pve-ignore.resolv.conf</code> empêchera le fichier <code>/etc/resolv.conf</code> d'être mis à jour à chaque démarrage.

=Annexes=

==Problème de layout dans la console vnc==
Dans l'interface web de proxmox : datacenter > option > passez Keyboard de <code>default</code> à <code>French</code>.

==Erreurs du type <code>IPv6 addrconf: prefix with wrong length 56</code> ==

Cette erreur est typique sous linux si les routeurs de votre serveur annoncent des blocs IPv6 /56 alors que vous configurez des /64.
Ajouter les lignes suivantes dans un fichier <code>/etc/sysctl.d/local.conf</code> :
<pre>
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.eno3.autoconf = 0
net.ipv6.conf.vmbr0.autoconf = 0
</pre>

Terminez par relancer procps :
<pre>/etc/init.d/procps restart</pre>

==paramètre sysctl ipv6 non appliqué au boot==
Ajoutez le module ipv6 dans /etc/modules afin d'assurer le chargement d'ipv6 avant l’exécution de sysctl :
<pre>echo ipv6 >> /etc/modules</pre>

==LVM inaccessible depuis l'host==

<pre>
lvm pvscan
lvm vgchange -ay
</pre>

==L'interface web ne fonctionne pas et la commande qm retourne une erreur ipcc_send_rec failed: Connection refused==

Vérifiez la présence de fichiers et dossiers dans <code>/etc/pve/</code>. Si ce dossier est vide, c'est probablement que votre fichier <code>/etc/hosts</code> est mal configuré. 
Essayez de relancer <code>pve-cluster</code> :
<pre>/etc/init.d/pve-cluster restart</pre>

Si vous avez une erreur ou un warning, lancez la commande pmxcfs. Vous devriez obtenir ceci :
<pre>
$# pmxcfs
Jan 21 15:28:19 proxmox pmxcfs[1846]: Unable to get local IP address (pmxcfs.c:721:main)
</pre>

Vérifiez alors que le contenu de <code>/etc/hostname</code> est défini dans <code>/etc/hosts</code>.

Si par exemple <code>/etc/hostname</code> contient <code>proxmox.domain.tld</code> vous devriez avoir la ligne suivante dans <code>/etc/hosts</code> :
<pre>VOTREIP proxmox.domain.tld proxmox</pre>

==Pas assez d'interfaces loopback==

Créer le fichier <code>/etc/modprobe.d/local-loop.conf</code> contenant :
<pre>options loop max_loop=64</pre>

Vous pouvez ensuite redémarrer ou recharger le module loop :
<pre> rmmod loop && modprobe loop</pre>

==Défragmentation LVM : exemple==
<pre>
hub:~# pvdisplay --maps
--- Physical volume ---
PV Name /dev/sda4
VG Name main
PV Size 1.76 TB / not usable 456.00 KB
Allocatable yes
PE Size (KByte) 4096
Total PE 461649
Free PE 208721
Allocated PE 252928
PV UUID PUqV5Q-WRW2-n20t-eFVM-CA1r-RhDl-2RTJHq

--- Physical Segments ---
Physical extent 0 to 7935:
Logical volume /dev/main/vm-101-disk-1
Logical extents 0 to 7935
Physical extent 7936 to 72191:
Logical volume /dev/main/vm-101-disk-2
Logical extents 0 to 64255
Physical extent 72192 to 136703:
Logical volume /dev/main/vm-102-disk-1
Logical extents 0 to 64511
Physical extent 136704 to 144895:
Logical volume /dev/main/vm-103-disk-1
Logical extents 0 to 8191
Physical extent 144896 to 209151:
Logical volume /dev/main/vm-103-disk-2
Logical extents 0 to 64255
Physical extent 209152 to 214271:
Logical volume /dev/main/vm-104-disk-1
Logical extents 0 to 5119
Physical extent 214272 to 227327:
Logical volume /dev/main/vm-104-disk-2
Logical extents 0 to 13055
Physical extent 227328 to 282111:
FREE
Physical extent 282112 to 307711:
Logical volume /dev/main/vm-108-disk-1
Logical extents 0 to 25599
Physical extent 307712 to 461648:
FREE
</pre>

Comme vous pouvez le voir, on a un trou "vide" entre l'extent 227328 et 282111, puis à nouveau des données entre l'extent 282112 et 307711.

Pour combler ce trou, nous allons déplacer les données des /dev/main/vm-108-disk-1 situés entre les extents 282112 et 307711 (soit 25599 extents au total) vers l'espace libre avec <code>pvmove</code> : 
pvmove /dev/sda4:282112-307711 /dev/sda4:227328-252927 --alloc anywhere

Notez qu'il faut attribuer exactement le même nombre d'extents à la destination qu'à l'origine : 227328 + 25599 = 252927

==Oups: j'ai supprimé le mauvais lvm==

Pas de panique, mais ne bougez plus ! Pour l'instant, seul les métadonnées du lvm sont impactés.
Et comme c'est bien foutu, lvm conserve un backup des anciennes metadonnées après chaque modification. Ces archives sont situés dans <code>/etc/lvm/archive/</code>. Les fichiers y sont nommés sous la forme vg_XXXX-YYYYYYY.vg. Normalement, le fichier ayant le XXXX le plus élevé sera celui de l'état précédent votre erreur.
Pour vérifier que vous avez sélectionné le bon fichier, vous pouvez l'ouvrir avec nano et regarder si l'état du lvm dans cette archive correspond a ce que vous attendez.

Pour restaurer l'archive des métadonnées main_00007-587941649.vg pour le vg main :
<pre>
vgcfgrestore -f /etc/lvm/archive/main_00007-587941649.vg main
lvm vgchange -ay
</pre>

Votre volume devrait être de retour.

Il faut encore vérifier que la table de partition contenu sur ce lvm n'a pas morphlé. En admettant que /dev/main/vm-101-disk-1 est la lvm que vous venez de restaurer :
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

Si vous voyez ça, c'est bon, vous êtes sauvés ! Si ce n'est pas le cas, continuez à lire ;)

===Récupération de la table de partition===

Si fdisk vous envois chier avec un message du style <code>Disk /dev/loop0 doesn't contain a valid partition table</code>, il va falloir récupérer la table de partition.

Installez testdisk :
<pre>aptitude install testdisk</pre>

Lancez le:
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# testdisk /dev/loop0
</pre>

Selectionez le media <code>/dev/loop0</code> et validez avec <code>enter</code>.
Au menu suivant, sélectionnez <code>intel</code> comme type de table de partition.
Au menu suivant, sélectionnez <code>analyse</code>
A l'écran suivant, tapez enter.
Avec de la chance, testdisk retrouvera vos partitions. Une fois qu'il aura terminé de travailler, il ne restera plus qu'à taper sur enter encore une fois, puis demander à testdisk de sauvegarder la table de partition

==L'interface proxmox n'affiche pas les disques de certaines VMs==

Ceci arrive typiquement si vous avez créé un volume logique à la main sans y ajouter le bon tag.
Vérifiez la présence des tags sur vos LV avec la commande <code>lvs --options 'vg_name,lv_name,lv_size,tags'</code> :
<pre>
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 20.00g
</pre>

Comme vous le voyez, le lv de la vm 101 n'est pas tagué. Vous pouvez ajouter le tag avec <code>lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1</code> :
<pre>
~# lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 16.00g pve-vm-101
</pre>

Si cela ne fonctionne pas, essayez de passer un petit coup de <code>qm rescan</code>

Proxmox 8

2025-10-03T11:19:41Z

Pfoo : /* Bloquer le spoofing d'adresse mac */

[[Category:serveur]]
[[Category:debian]]
[[Category:virtualisation]]

Nous allons voir comment installer proxmox 7.x sur un raid 1 logiciel (md / mdadm) avec debootstrap.

=Prérequis=

Ce tutoriel se base sur l'utilisation de debootstrap pour installer une base de système d'exploitation debian. La plupart des hébergeurs proposent un système de "rescue" permettant l'installation de debian par ce moyen.
Si vous ne disposez pas de mode rescue, vous pouvez toujours utiliser l'installeur proposé par votre hébergeur, ou encore passer par un kvm pour installer vous même le système avec l'iso de debian.

=Pour les débutants=

Si vous êtes débutant en administration linux, je vous conseil de sauvegarder quelque part les fichier suivant issu d'une précédente installation de debian ou de proxmox
* <code>/etc/networks</code>
* <code>/etc/network/interfaces</code>
* <code>/etc/resolv.conf</code>
* <code>/etc/hosts</code>
* <code>/etc/fstab</code>
* <code>/etc/mdadm/mdadm.conf</code> si vous disposez d'un raid logiciel
* tout fichier de personnalisation de grub (<code>/etc/grub.d/</code> par exemple)

Cela vous permettra de vous faire une idée plus précise de ce qui doit figurer dans ces différents fichiers.

=Partitionnement et système de fichier=

Voici le partitionnement que je vais utiliser :
* Partition root (/) de 20 Go (/) en raid 1 sur les disques sda et sdb
* Partitions swap de 4096 Go chacune réparties sur sda et sdb
* Le reste de l'espace sera utilisé plus tard pour un LVM dédié aux VMs

==Partitionnement==

===Possibilité 1 : Partitionnement GPT pour EFI / UEFI===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions EFI (ESP), obligatoire pour le démarrage EFI/UEFI. Il faudra leur attribuer le type <code>EF00</code>. Pour assurer une bonne compatibilité avec les multiples firmwares EFI, il est recommandé de leur attribuer une taille de 512 MiB (+512M au prompt gdisk).
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

 

Pour les partitions EFI, nous créons un système de fichier FAT32 avec le label (nom) <code>EFI_SYSPART</code> :
<pre>
mkfs.fat -F 32 -n EFI_SYSPART /dev/sda1
mkfs.fat -F 32 -n EFI_SYSPART /dev/sdb1
</pre>

===Possibilité 2 : Partitionnement GPT pour BIOS===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions pour le bootloader. Il faudra leur attribuer le type <code>EF02</code>. On peut la créer idéalement du secteur 34 au secteur 2047 du disque.
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

Notez que la partition du bootloader ne doit pas être formatée.

===Possibilité 3 : partitionnement MBR pour BIOS (non prise en charge dans ce wiki)===

A titre informatif : création avec <code>parted</code>, sans nécessité de créer une partition dédiée au bootloader/grub.

==Création du RAID==

Pour des raisons esthétiques, définissez l'hostname de votre système de rescue :
<pre>hostname proxmox</pre>

Pour créer votre raid 1 avec 2 disques :
<pre>
mdadm --create --verbose /dev/md2 --level=1 --raid-devices=2 /dev/sda2 /dev/sdb2
</pre>

Notez que si vous souhaitez utiliser plus que 2 disques, il faut augmenter la valeur de <code>--raid-devices</code> et ajouter les partitions des disques à la suite.

Attendez que le raid soit synchronisé avant de continuer. Vous pouvez surveiller facilement cela avec la commande <code>watch cat /proc/mdstat</code>.

==Création des systèmes de fichiers==

Créez un système de fichier ext4 pour le raid du root :
<pre>
mkfs.ext4 /dev/md2
</pre>

Enfin, initialisez les swaps :
<pre>
mkswap /dev/sda3
mkswap /dev/sdb3
</pre>

=Installation de proxmox=

==Installation du système de base==

Nous débutons par installer le système de base de Debian avec <code>debootstrap</code>

Installez les paquets nécessaires dans votre rescue :
<pre>apt install debootstrap debian-keyring debian-archive-keyring</pre>

Montez votre partition raid root sur <code>/mnt</code> :
<pre>
mount /dev/md2 /mnt
</pre>

Installez le système de base debian, version bookworm :
<pre>debootstrap --arch=amd64 bookworm /mnt http://ftp.fr.debian.org/debian</pre>

==Configuration de Debian==

Montez les vfs suivants, puis chrootez dans votre nouveau système debian :
<pre>
mount -o bind /proc /mnt/proc
mount -o bind /dev /mnt/dev
mount -o bind /dev/pts /mnt/dev/pts
mount -o bind /sys /mnt/sys
chroot /mnt
</pre>

Configurez les archives apt : éditez le fichier <code>/etc/apt/sources.list</code> :
<pre>
# main archive
deb http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware

# security updates
deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware

# bookworm-updates, previously known as 'volatile'
deb http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware

# backports archive
deb http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
</pre>

Mettez à jour les paquets :
<pre>
apt update
apt full-upgrade
</pre>

Installez les locales et la configuration de console :
<pre>
apt install locales
dpkg-reconfigure locales
apt install console-data console-setup-linux console-setup wget
dpkg-reconfigure console-data # from arch > french > latin9)
</pre>

Définissez la zone horaire :
<pre>
tzselect
dpkg-reconfigure tzdata
</pre>

Configurez votre fichier <code>/etc/fstab</code>. 
Pour GPT pour EFI / UEFI :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda1 /boot/efi vfat defaults 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Pour GPT pour BIOS :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Montez la partition EFI / ESP dans le cas d'un partitionnement GPT pour EFI / UEFI :
<pre>
mkdir /boot/efi
mount /boot/efi
</pre>

Configurez les interfaces réseaux dans <code>/etc/network/interfaces</code> :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

auto eno3
iface eno3 inet static
address XXXX/24
gateway XXXX
</pre>

Configurez le fichier <code>/etc/hosts</code> :
<pre>
# local
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

# main
ipdelamachine proxmox.domain.tld proxmox pvelocalhost
</pre>

Définissez les hostnames dans ces fichiers :
<pre>
# Pour celui la : non-fqdn
echo proxmox > /etc/hostname
# Pour celui la : fqdn
echo proxmox.domain.tld > /etc/mailname
</pre>

'''ATTENTION''' Le fichier <code>/etc/hosts</code> DOIT être cohérent avec le fichier <code>/etc/hostname</code>. 
Par exemple, si le contenu de <code>/etc/hostname</code> est <code>proxmox</code> et que l'ip de votre proxmox est 225.182.54.9 il faudra veiller a avoir les informations suivantes dans <code>/etc/hosts</code> :
<pre>
127.0.0.1 localhost
225.182.54.9 proxmox.domain.tld proxmox pvelocalhost
</pre>

'''Attention : n'utilisez pas 127.0.1.1 (comme le fait debian) mais bien la vrai ip (ici 225.182.54.9)'''

N'oubliez pas de configurer les dns (ceux de votre hébergeur dédié) dans <code>/etc/resolv.conf</code> :
<pre>nameserver XX.XX.XX.XX</pre>

Installez postfix :
<pre>
hostname -F /etc/hostname
apt install postfix
</pre>

Enfin, comme nous installons notre partition de boot sur un raid software, il faut installer <code>madadm</code> à ce stade :
<pre>apt install mdadm</pre>

Vérifiez si votre array root s'est bien défini automatiquement dans <code>/etc/mdadm/mdadm.conf</code>. Si ce n'est pas me cas, ajoutez la configuration de l'array manuellement :
<pre>mdadm --examine --scan >> /etc/mdadm/mdadm.conf</pre>

==Installation de proxmox - kernel==

Ajoutez le dépot proxmox dans le fichier /etc/apt/source.list :
<pre>
# PVE pve-no-subscription repository provided by proxmox.com, NOT recommended for production use
deb http://download.proxmox.com/debian/pve bookworm pve-no-subscription
</pre>

Ajoutez la clé du dépôt proxmox :
<pre>
wget https://enterprise.proxmox.com/debian/proxmox-release-bookworm.gpg -O /etc/apt/trusted.gpg.d/proxmox-release-bookworm.gpg
</pre>

Mettez à jour le système :
<pre>
apt update
apt full-upgrade
</pre>

===Possibilité 1 : Partitions GPT pour EFI / UEFI===

Vérifiez que <code>/boot/efi</code> est bien monté. Si ce n'est pas le cas, faites le.

Installez le kernel proxmox :
<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-efi-amd64 gdisk
</pre>

Supprimez les paquets suivant si vous n'avez pas besoin de secureboot :
<pre>apt purge grub-efi-amd64-signed mokutil shim-helpers-amd64-signed shim-signed shim-signed-common shim-unsigned</pre>

Normalement tout doit se faire avec des promps. Si ce n'était pas le cas :
<pre>grub-install --bootloader-id=proxmox</pre>

Si jamais vous utilisez un démarrage en PXE (c'est le cas sur un serveur OVH par exemple), utilisez l'argument <code>--no-nvram</code> pour empêcher grub de mettre à jour la NVRAM et casser votre mécanique de démarrage PXE :
<pre>grub-install --bootloader-id=proxmox --no-nvram</pre>

Etant donné que seul <code>/dev/sda1</code> est monté sur <code>/boot/efi</code>, il faut transférer manuellement les données sur <code>/dev/sdb1</code> :
<pre>
mount /dev/sdb1 /mnt
rsync -av /boot/efi/ /mnt/
umount /mnt
</pre>

Si pour une raison quelconque, vous aviez besoin des headers du kernel :
<pre>apt install pve-headers-5.15</pre>

===Possibilité 2 : Partitions GPT pour BIOS OU Partitions MBR pour BIOS===

<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-pc gdisk
</pre>

Lorsqu'on vous demandera où installer grub, choisissez <code>sda</code> ET <code>sdb</code>. Sinon :
<pre>
grub-install /dev/sda
grub-install /dev/sdb
</pre>

==Installation de proxmox - OpenSSH==

Installez openssh et définissez un password root. Autorisez le login root par password temporairement.
<pre>
hostname -F /etc/hostname
apt install openssh-server
passwd
sed -i "s/#PermitRootLogin prohibit-password/PermitRootLogin yes/g" /etc/ssh/sshd_config
</pre>

==Installation de proxmox - Vérifications finales et redémarrage sur le kernel proxmox==

Si vous avez une configuration particulière à entrer dans <code>/etc/default/grub</code>, faites le maintenant. Par exemple :
<pre>
GRUB_CMDLINE_LINUX="nomodeset iommu=pt"
</pre>

Puis régénérez la configuration de grub :
<pre>update-grub</pre>

Vous pouvez vérifier que votre fstab est valide avec :
<pre>findmnt --verify --verbose</pre>

Vous pouvez maintenant sortir de votre chroot et démonter le système de fichier

<pre>
umount /boot/efi/
exit
umount /mnt/sys
umount /mnt/dev/pts
umount /mnt/dev
umount /mnt/proc
umount /mnt
</pre>

Enfin, redémarrez le serveur sur le disque dur.

==Installation de ifupdown2==

Le paquet <code>ifupdown2</code> est en voie de devenir le remplaçant officiel de <code>ifupdown</code> pour proxmox.

<pre>
apt install ifupdown2
apt purge ifupdown
systemctl enable networking
</pre>

Pour vérifier que votre configuration est fonctionnelle : lancez <code>ifquery -a</code>

Redémarrez à nouveau votre serveur

==Installation de proxmox - pve==

Une fois le redémarrage effectué, vous allez enfin pouvoir installer pve :
<pre>apt install proxmox-ve ksm-control-daemon chrony</pre>
<pre>apt remove os-prober</pre>

Editez la configuration réseau <code>/etc/network/interfaces</code> afin d'y créer votre bridge :
<pre>
auto eno3
iface eno3 inet manual

auto vmbr0
iface vmbr0 inet static
address xxxxx/24
gateway xxxx
hwaddress AA:BB:CC:11:22:33
bridge_ports eno3
bridge_stp off
bridge_fd 0
</pre>

Définissez la ligne <code>hwaddress</code> avec l'adresse MAC de l'interface eno3.

Installez votre clé SSH dans <code>/root/.ssh/authorized_keys</code> puis désactivez le login root par password de OpenSSH dans <code>/etc/ssh/sshd_config</code>.
 

Une fois tout installé, je vous conseille de reconfigurer grub afin de mettre à jour la configuration interne de debian:
* Pour EFI : <code>dpkg-reconfigure grub-efi-amd64</code>
* Pour BIOS : <code>dpkg-reconfigure grub-pc</code>

 
Redémarrez une dernière fois pour appliquer les changements.

Votre proxmox sera accessible à l'adresse https://ip:8006

==Nettoyage des paquets==

Si vous ne comptez pas utiliser ZFS, vous pouvez supprimer les paquets suivantes :
<pre>apt purge zfs-zed libnvpair3linux libuutil3linux libzfs4linux libzpool5linux zfsutils-linux</pre>

==Configuration réseau avancée==

===Ajout d'une IPv6 sur vmbr0===

===Ajout d'un réseau interne vmbr1===

Nous allons voir comment créer un réseau interne avec proxmox, c'est à dire, un réseau qui ne sera attaché à aucune interface réseau physique. L'intérêt est d'offrir un débit bien supérieur pour les communications entre les VMs.

Ajoutez les lignes suivantes dans <code>/etc/network/interfaces</code> :

<pre>
auto vmbr1
iface vmbr1 inet static
address 192.168.0.1
netmask 255.255.255.0
</pre>

Note : vous pouvez faire de même en ipv6 :
* il faut utiliser le range Unique Local Address (ULA) fd00::/8 (http://en.wikipedia.org/wiki/Unique_Local_Address)
* pour générer votre ULA : http://pfoo.unscdf.org/ula/gen-ula.html

==Sécurisation de base==

Je vous conseil de commencer à sécuriser votre ssh :
* désactivez le login root (directive <code>PermitRootLogin no</code> dans <code>/etc/ssh/sshd_config</code>). Pensez néanmoins à créer un utilisateur pour vous connecter en ssh avant de désactiver le login root.
* utilisez la directive <code>allowusers <user></code> dans <code>/etc/ssh/sshd_config</code> pour n'autoriser que certains utilisateurs à se connecter en ssh.

Il est aussi préférable d'installer le serveur de temps NTP à la place de systemd-timesyncd:
<pre>
apt install chrony
apt purge systemd-timesyncd
</pre>

=Configurer le serveur mail postfix=

==Configuration==

==Certificats SSL==
Si vous avez votre propre autorité ssl, vous pouvez générer votre propre certificat. Si ce n'est pas le cas, vous pouvez toujours aller lire [http://wiki.unscdf.org/index.php?title=Installation_et_configuration_de_OpenSSL ceci] afin d'apprendre à créer votre autorité ssl.

Ajoutez les lignes suivantes dans <code>/etc/ssl/openssl.cnf</code> :
<pre>
[POSTFIX]
nsComment = "SMTP Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
issuerAltName = issuer:copy
basicConstraints = critical,CA:FALSE
keyUsage = critical, digitalSignature, nonRepudiation, keyEncipherment
nsCertType = server
extendedKeyUsage = serverAuth
</pre>

Puis générez la clé et le certificat, et signez le avec votre autorité (int_ca dans mon cas) :
<pre>
openssl req -config /etc/ssl/openssl.cnf -nodes -newkey rsa:2048 -keyout postfix.key -out postfix.req
openssl ca -config /etc/ssl/openssl.cnf -name int_ca -extensions POSTFIX -in postfix.req -out postfix.pem
</pre>

Déplacez les fichiers dans le répertoire <code>/etc/postfix/ssl</code> :
<pre>
mkdir /etc/postfix/ssl
mv postfix.key /etc/postfix/ssl/
mv postfix.pem /etc/postfix/ssl/
chmod 600 /etc/postfix/ssl/*
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/int_ca/int_ca.pem > /etc/postfix/ssl/ca_chain.pem
</pre>

Il faut encore modifier <code>/etc/postfix/main.cf</code> :
<pre>
smtpd_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtpd_tls_key_file=/etc/postfix/ssl/postfix.key
smtpd_tls_CAfile=/etc/postfix/ssl/ca_chain.pem
smtpd_use_tls=yes
smtp_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtp_tls_key_file=/etc/postfix/ssl/postfix.key
smtp_tls_CAfile=/etc/postfix/ssl/ca_chain.pem

smtpd_tls_security_level=may
smtp_tls_security_level=may
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1

#smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
</pre>

=Utiliser son propre certificat SSL proxmox avec un signataire intermédiaire=

Depuis Proxmox 5.2, il n'est plus recommandé d'adapter manuellement les fichiers contenant les certificats et clés privés de proxmox. 
Cependant, vous pouvez placer directement votre clé privé dans le fichier <code>/etc/pve/local/pveproxy-ssl.key</code> et la chaîne de certification dans le fichier <code>/etc/pve/local/pveproxy-ssl.pem</code>. Vous pouvez également déposer ces fichiers via la webui de proxmox au niveau de chaque serveur.

=Surveiller l'état des disques avec SMART=

Commencez par installer le paquet smartmontools :
<pre>apt install smartmontools</pre>

Vérifiez que vos disques gèrent smart et qu'il est activé :
<pre>
smartctl -i /dev/sda
smartctl -i /dev/sdb
</pre>

Si smart n'est pas activé, essayez de l'activer comme ceci :
<pre>
smartctl -s on /dev/sda
smartctl -s on /dev/sdb
</pre>

Vérifiez le statut de santé de vos disques :
<pre>
smartctl -H /dev/sda
smartctl -H /dev/sdb
</pre>
S'il indique <code>PASSED</code> c'est bon de ce côté. S'il vous indique <code>FAILED</code>, sauvegardez immédiatement vos données !

Vérifiez la présence d'erreurs dans le log smart :
<pre>
smartctl -l error /dev/sda
smartctl -l error /dev/sdb
</pre>

Si vous voyez <code>No Errors Logged</code> ou quelques erreurs, c'est bon. S'il y eu a beaucoup, il faut envisager de changer le disque.

Le fichier de configuration de smartd est <code>/etc/smartd.conf</code>. Commentez la ligne <code>DEVICESCAN</code> puis ajoutez les lignes suivantes pour surveiller les deux disques durs :
<pre>
/dev/sda -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
/dev/sdb -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
</pre>

Nous activons la surveillance globale (<code>-a</code>), la vérification automatique offline, (<code>-o on</code>), la sauvegarde automatique des attributs (<code>-S on</code> et lançons un <code>short self test</code> tous les jours à 2h du matin, et un <code>long self test</code> tous les samedi à 3h du matin. Si des erreurs sont détectés, un email est envoyé à vous@domain.tld. 

Relancez smartd :
<pre>/etc/init.d/smartmontools restart</pre>

Pour plus d'information sur SMART et ses arguments : [[Diagnostic smart d'un disque]]

=Protégez votre proxmox=

==Désactiver le login root sur l'interface proxmox==
Avant toute manipulation, n'oubliez pas de créer un utilisateur ayant les droits d'administration pour accéder à l'interface de proxmox

===Via l'interface proxmox===
Dans Datacenter > Permissions > Users : Editez l'utilisateur root et décochez la case <code>Enabled</code>

===Via les droits linux===
<pre>passwd --lock root</pre>

Attention, dans ce cas, vous ne pourrez plus vous loguer en root sur le serveur par ssh (sauf si vous avez une clé ssh défini), écran ou kvm !

===Via PAM===
Vous pouvez désactiver le login pam en éditant <code>/etc/pam.d/other</code> et en y ajoutant, en début de fichier, les lignes suivantes :
<pre>
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
account required pam_warn.so
</pre>

Attention, cette méthode peut avoir des effets de bord si d'autres programmes utilisent l'entité pam/other

==Désactiver rpcbind==

Si vous n'utilisez pas de montage NFS vous pouvez désactiver rpcbind. 
Editez <code>/etc/default/nfs-common</code> et passez l'argument suivant :
<pre>NEED_STATD=no</pre>

Puis désactivez rpcbind :
<pre>
systemctl disable rpcbind.target
systemctl disable rpcbind.socket
systemctl disable rpcbind.service
systemctl stop rpcbind.target
systemctl stop rpcbind.socket
systemctl stop rpcbind.service
</pre>

==Eviter les reboots accidentels avec molly-gard==
<pre>apt install molly-guard</pre>

==Protection SSH avec sshguard==

[[Protéger SSH avec sshguard]]

==Protéger l'interface web avec fail2ban==

<pre>apt install fail2ban</pre>

Créez le fichier <code>/etc/fail2ban/jail.local</code> contenant :
<pre>
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 1800
maxretry = 3

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

action = %(action_mwl)s

[ssh]
enabled = false

[sshd]
enabled = false

[proxmox]
enabled = true
port = https,http,8006
filter = proxmox
backend = systemd
maxretry = 4
findtime = 2d
bantime = 1h
</pre>

Créez le fichier <code>/etc/fail2ban/filter.d/proxmox.conf</code> :
<pre>
[Definition]
failregex = pvedaemon\[.*authentication failure; rhost=<HOST> user=.* msg=.*
ignoreregex =
journalmatch = _SYSTEMD_UNIT=pvedaemon.service
</pre>

Relancez fail2ban :
<pre>/etc/init.d/fail2ban restart</pre>

==firewall iptables==

=Création d'un stockage pour les VMs=

Créez les partitions sda4 et sdb4 au moyen de gdisk (EFI) ou parted (BIOS).

Créez sur ces partitions un raid :
<pre>mdadm --create --verbose /dev/md4 --level=1 --raid-devices=2 /dev/sda4 /dev/sdb4</pre>

Maintenez à jour <code>mdadm.conf</code> et votre initramfs afin de conserver le bon naming du raid après reboot :
<pre>
mdadm --examine --scan >> /etc/mdadm/mdadm.conf
update-initramfs -u
</pre>

Puis initialisez-y un LVM :
<pre>
pvcreate /dev/md4
vgcreate main /dev/md4
</pre>

Il ne reste plus qu'a déclarer ce Volume Group LVM dans l'interface proxmox.

=VM qemu/kvm=

==Télécharger vos images==

Vous pouvez placer les iso dans <code>/var/lib/vz/template/iso/</code> avec <code>wget</code> par exemple.
Notez que l'interface graphique de proxmox propose également une fonction d'upload.

==Créer votre première VM==

Une fois la VM crées dans l'interface proxmox, je vous recommande d'écrire des zero sur son disque afin de réduire la taille des futurs backups. Si votre vm porte le numéro 100 et possède un seul disque :
<pre>dd if=/dev/zero | pv -ptrb | dd of=/dev/main/vm-100-disk1 bs=1M</pre>

===Configuration réseau en bridge vmbr0 (ip public)===

===Configuration réseau en bridge vmbr1 (ip locale)===

Configuration réseau de la VM :
<pre>
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
gateway 192.168.0.1
</pre>

Règle iptables à ajouter sur l'hôte :
<pre>iptables -t nat -A POSTROUTING -s 192.168.0.2 -o vmbr0 -j SNAT --to IP-PUBLIC-DE-VOTRE-HOTE</pre>

Si vous souhaitez rendre accessible l'un des services de la VM depuis l'ip de l'hote sur un port sépcifique :
<pre>
iptables -t nat -A PREROUTING -p tcp -d <ip de l'hote> --dport <port souhaité> -i vmbr0 -j DNAT --to-destination 192.168.0.2:port
</pre>

==Bloquer le spoofing d'adresse mac==
Sur l'hyperviseur, installez <code>ebtables</code> :
<pre>apt install ebtables</pre>

Admettons ensuite que votre VM a comme adresse ip <code>84.93.26.3</code> et que son adresse mac doit être <code>52:54:00:00:98:b6</code> :
<pre>ebtables -A FORWARD -p IPv4 --ip-src 84.93.26.3 -s ! 52:54:00:00:98:b6 -j DROP</pre>

Vous pouvez faire de même pour l'ipv6. Dans l'exemple suivant, seul le bloc ipv6 <code>2a01:d4h:123b:100::/56</code> est utilisable par la vm :
<pre>ebtables -A FORWARD -p IPv6 --ip6-src 2a01:d4h:123b:100::/56 -s ! 52:54:00:00:08:b1 -j DROP</pre>

==Importer une VM depuis vmware ESXi==

==qm et modification des VMs en ligne de commande==

==Monter les partitions d'une VM depuis l'host==

<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

pour la partition 1 : start*blocksize = offset
donc 2048*512 = 1048576

<pre>losetup /dev/loop1 -o 1048576 /dev/main/vm-101-disk-1 </pre>

Et enfin :
<pre>mount /dev/loop1 /mnt</pre>

Quand vous avez terminé vos modifications :
<pre>
umount /mnt
losetup -d /dev/loop1
losetup -d /dev/loop0
</pre>

===Si la partition que vous voulez monter est un LVM===

Scannez les nouveaux volumes :
<pre>lvm pvscan</pre>

Activez les groupes :
<pre>lvm vgchange -ay</pre>

listez les lvms avec :
<pre>lvm lvs</pre>

Les LV devraient apparaître dans <code>/dev/mapper/</code>

Quand vous avez terminé :
* démontez les LV
* Désactivez le groupe avec <code>vgchange -an</code>
* désactivez le loopback : <code>losetup -d /dev/loop0</code>

==Augmenter la taille du disque d'une VM==

Coupez la VM.

Sur l'host pour modifier la taille du disque 1 de la vm 110 ) 140G :
<pre>lvextend -L 140G /dev/main/vm-110-disk-1</pre>

Il faut ensuite, sur la vm lancée, utiliser resize2fs

==Migrer une VM vers un autre serveur manuellement (pas de cluster) avec un downtime minimum==

Nous allons voir comment migrer une VM proxmox stockée sur un LVM d'un serveur à un autre, et ce, en minimisant au maximum le downtime. Pour cela, nous allons coupler la fonctionnalité de snapshot de lvm avec un petit script (lvmsync) qui permet de ne transférer que les blocs modifiés d'un snapshot.

Installez dmsetup et ruby (1.8 minimum) sur le serveur d'origine et de destination :
<pre>aptitude install dmsetup ruby</pre>

Récupérez <code>lvmsync</code> sur https://github.com/mpalmer/lvmsync et placez le dans /sbin/ sur les serveurs d'origine et de destination.

Dans cet exemple, nous allons migrer la vm 102 disposant d'un seul disque virtuel nommé vm-102-disk-1 et stocké dans le vg main du serveur server1.domain.tld vers le serveur server2.domain.tld.
Pour commencer, créez un snapshot de votre vm sur server1 :
<pre>lvcreate --snapshot -L200G -n 102-lvmsync main/vm-102-disk-1</pre>

Désormais, tous les io de cette vm seront stockés dans le snapshot 102-lvmsync.

Sur votre nouveau serveur, créez une VM identique à celle de votre premier serveur (surtout en qui concerne la taille de disque).
Depuis server1, copiez avec un dd over ssh le disque d'origine de votre vm vers votre nouveau serveur.
<pre>dd if=/dev/main/vm-102-disk-1 | pv -ptrb | ssh -o "Compression no" root@server2.domain.tld "dd of=/dev/main/vm-102-disk-1 bs=100M"</pre>

Note : sur un réseauu 100Mbps utilisez plutôt <code>-o "Compressionlevel 1"</code>

Une fois la copie terminée, coupez la vm 102 sur server1, puis lancez lvmsync sur le snapshot (toujours sur server1) :
<pre>lvmsync /dev/main/102-lvmsync server2.domain.tld:/dev/main/vm-102-disk-1</pre>

Une fois le travail de lvmsync achevé, il ne nous reste plus qu'a relancer la vm sur server2

A titre d'information, si vous voulez merger le snapshot de la vm 102 sur server 1, tapez :
<pre>lvconvert --merge /dev/main/102-lvmsync</pre>

=Conteneur LXC=

==Empêcher la mise à jour automatique de certains fichiers de configuration système du conteneur==

Certains fichiers de configuration du conteneur sont mis à jour automatiquement à chaque démarrage (voir https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_guest_operating_system_configuration)

On peut empêcher la mise à jour de ces fichiers en créant un fichier <code>.pve-ignore.NOM</code> 
Par exemple, <code>/etc/.pve-ignore.resolv.conf</code> empêchera le fichier <code>/etc/resolv.conf</code> d'être mis à jour à chaque démarrage.

=Annexes=

==Problème de layout dans la console vnc==
Dans l'interface web de proxmox : datacenter > option > passez Keyboard de <code>default</code> à <code>French</code>.

==Erreurs du type <code>IPv6 addrconf: prefix with wrong length 56</code> ==

Cette erreur est typique sous linux si les routeurs de votre serveur annoncent des blocs IPv6 /56 alors que vous configurez des /64.
Ajouter les lignes suivantes dans un fichier <code>/etc/sysctl.d/local.conf</code> :
<pre>
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.eno3.autoconf = 0
net.ipv6.conf.vmbr0.autoconf = 0
</pre>

Terminez par relancer procps :
<pre>/etc/init.d/procps restart</pre>

==paramètre sysctl ipv6 non appliqué au boot==
Ajoutez le module ipv6 dans /etc/modules afin d'assurer le chargement d'ipv6 avant l’exécution de sysctl :
<pre>echo ipv6 >> /etc/modules</pre>

==LVM inaccessible depuis l'host==

<pre>
lvm pvscan
lvm vgchange -ay
</pre>

==L'interface web ne fonctionne pas et la commande qm retourne une erreur ipcc_send_rec failed: Connection refused==

Vérifiez la présence de fichiers et dossiers dans <code>/etc/pve/</code>. Si ce dossier est vide, c'est probablement que votre fichier <code>/etc/hosts</code> est mal configuré. 
Essayez de relancer <code>pve-cluster</code> :
<pre>/etc/init.d/pve-cluster restart</pre>

Si vous avez une erreur ou un warning, lancez la commande pmxcfs. Vous devriez obtenir ceci :
<pre>
$# pmxcfs
Jan 21 15:28:19 proxmox pmxcfs[1846]: Unable to get local IP address (pmxcfs.c:721:main)
</pre>

Vérifiez alors que le contenu de <code>/etc/hostname</code> est défini dans <code>/etc/hosts</code>.

Si par exemple <code>/etc/hostname</code> contient <code>proxmox.domain.tld</code> vous devriez avoir la ligne suivante dans <code>/etc/hosts</code> :
<pre>VOTREIP proxmox.domain.tld proxmox</pre>

==Pas assez d'interfaces loopback==

Créer le fichier <code>/etc/modprobe.d/local-loop.conf</code> contenant :
<pre>options loop max_loop=64</pre>

Vous pouvez ensuite redémarrer ou recharger le module loop :
<pre> rmmod loop && modprobe loop</pre>

==Défragmentation LVM : exemple==
<pre>
hub:~# pvdisplay --maps
--- Physical volume ---
PV Name /dev/sda4
VG Name main
PV Size 1.76 TB / not usable 456.00 KB
Allocatable yes
PE Size (KByte) 4096
Total PE 461649
Free PE 208721
Allocated PE 252928
PV UUID PUqV5Q-WRW2-n20t-eFVM-CA1r-RhDl-2RTJHq

--- Physical Segments ---
Physical extent 0 to 7935:
Logical volume /dev/main/vm-101-disk-1
Logical extents 0 to 7935
Physical extent 7936 to 72191:
Logical volume /dev/main/vm-101-disk-2
Logical extents 0 to 64255
Physical extent 72192 to 136703:
Logical volume /dev/main/vm-102-disk-1
Logical extents 0 to 64511
Physical extent 136704 to 144895:
Logical volume /dev/main/vm-103-disk-1
Logical extents 0 to 8191
Physical extent 144896 to 209151:
Logical volume /dev/main/vm-103-disk-2
Logical extents 0 to 64255
Physical extent 209152 to 214271:
Logical volume /dev/main/vm-104-disk-1
Logical extents 0 to 5119
Physical extent 214272 to 227327:
Logical volume /dev/main/vm-104-disk-2
Logical extents 0 to 13055
Physical extent 227328 to 282111:
FREE
Physical extent 282112 to 307711:
Logical volume /dev/main/vm-108-disk-1
Logical extents 0 to 25599
Physical extent 307712 to 461648:
FREE
</pre>

Comme vous pouvez le voir, on a un trou "vide" entre l'extent 227328 et 282111, puis à nouveau des données entre l'extent 282112 et 307711.

Pour combler ce trou, nous allons déplacer les données des /dev/main/vm-108-disk-1 situés entre les extents 282112 et 307711 (soit 25599 extents au total) vers l'espace libre avec <code>pvmove</code> : 
pvmove /dev/sda4:282112-307711 /dev/sda4:227328-252927 --alloc anywhere

Notez qu'il faut attribuer exactement le même nombre d'extents à la destination qu'à l'origine : 227328 + 25599 = 252927

==Oups: j'ai supprimé le mauvais lvm==

Pas de panique, mais ne bougez plus ! Pour l'instant, seul les métadonnées du lvm sont impactés.
Et comme c'est bien foutu, lvm conserve un backup des anciennes metadonnées après chaque modification. Ces archives sont situés dans <code>/etc/lvm/archive/</code>. Les fichiers y sont nommés sous la forme vg_XXXX-YYYYYYY.vg. Normalement, le fichier ayant le XXXX le plus élevé sera celui de l'état précédent votre erreur.
Pour vérifier que vous avez sélectionné le bon fichier, vous pouvez l'ouvrir avec nano et regarder si l'état du lvm dans cette archive correspond a ce que vous attendez.

Pour restaurer l'archive des métadonnées main_00007-587941649.vg pour le vg main :
<pre>
vgcfgrestore -f /etc/lvm/archive/main_00007-587941649.vg main
lvm vgchange -ay
</pre>

Votre volume devrait être de retour.

Il faut encore vérifier que la table de partition contenu sur ce lvm n'a pas morphlé. En admettant que /dev/main/vm-101-disk-1 est la lvm que vous venez de restaurer :
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

Si vous voyez ça, c'est bon, vous êtes sauvés ! Si ce n'est pas le cas, continuez à lire ;)

===Récupération de la table de partition===

Si fdisk vous envois chier avec un message du style <code>Disk /dev/loop0 doesn't contain a valid partition table</code>, il va falloir récupérer la table de partition.

Installez testdisk :
<pre>aptitude install testdisk</pre>

Lancez le:
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# testdisk /dev/loop0
</pre>

Selectionez le media <code>/dev/loop0</code> et validez avec <code>enter</code>.
Au menu suivant, sélectionnez <code>intel</code> comme type de table de partition.
Au menu suivant, sélectionnez <code>analyse</code>
A l'écran suivant, tapez enter.
Avec de la chance, testdisk retrouvera vos partitions. Une fois qu'il aura terminé de travailler, il ne restera plus qu'à taper sur enter encore une fois, puis demander à testdisk de sauvegarder la table de partition

==L'interface proxmox n'affiche pas les disques de certaines VMs==

Ceci arrive typiquement si vous avez créé un volume logique à la main sans y ajouter le bon tag.
Vérifiez la présence des tags sur vos LV avec la commande <code>lvs --options 'vg_name,lv_name,lv_size,tags'</code> :
<pre>
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 20.00g
</pre>

Comme vous le voyez, le lv de la vm 101 n'est pas tagué. Vous pouvez ajouter le tag avec <code>lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1</code> :
<pre>
~# lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 16.00g pve-vm-101
</pre>

Si cela ne fonctionne pas, essayez de passer un petit coup de <code>qm rescan</code>

Proxmox 8

2025-10-03T11:19:33Z

Pfoo : /* Protéger l'interface web avec fail2ban */

[[Category:serveur]]
[[Category:debian]]
[[Category:virtualisation]]

Nous allons voir comment installer proxmox 7.x sur un raid 1 logiciel (md / mdadm) avec debootstrap.

=Prérequis=

Ce tutoriel se base sur l'utilisation de debootstrap pour installer une base de système d'exploitation debian. La plupart des hébergeurs proposent un système de "rescue" permettant l'installation de debian par ce moyen.
Si vous ne disposez pas de mode rescue, vous pouvez toujours utiliser l'installeur proposé par votre hébergeur, ou encore passer par un kvm pour installer vous même le système avec l'iso de debian.

=Pour les débutants=

Si vous êtes débutant en administration linux, je vous conseil de sauvegarder quelque part les fichier suivant issu d'une précédente installation de debian ou de proxmox
* <code>/etc/networks</code>
* <code>/etc/network/interfaces</code>
* <code>/etc/resolv.conf</code>
* <code>/etc/hosts</code>
* <code>/etc/fstab</code>
* <code>/etc/mdadm/mdadm.conf</code> si vous disposez d'un raid logiciel
* tout fichier de personnalisation de grub (<code>/etc/grub.d/</code> par exemple)

Cela vous permettra de vous faire une idée plus précise de ce qui doit figurer dans ces différents fichiers.

=Partitionnement et système de fichier=

Voici le partitionnement que je vais utiliser :
* Partition root (/) de 20 Go (/) en raid 1 sur les disques sda et sdb
* Partitions swap de 4096 Go chacune réparties sur sda et sdb
* Le reste de l'espace sera utilisé plus tard pour un LVM dédié aux VMs

==Partitionnement==

===Possibilité 1 : Partitionnement GPT pour EFI / UEFI===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions EFI (ESP), obligatoire pour le démarrage EFI/UEFI. Il faudra leur attribuer le type <code>EF00</code>. Pour assurer une bonne compatibilité avec les multiples firmwares EFI, il est recommandé de leur attribuer une taille de 512 MiB (+512M au prompt gdisk).
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

 

Pour les partitions EFI, nous créons un système de fichier FAT32 avec le label (nom) <code>EFI_SYSPART</code> :
<pre>
mkfs.fat -F 32 -n EFI_SYSPART /dev/sda1
mkfs.fat -F 32 -n EFI_SYSPART /dev/sdb1
</pre>

===Possibilité 2 : Partitionnement GPT pour BIOS===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions pour le bootloader. Il faudra leur attribuer le type <code>EF02</code>. On peut la créer idéalement du secteur 34 au secteur 2047 du disque.
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

Notez que la partition du bootloader ne doit pas être formatée.

===Possibilité 3 : partitionnement MBR pour BIOS (non prise en charge dans ce wiki)===

A titre informatif : création avec <code>parted</code>, sans nécessité de créer une partition dédiée au bootloader/grub.

==Création du RAID==

Pour des raisons esthétiques, définissez l'hostname de votre système de rescue :
<pre>hostname proxmox</pre>

Pour créer votre raid 1 avec 2 disques :
<pre>
mdadm --create --verbose /dev/md2 --level=1 --raid-devices=2 /dev/sda2 /dev/sdb2
</pre>

Notez que si vous souhaitez utiliser plus que 2 disques, il faut augmenter la valeur de <code>--raid-devices</code> et ajouter les partitions des disques à la suite.

Attendez que le raid soit synchronisé avant de continuer. Vous pouvez surveiller facilement cela avec la commande <code>watch cat /proc/mdstat</code>.

==Création des systèmes de fichiers==

Créez un système de fichier ext4 pour le raid du root :
<pre>
mkfs.ext4 /dev/md2
</pre>

Enfin, initialisez les swaps :
<pre>
mkswap /dev/sda3
mkswap /dev/sdb3
</pre>

=Installation de proxmox=

==Installation du système de base==

Nous débutons par installer le système de base de Debian avec <code>debootstrap</code>

Installez les paquets nécessaires dans votre rescue :
<pre>apt install debootstrap debian-keyring debian-archive-keyring</pre>

Montez votre partition raid root sur <code>/mnt</code> :
<pre>
mount /dev/md2 /mnt
</pre>

Installez le système de base debian, version bookworm :
<pre>debootstrap --arch=amd64 bookworm /mnt http://ftp.fr.debian.org/debian</pre>

==Configuration de Debian==

Montez les vfs suivants, puis chrootez dans votre nouveau système debian :
<pre>
mount -o bind /proc /mnt/proc
mount -o bind /dev /mnt/dev
mount -o bind /dev/pts /mnt/dev/pts
mount -o bind /sys /mnt/sys
chroot /mnt
</pre>

Configurez les archives apt : éditez le fichier <code>/etc/apt/sources.list</code> :
<pre>
# main archive
deb http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware

# security updates
deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware

# bookworm-updates, previously known as 'volatile'
deb http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware

# backports archive
deb http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
</pre>

Mettez à jour les paquets :
<pre>
apt update
apt full-upgrade
</pre>

Installez les locales et la configuration de console :
<pre>
apt install locales
dpkg-reconfigure locales
apt install console-data console-setup-linux console-setup wget
dpkg-reconfigure console-data # from arch > french > latin9)
</pre>

Définissez la zone horaire :
<pre>
tzselect
dpkg-reconfigure tzdata
</pre>

Configurez votre fichier <code>/etc/fstab</code>. 
Pour GPT pour EFI / UEFI :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda1 /boot/efi vfat defaults 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Pour GPT pour BIOS :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Montez la partition EFI / ESP dans le cas d'un partitionnement GPT pour EFI / UEFI :
<pre>
mkdir /boot/efi
mount /boot/efi
</pre>

Configurez les interfaces réseaux dans <code>/etc/network/interfaces</code> :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

auto eno3
iface eno3 inet static
address XXXX/24
gateway XXXX
</pre>

Configurez le fichier <code>/etc/hosts</code> :
<pre>
# local
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

# main
ipdelamachine proxmox.domain.tld proxmox pvelocalhost
</pre>

Définissez les hostnames dans ces fichiers :
<pre>
# Pour celui la : non-fqdn
echo proxmox > /etc/hostname
# Pour celui la : fqdn
echo proxmox.domain.tld > /etc/mailname
</pre>

'''ATTENTION''' Le fichier <code>/etc/hosts</code> DOIT être cohérent avec le fichier <code>/etc/hostname</code>. 
Par exemple, si le contenu de <code>/etc/hostname</code> est <code>proxmox</code> et que l'ip de votre proxmox est 225.182.54.9 il faudra veiller a avoir les informations suivantes dans <code>/etc/hosts</code> :
<pre>
127.0.0.1 localhost
225.182.54.9 proxmox.domain.tld proxmox pvelocalhost
</pre>

'''Attention : n'utilisez pas 127.0.1.1 (comme le fait debian) mais bien la vrai ip (ici 225.182.54.9)'''

N'oubliez pas de configurer les dns (ceux de votre hébergeur dédié) dans <code>/etc/resolv.conf</code> :
<pre>nameserver XX.XX.XX.XX</pre>

Installez postfix :
<pre>
hostname -F /etc/hostname
apt install postfix
</pre>

Enfin, comme nous installons notre partition de boot sur un raid software, il faut installer <code>madadm</code> à ce stade :
<pre>apt install mdadm</pre>

Vérifiez si votre array root s'est bien défini automatiquement dans <code>/etc/mdadm/mdadm.conf</code>. Si ce n'est pas me cas, ajoutez la configuration de l'array manuellement :
<pre>mdadm --examine --scan >> /etc/mdadm/mdadm.conf</pre>

==Installation de proxmox - kernel==

Ajoutez le dépot proxmox dans le fichier /etc/apt/source.list :
<pre>
# PVE pve-no-subscription repository provided by proxmox.com, NOT recommended for production use
deb http://download.proxmox.com/debian/pve bookworm pve-no-subscription
</pre>

Ajoutez la clé du dépôt proxmox :
<pre>
wget https://enterprise.proxmox.com/debian/proxmox-release-bookworm.gpg -O /etc/apt/trusted.gpg.d/proxmox-release-bookworm.gpg
</pre>

Mettez à jour le système :
<pre>
apt update
apt full-upgrade
</pre>

===Possibilité 1 : Partitions GPT pour EFI / UEFI===

Vérifiez que <code>/boot/efi</code> est bien monté. Si ce n'est pas le cas, faites le.

Installez le kernel proxmox :
<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-efi-amd64 gdisk
</pre>

Supprimez les paquets suivant si vous n'avez pas besoin de secureboot :
<pre>apt purge grub-efi-amd64-signed mokutil shim-helpers-amd64-signed shim-signed shim-signed-common shim-unsigned</pre>

Normalement tout doit se faire avec des promps. Si ce n'était pas le cas :
<pre>grub-install --bootloader-id=proxmox</pre>

Si jamais vous utilisez un démarrage en PXE (c'est le cas sur un serveur OVH par exemple), utilisez l'argument <code>--no-nvram</code> pour empêcher grub de mettre à jour la NVRAM et casser votre mécanique de démarrage PXE :
<pre>grub-install --bootloader-id=proxmox --no-nvram</pre>

Etant donné que seul <code>/dev/sda1</code> est monté sur <code>/boot/efi</code>, il faut transférer manuellement les données sur <code>/dev/sdb1</code> :
<pre>
mount /dev/sdb1 /mnt
rsync -av /boot/efi/ /mnt/
umount /mnt
</pre>

Si pour une raison quelconque, vous aviez besoin des headers du kernel :
<pre>apt install pve-headers-5.15</pre>

===Possibilité 2 : Partitions GPT pour BIOS OU Partitions MBR pour BIOS===

<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-pc gdisk
</pre>

Lorsqu'on vous demandera où installer grub, choisissez <code>sda</code> ET <code>sdb</code>. Sinon :
<pre>
grub-install /dev/sda
grub-install /dev/sdb
</pre>

==Installation de proxmox - OpenSSH==

Installez openssh et définissez un password root. Autorisez le login root par password temporairement.
<pre>
hostname -F /etc/hostname
apt install openssh-server
passwd
sed -i "s/#PermitRootLogin prohibit-password/PermitRootLogin yes/g" /etc/ssh/sshd_config
</pre>

==Installation de proxmox - Vérifications finales et redémarrage sur le kernel proxmox==

Si vous avez une configuration particulière à entrer dans <code>/etc/default/grub</code>, faites le maintenant. Par exemple :
<pre>
GRUB_CMDLINE_LINUX="nomodeset iommu=pt"
</pre>

Puis régénérez la configuration de grub :
<pre>update-grub</pre>

Vous pouvez vérifier que votre fstab est valide avec :
<pre>findmnt --verify --verbose</pre>

Vous pouvez maintenant sortir de votre chroot et démonter le système de fichier

<pre>
umount /boot/efi/
exit
umount /mnt/sys
umount /mnt/dev/pts
umount /mnt/dev
umount /mnt/proc
umount /mnt
</pre>

Enfin, redémarrez le serveur sur le disque dur.

==Installation de ifupdown2==

Le paquet <code>ifupdown2</code> est en voie de devenir le remplaçant officiel de <code>ifupdown</code> pour proxmox.

<pre>
apt install ifupdown2
apt purge ifupdown
systemctl enable networking
</pre>

Pour vérifier que votre configuration est fonctionnelle : lancez <code>ifquery -a</code>

Redémarrez à nouveau votre serveur

==Installation de proxmox - pve==

Une fois le redémarrage effectué, vous allez enfin pouvoir installer pve :
<pre>apt install proxmox-ve ksm-control-daemon chrony</pre>
<pre>apt remove os-prober</pre>

Editez la configuration réseau <code>/etc/network/interfaces</code> afin d'y créer votre bridge :
<pre>
auto eno3
iface eno3 inet manual

auto vmbr0
iface vmbr0 inet static
address xxxxx/24
gateway xxxx
hwaddress AA:BB:CC:11:22:33
bridge_ports eno3
bridge_stp off
bridge_fd 0
</pre>

Définissez la ligne <code>hwaddress</code> avec l'adresse MAC de l'interface eno3.

Installez votre clé SSH dans <code>/root/.ssh/authorized_keys</code> puis désactivez le login root par password de OpenSSH dans <code>/etc/ssh/sshd_config</code>.
 

Une fois tout installé, je vous conseille de reconfigurer grub afin de mettre à jour la configuration interne de debian:
* Pour EFI : <code>dpkg-reconfigure grub-efi-amd64</code>
* Pour BIOS : <code>dpkg-reconfigure grub-pc</code>

 
Redémarrez une dernière fois pour appliquer les changements.

Votre proxmox sera accessible à l'adresse https://ip:8006

==Nettoyage des paquets==

Si vous ne comptez pas utiliser ZFS, vous pouvez supprimer les paquets suivantes :
<pre>apt purge zfs-zed libnvpair3linux libuutil3linux libzfs4linux libzpool5linux zfsutils-linux</pre>

==Configuration réseau avancée==

===Ajout d'une IPv6 sur vmbr0===

===Ajout d'un réseau interne vmbr1===

Nous allons voir comment créer un réseau interne avec proxmox, c'est à dire, un réseau qui ne sera attaché à aucune interface réseau physique. L'intérêt est d'offrir un débit bien supérieur pour les communications entre les VMs.

Ajoutez les lignes suivantes dans <code>/etc/network/interfaces</code> :

<pre>
auto vmbr1
iface vmbr1 inet static
address 192.168.0.1
netmask 255.255.255.0
</pre>

Note : vous pouvez faire de même en ipv6 :
* il faut utiliser le range Unique Local Address (ULA) fd00::/8 (http://en.wikipedia.org/wiki/Unique_Local_Address)
* pour générer votre ULA : http://pfoo.unscdf.org/ula/gen-ula.html

==Sécurisation de base==

Je vous conseil de commencer à sécuriser votre ssh :
* désactivez le login root (directive <code>PermitRootLogin no</code> dans <code>/etc/ssh/sshd_config</code>). Pensez néanmoins à créer un utilisateur pour vous connecter en ssh avant de désactiver le login root.
* utilisez la directive <code>allowusers <user></code> dans <code>/etc/ssh/sshd_config</code> pour n'autoriser que certains utilisateurs à se connecter en ssh.

Il est aussi préférable d'installer le serveur de temps NTP à la place de systemd-timesyncd:
<pre>
apt install chrony
apt purge systemd-timesyncd
</pre>

=Configurer le serveur mail postfix=

==Configuration==

==Certificats SSL==
Si vous avez votre propre autorité ssl, vous pouvez générer votre propre certificat. Si ce n'est pas le cas, vous pouvez toujours aller lire [http://wiki.unscdf.org/index.php?title=Installation_et_configuration_de_OpenSSL ceci] afin d'apprendre à créer votre autorité ssl.

Ajoutez les lignes suivantes dans <code>/etc/ssl/openssl.cnf</code> :
<pre>
[POSTFIX]
nsComment = "SMTP Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
issuerAltName = issuer:copy
basicConstraints = critical,CA:FALSE
keyUsage = critical, digitalSignature, nonRepudiation, keyEncipherment
nsCertType = server
extendedKeyUsage = serverAuth
</pre>

Puis générez la clé et le certificat, et signez le avec votre autorité (int_ca dans mon cas) :
<pre>
openssl req -config /etc/ssl/openssl.cnf -nodes -newkey rsa:2048 -keyout postfix.key -out postfix.req
openssl ca -config /etc/ssl/openssl.cnf -name int_ca -extensions POSTFIX -in postfix.req -out postfix.pem
</pre>

Déplacez les fichiers dans le répertoire <code>/etc/postfix/ssl</code> :
<pre>
mkdir /etc/postfix/ssl
mv postfix.key /etc/postfix/ssl/
mv postfix.pem /etc/postfix/ssl/
chmod 600 /etc/postfix/ssl/*
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/int_ca/int_ca.pem > /etc/postfix/ssl/ca_chain.pem
</pre>

Il faut encore modifier <code>/etc/postfix/main.cf</code> :
<pre>
smtpd_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtpd_tls_key_file=/etc/postfix/ssl/postfix.key
smtpd_tls_CAfile=/etc/postfix/ssl/ca_chain.pem
smtpd_use_tls=yes
smtp_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtp_tls_key_file=/etc/postfix/ssl/postfix.key
smtp_tls_CAfile=/etc/postfix/ssl/ca_chain.pem

smtpd_tls_security_level=may
smtp_tls_security_level=may
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1

#smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
</pre>

=Utiliser son propre certificat SSL proxmox avec un signataire intermédiaire=

Depuis Proxmox 5.2, il n'est plus recommandé d'adapter manuellement les fichiers contenant les certificats et clés privés de proxmox. 
Cependant, vous pouvez placer directement votre clé privé dans le fichier <code>/etc/pve/local/pveproxy-ssl.key</code> et la chaîne de certification dans le fichier <code>/etc/pve/local/pveproxy-ssl.pem</code>. Vous pouvez également déposer ces fichiers via la webui de proxmox au niveau de chaque serveur.

=Surveiller l'état des disques avec SMART=

Commencez par installer le paquet smartmontools :
<pre>apt install smartmontools</pre>

Vérifiez que vos disques gèrent smart et qu'il est activé :
<pre>
smartctl -i /dev/sda
smartctl -i /dev/sdb
</pre>

Si smart n'est pas activé, essayez de l'activer comme ceci :
<pre>
smartctl -s on /dev/sda
smartctl -s on /dev/sdb
</pre>

Vérifiez le statut de santé de vos disques :
<pre>
smartctl -H /dev/sda
smartctl -H /dev/sdb
</pre>
S'il indique <code>PASSED</code> c'est bon de ce côté. S'il vous indique <code>FAILED</code>, sauvegardez immédiatement vos données !

Vérifiez la présence d'erreurs dans le log smart :
<pre>
smartctl -l error /dev/sda
smartctl -l error /dev/sdb
</pre>

Si vous voyez <code>No Errors Logged</code> ou quelques erreurs, c'est bon. S'il y eu a beaucoup, il faut envisager de changer le disque.

Le fichier de configuration de smartd est <code>/etc/smartd.conf</code>. Commentez la ligne <code>DEVICESCAN</code> puis ajoutez les lignes suivantes pour surveiller les deux disques durs :
<pre>
/dev/sda -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
/dev/sdb -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
</pre>

Nous activons la surveillance globale (<code>-a</code>), la vérification automatique offline, (<code>-o on</code>), la sauvegarde automatique des attributs (<code>-S on</code> et lançons un <code>short self test</code> tous les jours à 2h du matin, et un <code>long self test</code> tous les samedi à 3h du matin. Si des erreurs sont détectés, un email est envoyé à vous@domain.tld. 

Relancez smartd :
<pre>/etc/init.d/smartmontools restart</pre>

Pour plus d'information sur SMART et ses arguments : [[Diagnostic smart d'un disque]]

=Protégez votre proxmox=

==Désactiver le login root sur l'interface proxmox==
Avant toute manipulation, n'oubliez pas de créer un utilisateur ayant les droits d'administration pour accéder à l'interface de proxmox

===Via l'interface proxmox===
Dans Datacenter > Permissions > Users : Editez l'utilisateur root et décochez la case <code>Enabled</code>

===Via les droits linux===
<pre>passwd --lock root</pre>

Attention, dans ce cas, vous ne pourrez plus vous loguer en root sur le serveur par ssh (sauf si vous avez une clé ssh défini), écran ou kvm !

===Via PAM===
Vous pouvez désactiver le login pam en éditant <code>/etc/pam.d/other</code> et en y ajoutant, en début de fichier, les lignes suivantes :
<pre>
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
account required pam_warn.so
</pre>

Attention, cette méthode peut avoir des effets de bord si d'autres programmes utilisent l'entité pam/other

==Désactiver rpcbind==

Si vous n'utilisez pas de montage NFS vous pouvez désactiver rpcbind. 
Editez <code>/etc/default/nfs-common</code> et passez l'argument suivant :
<pre>NEED_STATD=no</pre>

Puis désactivez rpcbind :
<pre>
systemctl disable rpcbind.target
systemctl disable rpcbind.socket
systemctl disable rpcbind.service
systemctl stop rpcbind.target
systemctl stop rpcbind.socket
systemctl stop rpcbind.service
</pre>

==Eviter les reboots accidentels avec molly-gard==
<pre>apt install molly-guard</pre>

==Protection SSH avec sshguard==

[[Protéger SSH avec sshguard]]

==Protéger l'interface web avec fail2ban==

<pre>apt install fail2ban</pre>

Créez le fichier <code>/etc/fail2ban/jail.local</code> contenant :
<pre>
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 1800
maxretry = 3

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

action = %(action_mwl)s

[ssh]
enabled = false

[sshd]
enabled = false

[proxmox]
enabled = true
port = https,http,8006
filter = proxmox
backend = systemd
maxretry = 4
findtime = 2d
bantime = 1h
</pre>

Créez le fichier <code>/etc/fail2ban/filter.d/proxmox.conf</code> :
<pre>
[Definition]
failregex = pvedaemon\[.*authentication failure; rhost=<HOST> user=.* msg=.*
ignoreregex =
journalmatch = _SYSTEMD_UNIT=pvedaemon.service
</pre>

Relancez fail2ban :
<pre>/etc/init.d/fail2ban restart</pre>

==firewall iptables==

=Création d'un stockage pour les VMs=

Créez les partitions sda4 et sdb4 au moyen de gdisk (EFI) ou parted (BIOS).

Créez sur ces partitions un raid :
<pre>mdadm --create --verbose /dev/md4 --level=1 --raid-devices=2 /dev/sda4 /dev/sdb4</pre>

Maintenez à jour <code>mdadm.conf</code> et votre initramfs afin de conserver le bon naming du raid après reboot :
<pre>
mdadm --examine --scan >> /etc/mdadm/mdadm.conf
update-initramfs -u
</pre>

Puis initialisez-y un LVM :
<pre>
pvcreate /dev/md4
vgcreate main /dev/md4
</pre>

Il ne reste plus qu'a déclarer ce Volume Group LVM dans l'interface proxmox.

=VM qemu/kvm=

==Télécharger vos images==

Vous pouvez placer les iso dans <code>/var/lib/vz/template/iso/</code> avec <code>wget</code> par exemple.
Notez que l'interface graphique de proxmox propose également une fonction d'upload.

==Créer votre première VM==

Une fois la VM crées dans l'interface proxmox, je vous recommande d'écrire des zero sur son disque afin de réduire la taille des futurs backups. Si votre vm porte le numéro 100 et possède un seul disque :
<pre>dd if=/dev/zero | pv -ptrb | dd of=/dev/main/vm-100-disk1 bs=1M</pre>

===Configuration réseau en bridge vmbr0 (ip public)===

===Configuration réseau en bridge vmbr1 (ip locale)===

Configuration réseau de la VM :
<pre>
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
gateway 192.168.0.1
</pre>

Règle iptables à ajouter sur l'hôte :
<pre>iptables -t nat -A POSTROUTING -s 192.168.0.2 -o vmbr0 -j SNAT --to IP-PUBLIC-DE-VOTRE-HOTE</pre>

Si vous souhaitez rendre accessible l'un des services de la VM depuis l'ip de l'hote sur un port sépcifique :
<pre>
iptables -t nat -A PREROUTING -p tcp -d <ip de l'hote> --dport <port souhaité> -i vmbr0 -j DNAT --to-destination 192.168.0.2:port
</pre>

==Bloquer le spoofing d'adresse mac==
Sur l'hyperviseur, installez <code>ebtables</code> :
<pre>aptitude install ebtables</pre>

Admettons ensuite que votre VM a comme adresse ip <code>84.93.26.3</code> et que son adresse mac doit être <code>52:54:00:00:98:b6</code> :
<pre>ebtables -A FORWARD -p IPv4 --ip-src 84.93.26.3 -s ! 52:54:00:00:98:b6 -j DROP</pre>

Vous pouvez faire de même pour l'ipv6. Dans l'exemple suivant, seul le bloc ipv6 <code>2a01:d4h:123b:100::/56</code> est utilisable par la vm :
<pre>ebtables -A FORWARD -p IPv6 --ip6-src 2a01:d4h:123b:100::/56 -s ! 52:54:00:00:08:b1 -j DROP</pre>

==Importer une VM depuis vmware ESXi==

==qm et modification des VMs en ligne de commande==

==Monter les partitions d'une VM depuis l'host==

<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

pour la partition 1 : start*blocksize = offset
donc 2048*512 = 1048576

<pre>losetup /dev/loop1 -o 1048576 /dev/main/vm-101-disk-1 </pre>

Et enfin :
<pre>mount /dev/loop1 /mnt</pre>

Quand vous avez terminé vos modifications :
<pre>
umount /mnt
losetup -d /dev/loop1
losetup -d /dev/loop0
</pre>

===Si la partition que vous voulez monter est un LVM===

Scannez les nouveaux volumes :
<pre>lvm pvscan</pre>

Activez les groupes :
<pre>lvm vgchange -ay</pre>

listez les lvms avec :
<pre>lvm lvs</pre>

Les LV devraient apparaître dans <code>/dev/mapper/</code>

Quand vous avez terminé :
* démontez les LV
* Désactivez le groupe avec <code>vgchange -an</code>
* désactivez le loopback : <code>losetup -d /dev/loop0</code>

==Augmenter la taille du disque d'une VM==

Coupez la VM.

Sur l'host pour modifier la taille du disque 1 de la vm 110 ) 140G :
<pre>lvextend -L 140G /dev/main/vm-110-disk-1</pre>

Il faut ensuite, sur la vm lancée, utiliser resize2fs

==Migrer une VM vers un autre serveur manuellement (pas de cluster) avec un downtime minimum==

Nous allons voir comment migrer une VM proxmox stockée sur un LVM d'un serveur à un autre, et ce, en minimisant au maximum le downtime. Pour cela, nous allons coupler la fonctionnalité de snapshot de lvm avec un petit script (lvmsync) qui permet de ne transférer que les blocs modifiés d'un snapshot.

Installez dmsetup et ruby (1.8 minimum) sur le serveur d'origine et de destination :
<pre>aptitude install dmsetup ruby</pre>

Récupérez <code>lvmsync</code> sur https://github.com/mpalmer/lvmsync et placez le dans /sbin/ sur les serveurs d'origine et de destination.

Dans cet exemple, nous allons migrer la vm 102 disposant d'un seul disque virtuel nommé vm-102-disk-1 et stocké dans le vg main du serveur server1.domain.tld vers le serveur server2.domain.tld.
Pour commencer, créez un snapshot de votre vm sur server1 :
<pre>lvcreate --snapshot -L200G -n 102-lvmsync main/vm-102-disk-1</pre>

Désormais, tous les io de cette vm seront stockés dans le snapshot 102-lvmsync.

Sur votre nouveau serveur, créez une VM identique à celle de votre premier serveur (surtout en qui concerne la taille de disque).
Depuis server1, copiez avec un dd over ssh le disque d'origine de votre vm vers votre nouveau serveur.
<pre>dd if=/dev/main/vm-102-disk-1 | pv -ptrb | ssh -o "Compression no" root@server2.domain.tld "dd of=/dev/main/vm-102-disk-1 bs=100M"</pre>

Note : sur un réseauu 100Mbps utilisez plutôt <code>-o "Compressionlevel 1"</code>

Une fois la copie terminée, coupez la vm 102 sur server1, puis lancez lvmsync sur le snapshot (toujours sur server1) :
<pre>lvmsync /dev/main/102-lvmsync server2.domain.tld:/dev/main/vm-102-disk-1</pre>

Une fois le travail de lvmsync achevé, il ne nous reste plus qu'a relancer la vm sur server2

A titre d'information, si vous voulez merger le snapshot de la vm 102 sur server 1, tapez :
<pre>lvconvert --merge /dev/main/102-lvmsync</pre>

=Conteneur LXC=

==Empêcher la mise à jour automatique de certains fichiers de configuration système du conteneur==

Certains fichiers de configuration du conteneur sont mis à jour automatiquement à chaque démarrage (voir https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_guest_operating_system_configuration)

On peut empêcher la mise à jour de ces fichiers en créant un fichier <code>.pve-ignore.NOM</code> 
Par exemple, <code>/etc/.pve-ignore.resolv.conf</code> empêchera le fichier <code>/etc/resolv.conf</code> d'être mis à jour à chaque démarrage.

=Annexes=

==Problème de layout dans la console vnc==
Dans l'interface web de proxmox : datacenter > option > passez Keyboard de <code>default</code> à <code>French</code>.

==Erreurs du type <code>IPv6 addrconf: prefix with wrong length 56</code> ==

Cette erreur est typique sous linux si les routeurs de votre serveur annoncent des blocs IPv6 /56 alors que vous configurez des /64.
Ajouter les lignes suivantes dans un fichier <code>/etc/sysctl.d/local.conf</code> :
<pre>
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.eno3.autoconf = 0
net.ipv6.conf.vmbr0.autoconf = 0
</pre>

Terminez par relancer procps :
<pre>/etc/init.d/procps restart</pre>

==paramètre sysctl ipv6 non appliqué au boot==
Ajoutez le module ipv6 dans /etc/modules afin d'assurer le chargement d'ipv6 avant l’exécution de sysctl :
<pre>echo ipv6 >> /etc/modules</pre>

==LVM inaccessible depuis l'host==

<pre>
lvm pvscan
lvm vgchange -ay
</pre>

==L'interface web ne fonctionne pas et la commande qm retourne une erreur ipcc_send_rec failed: Connection refused==

Vérifiez la présence de fichiers et dossiers dans <code>/etc/pve/</code>. Si ce dossier est vide, c'est probablement que votre fichier <code>/etc/hosts</code> est mal configuré. 
Essayez de relancer <code>pve-cluster</code> :
<pre>/etc/init.d/pve-cluster restart</pre>

Si vous avez une erreur ou un warning, lancez la commande pmxcfs. Vous devriez obtenir ceci :
<pre>
$# pmxcfs
Jan 21 15:28:19 proxmox pmxcfs[1846]: Unable to get local IP address (pmxcfs.c:721:main)
</pre>

Vérifiez alors que le contenu de <code>/etc/hostname</code> est défini dans <code>/etc/hosts</code>.

Si par exemple <code>/etc/hostname</code> contient <code>proxmox.domain.tld</code> vous devriez avoir la ligne suivante dans <code>/etc/hosts</code> :
<pre>VOTREIP proxmox.domain.tld proxmox</pre>

==Pas assez d'interfaces loopback==

Créer le fichier <code>/etc/modprobe.d/local-loop.conf</code> contenant :
<pre>options loop max_loop=64</pre>

Vous pouvez ensuite redémarrer ou recharger le module loop :
<pre> rmmod loop && modprobe loop</pre>

==Défragmentation LVM : exemple==
<pre>
hub:~# pvdisplay --maps
--- Physical volume ---
PV Name /dev/sda4
VG Name main
PV Size 1.76 TB / not usable 456.00 KB
Allocatable yes
PE Size (KByte) 4096
Total PE 461649
Free PE 208721
Allocated PE 252928
PV UUID PUqV5Q-WRW2-n20t-eFVM-CA1r-RhDl-2RTJHq

--- Physical Segments ---
Physical extent 0 to 7935:
Logical volume /dev/main/vm-101-disk-1
Logical extents 0 to 7935
Physical extent 7936 to 72191:
Logical volume /dev/main/vm-101-disk-2
Logical extents 0 to 64255
Physical extent 72192 to 136703:
Logical volume /dev/main/vm-102-disk-1
Logical extents 0 to 64511
Physical extent 136704 to 144895:
Logical volume /dev/main/vm-103-disk-1
Logical extents 0 to 8191
Physical extent 144896 to 209151:
Logical volume /dev/main/vm-103-disk-2
Logical extents 0 to 64255
Physical extent 209152 to 214271:
Logical volume /dev/main/vm-104-disk-1
Logical extents 0 to 5119
Physical extent 214272 to 227327:
Logical volume /dev/main/vm-104-disk-2
Logical extents 0 to 13055
Physical extent 227328 to 282111:
FREE
Physical extent 282112 to 307711:
Logical volume /dev/main/vm-108-disk-1
Logical extents 0 to 25599
Physical extent 307712 to 461648:
FREE
</pre>

Comme vous pouvez le voir, on a un trou "vide" entre l'extent 227328 et 282111, puis à nouveau des données entre l'extent 282112 et 307711.

Pour combler ce trou, nous allons déplacer les données des /dev/main/vm-108-disk-1 situés entre les extents 282112 et 307711 (soit 25599 extents au total) vers l'espace libre avec <code>pvmove</code> : 
pvmove /dev/sda4:282112-307711 /dev/sda4:227328-252927 --alloc anywhere

Notez qu'il faut attribuer exactement le même nombre d'extents à la destination qu'à l'origine : 227328 + 25599 = 252927

==Oups: j'ai supprimé le mauvais lvm==

Pas de panique, mais ne bougez plus ! Pour l'instant, seul les métadonnées du lvm sont impactés.
Et comme c'est bien foutu, lvm conserve un backup des anciennes metadonnées après chaque modification. Ces archives sont situés dans <code>/etc/lvm/archive/</code>. Les fichiers y sont nommés sous la forme vg_XXXX-YYYYYYY.vg. Normalement, le fichier ayant le XXXX le plus élevé sera celui de l'état précédent votre erreur.
Pour vérifier que vous avez sélectionné le bon fichier, vous pouvez l'ouvrir avec nano et regarder si l'état du lvm dans cette archive correspond a ce que vous attendez.

Pour restaurer l'archive des métadonnées main_00007-587941649.vg pour le vg main :
<pre>
vgcfgrestore -f /etc/lvm/archive/main_00007-587941649.vg main
lvm vgchange -ay
</pre>

Votre volume devrait être de retour.

Il faut encore vérifier que la table de partition contenu sur ce lvm n'a pas morphlé. En admettant que /dev/main/vm-101-disk-1 est la lvm que vous venez de restaurer :
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

Si vous voyez ça, c'est bon, vous êtes sauvés ! Si ce n'est pas le cas, continuez à lire ;)

===Récupération de la table de partition===

Si fdisk vous envois chier avec un message du style <code>Disk /dev/loop0 doesn't contain a valid partition table</code>, il va falloir récupérer la table de partition.

Installez testdisk :
<pre>aptitude install testdisk</pre>

Lancez le:
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# testdisk /dev/loop0
</pre>

Selectionez le media <code>/dev/loop0</code> et validez avec <code>enter</code>.
Au menu suivant, sélectionnez <code>intel</code> comme type de table de partition.
Au menu suivant, sélectionnez <code>analyse</code>
A l'écran suivant, tapez enter.
Avec de la chance, testdisk retrouvera vos partitions. Une fois qu'il aura terminé de travailler, il ne restera plus qu'à taper sur enter encore une fois, puis demander à testdisk de sauvegarder la table de partition

==L'interface proxmox n'affiche pas les disques de certaines VMs==

Ceci arrive typiquement si vous avez créé un volume logique à la main sans y ajouter le bon tag.
Vérifiez la présence des tags sur vos LV avec la commande <code>lvs --options 'vg_name,lv_name,lv_size,tags'</code> :
<pre>
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 20.00g
</pre>

Comme vous le voyez, le lv de la vm 101 n'est pas tagué. Vous pouvez ajouter le tag avec <code>lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1</code> :
<pre>
~# lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 16.00g pve-vm-101
</pre>

Si cela ne fonctionne pas, essayez de passer un petit coup de <code>qm rescan</code>

Proxmox 8

2025-10-03T11:18:49Z

Pfoo : /* Protéger l'interface web avec fail2ban */

[[Category:serveur]]
[[Category:debian]]
[[Category:virtualisation]]

Nous allons voir comment installer proxmox 7.x sur un raid 1 logiciel (md / mdadm) avec debootstrap.

=Prérequis=

Ce tutoriel se base sur l'utilisation de debootstrap pour installer une base de système d'exploitation debian. La plupart des hébergeurs proposent un système de "rescue" permettant l'installation de debian par ce moyen.
Si vous ne disposez pas de mode rescue, vous pouvez toujours utiliser l'installeur proposé par votre hébergeur, ou encore passer par un kvm pour installer vous même le système avec l'iso de debian.

=Pour les débutants=

Si vous êtes débutant en administration linux, je vous conseil de sauvegarder quelque part les fichier suivant issu d'une précédente installation de debian ou de proxmox
* <code>/etc/networks</code>
* <code>/etc/network/interfaces</code>
* <code>/etc/resolv.conf</code>
* <code>/etc/hosts</code>
* <code>/etc/fstab</code>
* <code>/etc/mdadm/mdadm.conf</code> si vous disposez d'un raid logiciel
* tout fichier de personnalisation de grub (<code>/etc/grub.d/</code> par exemple)

Cela vous permettra de vous faire une idée plus précise de ce qui doit figurer dans ces différents fichiers.

=Partitionnement et système de fichier=

Voici le partitionnement que je vais utiliser :
* Partition root (/) de 20 Go (/) en raid 1 sur les disques sda et sdb
* Partitions swap de 4096 Go chacune réparties sur sda et sdb
* Le reste de l'espace sera utilisé plus tard pour un LVM dédié aux VMs

==Partitionnement==

===Possibilité 1 : Partitionnement GPT pour EFI / UEFI===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions EFI (ESP), obligatoire pour le démarrage EFI/UEFI. Il faudra leur attribuer le type <code>EF00</code>. Pour assurer une bonne compatibilité avec les multiples firmwares EFI, il est recommandé de leur attribuer une taille de 512 MiB (+512M au prompt gdisk).
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

 

Pour les partitions EFI, nous créons un système de fichier FAT32 avec le label (nom) <code>EFI_SYSPART</code> :
<pre>
mkfs.fat -F 32 -n EFI_SYSPART /dev/sda1
mkfs.fat -F 32 -n EFI_SYSPART /dev/sdb1
</pre>

===Possibilité 2 : Partitionnement GPT pour BIOS===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions pour le bootloader. Il faudra leur attribuer le type <code>EF02</code>. On peut la créer idéalement du secteur 34 au secteur 2047 du disque.
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

Notez que la partition du bootloader ne doit pas être formatée.

===Possibilité 3 : partitionnement MBR pour BIOS (non prise en charge dans ce wiki)===

A titre informatif : création avec <code>parted</code>, sans nécessité de créer une partition dédiée au bootloader/grub.

==Création du RAID==

Pour des raisons esthétiques, définissez l'hostname de votre système de rescue :
<pre>hostname proxmox</pre>

Pour créer votre raid 1 avec 2 disques :
<pre>
mdadm --create --verbose /dev/md2 --level=1 --raid-devices=2 /dev/sda2 /dev/sdb2
</pre>

Notez que si vous souhaitez utiliser plus que 2 disques, il faut augmenter la valeur de <code>--raid-devices</code> et ajouter les partitions des disques à la suite.

Attendez que le raid soit synchronisé avant de continuer. Vous pouvez surveiller facilement cela avec la commande <code>watch cat /proc/mdstat</code>.

==Création des systèmes de fichiers==

Créez un système de fichier ext4 pour le raid du root :
<pre>
mkfs.ext4 /dev/md2
</pre>

Enfin, initialisez les swaps :
<pre>
mkswap /dev/sda3
mkswap /dev/sdb3
</pre>

=Installation de proxmox=

==Installation du système de base==

Nous débutons par installer le système de base de Debian avec <code>debootstrap</code>

Installez les paquets nécessaires dans votre rescue :
<pre>apt install debootstrap debian-keyring debian-archive-keyring</pre>

Montez votre partition raid root sur <code>/mnt</code> :
<pre>
mount /dev/md2 /mnt
</pre>

Installez le système de base debian, version bookworm :
<pre>debootstrap --arch=amd64 bookworm /mnt http://ftp.fr.debian.org/debian</pre>

==Configuration de Debian==

Montez les vfs suivants, puis chrootez dans votre nouveau système debian :
<pre>
mount -o bind /proc /mnt/proc
mount -o bind /dev /mnt/dev
mount -o bind /dev/pts /mnt/dev/pts
mount -o bind /sys /mnt/sys
chroot /mnt
</pre>

Configurez les archives apt : éditez le fichier <code>/etc/apt/sources.list</code> :
<pre>
# main archive
deb http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware

# security updates
deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware

# bookworm-updates, previously known as 'volatile'
deb http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware

# backports archive
deb http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
</pre>

Mettez à jour les paquets :
<pre>
apt update
apt full-upgrade
</pre>

Installez les locales et la configuration de console :
<pre>
apt install locales
dpkg-reconfigure locales
apt install console-data console-setup-linux console-setup wget
dpkg-reconfigure console-data # from arch > french > latin9)
</pre>

Définissez la zone horaire :
<pre>
tzselect
dpkg-reconfigure tzdata
</pre>

Configurez votre fichier <code>/etc/fstab</code>. 
Pour GPT pour EFI / UEFI :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda1 /boot/efi vfat defaults 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Pour GPT pour BIOS :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Montez la partition EFI / ESP dans le cas d'un partitionnement GPT pour EFI / UEFI :
<pre>
mkdir /boot/efi
mount /boot/efi
</pre>

Configurez les interfaces réseaux dans <code>/etc/network/interfaces</code> :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

auto eno3
iface eno3 inet static
address XXXX/24
gateway XXXX
</pre>

Configurez le fichier <code>/etc/hosts</code> :
<pre>
# local
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

# main
ipdelamachine proxmox.domain.tld proxmox pvelocalhost
</pre>

Définissez les hostnames dans ces fichiers :
<pre>
# Pour celui la : non-fqdn
echo proxmox > /etc/hostname
# Pour celui la : fqdn
echo proxmox.domain.tld > /etc/mailname
</pre>

'''ATTENTION''' Le fichier <code>/etc/hosts</code> DOIT être cohérent avec le fichier <code>/etc/hostname</code>. 
Par exemple, si le contenu de <code>/etc/hostname</code> est <code>proxmox</code> et que l'ip de votre proxmox est 225.182.54.9 il faudra veiller a avoir les informations suivantes dans <code>/etc/hosts</code> :
<pre>
127.0.0.1 localhost
225.182.54.9 proxmox.domain.tld proxmox pvelocalhost
</pre>

'''Attention : n'utilisez pas 127.0.1.1 (comme le fait debian) mais bien la vrai ip (ici 225.182.54.9)'''

N'oubliez pas de configurer les dns (ceux de votre hébergeur dédié) dans <code>/etc/resolv.conf</code> :
<pre>nameserver XX.XX.XX.XX</pre>

Installez postfix :
<pre>
hostname -F /etc/hostname
apt install postfix
</pre>

Enfin, comme nous installons notre partition de boot sur un raid software, il faut installer <code>madadm</code> à ce stade :
<pre>apt install mdadm</pre>

Vérifiez si votre array root s'est bien défini automatiquement dans <code>/etc/mdadm/mdadm.conf</code>. Si ce n'est pas me cas, ajoutez la configuration de l'array manuellement :
<pre>mdadm --examine --scan >> /etc/mdadm/mdadm.conf</pre>

==Installation de proxmox - kernel==

Ajoutez le dépot proxmox dans le fichier /etc/apt/source.list :
<pre>
# PVE pve-no-subscription repository provided by proxmox.com, NOT recommended for production use
deb http://download.proxmox.com/debian/pve bookworm pve-no-subscription
</pre>

Ajoutez la clé du dépôt proxmox :
<pre>
wget https://enterprise.proxmox.com/debian/proxmox-release-bookworm.gpg -O /etc/apt/trusted.gpg.d/proxmox-release-bookworm.gpg
</pre>

Mettez à jour le système :
<pre>
apt update
apt full-upgrade
</pre>

===Possibilité 1 : Partitions GPT pour EFI / UEFI===

Vérifiez que <code>/boot/efi</code> est bien monté. Si ce n'est pas le cas, faites le.

Installez le kernel proxmox :
<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-efi-amd64 gdisk
</pre>

Supprimez les paquets suivant si vous n'avez pas besoin de secureboot :
<pre>apt purge grub-efi-amd64-signed mokutil shim-helpers-amd64-signed shim-signed shim-signed-common shim-unsigned</pre>

Normalement tout doit se faire avec des promps. Si ce n'était pas le cas :
<pre>grub-install --bootloader-id=proxmox</pre>

Si jamais vous utilisez un démarrage en PXE (c'est le cas sur un serveur OVH par exemple), utilisez l'argument <code>--no-nvram</code> pour empêcher grub de mettre à jour la NVRAM et casser votre mécanique de démarrage PXE :
<pre>grub-install --bootloader-id=proxmox --no-nvram</pre>

Etant donné que seul <code>/dev/sda1</code> est monté sur <code>/boot/efi</code>, il faut transférer manuellement les données sur <code>/dev/sdb1</code> :
<pre>
mount /dev/sdb1 /mnt
rsync -av /boot/efi/ /mnt/
umount /mnt
</pre>

Si pour une raison quelconque, vous aviez besoin des headers du kernel :
<pre>apt install pve-headers-5.15</pre>

===Possibilité 2 : Partitions GPT pour BIOS OU Partitions MBR pour BIOS===

<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-pc gdisk
</pre>

Lorsqu'on vous demandera où installer grub, choisissez <code>sda</code> ET <code>sdb</code>. Sinon :
<pre>
grub-install /dev/sda
grub-install /dev/sdb
</pre>

==Installation de proxmox - OpenSSH==

Installez openssh et définissez un password root. Autorisez le login root par password temporairement.
<pre>
hostname -F /etc/hostname
apt install openssh-server
passwd
sed -i "s/#PermitRootLogin prohibit-password/PermitRootLogin yes/g" /etc/ssh/sshd_config
</pre>

==Installation de proxmox - Vérifications finales et redémarrage sur le kernel proxmox==

Si vous avez une configuration particulière à entrer dans <code>/etc/default/grub</code>, faites le maintenant. Par exemple :
<pre>
GRUB_CMDLINE_LINUX="nomodeset iommu=pt"
</pre>

Puis régénérez la configuration de grub :
<pre>update-grub</pre>

Vous pouvez vérifier que votre fstab est valide avec :
<pre>findmnt --verify --verbose</pre>

Vous pouvez maintenant sortir de votre chroot et démonter le système de fichier

<pre>
umount /boot/efi/
exit
umount /mnt/sys
umount /mnt/dev/pts
umount /mnt/dev
umount /mnt/proc
umount /mnt
</pre>

Enfin, redémarrez le serveur sur le disque dur.

==Installation de ifupdown2==

Le paquet <code>ifupdown2</code> est en voie de devenir le remplaçant officiel de <code>ifupdown</code> pour proxmox.

<pre>
apt install ifupdown2
apt purge ifupdown
systemctl enable networking
</pre>

Pour vérifier que votre configuration est fonctionnelle : lancez <code>ifquery -a</code>

Redémarrez à nouveau votre serveur

==Installation de proxmox - pve==

Une fois le redémarrage effectué, vous allez enfin pouvoir installer pve :
<pre>apt install proxmox-ve ksm-control-daemon chrony</pre>
<pre>apt remove os-prober</pre>

Editez la configuration réseau <code>/etc/network/interfaces</code> afin d'y créer votre bridge :
<pre>
auto eno3
iface eno3 inet manual

auto vmbr0
iface vmbr0 inet static
address xxxxx/24
gateway xxxx
hwaddress AA:BB:CC:11:22:33
bridge_ports eno3
bridge_stp off
bridge_fd 0
</pre>

Définissez la ligne <code>hwaddress</code> avec l'adresse MAC de l'interface eno3.

Installez votre clé SSH dans <code>/root/.ssh/authorized_keys</code> puis désactivez le login root par password de OpenSSH dans <code>/etc/ssh/sshd_config</code>.
 

Une fois tout installé, je vous conseille de reconfigurer grub afin de mettre à jour la configuration interne de debian:
* Pour EFI : <code>dpkg-reconfigure grub-efi-amd64</code>
* Pour BIOS : <code>dpkg-reconfigure grub-pc</code>

 
Redémarrez une dernière fois pour appliquer les changements.

Votre proxmox sera accessible à l'adresse https://ip:8006

==Nettoyage des paquets==

Si vous ne comptez pas utiliser ZFS, vous pouvez supprimer les paquets suivantes :
<pre>apt purge zfs-zed libnvpair3linux libuutil3linux libzfs4linux libzpool5linux zfsutils-linux</pre>

==Configuration réseau avancée==

===Ajout d'une IPv6 sur vmbr0===

===Ajout d'un réseau interne vmbr1===

Nous allons voir comment créer un réseau interne avec proxmox, c'est à dire, un réseau qui ne sera attaché à aucune interface réseau physique. L'intérêt est d'offrir un débit bien supérieur pour les communications entre les VMs.

Ajoutez les lignes suivantes dans <code>/etc/network/interfaces</code> :

<pre>
auto vmbr1
iface vmbr1 inet static
address 192.168.0.1
netmask 255.255.255.0
</pre>

Note : vous pouvez faire de même en ipv6 :
* il faut utiliser le range Unique Local Address (ULA) fd00::/8 (http://en.wikipedia.org/wiki/Unique_Local_Address)
* pour générer votre ULA : http://pfoo.unscdf.org/ula/gen-ula.html

==Sécurisation de base==

Je vous conseil de commencer à sécuriser votre ssh :
* désactivez le login root (directive <code>PermitRootLogin no</code> dans <code>/etc/ssh/sshd_config</code>). Pensez néanmoins à créer un utilisateur pour vous connecter en ssh avant de désactiver le login root.
* utilisez la directive <code>allowusers <user></code> dans <code>/etc/ssh/sshd_config</code> pour n'autoriser que certains utilisateurs à se connecter en ssh.

Il est aussi préférable d'installer le serveur de temps NTP à la place de systemd-timesyncd:
<pre>
apt install chrony
apt purge systemd-timesyncd
</pre>

=Configurer le serveur mail postfix=

==Configuration==

==Certificats SSL==
Si vous avez votre propre autorité ssl, vous pouvez générer votre propre certificat. Si ce n'est pas le cas, vous pouvez toujours aller lire [http://wiki.unscdf.org/index.php?title=Installation_et_configuration_de_OpenSSL ceci] afin d'apprendre à créer votre autorité ssl.

Ajoutez les lignes suivantes dans <code>/etc/ssl/openssl.cnf</code> :
<pre>
[POSTFIX]
nsComment = "SMTP Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
issuerAltName = issuer:copy
basicConstraints = critical,CA:FALSE
keyUsage = critical, digitalSignature, nonRepudiation, keyEncipherment
nsCertType = server
extendedKeyUsage = serverAuth
</pre>

Puis générez la clé et le certificat, et signez le avec votre autorité (int_ca dans mon cas) :
<pre>
openssl req -config /etc/ssl/openssl.cnf -nodes -newkey rsa:2048 -keyout postfix.key -out postfix.req
openssl ca -config /etc/ssl/openssl.cnf -name int_ca -extensions POSTFIX -in postfix.req -out postfix.pem
</pre>

Déplacez les fichiers dans le répertoire <code>/etc/postfix/ssl</code> :
<pre>
mkdir /etc/postfix/ssl
mv postfix.key /etc/postfix/ssl/
mv postfix.pem /etc/postfix/ssl/
chmod 600 /etc/postfix/ssl/*
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/int_ca/int_ca.pem > /etc/postfix/ssl/ca_chain.pem
</pre>

Il faut encore modifier <code>/etc/postfix/main.cf</code> :
<pre>
smtpd_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtpd_tls_key_file=/etc/postfix/ssl/postfix.key
smtpd_tls_CAfile=/etc/postfix/ssl/ca_chain.pem
smtpd_use_tls=yes
smtp_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtp_tls_key_file=/etc/postfix/ssl/postfix.key
smtp_tls_CAfile=/etc/postfix/ssl/ca_chain.pem

smtpd_tls_security_level=may
smtp_tls_security_level=may
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1

#smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
</pre>

=Utiliser son propre certificat SSL proxmox avec un signataire intermédiaire=

Depuis Proxmox 5.2, il n'est plus recommandé d'adapter manuellement les fichiers contenant les certificats et clés privés de proxmox. 
Cependant, vous pouvez placer directement votre clé privé dans le fichier <code>/etc/pve/local/pveproxy-ssl.key</code> et la chaîne de certification dans le fichier <code>/etc/pve/local/pveproxy-ssl.pem</code>. Vous pouvez également déposer ces fichiers via la webui de proxmox au niveau de chaque serveur.

=Surveiller l'état des disques avec SMART=

Commencez par installer le paquet smartmontools :
<pre>apt install smartmontools</pre>

Vérifiez que vos disques gèrent smart et qu'il est activé :
<pre>
smartctl -i /dev/sda
smartctl -i /dev/sdb
</pre>

Si smart n'est pas activé, essayez de l'activer comme ceci :
<pre>
smartctl -s on /dev/sda
smartctl -s on /dev/sdb
</pre>

Vérifiez le statut de santé de vos disques :
<pre>
smartctl -H /dev/sda
smartctl -H /dev/sdb
</pre>
S'il indique <code>PASSED</code> c'est bon de ce côté. S'il vous indique <code>FAILED</code>, sauvegardez immédiatement vos données !

Vérifiez la présence d'erreurs dans le log smart :
<pre>
smartctl -l error /dev/sda
smartctl -l error /dev/sdb
</pre>

Si vous voyez <code>No Errors Logged</code> ou quelques erreurs, c'est bon. S'il y eu a beaucoup, il faut envisager de changer le disque.

Le fichier de configuration de smartd est <code>/etc/smartd.conf</code>. Commentez la ligne <code>DEVICESCAN</code> puis ajoutez les lignes suivantes pour surveiller les deux disques durs :
<pre>
/dev/sda -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
/dev/sdb -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
</pre>

Nous activons la surveillance globale (<code>-a</code>), la vérification automatique offline, (<code>-o on</code>), la sauvegarde automatique des attributs (<code>-S on</code> et lançons un <code>short self test</code> tous les jours à 2h du matin, et un <code>long self test</code> tous les samedi à 3h du matin. Si des erreurs sont détectés, un email est envoyé à vous@domain.tld. 

Relancez smartd :
<pre>/etc/init.d/smartmontools restart</pre>

Pour plus d'information sur SMART et ses arguments : [[Diagnostic smart d'un disque]]

=Protégez votre proxmox=

==Désactiver le login root sur l'interface proxmox==
Avant toute manipulation, n'oubliez pas de créer un utilisateur ayant les droits d'administration pour accéder à l'interface de proxmox

===Via l'interface proxmox===
Dans Datacenter > Permissions > Users : Editez l'utilisateur root et décochez la case <code>Enabled</code>

===Via les droits linux===
<pre>passwd --lock root</pre>

Attention, dans ce cas, vous ne pourrez plus vous loguer en root sur le serveur par ssh (sauf si vous avez une clé ssh défini), écran ou kvm !

===Via PAM===
Vous pouvez désactiver le login pam en éditant <code>/etc/pam.d/other</code> et en y ajoutant, en début de fichier, les lignes suivantes :
<pre>
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
account required pam_warn.so
</pre>

Attention, cette méthode peut avoir des effets de bord si d'autres programmes utilisent l'entité pam/other

==Désactiver rpcbind==

Si vous n'utilisez pas de montage NFS vous pouvez désactiver rpcbind. 
Editez <code>/etc/default/nfs-common</code> et passez l'argument suivant :
<pre>NEED_STATD=no</pre>

Puis désactivez rpcbind :
<pre>
systemctl disable rpcbind.target
systemctl disable rpcbind.socket
systemctl disable rpcbind.service
systemctl stop rpcbind.target
systemctl stop rpcbind.socket
systemctl stop rpcbind.service
</pre>

==Eviter les reboots accidentels avec molly-gard==
<pre>apt install molly-guard</pre>

==Protection SSH avec sshguard==

[[Protéger SSH avec sshguard]]

==Protéger l'interface web avec fail2ban==

<pre>aptitude install fail2ban</pre>

Créez le fichier <code>/etc/fail2ban/jail.local</code> contenant :
<pre>
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 1800
maxretry = 3

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

action = %(action_mwl)s

[ssh]
enabled = false

[sshd]
enabled = false

[proxmox]
enabled = true
port = https,http,8006
filter = proxmox
backend = systemd
maxretry = 4
findtime = 2d
bantime = 1h
</pre>

Créez le fichier <code>/etc/fail2ban/filter.d/proxmox.conf</code> :
<pre>
[Definition]
failregex = pvedaemon\[.*authentication failure; rhost=<HOST> user=.* msg=.*
ignoreregex =
journalmatch = _SYSTEMD_UNIT=pvedaemon.service
</pre>

Relancez fail2ban :
<pre>/etc/init.d/fail2ban restart</pre>

==firewall iptables==

=Création d'un stockage pour les VMs=

Créez les partitions sda4 et sdb4 au moyen de gdisk (EFI) ou parted (BIOS).

Créez sur ces partitions un raid :
<pre>mdadm --create --verbose /dev/md4 --level=1 --raid-devices=2 /dev/sda4 /dev/sdb4</pre>

Maintenez à jour <code>mdadm.conf</code> et votre initramfs afin de conserver le bon naming du raid après reboot :
<pre>
mdadm --examine --scan >> /etc/mdadm/mdadm.conf
update-initramfs -u
</pre>

Puis initialisez-y un LVM :
<pre>
pvcreate /dev/md4
vgcreate main /dev/md4
</pre>

Il ne reste plus qu'a déclarer ce Volume Group LVM dans l'interface proxmox.

=VM qemu/kvm=

==Télécharger vos images==

Vous pouvez placer les iso dans <code>/var/lib/vz/template/iso/</code> avec <code>wget</code> par exemple.
Notez que l'interface graphique de proxmox propose également une fonction d'upload.

==Créer votre première VM==

Une fois la VM crées dans l'interface proxmox, je vous recommande d'écrire des zero sur son disque afin de réduire la taille des futurs backups. Si votre vm porte le numéro 100 et possède un seul disque :
<pre>dd if=/dev/zero | pv -ptrb | dd of=/dev/main/vm-100-disk1 bs=1M</pre>

===Configuration réseau en bridge vmbr0 (ip public)===

===Configuration réseau en bridge vmbr1 (ip locale)===

Configuration réseau de la VM :
<pre>
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
gateway 192.168.0.1
</pre>

Règle iptables à ajouter sur l'hôte :
<pre>iptables -t nat -A POSTROUTING -s 192.168.0.2 -o vmbr0 -j SNAT --to IP-PUBLIC-DE-VOTRE-HOTE</pre>

Si vous souhaitez rendre accessible l'un des services de la VM depuis l'ip de l'hote sur un port sépcifique :
<pre>
iptables -t nat -A PREROUTING -p tcp -d <ip de l'hote> --dport <port souhaité> -i vmbr0 -j DNAT --to-destination 192.168.0.2:port
</pre>

==Bloquer le spoofing d'adresse mac==
Sur l'hyperviseur, installez <code>ebtables</code> :
<pre>aptitude install ebtables</pre>

Admettons ensuite que votre VM a comme adresse ip <code>84.93.26.3</code> et que son adresse mac doit être <code>52:54:00:00:98:b6</code> :
<pre>ebtables -A FORWARD -p IPv4 --ip-src 84.93.26.3 -s ! 52:54:00:00:98:b6 -j DROP</pre>

Vous pouvez faire de même pour l'ipv6. Dans l'exemple suivant, seul le bloc ipv6 <code>2a01:d4h:123b:100::/56</code> est utilisable par la vm :
<pre>ebtables -A FORWARD -p IPv6 --ip6-src 2a01:d4h:123b:100::/56 -s ! 52:54:00:00:08:b1 -j DROP</pre>

==Importer une VM depuis vmware ESXi==

==qm et modification des VMs en ligne de commande==

==Monter les partitions d'une VM depuis l'host==

<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

pour la partition 1 : start*blocksize = offset
donc 2048*512 = 1048576

<pre>losetup /dev/loop1 -o 1048576 /dev/main/vm-101-disk-1 </pre>

Et enfin :
<pre>mount /dev/loop1 /mnt</pre>

Quand vous avez terminé vos modifications :
<pre>
umount /mnt
losetup -d /dev/loop1
losetup -d /dev/loop0
</pre>

===Si la partition que vous voulez monter est un LVM===

Scannez les nouveaux volumes :
<pre>lvm pvscan</pre>

Activez les groupes :
<pre>lvm vgchange -ay</pre>

listez les lvms avec :
<pre>lvm lvs</pre>

Les LV devraient apparaître dans <code>/dev/mapper/</code>

Quand vous avez terminé :
* démontez les LV
* Désactivez le groupe avec <code>vgchange -an</code>
* désactivez le loopback : <code>losetup -d /dev/loop0</code>

==Augmenter la taille du disque d'une VM==

Coupez la VM.

Sur l'host pour modifier la taille du disque 1 de la vm 110 ) 140G :
<pre>lvextend -L 140G /dev/main/vm-110-disk-1</pre>

Il faut ensuite, sur la vm lancée, utiliser resize2fs

==Migrer une VM vers un autre serveur manuellement (pas de cluster) avec un downtime minimum==

Nous allons voir comment migrer une VM proxmox stockée sur un LVM d'un serveur à un autre, et ce, en minimisant au maximum le downtime. Pour cela, nous allons coupler la fonctionnalité de snapshot de lvm avec un petit script (lvmsync) qui permet de ne transférer que les blocs modifiés d'un snapshot.

Installez dmsetup et ruby (1.8 minimum) sur le serveur d'origine et de destination :
<pre>aptitude install dmsetup ruby</pre>

Récupérez <code>lvmsync</code> sur https://github.com/mpalmer/lvmsync et placez le dans /sbin/ sur les serveurs d'origine et de destination.

Dans cet exemple, nous allons migrer la vm 102 disposant d'un seul disque virtuel nommé vm-102-disk-1 et stocké dans le vg main du serveur server1.domain.tld vers le serveur server2.domain.tld.
Pour commencer, créez un snapshot de votre vm sur server1 :
<pre>lvcreate --snapshot -L200G -n 102-lvmsync main/vm-102-disk-1</pre>

Désormais, tous les io de cette vm seront stockés dans le snapshot 102-lvmsync.

Sur votre nouveau serveur, créez une VM identique à celle de votre premier serveur (surtout en qui concerne la taille de disque).
Depuis server1, copiez avec un dd over ssh le disque d'origine de votre vm vers votre nouveau serveur.
<pre>dd if=/dev/main/vm-102-disk-1 | pv -ptrb | ssh -o "Compression no" root@server2.domain.tld "dd of=/dev/main/vm-102-disk-1 bs=100M"</pre>

Note : sur un réseauu 100Mbps utilisez plutôt <code>-o "Compressionlevel 1"</code>

Une fois la copie terminée, coupez la vm 102 sur server1, puis lancez lvmsync sur le snapshot (toujours sur server1) :
<pre>lvmsync /dev/main/102-lvmsync server2.domain.tld:/dev/main/vm-102-disk-1</pre>

Une fois le travail de lvmsync achevé, il ne nous reste plus qu'a relancer la vm sur server2

A titre d'information, si vous voulez merger le snapshot de la vm 102 sur server 1, tapez :
<pre>lvconvert --merge /dev/main/102-lvmsync</pre>

=Conteneur LXC=

==Empêcher la mise à jour automatique de certains fichiers de configuration système du conteneur==

Certains fichiers de configuration du conteneur sont mis à jour automatiquement à chaque démarrage (voir https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_guest_operating_system_configuration)

On peut empêcher la mise à jour de ces fichiers en créant un fichier <code>.pve-ignore.NOM</code> 
Par exemple, <code>/etc/.pve-ignore.resolv.conf</code> empêchera le fichier <code>/etc/resolv.conf</code> d'être mis à jour à chaque démarrage.

=Annexes=

==Problème de layout dans la console vnc==
Dans l'interface web de proxmox : datacenter > option > passez Keyboard de <code>default</code> à <code>French</code>.

==Erreurs du type <code>IPv6 addrconf: prefix with wrong length 56</code> ==

Cette erreur est typique sous linux si les routeurs de votre serveur annoncent des blocs IPv6 /56 alors que vous configurez des /64.
Ajouter les lignes suivantes dans un fichier <code>/etc/sysctl.d/local.conf</code> :
<pre>
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.eno3.autoconf = 0
net.ipv6.conf.vmbr0.autoconf = 0
</pre>

Terminez par relancer procps :
<pre>/etc/init.d/procps restart</pre>

==paramètre sysctl ipv6 non appliqué au boot==
Ajoutez le module ipv6 dans /etc/modules afin d'assurer le chargement d'ipv6 avant l’exécution de sysctl :
<pre>echo ipv6 >> /etc/modules</pre>

==LVM inaccessible depuis l'host==

<pre>
lvm pvscan
lvm vgchange -ay
</pre>

==L'interface web ne fonctionne pas et la commande qm retourne une erreur ipcc_send_rec failed: Connection refused==

Vérifiez la présence de fichiers et dossiers dans <code>/etc/pve/</code>. Si ce dossier est vide, c'est probablement que votre fichier <code>/etc/hosts</code> est mal configuré. 
Essayez de relancer <code>pve-cluster</code> :
<pre>/etc/init.d/pve-cluster restart</pre>

Si vous avez une erreur ou un warning, lancez la commande pmxcfs. Vous devriez obtenir ceci :
<pre>
$# pmxcfs
Jan 21 15:28:19 proxmox pmxcfs[1846]: Unable to get local IP address (pmxcfs.c:721:main)
</pre>

Vérifiez alors que le contenu de <code>/etc/hostname</code> est défini dans <code>/etc/hosts</code>.

Si par exemple <code>/etc/hostname</code> contient <code>proxmox.domain.tld</code> vous devriez avoir la ligne suivante dans <code>/etc/hosts</code> :
<pre>VOTREIP proxmox.domain.tld proxmox</pre>

==Pas assez d'interfaces loopback==

Créer le fichier <code>/etc/modprobe.d/local-loop.conf</code> contenant :
<pre>options loop max_loop=64</pre>

Vous pouvez ensuite redémarrer ou recharger le module loop :
<pre> rmmod loop && modprobe loop</pre>

==Défragmentation LVM : exemple==
<pre>
hub:~# pvdisplay --maps
--- Physical volume ---
PV Name /dev/sda4
VG Name main
PV Size 1.76 TB / not usable 456.00 KB
Allocatable yes
PE Size (KByte) 4096
Total PE 461649
Free PE 208721
Allocated PE 252928
PV UUID PUqV5Q-WRW2-n20t-eFVM-CA1r-RhDl-2RTJHq

--- Physical Segments ---
Physical extent 0 to 7935:
Logical volume /dev/main/vm-101-disk-1
Logical extents 0 to 7935
Physical extent 7936 to 72191:
Logical volume /dev/main/vm-101-disk-2
Logical extents 0 to 64255
Physical extent 72192 to 136703:
Logical volume /dev/main/vm-102-disk-1
Logical extents 0 to 64511
Physical extent 136704 to 144895:
Logical volume /dev/main/vm-103-disk-1
Logical extents 0 to 8191
Physical extent 144896 to 209151:
Logical volume /dev/main/vm-103-disk-2
Logical extents 0 to 64255
Physical extent 209152 to 214271:
Logical volume /dev/main/vm-104-disk-1
Logical extents 0 to 5119
Physical extent 214272 to 227327:
Logical volume /dev/main/vm-104-disk-2
Logical extents 0 to 13055
Physical extent 227328 to 282111:
FREE
Physical extent 282112 to 307711:
Logical volume /dev/main/vm-108-disk-1
Logical extents 0 to 25599
Physical extent 307712 to 461648:
FREE
</pre>

Comme vous pouvez le voir, on a un trou "vide" entre l'extent 227328 et 282111, puis à nouveau des données entre l'extent 282112 et 307711.

Pour combler ce trou, nous allons déplacer les données des /dev/main/vm-108-disk-1 situés entre les extents 282112 et 307711 (soit 25599 extents au total) vers l'espace libre avec <code>pvmove</code> : 
pvmove /dev/sda4:282112-307711 /dev/sda4:227328-252927 --alloc anywhere

Notez qu'il faut attribuer exactement le même nombre d'extents à la destination qu'à l'origine : 227328 + 25599 = 252927

==Oups: j'ai supprimé le mauvais lvm==

Pas de panique, mais ne bougez plus ! Pour l'instant, seul les métadonnées du lvm sont impactés.
Et comme c'est bien foutu, lvm conserve un backup des anciennes metadonnées après chaque modification. Ces archives sont situés dans <code>/etc/lvm/archive/</code>. Les fichiers y sont nommés sous la forme vg_XXXX-YYYYYYY.vg. Normalement, le fichier ayant le XXXX le plus élevé sera celui de l'état précédent votre erreur.
Pour vérifier que vous avez sélectionné le bon fichier, vous pouvez l'ouvrir avec nano et regarder si l'état du lvm dans cette archive correspond a ce que vous attendez.

Pour restaurer l'archive des métadonnées main_00007-587941649.vg pour le vg main :
<pre>
vgcfgrestore -f /etc/lvm/archive/main_00007-587941649.vg main
lvm vgchange -ay
</pre>

Votre volume devrait être de retour.

Il faut encore vérifier que la table de partition contenu sur ce lvm n'a pas morphlé. En admettant que /dev/main/vm-101-disk-1 est la lvm que vous venez de restaurer :
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

Si vous voyez ça, c'est bon, vous êtes sauvés ! Si ce n'est pas le cas, continuez à lire ;)

===Récupération de la table de partition===

Si fdisk vous envois chier avec un message du style <code>Disk /dev/loop0 doesn't contain a valid partition table</code>, il va falloir récupérer la table de partition.

Installez testdisk :
<pre>aptitude install testdisk</pre>

Lancez le:
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# testdisk /dev/loop0
</pre>

Selectionez le media <code>/dev/loop0</code> et validez avec <code>enter</code>.
Au menu suivant, sélectionnez <code>intel</code> comme type de table de partition.
Au menu suivant, sélectionnez <code>analyse</code>
A l'écran suivant, tapez enter.
Avec de la chance, testdisk retrouvera vos partitions. Une fois qu'il aura terminé de travailler, il ne restera plus qu'à taper sur enter encore une fois, puis demander à testdisk de sauvegarder la table de partition

==L'interface proxmox n'affiche pas les disques de certaines VMs==

Ceci arrive typiquement si vous avez créé un volume logique à la main sans y ajouter le bon tag.
Vérifiez la présence des tags sur vos LV avec la commande <code>lvs --options 'vg_name,lv_name,lv_size,tags'</code> :
<pre>
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 20.00g
</pre>

Comme vous le voyez, le lv de la vm 101 n'est pas tagué. Vous pouvez ajouter le tag avec <code>lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1</code> :
<pre>
~# lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 16.00g pve-vm-101
</pre>

Si cela ne fonctionne pas, essayez de passer un petit coup de <code>qm rescan</code>

Proxmox 8

2025-10-03T11:17:43Z

Pfoo : /* Protéger l'interface web avec fail2ban */

[[Category:serveur]]
[[Category:debian]]
[[Category:virtualisation]]

Nous allons voir comment installer proxmox 7.x sur un raid 1 logiciel (md / mdadm) avec debootstrap.

=Prérequis=

Ce tutoriel se base sur l'utilisation de debootstrap pour installer une base de système d'exploitation debian. La plupart des hébergeurs proposent un système de "rescue" permettant l'installation de debian par ce moyen.
Si vous ne disposez pas de mode rescue, vous pouvez toujours utiliser l'installeur proposé par votre hébergeur, ou encore passer par un kvm pour installer vous même le système avec l'iso de debian.

=Pour les débutants=

Si vous êtes débutant en administration linux, je vous conseil de sauvegarder quelque part les fichier suivant issu d'une précédente installation de debian ou de proxmox
* <code>/etc/networks</code>
* <code>/etc/network/interfaces</code>
* <code>/etc/resolv.conf</code>
* <code>/etc/hosts</code>
* <code>/etc/fstab</code>
* <code>/etc/mdadm/mdadm.conf</code> si vous disposez d'un raid logiciel
* tout fichier de personnalisation de grub (<code>/etc/grub.d/</code> par exemple)

Cela vous permettra de vous faire une idée plus précise de ce qui doit figurer dans ces différents fichiers.

=Partitionnement et système de fichier=

Voici le partitionnement que je vais utiliser :
* Partition root (/) de 20 Go (/) en raid 1 sur les disques sda et sdb
* Partitions swap de 4096 Go chacune réparties sur sda et sdb
* Le reste de l'espace sera utilisé plus tard pour un LVM dédié aux VMs

==Partitionnement==

===Possibilité 1 : Partitionnement GPT pour EFI / UEFI===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions EFI (ESP), obligatoire pour le démarrage EFI/UEFI. Il faudra leur attribuer le type <code>EF00</code>. Pour assurer une bonne compatibilité avec les multiples firmwares EFI, il est recommandé de leur attribuer une taille de 512 MiB (+512M au prompt gdisk).
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

 

Pour les partitions EFI, nous créons un système de fichier FAT32 avec le label (nom) <code>EFI_SYSPART</code> :
<pre>
mkfs.fat -F 32 -n EFI_SYSPART /dev/sda1
mkfs.fat -F 32 -n EFI_SYSPART /dev/sdb1
</pre>

===Possibilité 2 : Partitionnement GPT pour BIOS===

Nous allons créer avec <code>gdisk</code> 3 partitions sur chaque disque :
* sda1 et sdb1 : partitions pour le bootloader. Il faudra leur attribuer le type <code>EF02</code>. On peut la créer idéalement du secteur 34 au secteur 2047 du disque.
* sda2 et sdb2 : partitions pour le raid root (/). Il faudra leur attribuer le type <code>FD00</code>.
* sda3 et sdb3 : partitions swap séparées. Il faudra leur attribuer le type <code>8200</code>.

Notez que la partition du bootloader ne doit pas être formatée.

===Possibilité 3 : partitionnement MBR pour BIOS (non prise en charge dans ce wiki)===

A titre informatif : création avec <code>parted</code>, sans nécessité de créer une partition dédiée au bootloader/grub.

==Création du RAID==

Pour des raisons esthétiques, définissez l'hostname de votre système de rescue :
<pre>hostname proxmox</pre>

Pour créer votre raid 1 avec 2 disques :
<pre>
mdadm --create --verbose /dev/md2 --level=1 --raid-devices=2 /dev/sda2 /dev/sdb2
</pre>

Notez que si vous souhaitez utiliser plus que 2 disques, il faut augmenter la valeur de <code>--raid-devices</code> et ajouter les partitions des disques à la suite.

Attendez que le raid soit synchronisé avant de continuer. Vous pouvez surveiller facilement cela avec la commande <code>watch cat /proc/mdstat</code>.

==Création des systèmes de fichiers==

Créez un système de fichier ext4 pour le raid du root :
<pre>
mkfs.ext4 /dev/md2
</pre>

Enfin, initialisez les swaps :
<pre>
mkswap /dev/sda3
mkswap /dev/sdb3
</pre>

=Installation de proxmox=

==Installation du système de base==

Nous débutons par installer le système de base de Debian avec <code>debootstrap</code>

Installez les paquets nécessaires dans votre rescue :
<pre>apt install debootstrap debian-keyring debian-archive-keyring</pre>

Montez votre partition raid root sur <code>/mnt</code> :
<pre>
mount /dev/md2 /mnt
</pre>

Installez le système de base debian, version bookworm :
<pre>debootstrap --arch=amd64 bookworm /mnt http://ftp.fr.debian.org/debian</pre>

==Configuration de Debian==

Montez les vfs suivants, puis chrootez dans votre nouveau système debian :
<pre>
mount -o bind /proc /mnt/proc
mount -o bind /dev /mnt/dev
mount -o bind /dev/pts /mnt/dev/pts
mount -o bind /sys /mnt/sys
chroot /mnt
</pre>

Configurez les archives apt : éditez le fichier <code>/etc/apt/sources.list</code> :
<pre>
# main archive
deb http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware

# security updates
deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware

# bookworm-updates, previously known as 'volatile'
deb http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware

# backports archive
deb http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
</pre>

Mettez à jour les paquets :
<pre>
apt update
apt full-upgrade
</pre>

Installez les locales et la configuration de console :
<pre>
apt install locales
dpkg-reconfigure locales
apt install console-data console-setup-linux console-setup wget
dpkg-reconfigure console-data # from arch > french > latin9)
</pre>

Définissez la zone horaire :
<pre>
tzselect
dpkg-reconfigure tzdata
</pre>

Configurez votre fichier <code>/etc/fstab</code>. 
Pour GPT pour EFI / UEFI :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda1 /boot/efi vfat defaults 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Pour GPT pour BIOS :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/md2 / ext4 defaults,errors=remount-ro,relatime 0 1
/dev/sda3 swap swap sw,pri=1 0 0
/dev/sdb3 swap swap sw,pri=1 0 0
</pre>

Montez la partition EFI / ESP dans le cas d'un partitionnement GPT pour EFI / UEFI :
<pre>
mkdir /boot/efi
mount /boot/efi
</pre>

Configurez les interfaces réseaux dans <code>/etc/network/interfaces</code> :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

auto eno3
iface eno3 inet static
address XXXX/24
gateway XXXX
</pre>

Configurez le fichier <code>/etc/hosts</code> :
<pre>
# local
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

# main
ipdelamachine proxmox.domain.tld proxmox pvelocalhost
</pre>

Définissez les hostnames dans ces fichiers :
<pre>
# Pour celui la : non-fqdn
echo proxmox > /etc/hostname
# Pour celui la : fqdn
echo proxmox.domain.tld > /etc/mailname
</pre>

'''ATTENTION''' Le fichier <code>/etc/hosts</code> DOIT être cohérent avec le fichier <code>/etc/hostname</code>. 
Par exemple, si le contenu de <code>/etc/hostname</code> est <code>proxmox</code> et que l'ip de votre proxmox est 225.182.54.9 il faudra veiller a avoir les informations suivantes dans <code>/etc/hosts</code> :
<pre>
127.0.0.1 localhost
225.182.54.9 proxmox.domain.tld proxmox pvelocalhost
</pre>

'''Attention : n'utilisez pas 127.0.1.1 (comme le fait debian) mais bien la vrai ip (ici 225.182.54.9)'''

N'oubliez pas de configurer les dns (ceux de votre hébergeur dédié) dans <code>/etc/resolv.conf</code> :
<pre>nameserver XX.XX.XX.XX</pre>

Installez postfix :
<pre>
hostname -F /etc/hostname
apt install postfix
</pre>

Enfin, comme nous installons notre partition de boot sur un raid software, il faut installer <code>madadm</code> à ce stade :
<pre>apt install mdadm</pre>

Vérifiez si votre array root s'est bien défini automatiquement dans <code>/etc/mdadm/mdadm.conf</code>. Si ce n'est pas me cas, ajoutez la configuration de l'array manuellement :
<pre>mdadm --examine --scan >> /etc/mdadm/mdadm.conf</pre>

==Installation de proxmox - kernel==

Ajoutez le dépot proxmox dans le fichier /etc/apt/source.list :
<pre>
# PVE pve-no-subscription repository provided by proxmox.com, NOT recommended for production use
deb http://download.proxmox.com/debian/pve bookworm pve-no-subscription
</pre>

Ajoutez la clé du dépôt proxmox :
<pre>
wget https://enterprise.proxmox.com/debian/proxmox-release-bookworm.gpg -O /etc/apt/trusted.gpg.d/proxmox-release-bookworm.gpg
</pre>

Mettez à jour le système :
<pre>
apt update
apt full-upgrade
</pre>

===Possibilité 1 : Partitions GPT pour EFI / UEFI===

Vérifiez que <code>/boot/efi</code> est bien monté. Si ce n'est pas le cas, faites le.

Installez le kernel proxmox :
<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-efi-amd64 gdisk
</pre>

Supprimez les paquets suivant si vous n'avez pas besoin de secureboot :
<pre>apt purge grub-efi-amd64-signed mokutil shim-helpers-amd64-signed shim-signed shim-signed-common shim-unsigned</pre>

Normalement tout doit se faire avec des promps. Si ce n'était pas le cas :
<pre>grub-install --bootloader-id=proxmox</pre>

Si jamais vous utilisez un démarrage en PXE (c'est le cas sur un serveur OVH par exemple), utilisez l'argument <code>--no-nvram</code> pour empêcher grub de mettre à jour la NVRAM et casser votre mécanique de démarrage PXE :
<pre>grub-install --bootloader-id=proxmox --no-nvram</pre>

Etant donné que seul <code>/dev/sda1</code> est monté sur <code>/boot/efi</code>, il faut transférer manuellement les données sur <code>/dev/sdb1</code> :
<pre>
mount /dev/sdb1 /mnt
rsync -av /boot/efi/ /mnt/
umount /mnt
</pre>

Si pour une raison quelconque, vous aviez besoin des headers du kernel :
<pre>apt install pve-headers-5.15</pre>

===Possibilité 2 : Partitions GPT pour BIOS OU Partitions MBR pour BIOS===

<pre>
apt install pve-firmware
apt install proxmox-default-kernel grub-pc gdisk
</pre>

Lorsqu'on vous demandera où installer grub, choisissez <code>sda</code> ET <code>sdb</code>. Sinon :
<pre>
grub-install /dev/sda
grub-install /dev/sdb
</pre>

==Installation de proxmox - OpenSSH==

Installez openssh et définissez un password root. Autorisez le login root par password temporairement.
<pre>
hostname -F /etc/hostname
apt install openssh-server
passwd
sed -i "s/#PermitRootLogin prohibit-password/PermitRootLogin yes/g" /etc/ssh/sshd_config
</pre>

==Installation de proxmox - Vérifications finales et redémarrage sur le kernel proxmox==

Si vous avez une configuration particulière à entrer dans <code>/etc/default/grub</code>, faites le maintenant. Par exemple :
<pre>
GRUB_CMDLINE_LINUX="nomodeset iommu=pt"
</pre>

Puis régénérez la configuration de grub :
<pre>update-grub</pre>

Vous pouvez vérifier que votre fstab est valide avec :
<pre>findmnt --verify --verbose</pre>

Vous pouvez maintenant sortir de votre chroot et démonter le système de fichier

<pre>
umount /boot/efi/
exit
umount /mnt/sys
umount /mnt/dev/pts
umount /mnt/dev
umount /mnt/proc
umount /mnt
</pre>

Enfin, redémarrez le serveur sur le disque dur.

==Installation de ifupdown2==

Le paquet <code>ifupdown2</code> est en voie de devenir le remplaçant officiel de <code>ifupdown</code> pour proxmox.

<pre>
apt install ifupdown2
apt purge ifupdown
systemctl enable networking
</pre>

Pour vérifier que votre configuration est fonctionnelle : lancez <code>ifquery -a</code>

Redémarrez à nouveau votre serveur

==Installation de proxmox - pve==

Une fois le redémarrage effectué, vous allez enfin pouvoir installer pve :
<pre>apt install proxmox-ve ksm-control-daemon chrony</pre>
<pre>apt remove os-prober</pre>

Editez la configuration réseau <code>/etc/network/interfaces</code> afin d'y créer votre bridge :
<pre>
auto eno3
iface eno3 inet manual

auto vmbr0
iface vmbr0 inet static
address xxxxx/24
gateway xxxx
hwaddress AA:BB:CC:11:22:33
bridge_ports eno3
bridge_stp off
bridge_fd 0
</pre>

Définissez la ligne <code>hwaddress</code> avec l'adresse MAC de l'interface eno3.

Installez votre clé SSH dans <code>/root/.ssh/authorized_keys</code> puis désactivez le login root par password de OpenSSH dans <code>/etc/ssh/sshd_config</code>.
 

Une fois tout installé, je vous conseille de reconfigurer grub afin de mettre à jour la configuration interne de debian:
* Pour EFI : <code>dpkg-reconfigure grub-efi-amd64</code>
* Pour BIOS : <code>dpkg-reconfigure grub-pc</code>

 
Redémarrez une dernière fois pour appliquer les changements.

Votre proxmox sera accessible à l'adresse https://ip:8006

==Nettoyage des paquets==

Si vous ne comptez pas utiliser ZFS, vous pouvez supprimer les paquets suivantes :
<pre>apt purge zfs-zed libnvpair3linux libuutil3linux libzfs4linux libzpool5linux zfsutils-linux</pre>

==Configuration réseau avancée==

===Ajout d'une IPv6 sur vmbr0===

===Ajout d'un réseau interne vmbr1===

Nous allons voir comment créer un réseau interne avec proxmox, c'est à dire, un réseau qui ne sera attaché à aucune interface réseau physique. L'intérêt est d'offrir un débit bien supérieur pour les communications entre les VMs.

Ajoutez les lignes suivantes dans <code>/etc/network/interfaces</code> :

<pre>
auto vmbr1
iface vmbr1 inet static
address 192.168.0.1
netmask 255.255.255.0
</pre>

Note : vous pouvez faire de même en ipv6 :
* il faut utiliser le range Unique Local Address (ULA) fd00::/8 (http://en.wikipedia.org/wiki/Unique_Local_Address)
* pour générer votre ULA : http://pfoo.unscdf.org/ula/gen-ula.html

==Sécurisation de base==

Je vous conseil de commencer à sécuriser votre ssh :
* désactivez le login root (directive <code>PermitRootLogin no</code> dans <code>/etc/ssh/sshd_config</code>). Pensez néanmoins à créer un utilisateur pour vous connecter en ssh avant de désactiver le login root.
* utilisez la directive <code>allowusers <user></code> dans <code>/etc/ssh/sshd_config</code> pour n'autoriser que certains utilisateurs à se connecter en ssh.

Il est aussi préférable d'installer le serveur de temps NTP à la place de systemd-timesyncd:
<pre>
apt install chrony
apt purge systemd-timesyncd
</pre>

=Configurer le serveur mail postfix=

==Configuration==

==Certificats SSL==
Si vous avez votre propre autorité ssl, vous pouvez générer votre propre certificat. Si ce n'est pas le cas, vous pouvez toujours aller lire [http://wiki.unscdf.org/index.php?title=Installation_et_configuration_de_OpenSSL ceci] afin d'apprendre à créer votre autorité ssl.

Ajoutez les lignes suivantes dans <code>/etc/ssl/openssl.cnf</code> :
<pre>
[POSTFIX]
nsComment = "SMTP Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
issuerAltName = issuer:copy
basicConstraints = critical,CA:FALSE
keyUsage = critical, digitalSignature, nonRepudiation, keyEncipherment
nsCertType = server
extendedKeyUsage = serverAuth
</pre>

Puis générez la clé et le certificat, et signez le avec votre autorité (int_ca dans mon cas) :
<pre>
openssl req -config /etc/ssl/openssl.cnf -nodes -newkey rsa:2048 -keyout postfix.key -out postfix.req
openssl ca -config /etc/ssl/openssl.cnf -name int_ca -extensions POSTFIX -in postfix.req -out postfix.pem
</pre>

Déplacez les fichiers dans le répertoire <code>/etc/postfix/ssl</code> :
<pre>
mkdir /etc/postfix/ssl
mv postfix.key /etc/postfix/ssl/
mv postfix.pem /etc/postfix/ssl/
chmod 600 /etc/postfix/ssl/*
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/int_ca/int_ca.pem > /etc/postfix/ssl/ca_chain.pem
</pre>

Il faut encore modifier <code>/etc/postfix/main.cf</code> :
<pre>
smtpd_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtpd_tls_key_file=/etc/postfix/ssl/postfix.key
smtpd_tls_CAfile=/etc/postfix/ssl/ca_chain.pem
smtpd_use_tls=yes
smtp_tls_cert_file=/etc/postfix/ssl/postfix.pem
smtp_tls_key_file=/etc/postfix/ssl/postfix.key
smtp_tls_CAfile=/etc/postfix/ssl/ca_chain.pem

smtpd_tls_security_level=may
smtp_tls_security_level=may
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1

#smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
</pre>

=Utiliser son propre certificat SSL proxmox avec un signataire intermédiaire=

Depuis Proxmox 5.2, il n'est plus recommandé d'adapter manuellement les fichiers contenant les certificats et clés privés de proxmox. 
Cependant, vous pouvez placer directement votre clé privé dans le fichier <code>/etc/pve/local/pveproxy-ssl.key</code> et la chaîne de certification dans le fichier <code>/etc/pve/local/pveproxy-ssl.pem</code>. Vous pouvez également déposer ces fichiers via la webui de proxmox au niveau de chaque serveur.

=Surveiller l'état des disques avec SMART=

Commencez par installer le paquet smartmontools :
<pre>apt install smartmontools</pre>

Vérifiez que vos disques gèrent smart et qu'il est activé :
<pre>
smartctl -i /dev/sda
smartctl -i /dev/sdb
</pre>

Si smart n'est pas activé, essayez de l'activer comme ceci :
<pre>
smartctl -s on /dev/sda
smartctl -s on /dev/sdb
</pre>

Vérifiez le statut de santé de vos disques :
<pre>
smartctl -H /dev/sda
smartctl -H /dev/sdb
</pre>
S'il indique <code>PASSED</code> c'est bon de ce côté. S'il vous indique <code>FAILED</code>, sauvegardez immédiatement vos données !

Vérifiez la présence d'erreurs dans le log smart :
<pre>
smartctl -l error /dev/sda
smartctl -l error /dev/sdb
</pre>

Si vous voyez <code>No Errors Logged</code> ou quelques erreurs, c'est bon. S'il y eu a beaucoup, il faut envisager de changer le disque.

Le fichier de configuration de smartd est <code>/etc/smartd.conf</code>. Commentez la ligne <code>DEVICESCAN</code> puis ajoutez les lignes suivantes pour surveiller les deux disques durs :
<pre>
/dev/sda -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
/dev/sdb -a -o on -S on -s (S/../.././02|L/../../6/03) -m vous@domain.tld
</pre>

Nous activons la surveillance globale (<code>-a</code>), la vérification automatique offline, (<code>-o on</code>), la sauvegarde automatique des attributs (<code>-S on</code> et lançons un <code>short self test</code> tous les jours à 2h du matin, et un <code>long self test</code> tous les samedi à 3h du matin. Si des erreurs sont détectés, un email est envoyé à vous@domain.tld. 

Relancez smartd :
<pre>/etc/init.d/smartmontools restart</pre>

Pour plus d'information sur SMART et ses arguments : [[Diagnostic smart d'un disque]]

=Protégez votre proxmox=

==Désactiver le login root sur l'interface proxmox==
Avant toute manipulation, n'oubliez pas de créer un utilisateur ayant les droits d'administration pour accéder à l'interface de proxmox

===Via l'interface proxmox===
Dans Datacenter > Permissions > Users : Editez l'utilisateur root et décochez la case <code>Enabled</code>

===Via les droits linux===
<pre>passwd --lock root</pre>

Attention, dans ce cas, vous ne pourrez plus vous loguer en root sur le serveur par ssh (sauf si vous avez une clé ssh défini), écran ou kvm !

===Via PAM===
Vous pouvez désactiver le login pam en éditant <code>/etc/pam.d/other</code> et en y ajoutant, en début de fichier, les lignes suivantes :
<pre>
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
account required pam_warn.so
</pre>

Attention, cette méthode peut avoir des effets de bord si d'autres programmes utilisent l'entité pam/other

==Désactiver rpcbind==

Si vous n'utilisez pas de montage NFS vous pouvez désactiver rpcbind. 
Editez <code>/etc/default/nfs-common</code> et passez l'argument suivant :
<pre>NEED_STATD=no</pre>

Puis désactivez rpcbind :
<pre>
systemctl disable rpcbind.target
systemctl disable rpcbind.socket
systemctl disable rpcbind.service
systemctl stop rpcbind.target
systemctl stop rpcbind.socket
systemctl stop rpcbind.service
</pre>

==Eviter les reboots accidentels avec molly-gard==
<pre>apt install molly-guard</pre>

==Protection SSH avec sshguard==

[[Protéger SSH avec sshguard]]

==Protéger l'interface web avec fail2ban==

<pre>aptitude install fail2ban</pre>

Créez le fichier <code>/etc/fail2ban/jail.local</code> contenant :
<pre>
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 1800
maxretry = 3

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

action = %(action_mwl)s

[ssh]
enabled = false

[sshd]
enabled = false

[proxmox]
enabled = true
port = https,http,8006
filter = proxmox
backend = systemd
maxretry = 4
findtime = 2d
bantime = 1h
</pre>

Créez le fichier <code>/etc/fail2ban/filter.d/proxmox.conf</code> :
<pre>
[Definition]
failregex = pvedaemon\[.*authentication failure; rhost=<HOST> user=.* msg=.*
ignoreregex =
</pre>

Vous pouvez tester votre configuration avec la commande <code>fail2ban-regex /var/log/daemon.log /etc/fail2ban/filter.d/proxmox.conf</code>

Relancez fail2ban :
<pre>/etc/init.d/fail2ban restart</pre>

==firewall iptables==

=Création d'un stockage pour les VMs=

Créez les partitions sda4 et sdb4 au moyen de gdisk (EFI) ou parted (BIOS).

Créez sur ces partitions un raid :
<pre>mdadm --create --verbose /dev/md4 --level=1 --raid-devices=2 /dev/sda4 /dev/sdb4</pre>

Maintenez à jour <code>mdadm.conf</code> et votre initramfs afin de conserver le bon naming du raid après reboot :
<pre>
mdadm --examine --scan >> /etc/mdadm/mdadm.conf
update-initramfs -u
</pre>

Puis initialisez-y un LVM :
<pre>
pvcreate /dev/md4
vgcreate main /dev/md4
</pre>

Il ne reste plus qu'a déclarer ce Volume Group LVM dans l'interface proxmox.

=VM qemu/kvm=

==Télécharger vos images==

Vous pouvez placer les iso dans <code>/var/lib/vz/template/iso/</code> avec <code>wget</code> par exemple.
Notez que l'interface graphique de proxmox propose également une fonction d'upload.

==Créer votre première VM==

Une fois la VM crées dans l'interface proxmox, je vous recommande d'écrire des zero sur son disque afin de réduire la taille des futurs backups. Si votre vm porte le numéro 100 et possède un seul disque :
<pre>dd if=/dev/zero | pv -ptrb | dd of=/dev/main/vm-100-disk1 bs=1M</pre>

===Configuration réseau en bridge vmbr0 (ip public)===

===Configuration réseau en bridge vmbr1 (ip locale)===

Configuration réseau de la VM :
<pre>
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
gateway 192.168.0.1
</pre>

Règle iptables à ajouter sur l'hôte :
<pre>iptables -t nat -A POSTROUTING -s 192.168.0.2 -o vmbr0 -j SNAT --to IP-PUBLIC-DE-VOTRE-HOTE</pre>

Si vous souhaitez rendre accessible l'un des services de la VM depuis l'ip de l'hote sur un port sépcifique :
<pre>
iptables -t nat -A PREROUTING -p tcp -d <ip de l'hote> --dport <port souhaité> -i vmbr0 -j DNAT --to-destination 192.168.0.2:port
</pre>

==Bloquer le spoofing d'adresse mac==
Sur l'hyperviseur, installez <code>ebtables</code> :
<pre>aptitude install ebtables</pre>

Admettons ensuite que votre VM a comme adresse ip <code>84.93.26.3</code> et que son adresse mac doit être <code>52:54:00:00:98:b6</code> :
<pre>ebtables -A FORWARD -p IPv4 --ip-src 84.93.26.3 -s ! 52:54:00:00:98:b6 -j DROP</pre>

Vous pouvez faire de même pour l'ipv6. Dans l'exemple suivant, seul le bloc ipv6 <code>2a01:d4h:123b:100::/56</code> est utilisable par la vm :
<pre>ebtables -A FORWARD -p IPv6 --ip6-src 2a01:d4h:123b:100::/56 -s ! 52:54:00:00:08:b1 -j DROP</pre>

==Importer une VM depuis vmware ESXi==

==qm et modification des VMs en ligne de commande==

==Monter les partitions d'une VM depuis l'host==

<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

pour la partition 1 : start*blocksize = offset
donc 2048*512 = 1048576

<pre>losetup /dev/loop1 -o 1048576 /dev/main/vm-101-disk-1 </pre>

Et enfin :
<pre>mount /dev/loop1 /mnt</pre>

Quand vous avez terminé vos modifications :
<pre>
umount /mnt
losetup -d /dev/loop1
losetup -d /dev/loop0
</pre>

===Si la partition que vous voulez monter est un LVM===

Scannez les nouveaux volumes :
<pre>lvm pvscan</pre>

Activez les groupes :
<pre>lvm vgchange -ay</pre>

listez les lvms avec :
<pre>lvm lvs</pre>

Les LV devraient apparaître dans <code>/dev/mapper/</code>

Quand vous avez terminé :
* démontez les LV
* Désactivez le groupe avec <code>vgchange -an</code>
* désactivez le loopback : <code>losetup -d /dev/loop0</code>

==Augmenter la taille du disque d'une VM==

Coupez la VM.

Sur l'host pour modifier la taille du disque 1 de la vm 110 ) 140G :
<pre>lvextend -L 140G /dev/main/vm-110-disk-1</pre>

Il faut ensuite, sur la vm lancée, utiliser resize2fs

==Migrer une VM vers un autre serveur manuellement (pas de cluster) avec un downtime minimum==

Nous allons voir comment migrer une VM proxmox stockée sur un LVM d'un serveur à un autre, et ce, en minimisant au maximum le downtime. Pour cela, nous allons coupler la fonctionnalité de snapshot de lvm avec un petit script (lvmsync) qui permet de ne transférer que les blocs modifiés d'un snapshot.

Installez dmsetup et ruby (1.8 minimum) sur le serveur d'origine et de destination :
<pre>aptitude install dmsetup ruby</pre>

Récupérez <code>lvmsync</code> sur https://github.com/mpalmer/lvmsync et placez le dans /sbin/ sur les serveurs d'origine et de destination.

Dans cet exemple, nous allons migrer la vm 102 disposant d'un seul disque virtuel nommé vm-102-disk-1 et stocké dans le vg main du serveur server1.domain.tld vers le serveur server2.domain.tld.
Pour commencer, créez un snapshot de votre vm sur server1 :
<pre>lvcreate --snapshot -L200G -n 102-lvmsync main/vm-102-disk-1</pre>

Désormais, tous les io de cette vm seront stockés dans le snapshot 102-lvmsync.

Sur votre nouveau serveur, créez une VM identique à celle de votre premier serveur (surtout en qui concerne la taille de disque).
Depuis server1, copiez avec un dd over ssh le disque d'origine de votre vm vers votre nouveau serveur.
<pre>dd if=/dev/main/vm-102-disk-1 | pv -ptrb | ssh -o "Compression no" root@server2.domain.tld "dd of=/dev/main/vm-102-disk-1 bs=100M"</pre>

Note : sur un réseauu 100Mbps utilisez plutôt <code>-o "Compressionlevel 1"</code>

Une fois la copie terminée, coupez la vm 102 sur server1, puis lancez lvmsync sur le snapshot (toujours sur server1) :
<pre>lvmsync /dev/main/102-lvmsync server2.domain.tld:/dev/main/vm-102-disk-1</pre>

Une fois le travail de lvmsync achevé, il ne nous reste plus qu'a relancer la vm sur server2

A titre d'information, si vous voulez merger le snapshot de la vm 102 sur server 1, tapez :
<pre>lvconvert --merge /dev/main/102-lvmsync</pre>

=Conteneur LXC=

==Empêcher la mise à jour automatique de certains fichiers de configuration système du conteneur==

Certains fichiers de configuration du conteneur sont mis à jour automatiquement à chaque démarrage (voir https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_guest_operating_system_configuration)

On peut empêcher la mise à jour de ces fichiers en créant un fichier <code>.pve-ignore.NOM</code> 
Par exemple, <code>/etc/.pve-ignore.resolv.conf</code> empêchera le fichier <code>/etc/resolv.conf</code> d'être mis à jour à chaque démarrage.

=Annexes=

==Problème de layout dans la console vnc==
Dans l'interface web de proxmox : datacenter > option > passez Keyboard de <code>default</code> à <code>French</code>.

==Erreurs du type <code>IPv6 addrconf: prefix with wrong length 56</code> ==

Cette erreur est typique sous linux si les routeurs de votre serveur annoncent des blocs IPv6 /56 alors que vous configurez des /64.
Ajouter les lignes suivantes dans un fichier <code>/etc/sysctl.d/local.conf</code> :
<pre>
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.eno3.autoconf = 0
net.ipv6.conf.vmbr0.autoconf = 0
</pre>

Terminez par relancer procps :
<pre>/etc/init.d/procps restart</pre>

==paramètre sysctl ipv6 non appliqué au boot==
Ajoutez le module ipv6 dans /etc/modules afin d'assurer le chargement d'ipv6 avant l’exécution de sysctl :
<pre>echo ipv6 >> /etc/modules</pre>

==LVM inaccessible depuis l'host==

<pre>
lvm pvscan
lvm vgchange -ay
</pre>

==L'interface web ne fonctionne pas et la commande qm retourne une erreur ipcc_send_rec failed: Connection refused==

Vérifiez la présence de fichiers et dossiers dans <code>/etc/pve/</code>. Si ce dossier est vide, c'est probablement que votre fichier <code>/etc/hosts</code> est mal configuré. 
Essayez de relancer <code>pve-cluster</code> :
<pre>/etc/init.d/pve-cluster restart</pre>

Si vous avez une erreur ou un warning, lancez la commande pmxcfs. Vous devriez obtenir ceci :
<pre>
$# pmxcfs
Jan 21 15:28:19 proxmox pmxcfs[1846]: Unable to get local IP address (pmxcfs.c:721:main)
</pre>

Vérifiez alors que le contenu de <code>/etc/hostname</code> est défini dans <code>/etc/hosts</code>.

Si par exemple <code>/etc/hostname</code> contient <code>proxmox.domain.tld</code> vous devriez avoir la ligne suivante dans <code>/etc/hosts</code> :
<pre>VOTREIP proxmox.domain.tld proxmox</pre>

==Pas assez d'interfaces loopback==

Créer le fichier <code>/etc/modprobe.d/local-loop.conf</code> contenant :
<pre>options loop max_loop=64</pre>

Vous pouvez ensuite redémarrer ou recharger le module loop :
<pre> rmmod loop && modprobe loop</pre>

==Défragmentation LVM : exemple==
<pre>
hub:~# pvdisplay --maps
--- Physical volume ---
PV Name /dev/sda4
VG Name main
PV Size 1.76 TB / not usable 456.00 KB
Allocatable yes
PE Size (KByte) 4096
Total PE 461649
Free PE 208721
Allocated PE 252928
PV UUID PUqV5Q-WRW2-n20t-eFVM-CA1r-RhDl-2RTJHq

--- Physical Segments ---
Physical extent 0 to 7935:
Logical volume /dev/main/vm-101-disk-1
Logical extents 0 to 7935
Physical extent 7936 to 72191:
Logical volume /dev/main/vm-101-disk-2
Logical extents 0 to 64255
Physical extent 72192 to 136703:
Logical volume /dev/main/vm-102-disk-1
Logical extents 0 to 64511
Physical extent 136704 to 144895:
Logical volume /dev/main/vm-103-disk-1
Logical extents 0 to 8191
Physical extent 144896 to 209151:
Logical volume /dev/main/vm-103-disk-2
Logical extents 0 to 64255
Physical extent 209152 to 214271:
Logical volume /dev/main/vm-104-disk-1
Logical extents 0 to 5119
Physical extent 214272 to 227327:
Logical volume /dev/main/vm-104-disk-2
Logical extents 0 to 13055
Physical extent 227328 to 282111:
FREE
Physical extent 282112 to 307711:
Logical volume /dev/main/vm-108-disk-1
Logical extents 0 to 25599
Physical extent 307712 to 461648:
FREE
</pre>

Comme vous pouvez le voir, on a un trou "vide" entre l'extent 227328 et 282111, puis à nouveau des données entre l'extent 282112 et 307711.

Pour combler ce trou, nous allons déplacer les données des /dev/main/vm-108-disk-1 situés entre les extents 282112 et 307711 (soit 25599 extents au total) vers l'espace libre avec <code>pvmove</code> : 
pvmove /dev/sda4:282112-307711 /dev/sda4:227328-252927 --alloc anywhere

Notez qu'il faut attribuer exactement le même nombre d'extents à la destination qu'à l'origine : 227328 + 25599 = 252927

==Oups: j'ai supprimé le mauvais lvm==

Pas de panique, mais ne bougez plus ! Pour l'instant, seul les métadonnées du lvm sont impactés.
Et comme c'est bien foutu, lvm conserve un backup des anciennes metadonnées après chaque modification. Ces archives sont situés dans <code>/etc/lvm/archive/</code>. Les fichiers y sont nommés sous la forme vg_XXXX-YYYYYYY.vg. Normalement, le fichier ayant le XXXX le plus élevé sera celui de l'état précédent votre erreur.
Pour vérifier que vous avez sélectionné le bon fichier, vous pouvez l'ouvrir avec nano et regarder si l'état du lvm dans cette archive correspond a ce que vous attendez.

Pour restaurer l'archive des métadonnées main_00007-587941649.vg pour le vg main :
<pre>
vgcfgrestore -f /etc/lvm/archive/main_00007-587941649.vg main
lvm vgchange -ay
</pre>

Votre volume devrait être de retour.

Il faut encore vérifier que la table de partition contenu sur ce lvm n'a pas morphlé. En admettant que /dev/main/vm-101-disk-1 est la lvm que vous venez de restaurer :
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# fdisk -lu /dev/loop0

Disk /dev/loop0: 10.7 GB, 10737418240 bytes
255 heads, 63 sectors/track, 1305 cylinders, total 20971520 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x0002f94d

Device Boot Start End Blocks Id System
/dev/loop0p1 * 2048 20013055 10005504 83 Linux
/dev/loop0p2 20015102 20969471 477185 5 Extended
/dev/loop0p5 20015104 20969471 477184 82 Linux swap / Solaris
</pre>

Si vous voyez ça, c'est bon, vous êtes sauvés ! Si ce n'est pas le cas, continuez à lire ;)

===Récupération de la table de partition===

Si fdisk vous envois chier avec un message du style <code>Disk /dev/loop0 doesn't contain a valid partition table</code>, il va falloir récupérer la table de partition.

Installez testdisk :
<pre>aptitude install testdisk</pre>

Lancez le:
<pre>
# losetup /dev/loop0 /dev/main/vm-101-disk-1
# testdisk /dev/loop0
</pre>

Selectionez le media <code>/dev/loop0</code> et validez avec <code>enter</code>.
Au menu suivant, sélectionnez <code>intel</code> comme type de table de partition.
Au menu suivant, sélectionnez <code>analyse</code>
A l'écran suivant, tapez enter.
Avec de la chance, testdisk retrouvera vos partitions. Une fois qu'il aura terminé de travailler, il ne restera plus qu'à taper sur enter encore une fois, puis demander à testdisk de sauvegarder la table de partition

==L'interface proxmox n'affiche pas les disques de certaines VMs==

Ceci arrive typiquement si vous avez créé un volume logique à la main sans y ajouter le bon tag.
Vérifiez la présence des tags sur vos LV avec la commande <code>lvs --options 'vg_name,lv_name,lv_size,tags'</code> :
<pre>
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 20.00g
</pre>

Comme vous le voyez, le lv de la vm 101 n'est pas tagué. Vous pouvez ajouter le tag avec <code>lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1</code> :
<pre>
~# lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1
~# lvs --options 'vg_name,lv_name,lv_size,tags'
VG LV LSize LV Tags
main vm-100-disk-1 2.00g pve-vm-100
main vm-101-disk-1 16.00g pve-vm-101
</pre>

Si cela ne fonctionne pas, essayez de passer un petit coup de <code>qm rescan</code>

Accueil

2025-09-28T20:54:50Z

Pfoo : /* Serveur */

__NOTOC__
{|style="width:100%; background:#F5F5F5;" cellpadding="10"
!style="font-size:200%; color:#056FFA;"|Bienvenu sur ce wiki
|-
|Ce wiki est dédié aux différentes distributions linux et aux logiciels libres qui les accompagnent.
|}

{|style="width:100%; border:1px solid #FFFFFF; background:#FFFFFF; color:#FFFFFF;" cellpadding="4" cellspacing="0"
!style="font-size:115%; background:#056FFA;"|Rechercher par
|-align="center"
| [[Special:Categories|Catégories]]  [[:Catégorie:Distributions|Distributions]]
|}

=Généralités=
[[Généralités sur linux]]

{| style="background:transparent;"
| style="width:50%; vertical-align:top;" |

= Serveur =

; [[:Category:serveur|Liste des pages]]
:
; [[Sécuriser_ses_sites_avec_letsencrypt_et_acme-tiny|letsencrypt]]
; [[:Category:monitoring|Monitoring]]
: Tutoriels détaillants des outils de supervision et de métrologie
;[[Proxmox 8]]
:Tutoriel détaillant l'installation de proxmox 7.x sous debian
;[[Sécurisation d'un serveur linux]]
:Guideline basique de propositions de sécurisation d'un serveur linux
; [[:Category:security|Sécurité]]
: outils de sécurité
; [[:Category:virtualisation|virtualisation]]
: proxmox principalement

| style="width:50%; vertical-align:top;" |

= Bureautique =

; [[:Category:desktop|Liste des pages]]
:
;[[Kubuntu / KDE : login ssh automatique par clé]]
:
;[[ssh : le client libre de OpenSSH]]
:
;[[Court-circuiter la vérification dns]]
:
;[[Graver un iso bootable sur une clé usb]]
:Vos CDRW ne marchent plus ? Vous n'avez pas de lecteur cd sur votre netbook ?
:
;[[Diagnostic smart d'un disque]]
:
;[[Fibre orange en DHCP avec routeur pfsense]]

|-
| style="width:50%; vertical-align:top;" |

= Développement =
; [[:Category:développement|Liste des pages]]
:
; [[Auto-complétion_avec_Vim|Auto-complétion avec Vim]]
: Configurer l'auto-complétion C++ dans l'editeur de texte Vim
;[[Git]]
:Gestionnaire de version décentralisé

| style="width:50%; vertical-align:top;" |

= Divers =
; [[:Category:Tools|Outils]]
:

|}

Proxmox Backup Server (PBS)

2025-09-26T20:51:44Z

Pfoo : /* Installation de PBS */

[[Category:serveur]]
[[Category:debian]]

=Installation du système de base=
Créez les systèmes de fichier :
<pre>
mkfs.ext4 /dev/sda1
mkswap /dev/sda2
</pre>

Assurez vous que debootstrap est bien installé sur le système de rescue/d'installation :
<pre>
aptitude install debootstrap debian-keyring debian-archive-keyring
</pre>

Montez la partition sda1 :
<pre>
mount /dev/sda1 /mnt
</pre>

Installez le système de base debian :
<pre>
debootstrap --arch=amd64 bookworm /mnt http://ftp.fr.debian.org/debian
</pre>

Puis chrootez dans le nouveau système :
<pre>
mount -o bind /proc /mnt/proc
mount -o bind /dev /mnt/dev
mount -o bind /sys /mnt/sys
chroot /mnt
</pre>

==Configuration du système de base==
Éditez le fichier <code>/etc/apt/sources.list</code> :
<pre>
# main archive
deb http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware

# security updates
deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware

# bookworm-updates, previously known as 'volatile'
deb http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware

# backports archive
deb http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
</pre>

Mettez à jour les paquets :
<pre>
apt update
apt upgrade
</pre>

Installez les locales et la configuration de console :
<pre>
apt install locales
dpkg-reconfigure locales
apt install console-data console-setup-linux console-setup
dpkg-reconfigure console-data # from arch > french > latin9)
</pre>

Définissez la zone horaire :
<pre>
tzselect
dpkg-reconfigure tzdata
</pre>

Configurez votre /etc/fstab :
<pre>
# <file system> <mount point> <type> <options> <dump> <pass>
UUID=4b47c926-0e14-4076-9c17-637f0ec470aa / ext4 defaults,errors=remount-ro 0 1
UUID=50e94be2-cff4-43f9-a2f8-928a71fecea0 none swap sw 0 0
</pre>

Editez <code>/etc/network/interfaces</code> :
<pre>
auto lo
iface lo inet loopback

auto eno1
iface eno1 inet static
address 46.104.126.132/24
gateway 46.104.126.254
broadcast 46.104.126.132
</pre>

Veillez à bien y adapter le nom de l'interface (<code>eno1</code> ici) en fonction de votre système (récupérez le par exemple avec la commande<code>ip addr</code>)

Modifiez /etc/hosts :
<pre>
127.0.0.1 localhost
127.0.1.1 pbs.domain.tld pbs

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
</pre>

Configurez l'hostname :
<pre>
echo pbs > /etc/hostname
echo pbs.domain.tld > /etc/mailname
</pre>

N'oubliez pas de configurer les dns (ceux de votre hébergeur dédié) dans <code>/etc/resolv.conf</code> :
<pre>
nameserver XX.XX.XX.XX
</pre>

==Installation du kernel==

<pre>
apt install linux-image-amd64 firmware-linux-free grub-pc
</pre>

A l'écran <code>Configuring grub-pc</code>, installez grub sur <code>/dev/sda</code>

==OpenSSH==

<pre>
hostname -F /etc/hostname
apt install openssh-server
</pre>

Ajoutez ensuite votre clé ssh dans <code>/root/.ssh/authorized_keys</code>. Sans cela, vous ne pourrez pas vous connecter après avoir redémarré.

==Redémarrage==
Vous pouvez maintenant sortir de votre chroot et démonter le système de fichier

<pre>
exit
umount /mnt/sys
umount /mnt/dev
umount /mnt/proc
umount /mnt
</pre>

Puis rebootez sur le disque dur.

=Installation de PBS=
Installez quelques paquets nécessaires :
<pre>apt install postfix gdisk parted wget</pre>

Ajoutez la clé gpg du dépôt :
<pre>
wget https://enterprise.proxmox.com/debian/proxmox-release-bookworm.gpg -O /etc/apt/trusted.gpg.d/proxmox-release-bookworm.gpg
</pre>

Ajoutez le dépot PBS dans <code>/etc/apt/sources.list</code> :
<pre>
# Proxmox Backup Server pbs-no-subscription repository provided by proxmox.com,
# NOT recommended for production use
deb http://download.proxmox.com/debian/pbs bookworm pbs-no-subscription
</pre>

Puis installez PBS :
<pre>
apt update
apt install proxmox-archive-keyring proxmox-backup ifupdown
</pre>

Note : nous forçons l'installation de ifupdown pour éviter l'installation de ifupdown2 pour des raisons de compatibilité. Si vous décidez d'installer ifupdown2, assurez-vous en premier lieu d'avoir la dernière version de ifupdown installé, et que votre configuration réseau est compatible.

==Kernel alternatif==

Si vous le souhaitez, vous pouvez également installer le kernel officiel de proxmox :
<pre>apt install proxmox-kernel-6.8 pve-firmware</pre>

=Création de la partition de datastore=

==Création manuelle du montage systemd==

'''Cette procédure permet de respecter le fonctionnement interne actuel de PBS'''

Créez le système de fichier sur la partition souhaité. Ici, sda3.
<pre>mkfs.ext4 /dev/sda3</pre>

<pre>
$ blkid | grep sda3
/dev/sda3: UUID="27208cd1-5e0e-4a59-b36e-fa869bc395c4" TYPE="ext4" PARTUUID="7d30a42b-03"
</pre>

Créez le fichier /etc/systemd/system/mnt-datastore-datastore1.mount :
<pre>
[Mount]
Options=defaults
Type=ext4
What=/dev/disk/by-uuid/27208cd1-5e0e-4a59-b36e-fa869bc395c4
Where=/mnt/datastore/datastore1

[Unit]
Description=Mount datastore 'datastore1' under '/mnt/datastore/datastore1'

[Install]
WantedBy=multi-user.target
</pre>

Et lancez le montage automatique par systemd :
<pre>
systemctl enable mnt-datastore-datastore1.mount
systemctl start mnt-datastore-datastore1.mount
</pre>

==Création manuelle du montage sans systemd==

'''Procédure alternative'''

Créez le dossier sur lequel vous allez monter le datastore puis appliquez lui le flag immuable (+i) afin d'empêcher toute écriture directe sur le dossier non monté :
<pre>
mkdir -p /datastore/datastore1
chattr +i /datastore/datastore1
</pre>

Créez le système de fichier sur la partition souhaité. Ici, sda3.
<pre>mkfs.ext4 /dev/sda3</pre>

<pre>
$ blkid | grep sda3
/dev/sda3: UUID="27208cd1-5e0e-4a59-b36e-fa869bc395c4" TYPE="ext4" PARTUUID="7d30a42b-03"
</pre>

Ajoutez dans fstab pour que le datastore soit monté au démarrage :
<pre>UUID=27208cd1-5e0e-4a59-b36e-fa869bc395c4 /datastore/datastore1 ext4 defaults,relatime 0 2</pre>
Notez qu'on monte avec l'option <code>relatime</code> conformément aux recommandations de PBS pour maximiser les performances.

Montez manuellement le datastore
<pre>mount /datastore/datastore1</pre>

=Ajout du datastore dans PBS=

=Désactiver le login root (pam) sur l'interface PBS=
Avant toute manipulation, n'oubliez pas de créer un utilisateur ayant les droits d'administration pour accéder à l'interface de PBS

===Via l'interface proxmox===
Editez l'utilisateur root et décochez la case <code>Enabled</code>

Malheureusement, cela aura également comme conséquence de rendre quasiment inopérant le script shell proxmox-backup-manager

===Via les droits linux===
<pre>passwd --lock root</pre>

Attention, dans ce cas, vous ne pourrez plus vous loguer en root sur le serveur par ssh (sauf si vous avez une clé ssh défini), écran ou kvm !

===Via PAM===
Créez le fichier <code>/etc/pam.d/proxmox-backup-auth</code> et ajoutez y les lignes suivantes :
<pre>
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
account required pam_warn.so
</pre>

=Dépôt client uniquement=

Ajoutez la clé de sécurité proxmox :
<pre>
wget https://enterprise.proxmox.com/debian/proxmox-release-bookworm.gpg -O /etc/apt/trusted.gpg.d/proxmox-release-bookworm.gpg
</pre>

Ajouter le dépot APT par exemple dans <code>/etc/apt/sources.list</code> :
<pre>deb http://download.proxmox.com/debian/pbs-client bookworm main</pre>

Debian Trixie sources.list

2025-09-25T14:36:20Z

Pfoo :

[[Category:serveur]]
[[Category:debian]]
[[Category:trixie]]

A placer dans <code>/etc/apt/sources.list.d/debian.sources</code> :
<pre>
# main updates and backports
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates trixie-backports
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# security
Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
</pre>

Migration de Debian Bookworm vers Trixie

2025-09-24T12:57:25Z

Pfoo : /* Les paquets isc-dhcp sont dépréciés */

[[Category:serveur]]
[[Category:debian]]
[[Category:bookworm]]
[[Category:trixie]]

=Préparation=

==Assurez vous que vous êtes à la dernière version de debian==

<pre>apt update
apt full-upgrade</pre>

==Vérifiez l'absence d'action en attente si vous utilisez aptitude==

Lancez <code>aptitude</code> puis tapez <code>G</code>

==Supprimez les paquets obsolètes==

<pre>
apt list '~o'
apt purge '~o'
</pre>

==Identifiez les paquets non-debian qui pourraient poser soucis lors de la mise à jour==

Tous les paquets non fournis par debian peuvent poser problème. A vos risques et péril. 
Pour les identifier :
<pre>
apt list '?narrow(?installed, ?not(?origin(Debian)))'
apt-forktracer | sort
</pre>

A vous de décider ou non de les supprimer avant la mise à niveau, certains paquets peuvent néanmoins gêner la mise à niveau.

==Supprimez les fichiers de configuration non utilisés==
<pre>find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error'</pre>

==Désactivez le pinning==

Dans <code>/etc/apt/preferences</code> et <code>/etc/apt/preferences.d/</code>

==Vérifiez l'absence de paquets cassés==

<pre>dpkg --audit</pre>

==Enlevez les éventuels holds qui pourraient faire échouer la mise à jour==

Pour identifier les paquets en hold :

<pre>
apt-mark showhold
aptitude search "~ahold"
dpkg --get-selections | grep 'hold$'
</pre>

Pour supprimer un hold :
<pre>apt-mark unhold package_name</pre>

==Désactivez les entrées backports de votre sources.list==

==Sources non officielles==
Assurez vous que ces sources possèdent des paquets compilés pour la nouvelle version de debian

=Spécificités trixie=

==Mariadb==

MariaDB ne supporte pas une récupération d'erreur entre deux versions majeurs, il faut donc s'assurer que vos bases de données sont propres et que les données et buffers sont bien écrit sur le disque avant de mettre à jour debian. Pour cela :

<pre>service mariadb stop</pre>

Puis vérifiez dans les logs la présence d'une ligne <code>Shutdown complete</code>. Si ce n'est pas le cas, relancez mariadb pour lancer la récupération automatique des tables, attendez, puis stoppez à nouveau mariadb et vérifiez dans les logs que le nouvel arrêt s'est fait proprement.

=Mise à jour=

==Mise à jour de /etc/apt/sources.list==

Debian Trixie utilise la nouvelle version deb822-style pour les sources apt.

Il faut transformer le fichier <code>/etc/apt/sources.list</code> et tout fichier <code>*.list</code> situé dans <code>/etc/apt/sources.list.d/</code> en un fichier <code>/etc/apt/sources.list.d/debian.sources</code>

Exemple de fichier <code>debian.sources</code> :

<pre>
# main and updates
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# security
Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
</pre>

==Mise à jour de la liste des paquets==
<pre>apt update</pre>

==Assure vous d'avoir assez d'espace libre==

La commande suivante permet de voir l'espace nécessaire pour la mise à jour :
<pre>apt -o APT::Get::Trivial-Only=true full-upgrade</pre>

==Enregistrez les actions effectuées==

apt loguera les packets modifiés dans <code>/var/log/apt/history.log</code> et la sortie du terminal dans <code>/var/log/apt/term.log</code>

==Mise à jour==
<pre>
apt upgrade --without-new-pkgs
apt full-upgrade
</pre>

Si un prompt vous demande s'il doit installer une nouvelle version d'un fichier, répondez de préférence oui puis faites les adaptations nécessaires à votre configuration après la fin de la mise à jour. L'ancien fichier restera disponible, suffixé de .dpkg-old

=Cleanup=

==Supprimez les paquets qui ne sont plus nécessaires==

<pre>apt autoremove</pre>

==Identifiez les configurations et fichier résiduels des paquets qui ne sont plus nécessaires==

<pre>apt list '~c'</pre>

===Purgez ces paquets===

<pre>apt purge '~c'</pre>

==Identifiez et supprimez les paquets obsolètes==

Ce sont des paquets qui ne sont plus maintenu par debian.

* Pour les lister :

<pre>apt list '~o'</pre>

* Pour les supprimer :

<pre>apt purge '~o'</pre>

=Spécificités trixie=

==Risque de modification du nom des interfaces réseaux==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#network-interface-names-may-change

==Le dossier des fichiers temporaires /tmp est maintenant un tmpfs==

Pour récupérer ou supprimer les anciens fichiers du dossier /tmp il faut faire un bind mount :
<pre>mount --bind / /mnt</pre>

Les anciens fichiers tmp seront dans <code>/mnt/tmp/</code>

Par défaut, le dossier <code>/tmp</code> disposera de 50% de la mémoire du système. Vous pouvez modifier l'espace alloué avec <code>systemctl edit tmp.mount</code> et modifier par exemple :
<pre>
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
</pre>

Si vous souhaitez retrouver un dossier <code>/tmp</code> classique (sans tmpfs) :
<pre>systemctl mask tmp.mount</pre>
Puis redémarrer

==Les dossiers /tmp et /var/tmp sont purgés automatiquement==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#the-directories-tmp-and-var-tmp-are-now-regularly-cleaned

Cette fonctionnalité n'est pas activé automatiquement après l'upgrade. Pour l'activer supprimez le fichier <code>/etc/tmpfiles.d/tmp.conf</code> :
<pre>rm -f /etc/tmpfiles.d/tmp.conf</pre>

Après cela, les fichiers dans <code>/tmp</code> seront automatiquement supprimé après 10 jours et les fichiers dans <code>/var/tmp</code> après 30 jours

==Le fichier /etc/sysctl.conf n'est plus appliqué==

A partir de debian trixie, le fichier <code>/etc/sysctl.conf</code> n'est plus lu, en faveur du fichier <code>/usr/lib/sysctl.d/50-default.conf</code> fournit par le paquet <code>linux-sysctl-defaults</code>. Si vous souhaitez éditer les sysctl, il faudra désormais créer un fichier <code> /etc/sysctl.d/*.conf</code>.

==Les paquets isc-dhcp sont dépréciés==
Si vous utilisez NetworkManager ou systemd-networkd : rien à faire et vous pouvez supprimer le paquet <code>isc-dhcp-client</code>.

Si vous utilisez ifupdown, le paquet <code>dhcpcd-base</code> fourni un client dhcp de remplacement (dans ce cas, supprimez les lignes <code>inet6 dhcp</code> de votre fichier <code>/etc/network/interfaces</code>)

A noter un bug IPv6 avec isc-dhcp-client : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1088852

==si la commande ping ne fonctionne plus pour les utilisateurs==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#ping-no-longer-runs-with-elevated-privileges

=Appendice=
https://www.debian.org/releases/trixie/release-notes/upgrading.en.html

Migration de Debian Bookworm vers Trixie

2025-09-24T12:46:57Z

Pfoo : /* Les paquets isc-dhcp sont dépréciés */

[[Category:serveur]]
[[Category:debian]]
[[Category:bookworm]]
[[Category:trixie]]

=Préparation=

==Assurez vous que vous êtes à la dernière version de debian==

<pre>apt update
apt full-upgrade</pre>

==Vérifiez l'absence d'action en attente si vous utilisez aptitude==

Lancez <code>aptitude</code> puis tapez <code>G</code>

==Supprimez les paquets obsolètes==

<pre>
apt list '~o'
apt purge '~o'
</pre>

==Identifiez les paquets non-debian qui pourraient poser soucis lors de la mise à jour==

Tous les paquets non fournis par debian peuvent poser problème. A vos risques et péril. 
Pour les identifier :
<pre>
apt list '?narrow(?installed, ?not(?origin(Debian)))'
apt-forktracer | sort
</pre>

A vous de décider ou non de les supprimer avant la mise à niveau, certains paquets peuvent néanmoins gêner la mise à niveau.

==Supprimez les fichiers de configuration non utilisés==
<pre>find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error'</pre>

==Désactivez le pinning==

Dans <code>/etc/apt/preferences</code> et <code>/etc/apt/preferences.d/</code>

==Vérifiez l'absence de paquets cassés==

<pre>dpkg --audit</pre>

==Enlevez les éventuels holds qui pourraient faire échouer la mise à jour==

Pour identifier les paquets en hold :

<pre>
apt-mark showhold
aptitude search "~ahold"
dpkg --get-selections | grep 'hold$'
</pre>

Pour supprimer un hold :
<pre>apt-mark unhold package_name</pre>

==Désactivez les entrées backports de votre sources.list==

==Sources non officielles==
Assurez vous que ces sources possèdent des paquets compilés pour la nouvelle version de debian

=Spécificités trixie=

==Mariadb==

MariaDB ne supporte pas une récupération d'erreur entre deux versions majeurs, il faut donc s'assurer que vos bases de données sont propres et que les données et buffers sont bien écrit sur le disque avant de mettre à jour debian. Pour cela :

<pre>service mariadb stop</pre>

Puis vérifiez dans les logs la présence d'une ligne <code>Shutdown complete</code>. Si ce n'est pas le cas, relancez mariadb pour lancer la récupération automatique des tables, attendez, puis stoppez à nouveau mariadb et vérifiez dans les logs que le nouvel arrêt s'est fait proprement.

=Mise à jour=

==Mise à jour de /etc/apt/sources.list==

Debian Trixie utilise la nouvelle version deb822-style pour les sources apt.

Il faut transformer le fichier <code>/etc/apt/sources.list</code> et tout fichier <code>*.list</code> situé dans <code>/etc/apt/sources.list.d/</code> en un fichier <code>/etc/apt/sources.list.d/debian.sources</code>

Exemple de fichier <code>debian.sources</code> :

<pre>
# main and updates
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# security
Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
</pre>

==Mise à jour de la liste des paquets==
<pre>apt update</pre>

==Assure vous d'avoir assez d'espace libre==

La commande suivante permet de voir l'espace nécessaire pour la mise à jour :
<pre>apt -o APT::Get::Trivial-Only=true full-upgrade</pre>

==Enregistrez les actions effectuées==

apt loguera les packets modifiés dans <code>/var/log/apt/history.log</code> et la sortie du terminal dans <code>/var/log/apt/term.log</code>

==Mise à jour==
<pre>
apt upgrade --without-new-pkgs
apt full-upgrade
</pre>

Si un prompt vous demande s'il doit installer une nouvelle version d'un fichier, répondez de préférence oui puis faites les adaptations nécessaires à votre configuration après la fin de la mise à jour. L'ancien fichier restera disponible, suffixé de .dpkg-old

=Cleanup=

==Supprimez les paquets qui ne sont plus nécessaires==

<pre>apt autoremove</pre>

==Identifiez les configurations et fichier résiduels des paquets qui ne sont plus nécessaires==

<pre>apt list '~c'</pre>

===Purgez ces paquets===

<pre>apt purge '~c'</pre>

==Identifiez et supprimez les paquets obsolètes==

Ce sont des paquets qui ne sont plus maintenu par debian.

* Pour les lister :

<pre>apt list '~o'</pre>

* Pour les supprimer :

<pre>apt purge '~o'</pre>

=Spécificités trixie=

==Risque de modification du nom des interfaces réseaux==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#network-interface-names-may-change

==Le dossier des fichiers temporaires /tmp est maintenant un tmpfs==

Pour récupérer ou supprimer les anciens fichiers du dossier /tmp il faut faire un bind mount :
<pre>mount --bind / /mnt</pre>

Les anciens fichiers tmp seront dans <code>/mnt/tmp/</code>

Par défaut, le dossier <code>/tmp</code> disposera de 50% de la mémoire du système. Vous pouvez modifier l'espace alloué avec <code>systemctl edit tmp.mount</code> et modifier par exemple :
<pre>
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
</pre>

Si vous souhaitez retrouver un dossier <code>/tmp</code> classique (sans tmpfs) :
<pre>systemctl mask tmp.mount</pre>
Puis redémarrer

==Les dossiers /tmp et /var/tmp sont purgés automatiquement==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#the-directories-tmp-and-var-tmp-are-now-regularly-cleaned

Cette fonctionnalité n'est pas activé automatiquement après l'upgrade. Pour l'activer supprimez le fichier <code>/etc/tmpfiles.d/tmp.conf</code> :
<pre>rm -f /etc/tmpfiles.d/tmp.conf</pre>

Après cela, les fichiers dans <code>/tmp</code> seront automatiquement supprimé après 10 jours et les fichiers dans <code>/var/tmp</code> après 30 jours

==Le fichier /etc/sysctl.conf n'est plus appliqué==

A partir de debian trixie, le fichier <code>/etc/sysctl.conf</code> n'est plus lu, en faveur du fichier <code>/usr/lib/sysctl.d/50-default.conf</code> fournit par le paquet <code>linux-sysctl-defaults</code>. Si vous souhaitez éditer les sysctl, il faudra désormais créer un fichier <code> /etc/sysctl.d/*.conf</code>.

==Les paquets isc-dhcp sont dépréciés==
Si vous utilisez NetworkManager ou systemd-networkd : rien à faire et vous pouvez supprimer le paquet <code>isc-dhcp-client</code>.

Si vous utilisez ifupdown, le paquet <code>dhcpcd-base</code> fourni un client dhcp de remplacement (dans ce cas, supprimez les lignes <code>inet6 dhcp</code> de votre fichier <code>/etc/network/interfaces</code>

A noter un bug IPv6 avec isc-dhcp-client : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1088852

==si la commande ping ne fonctionne plus pour les utilisateurs==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#ping-no-longer-runs-with-elevated-privileges

=Appendice=
https://www.debian.org/releases/trixie/release-notes/upgrading.en.html

Migration de Debian Bookworm vers Trixie

2025-09-24T12:37:05Z

Pfoo : /* Les paquets isc-dhcp sont dépréciés */

[[Category:serveur]]
[[Category:debian]]
[[Category:bookworm]]
[[Category:trixie]]

=Préparation=

==Assurez vous que vous êtes à la dernière version de debian==

<pre>apt update
apt full-upgrade</pre>

==Vérifiez l'absence d'action en attente si vous utilisez aptitude==

Lancez <code>aptitude</code> puis tapez <code>G</code>

==Supprimez les paquets obsolètes==

<pre>
apt list '~o'
apt purge '~o'
</pre>

==Identifiez les paquets non-debian qui pourraient poser soucis lors de la mise à jour==

Tous les paquets non fournis par debian peuvent poser problème. A vos risques et péril. 
Pour les identifier :
<pre>
apt list '?narrow(?installed, ?not(?origin(Debian)))'
apt-forktracer | sort
</pre>

A vous de décider ou non de les supprimer avant la mise à niveau, certains paquets peuvent néanmoins gêner la mise à niveau.

==Supprimez les fichiers de configuration non utilisés==
<pre>find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error'</pre>

==Désactivez le pinning==

Dans <code>/etc/apt/preferences</code> et <code>/etc/apt/preferences.d/</code>

==Vérifiez l'absence de paquets cassés==

<pre>dpkg --audit</pre>

==Enlevez les éventuels holds qui pourraient faire échouer la mise à jour==

Pour identifier les paquets en hold :

<pre>
apt-mark showhold
aptitude search "~ahold"
dpkg --get-selections | grep 'hold$'
</pre>

Pour supprimer un hold :
<pre>apt-mark unhold package_name</pre>

==Désactivez les entrées backports de votre sources.list==

==Sources non officielles==
Assurez vous que ces sources possèdent des paquets compilés pour la nouvelle version de debian

=Spécificités trixie=

==Mariadb==

MariaDB ne supporte pas une récupération d'erreur entre deux versions majeurs, il faut donc s'assurer que vos bases de données sont propres et que les données et buffers sont bien écrit sur le disque avant de mettre à jour debian. Pour cela :

<pre>service mariadb stop</pre>

Puis vérifiez dans les logs la présence d'une ligne <code>Shutdown complete</code>. Si ce n'est pas le cas, relancez mariadb pour lancer la récupération automatique des tables, attendez, puis stoppez à nouveau mariadb et vérifiez dans les logs que le nouvel arrêt s'est fait proprement.

=Mise à jour=

==Mise à jour de /etc/apt/sources.list==

Debian Trixie utilise la nouvelle version deb822-style pour les sources apt.

Il faut transformer le fichier <code>/etc/apt/sources.list</code> et tout fichier <code>*.list</code> situé dans <code>/etc/apt/sources.list.d/</code> en un fichier <code>/etc/apt/sources.list.d/debian.sources</code>

Exemple de fichier <code>debian.sources</code> :

<pre>
# main and updates
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# security
Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
</pre>

==Mise à jour de la liste des paquets==
<pre>apt update</pre>

==Assure vous d'avoir assez d'espace libre==

La commande suivante permet de voir l'espace nécessaire pour la mise à jour :
<pre>apt -o APT::Get::Trivial-Only=true full-upgrade</pre>

==Enregistrez les actions effectuées==

apt loguera les packets modifiés dans <code>/var/log/apt/history.log</code> et la sortie du terminal dans <code>/var/log/apt/term.log</code>

==Mise à jour==
<pre>
apt upgrade --without-new-pkgs
apt full-upgrade
</pre>

Si un prompt vous demande s'il doit installer une nouvelle version d'un fichier, répondez de préférence oui puis faites les adaptations nécessaires à votre configuration après la fin de la mise à jour. L'ancien fichier restera disponible, suffixé de .dpkg-old

=Cleanup=

==Supprimez les paquets qui ne sont plus nécessaires==

<pre>apt autoremove</pre>

==Identifiez les configurations et fichier résiduels des paquets qui ne sont plus nécessaires==

<pre>apt list '~c'</pre>

===Purgez ces paquets===

<pre>apt purge '~c'</pre>

==Identifiez et supprimez les paquets obsolètes==

Ce sont des paquets qui ne sont plus maintenu par debian.

* Pour les lister :

<pre>apt list '~o'</pre>

* Pour les supprimer :

<pre>apt purge '~o'</pre>

=Spécificités trixie=

==Risque de modification du nom des interfaces réseaux==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#network-interface-names-may-change

==Le dossier des fichiers temporaires /tmp est maintenant un tmpfs==

Pour récupérer ou supprimer les anciens fichiers du dossier /tmp il faut faire un bind mount :
<pre>mount --bind / /mnt</pre>

Les anciens fichiers tmp seront dans <code>/mnt/tmp/</code>

Par défaut, le dossier <code>/tmp</code> disposera de 50% de la mémoire du système. Vous pouvez modifier l'espace alloué avec <code>systemctl edit tmp.mount</code> et modifier par exemple :
<pre>
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
</pre>

Si vous souhaitez retrouver un dossier <code>/tmp</code> classique (sans tmpfs) :
<pre>systemctl mask tmp.mount</pre>
Puis redémarrer

==Les dossiers /tmp et /var/tmp sont purgés automatiquement==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#the-directories-tmp-and-var-tmp-are-now-regularly-cleaned

Cette fonctionnalité n'est pas activé automatiquement après l'upgrade. Pour l'activer supprimez le fichier <code>/etc/tmpfiles.d/tmp.conf</code> :
<pre>rm -f /etc/tmpfiles.d/tmp.conf</pre>

Après cela, les fichiers dans <code>/tmp</code> seront automatiquement supprimé après 10 jours et les fichiers dans <code>/var/tmp</code> après 30 jours

==Le fichier /etc/sysctl.conf n'est plus appliqué==

A partir de debian trixie, le fichier <code>/etc/sysctl.conf</code> n'est plus lu, en faveur du fichier <code>/usr/lib/sysctl.d/50-default.conf</code> fournit par le paquet <code>linux-sysctl-defaults</code>. Si vous souhaitez éditer les sysctl, il faudra désormais créer un fichier <code> /etc/sysctl.d/*.conf</code>.

==Les paquets isc-dhcp sont dépréciés==
Si vous utilisez NetworkManager ou systemd-networkd : rien à faire et vous pouvez supprimer le paquet <code>isc-dhcp-client</code>.

Si vous utilisez ifupdown, le paquet <code>dhcpcd-base</code> fourni un client dhcp de remplacement.

A noter un bug IPv6 avec isc-dhcp-client : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1088852

==si la commande ping ne fonctionne plus pour les utilisateurs==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#ping-no-longer-runs-with-elevated-privileges

=Appendice=
https://www.debian.org/releases/trixie/release-notes/upgrading.en.html

Debian Trixie sources.list

2025-09-24T12:02:19Z

Pfoo :

[[Category:serveur]]
[[Category:debian]]

A placer dans <code>/etc/apt/sources.list.d/debian.sources</code> :
<pre>
# main updates and backports
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates trixie-backports
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# security
Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
</pre>

Debian Trixie sources.list

2025-09-24T12:00:24Z

Pfoo :

[[Category:serveur]]
[[Category:debian]]

<pre>
# main updates and backports
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates trixie-backports
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# security
Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
</pre>

Debian Trixie sources.list

2025-09-24T11:59:23Z

Pfoo : Page créée avec « Category:serveur Category:debian <pre> # main and updates Types: deb URIs: https://deb.debian.org/debian Suites: trixie trixie-updates trixie-backports Components: main contrib non-free non-free-firmware Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg # security Types: deb URIs: https://security.debian.org/debian-security Suites: trixie-security Components: main contrib non-free non-free-firmware Signed-By: /usr/share/keyrings/debian-archive-k... »

[[Category:serveur]]
[[Category:debian]]

<pre>
# main and updates
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates trixie-backports
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# security
Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
</pre>

Migration de Debian Bookworm vers Trixie

2025-09-24T11:40:03Z

Pfoo : /* Les paquets isc-dhcp sont dépréciés */

[[Category:serveur]]
[[Category:debian]]
[[Category:bookworm]]
[[Category:trixie]]

=Préparation=

==Assurez vous que vous êtes à la dernière version de debian==

<pre>apt update
apt full-upgrade</pre>

==Vérifiez l'absence d'action en attente si vous utilisez aptitude==

Lancez <code>aptitude</code> puis tapez <code>G</code>

==Supprimez les paquets obsolètes==

<pre>
apt list '~o'
apt purge '~o'
</pre>

==Identifiez les paquets non-debian qui pourraient poser soucis lors de la mise à jour==

Tous les paquets non fournis par debian peuvent poser problème. A vos risques et péril. 
Pour les identifier :
<pre>
apt list '?narrow(?installed, ?not(?origin(Debian)))'
apt-forktracer | sort
</pre>

A vous de décider ou non de les supprimer avant la mise à niveau, certains paquets peuvent néanmoins gêner la mise à niveau.

==Supprimez les fichiers de configuration non utilisés==
<pre>find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error'</pre>

==Désactivez le pinning==

Dans <code>/etc/apt/preferences</code> et <code>/etc/apt/preferences.d/</code>

==Vérifiez l'absence de paquets cassés==

<pre>dpkg --audit</pre>

==Enlevez les éventuels holds qui pourraient faire échouer la mise à jour==

Pour identifier les paquets en hold :

<pre>
apt-mark showhold
aptitude search "~ahold"
dpkg --get-selections | grep 'hold$'
</pre>

Pour supprimer un hold :
<pre>apt-mark unhold package_name</pre>

==Désactivez les entrées backports de votre sources.list==

==Sources non officielles==
Assurez vous que ces sources possèdent des paquets compilés pour la nouvelle version de debian

=Spécificités trixie=

==Mariadb==

MariaDB ne supporte pas une récupération d'erreur entre deux versions majeurs, il faut donc s'assurer que vos bases de données sont propres et que les données et buffers sont bien écrit sur le disque avant de mettre à jour debian. Pour cela :

<pre>service mariadb stop</pre>

Puis vérifiez dans les logs la présence d'une ligne <code>Shutdown complete</code>. Si ce n'est pas le cas, relancez mariadb pour lancer la récupération automatique des tables, attendez, puis stoppez à nouveau mariadb et vérifiez dans les logs que le nouvel arrêt s'est fait proprement.

=Mise à jour=

==Mise à jour de /etc/apt/sources.list==

Debian Trixie utilise la nouvelle version deb822-style pour les sources apt.

Il faut transformer le fichier <code>/etc/apt/sources.list</code> et tout fichier <code>*.list</code> situé dans <code>/etc/apt/sources.list.d/</code> en un fichier <code>/etc/apt/sources.list.d/debian.sources</code>

Exemple de fichier <code>debian.sources</code> :

<pre>
# main and updates
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# security
Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
</pre>

==Mise à jour de la liste des paquets==
<pre>apt update</pre>

==Assure vous d'avoir assez d'espace libre==

La commande suivante permet de voir l'espace nécessaire pour la mise à jour :
<pre>apt -o APT::Get::Trivial-Only=true full-upgrade</pre>

==Enregistrez les actions effectuées==

apt loguera les packets modifiés dans <code>/var/log/apt/history.log</code> et la sortie du terminal dans <code>/var/log/apt/term.log</code>

==Mise à jour==
<pre>
apt upgrade --without-new-pkgs
apt full-upgrade
</pre>

Si un prompt vous demande s'il doit installer une nouvelle version d'un fichier, répondez de préférence oui puis faites les adaptations nécessaires à votre configuration après la fin de la mise à jour. L'ancien fichier restera disponible, suffixé de .dpkg-old

=Cleanup=

==Supprimez les paquets qui ne sont plus nécessaires==

<pre>apt autoremove</pre>

==Identifiez les configurations et fichier résiduels des paquets qui ne sont plus nécessaires==

<pre>apt list '~c'</pre>

===Purgez ces paquets===

<pre>apt purge '~c'</pre>

==Identifiez et supprimez les paquets obsolètes==

Ce sont des paquets qui ne sont plus maintenu par debian.

* Pour les lister :

<pre>apt list '~o'</pre>

* Pour les supprimer :

<pre>apt purge '~o'</pre>

=Spécificités trixie=

==Risque de modification du nom des interfaces réseaux==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#network-interface-names-may-change

==Le dossier des fichiers temporaires /tmp est maintenant un tmpfs==

Pour récupérer ou supprimer les anciens fichiers du dossier /tmp il faut faire un bind mount :
<pre>mount --bind / /mnt</pre>

Les anciens fichiers tmp seront dans <code>/mnt/tmp/</code>

Par défaut, le dossier <code>/tmp</code> disposera de 50% de la mémoire du système. Vous pouvez modifier l'espace alloué avec <code>systemctl edit tmp.mount</code> et modifier par exemple :
<pre>
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
</pre>

Si vous souhaitez retrouver un dossier <code>/tmp</code> classique (sans tmpfs) :
<pre>systemctl mask tmp.mount</pre>
Puis redémarrer

==Les dossiers /tmp et /var/tmp sont purgés automatiquement==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#the-directories-tmp-and-var-tmp-are-now-regularly-cleaned

Cette fonctionnalité n'est pas activé automatiquement après l'upgrade. Pour l'activer supprimez le fichier <code>/etc/tmpfiles.d/tmp.conf</code> :
<pre>rm -f /etc/tmpfiles.d/tmp.conf</pre>

Après cela, les fichiers dans <code>/tmp</code> seront automatiquement supprimé après 10 jours et les fichiers dans <code>/var/tmp</code> après 30 jours

==Le fichier /etc/sysctl.conf n'est plus appliqué==

A partir de debian trixie, le fichier <code>/etc/sysctl.conf</code> n'est plus lu, en faveur du fichier <code>/usr/lib/sysctl.d/50-default.conf</code> fournit par le paquet <code>linux-sysctl-defaults</code>. Si vous souhaitez éditer les sysctl, il faudra désormais créer un fichier <code> /etc/sysctl.d/*.conf</code>.

==Les paquets isc-dhcp sont dépréciés==
Si vous utilisez NetworkManager ou systemd-networkd : rien à faire et vous pouvez supprimer le paquet <code>isc-dhcp-client</code>.

Si vous utilisez ifupdown, le paquet <code>dhcpcd-base</code> fourni un client dhcp de remplacement.

==si la commande ping ne fonctionne plus pour les utilisateurs==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#ping-no-longer-runs-with-elevated-privileges

=Appendice=
https://www.debian.org/releases/trixie/release-notes/upgrading.en.html

Migration de Debian Bookworm vers Trixie

2025-08-15T16:45:57Z

Pfoo : /* si Ping ne fonctionne plus pour les utilisateurs */

[[Category:serveur]]
[[Category:debian]]
[[Category:bookworm]]
[[Category:trixie]]

=Préparation=

==Assurez vous que vous êtes à la dernière version de debian==

<pre>apt update
apt full-upgrade</pre>

==Vérifiez l'absence d'action en attente si vous utilisez aptitude==

Lancez <code>aptitude</code> puis tapez <code>G</code>

==Supprimez les paquets obsolètes==

<pre>
apt list '~o'
apt purge '~o'
</pre>

==Identifiez les paquets non-debian qui pourraient poser soucis lors de la mise à jour==

Tous les paquets non fournis par debian peuvent poser problème. A vos risques et péril. 
Pour les identifier :
<pre>
apt list '?narrow(?installed, ?not(?origin(Debian)))'
apt-forktracer | sort
</pre>

A vous de décider ou non de les supprimer avant la mise à niveau, certains paquets peuvent néanmoins gêner la mise à niveau.

==Supprimez les fichiers de configuration non utilisés==
<pre>find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error'</pre>

==Désactivez le pinning==

Dans <code>/etc/apt/preferences</code> et <code>/etc/apt/preferences.d/</code>

==Vérifiez l'absence de paquets cassés==

<pre>dpkg --audit</pre>

==Enlevez les éventuels holds qui pourraient faire échouer la mise à jour==

Pour identifier les paquets en hold :

<pre>
apt-mark showhold
aptitude search "~ahold"
dpkg --get-selections | grep 'hold$'
</pre>

Pour supprimer un hold :
<pre>apt-mark unhold package_name</pre>

==Désactivez les entrées backports de votre sources.list==

==Sources non officielles==
Assurez vous que ces sources possèdent des paquets compilés pour la nouvelle version de debian

=Spécificités trixie=

==Mariadb==

MariaDB ne supporte pas une récupération d'erreur entre deux versions majeurs, il faut donc s'assurer que vos bases de données sont propres et que les données et buffers sont bien écrit sur le disque avant de mettre à jour debian. Pour cela :

<pre>service mariadb stop</pre>

Puis vérifiez dans les logs la présence d'une ligne <code>Shutdown complete</code>. Si ce n'est pas le cas, relancez mariadb pour lancer la récupération automatique des tables, attendez, puis stoppez à nouveau mariadb et vérifiez dans les logs que le nouvel arrêt s'est fait proprement.

=Mise à jour=

==Mise à jour de /etc/apt/sources.list==

Debian Trixie utilise la nouvelle version deb822-style pour les sources apt.

Il faut transformer le fichier <code>/etc/apt/sources.list</code> et tout fichier <code>*.list</code> situé dans <code>/etc/apt/sources.list.d/</code> en un fichier <code>/etc/apt/sources.list.d/debian.sources</code>

Exemple de fichier <code>debian.sources</code> :

<pre>
# main and updates
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# security
Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
</pre>

==Mise à jour de la liste des paquets==
<pre>apt update</pre>

==Assure vous d'avoir assez d'espace libre==

La commande suivante permet de voir l'espace nécessaire pour la mise à jour :
<pre>apt -o APT::Get::Trivial-Only=true full-upgrade</pre>

==Enregistrez les actions effectuées==

apt loguera les packets modifiés dans <code>/var/log/apt/history.log</code> et la sortie du terminal dans <code>/var/log/apt/term.log</code>

==Mise à jour==
<pre>
apt upgrade --without-new-pkgs
apt full-upgrade
</pre>

Si un prompt vous demande s'il doit installer une nouvelle version d'un fichier, répondez de préférence oui puis faites les adaptations nécessaires à votre configuration après la fin de la mise à jour. L'ancien fichier restera disponible, suffixé de .dpkg-old

=Cleanup=

==Supprimez les paquets qui ne sont plus nécessaires==

<pre>apt autoremove</pre>

==Identifiez les configurations et fichier résiduels des paquets qui ne sont plus nécessaires==

<pre>apt list '~c'</pre>

===Purgez ces paquets===

<pre>apt purge '~c'</pre>

==Identifiez et supprimez les paquets obsolètes==

Ce sont des paquets qui ne sont plus maintenu par debian.

* Pour les lister :

<pre>apt list '~o'</pre>

* Pour les supprimer :

<pre>apt purge '~o'</pre>

=Spécificités trixie=

==Risque de modification du nom des interfaces réseaux==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#network-interface-names-may-change

==Le dossier des fichiers temporaires /tmp est maintenant un tmpfs==

Pour récupérer ou supprimer les anciens fichiers du dossier /tmp il faut faire un bind mount :
<pre>mount --bind / /mnt</pre>

Les anciens fichiers tmp seront dans <code>/mnt/tmp/</code>

Par défaut, le dossier <code>/tmp</code> disposera de 50% de la mémoire du système. Vous pouvez modifier l'espace alloué avec <code>systemctl edit tmp.mount</code> et modifier par exemple :
<pre>
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
</pre>

Si vous souhaitez retrouver un dossier <code>/tmp</code> classique (sans tmpfs) :
<pre>systemctl mask tmp.mount</pre>
Puis redémarrer

==Les dossiers /tmp et /var/tmp sont purgés automatiquement==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#the-directories-tmp-and-var-tmp-are-now-regularly-cleaned

Cette fonctionnalité n'est pas activé automatiquement après l'upgrade. Pour l'activer supprimez le fichier <code>/etc/tmpfiles.d/tmp.conf</code> :
<pre>rm -f /etc/tmpfiles.d/tmp.conf</pre>

Après cela, les fichiers dans <code>/tmp</code> seront automatiquement supprimé après 10 jours et les fichiers dans <code>/var/tmp</code> après 30 jours

==Les paquets isc-dhcp sont dépréciés==
Si vous utilisez NetworkManager ou systemd-networkd : rien à faire et vous pouvez supprimer le paquet <code>isc-dhcp-client</code>.

Si vous utilisez ifupdown, le paquet <code>dhcpcd-base</code> fourni un client dhcp de remplacement.

==si la commande ping ne fonctionne plus pour les utilisateurs==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#ping-no-longer-runs-with-elevated-privileges

=Appendice=
https://www.debian.org/releases/trixie/release-notes/upgrading.en.html

Migration de Debian Bookworm vers Trixie

2025-08-15T16:45:46Z

Pfoo : /* Les paquets isc-dhcp sont dépréciés */

[[Category:serveur]]
[[Category:debian]]
[[Category:bookworm]]
[[Category:trixie]]

=Préparation=

==Assurez vous que vous êtes à la dernière version de debian==

<pre>apt update
apt full-upgrade</pre>

==Vérifiez l'absence d'action en attente si vous utilisez aptitude==

Lancez <code>aptitude</code> puis tapez <code>G</code>

==Supprimez les paquets obsolètes==

<pre>
apt list '~o'
apt purge '~o'
</pre>

==Identifiez les paquets non-debian qui pourraient poser soucis lors de la mise à jour==

Tous les paquets non fournis par debian peuvent poser problème. A vos risques et péril. 
Pour les identifier :
<pre>
apt list '?narrow(?installed, ?not(?origin(Debian)))'
apt-forktracer | sort
</pre>

A vous de décider ou non de les supprimer avant la mise à niveau, certains paquets peuvent néanmoins gêner la mise à niveau.

==Supprimez les fichiers de configuration non utilisés==
<pre>find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error'</pre>

==Désactivez le pinning==

Dans <code>/etc/apt/preferences</code> et <code>/etc/apt/preferences.d/</code>

==Vérifiez l'absence de paquets cassés==

<pre>dpkg --audit</pre>

==Enlevez les éventuels holds qui pourraient faire échouer la mise à jour==

Pour identifier les paquets en hold :

<pre>
apt-mark showhold
aptitude search "~ahold"
dpkg --get-selections | grep 'hold$'
</pre>

Pour supprimer un hold :
<pre>apt-mark unhold package_name</pre>

==Désactivez les entrées backports de votre sources.list==

==Sources non officielles==
Assurez vous que ces sources possèdent des paquets compilés pour la nouvelle version de debian

=Spécificités trixie=

==Mariadb==

MariaDB ne supporte pas une récupération d'erreur entre deux versions majeurs, il faut donc s'assurer que vos bases de données sont propres et que les données et buffers sont bien écrit sur le disque avant de mettre à jour debian. Pour cela :

<pre>service mariadb stop</pre>

Puis vérifiez dans les logs la présence d'une ligne <code>Shutdown complete</code>. Si ce n'est pas le cas, relancez mariadb pour lancer la récupération automatique des tables, attendez, puis stoppez à nouveau mariadb et vérifiez dans les logs que le nouvel arrêt s'est fait proprement.

=Mise à jour=

==Mise à jour de /etc/apt/sources.list==

Debian Trixie utilise la nouvelle version deb822-style pour les sources apt.

Il faut transformer le fichier <code>/etc/apt/sources.list</code> et tout fichier <code>*.list</code> situé dans <code>/etc/apt/sources.list.d/</code> en un fichier <code>/etc/apt/sources.list.d/debian.sources</code>

Exemple de fichier <code>debian.sources</code> :

<pre>
# main and updates
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# security
Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
</pre>

==Mise à jour de la liste des paquets==
<pre>apt update</pre>

==Assure vous d'avoir assez d'espace libre==

La commande suivante permet de voir l'espace nécessaire pour la mise à jour :
<pre>apt -o APT::Get::Trivial-Only=true full-upgrade</pre>

==Enregistrez les actions effectuées==

apt loguera les packets modifiés dans <code>/var/log/apt/history.log</code> et la sortie du terminal dans <code>/var/log/apt/term.log</code>

==Mise à jour==
<pre>
apt upgrade --without-new-pkgs
apt full-upgrade
</pre>

Si un prompt vous demande s'il doit installer une nouvelle version d'un fichier, répondez de préférence oui puis faites les adaptations nécessaires à votre configuration après la fin de la mise à jour. L'ancien fichier restera disponible, suffixé de .dpkg-old

=Cleanup=

==Supprimez les paquets qui ne sont plus nécessaires==

<pre>apt autoremove</pre>

==Identifiez les configurations et fichier résiduels des paquets qui ne sont plus nécessaires==

<pre>apt list '~c'</pre>

===Purgez ces paquets===

<pre>apt purge '~c'</pre>

==Identifiez et supprimez les paquets obsolètes==

Ce sont des paquets qui ne sont plus maintenu par debian.

* Pour les lister :

<pre>apt list '~o'</pre>

* Pour les supprimer :

<pre>apt purge '~o'</pre>

=Spécificités trixie=

==Risque de modification du nom des interfaces réseaux==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#network-interface-names-may-change

==Le dossier des fichiers temporaires /tmp est maintenant un tmpfs==

Pour récupérer ou supprimer les anciens fichiers du dossier /tmp il faut faire un bind mount :
<pre>mount --bind / /mnt</pre>

Les anciens fichiers tmp seront dans <code>/mnt/tmp/</code>

Par défaut, le dossier <code>/tmp</code> disposera de 50% de la mémoire du système. Vous pouvez modifier l'espace alloué avec <code>systemctl edit tmp.mount</code> et modifier par exemple :
<pre>
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
</pre>

Si vous souhaitez retrouver un dossier <code>/tmp</code> classique (sans tmpfs) :
<pre>systemctl mask tmp.mount</pre>
Puis redémarrer

==Les dossiers /tmp et /var/tmp sont purgés automatiquement==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#the-directories-tmp-and-var-tmp-are-now-regularly-cleaned

Cette fonctionnalité n'est pas activé automatiquement après l'upgrade. Pour l'activer supprimez le fichier <code>/etc/tmpfiles.d/tmp.conf</code> :
<pre>rm -f /etc/tmpfiles.d/tmp.conf</pre>

Après cela, les fichiers dans <code>/tmp</code> seront automatiquement supprimé après 10 jours et les fichiers dans <code>/var/tmp</code> après 30 jours

==Les paquets isc-dhcp sont dépréciés==
Si vous utilisez NetworkManager ou systemd-networkd : rien à faire et vous pouvez supprimer le paquet <code>isc-dhcp-client</code>.

Si vous utilisez ifupdown, le paquet <code>dhcpcd-base</code> fourni un client dhcp de remplacement.

==si Ping ne fonctionne plus pour les utilisateurs==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#ping-no-longer-runs-with-elevated-privileges

=Appendice=
https://www.debian.org/releases/trixie/release-notes/upgrading.en.html

Migration de Debian Bookworm vers Trixie

2025-08-15T16:44:06Z

Pfoo : /* Mariadb */

[[Category:serveur]]
[[Category:debian]]
[[Category:bookworm]]
[[Category:trixie]]

=Préparation=

==Assurez vous que vous êtes à la dernière version de debian==

<pre>apt update
apt full-upgrade</pre>

==Vérifiez l'absence d'action en attente si vous utilisez aptitude==

Lancez <code>aptitude</code> puis tapez <code>G</code>

==Supprimez les paquets obsolètes==

<pre>
apt list '~o'
apt purge '~o'
</pre>

==Identifiez les paquets non-debian qui pourraient poser soucis lors de la mise à jour==

Tous les paquets non fournis par debian peuvent poser problème. A vos risques et péril. 
Pour les identifier :
<pre>
apt list '?narrow(?installed, ?not(?origin(Debian)))'
apt-forktracer | sort
</pre>

A vous de décider ou non de les supprimer avant la mise à niveau, certains paquets peuvent néanmoins gêner la mise à niveau.

==Supprimez les fichiers de configuration non utilisés==
<pre>find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error'</pre>

==Désactivez le pinning==

Dans <code>/etc/apt/preferences</code> et <code>/etc/apt/preferences.d/</code>

==Vérifiez l'absence de paquets cassés==

<pre>dpkg --audit</pre>

==Enlevez les éventuels holds qui pourraient faire échouer la mise à jour==

Pour identifier les paquets en hold :

<pre>
apt-mark showhold
aptitude search "~ahold"
dpkg --get-selections | grep 'hold$'
</pre>

Pour supprimer un hold :
<pre>apt-mark unhold package_name</pre>

==Désactivez les entrées backports de votre sources.list==

==Sources non officielles==
Assurez vous que ces sources possèdent des paquets compilés pour la nouvelle version de debian

=Spécificités trixie=

==Mariadb==

MariaDB ne supporte pas une récupération d'erreur entre deux versions majeurs, il faut donc s'assurer que vos bases de données sont propres et que les données et buffers sont bien écrit sur le disque avant de mettre à jour debian. Pour cela :

<pre>service mariadb stop</pre>

Puis vérifiez dans les logs la présence d'une ligne <code>Shutdown complete</code>. Si ce n'est pas le cas, relancez mariadb pour lancer la récupération automatique des tables, attendez, puis stoppez à nouveau mariadb et vérifiez dans les logs que le nouvel arrêt s'est fait proprement.

=Mise à jour=

==Mise à jour de /etc/apt/sources.list==

Debian Trixie utilise la nouvelle version deb822-style pour les sources apt.

Il faut transformer le fichier <code>/etc/apt/sources.list</code> et tout fichier <code>*.list</code> situé dans <code>/etc/apt/sources.list.d/</code> en un fichier <code>/etc/apt/sources.list.d/debian.sources</code>

Exemple de fichier <code>debian.sources</code> :

<pre>
# main and updates
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# security
Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
</pre>

==Mise à jour de la liste des paquets==
<pre>apt update</pre>

==Assure vous d'avoir assez d'espace libre==

La commande suivante permet de voir l'espace nécessaire pour la mise à jour :
<pre>apt -o APT::Get::Trivial-Only=true full-upgrade</pre>

==Enregistrez les actions effectuées==

apt loguera les packets modifiés dans <code>/var/log/apt/history.log</code> et la sortie du terminal dans <code>/var/log/apt/term.log</code>

==Mise à jour==
<pre>
apt upgrade --without-new-pkgs
apt full-upgrade
</pre>

Si un prompt vous demande s'il doit installer une nouvelle version d'un fichier, répondez de préférence oui puis faites les adaptations nécessaires à votre configuration après la fin de la mise à jour. L'ancien fichier restera disponible, suffixé de .dpkg-old

=Cleanup=

==Supprimez les paquets qui ne sont plus nécessaires==

<pre>apt autoremove</pre>

==Identifiez les configurations et fichier résiduels des paquets qui ne sont plus nécessaires==

<pre>apt list '~c'</pre>

===Purgez ces paquets===

<pre>apt purge '~c'</pre>

==Identifiez et supprimez les paquets obsolètes==

Ce sont des paquets qui ne sont plus maintenu par debian.

* Pour les lister :

<pre>apt list '~o'</pre>

* Pour les supprimer :

<pre>apt purge '~o'</pre>

=Spécificités trixie=

==Risque de modification du nom des interfaces réseaux==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#network-interface-names-may-change

==Le dossier des fichiers temporaires /tmp est maintenant un tmpfs==

Pour récupérer ou supprimer les anciens fichiers du dossier /tmp il faut faire un bind mount :
<pre>mount --bind / /mnt</pre>

Les anciens fichiers tmp seront dans <code>/mnt/tmp/</code>

Par défaut, le dossier <code>/tmp</code> disposera de 50% de la mémoire du système. Vous pouvez modifier l'espace alloué avec <code>systemctl edit tmp.mount</code> et modifier par exemple :
<pre>
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
</pre>

Si vous souhaitez retrouver un dossier <code>/tmp</code> classique (sans tmpfs) :
<pre>systemctl mask tmp.mount</pre>
Puis redémarrer

==Les dossiers /tmp et /var/tmp sont purgés automatiquement==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#the-directories-tmp-and-var-tmp-are-now-regularly-cleaned

Cette fonctionnalité n'est pas activé automatiquement après l'upgrade. Pour l'activer supprimez le fichier <code>/etc/tmpfiles.d/tmp.conf</code> :
<pre>rm -f /etc/tmpfiles.d/tmp.conf</pre>

Après cela, les fichiers dans <code>/tmp</code> seront automatiquement supprimé après 10 jours et les fichiers dans <code>/var/tmp</code> après 30 jours

==Les paquets isc-dhcp sont dépréciés==
Si vous utilisez NetworkManager ou systemd-networkd : rien à faire et vous pouvez supprimer le paquet <code>isc-dhcp-client</code>.

Si vous utilisez ifupdown, le paquet <code>dhcpcd-base</code> fourni un client dhcp de remplacement.

=Appendice=
https://www.debian.org/releases/trixie/release-notes/upgrading.en.html

Migration de Debian Bookworm vers Trixie

2025-08-15T16:43:58Z

Pfoo : /* Mise à jour */

[[Category:serveur]]
[[Category:debian]]
[[Category:bookworm]]
[[Category:trixie]]

=Préparation=

==Assurez vous que vous êtes à la dernière version de debian==

<pre>apt update
apt full-upgrade</pre>

==Vérifiez l'absence d'action en attente si vous utilisez aptitude==

Lancez <code>aptitude</code> puis tapez <code>G</code>

==Supprimez les paquets obsolètes==

<pre>
apt list '~o'
apt purge '~o'
</pre>

==Identifiez les paquets non-debian qui pourraient poser soucis lors de la mise à jour==

Tous les paquets non fournis par debian peuvent poser problème. A vos risques et péril. 
Pour les identifier :
<pre>
apt list '?narrow(?installed, ?not(?origin(Debian)))'
apt-forktracer | sort
</pre>

A vous de décider ou non de les supprimer avant la mise à niveau, certains paquets peuvent néanmoins gêner la mise à niveau.

==Supprimez les fichiers de configuration non utilisés==
<pre>find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error'</pre>

==Désactivez le pinning==

Dans <code>/etc/apt/preferences</code> et <code>/etc/apt/preferences.d/</code>

==Vérifiez l'absence de paquets cassés==

<pre>dpkg --audit</pre>

==Enlevez les éventuels holds qui pourraient faire échouer la mise à jour==

Pour identifier les paquets en hold :

<pre>
apt-mark showhold
aptitude search "~ahold"
dpkg --get-selections | grep 'hold$'
</pre>

Pour supprimer un hold :
<pre>apt-mark unhold package_name</pre>

==Désactivez les entrées backports de votre sources.list==

==Sources non officielles==
Assurez vous que ces sources possèdent des paquets compilés pour la nouvelle version de debian

=Spécificités trixie=

==Mariadb==

MariaDB ne supporte pas une récupération d'erreur entre deux versions majeurs, il faut donc s'assurer que vos bases de données sont propres et que les données et buffers sont bien écrit sur le disque avant de mettre à jour debian. Pour cela :

<pre>service mariadb stop</pre>

Puis vérifier dans les logs la présence d'une ligne <code>Shutdown complete</code>. Si ce n'est pas le cas, relancez mariadb pour lancer la récupération automatique des tables, attendez, puis stoppez à nouveau mariadb et vérifiez dans les logs que le nouvel arrêt s'est fait proprement.

=Mise à jour=

==Mise à jour de /etc/apt/sources.list==

Debian Trixie utilise la nouvelle version deb822-style pour les sources apt.

Il faut transformer le fichier <code>/etc/apt/sources.list</code> et tout fichier <code>*.list</code> situé dans <code>/etc/apt/sources.list.d/</code> en un fichier <code>/etc/apt/sources.list.d/debian.sources</code>

Exemple de fichier <code>debian.sources</code> :

<pre>
# main and updates
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# security
Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
</pre>

==Mise à jour de la liste des paquets==
<pre>apt update</pre>

==Assure vous d'avoir assez d'espace libre==

La commande suivante permet de voir l'espace nécessaire pour la mise à jour :
<pre>apt -o APT::Get::Trivial-Only=true full-upgrade</pre>

==Enregistrez les actions effectuées==

apt loguera les packets modifiés dans <code>/var/log/apt/history.log</code> et la sortie du terminal dans <code>/var/log/apt/term.log</code>

==Mise à jour==
<pre>
apt upgrade --without-new-pkgs
apt full-upgrade
</pre>

Si un prompt vous demande s'il doit installer une nouvelle version d'un fichier, répondez de préférence oui puis faites les adaptations nécessaires à votre configuration après la fin de la mise à jour. L'ancien fichier restera disponible, suffixé de .dpkg-old

=Cleanup=

==Supprimez les paquets qui ne sont plus nécessaires==

<pre>apt autoremove</pre>

==Identifiez les configurations et fichier résiduels des paquets qui ne sont plus nécessaires==

<pre>apt list '~c'</pre>

===Purgez ces paquets===

<pre>apt purge '~c'</pre>

==Identifiez et supprimez les paquets obsolètes==

Ce sont des paquets qui ne sont plus maintenu par debian.

* Pour les lister :

<pre>apt list '~o'</pre>

* Pour les supprimer :

<pre>apt purge '~o'</pre>

=Spécificités trixie=

==Risque de modification du nom des interfaces réseaux==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#network-interface-names-may-change

==Le dossier des fichiers temporaires /tmp est maintenant un tmpfs==

Pour récupérer ou supprimer les anciens fichiers du dossier /tmp il faut faire un bind mount :
<pre>mount --bind / /mnt</pre>

Les anciens fichiers tmp seront dans <code>/mnt/tmp/</code>

Par défaut, le dossier <code>/tmp</code> disposera de 50% de la mémoire du système. Vous pouvez modifier l'espace alloué avec <code>systemctl edit tmp.mount</code> et modifier par exemple :
<pre>
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
</pre>

Si vous souhaitez retrouver un dossier <code>/tmp</code> classique (sans tmpfs) :
<pre>systemctl mask tmp.mount</pre>
Puis redémarrer

==Les dossiers /tmp et /var/tmp sont purgés automatiquement==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#the-directories-tmp-and-var-tmp-are-now-regularly-cleaned

Cette fonctionnalité n'est pas activé automatiquement après l'upgrade. Pour l'activer supprimez le fichier <code>/etc/tmpfiles.d/tmp.conf</code> :
<pre>rm -f /etc/tmpfiles.d/tmp.conf</pre>

Après cela, les fichiers dans <code>/tmp</code> seront automatiquement supprimé après 10 jours et les fichiers dans <code>/var/tmp</code> après 30 jours

==Les paquets isc-dhcp sont dépréciés==
Si vous utilisez NetworkManager ou systemd-networkd : rien à faire et vous pouvez supprimer le paquet <code>isc-dhcp-client</code>.

Si vous utilisez ifupdown, le paquet <code>dhcpcd-base</code> fourni un client dhcp de remplacement.

=Appendice=
https://www.debian.org/releases/trixie/release-notes/upgrading.en.html

Migration de Debian Bookworm vers Trixie

2025-08-15T16:35:43Z

Pfoo : /* Spécificités trixie */

[[Category:serveur]]
[[Category:debian]]
[[Category:bookworm]]
[[Category:trixie]]

=Préparation=

==Assurez vous que vous êtes à la dernière version de debian==

<pre>apt update
apt full-upgrade</pre>

==Vérifiez l'absence d'action en attente si vous utilisez aptitude==

Lancez <code>aptitude</code> puis tapez <code>G</code>

==Supprimez les paquets obsolètes==

<pre>
apt list '~o'
apt purge '~o'
</pre>

==Identifiez les paquets non-debian qui pourraient poser soucis lors de la mise à jour==

Tous les paquets non fournis par debian peuvent poser problème. A vos risques et péril. 
Pour les identifier :
<pre>
apt list '?narrow(?installed, ?not(?origin(Debian)))'
apt-forktracer | sort
</pre>

A vous de décider ou non de les supprimer avant la mise à niveau, certains paquets peuvent néanmoins gêner la mise à niveau.

==Supprimez les fichiers de configuration non utilisés==
<pre>find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error'</pre>

==Désactivez le pinning==

Dans <code>/etc/apt/preferences</code> et <code>/etc/apt/preferences.d/</code>

==Vérifiez l'absence de paquets cassés==

<pre>dpkg --audit</pre>

==Enlevez les éventuels holds qui pourraient faire échouer la mise à jour==

Pour identifier les paquets en hold :

<pre>
apt-mark showhold
aptitude search "~ahold"
dpkg --get-selections | grep 'hold$'
</pre>

Pour supprimer un hold :
<pre>apt-mark unhold package_name</pre>

==Désactivez les entrées backports de votre sources.list==

==Sources non officielles==
Assurez vous que ces sources possèdent des paquets compilés pour la nouvelle version de debian

=Mise à jour=

==Mise à jour de /etc/apt/sources.list==

Debian Trixie utilise la nouvelle version deb822-style pour les sources apt.

Il faut transformer le fichier <code>/etc/apt/sources.list</code> et tout fichier <code>*.list</code> situé dans <code>/etc/apt/sources.list.d/</code> en un fichier <code>/etc/apt/sources.list.d/debian.sources</code>

Exemple de fichier <code>debian.sources</code> :

<pre>
# main and updates
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# security
Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
</pre>

==Mise à jour de la liste des paquets==
<pre>apt update</pre>

==Assure vous d'avoir assez d'espace libre==

La commande suivante permet de voir l'espace nécessaire pour la mise à jour :
<pre>apt -o APT::Get::Trivial-Only=true full-upgrade</pre>

==Enregistrez les actions effectuées==

apt loguera les packets modifiés dans <code>/var/log/apt/history.log</code> et la sortie du terminal dans <code>/var/log/apt/term.log</code>

==Mise à jour==
<pre>
apt upgrade --without-new-pkgs
apt full-upgrade
</pre>

Si un prompt vous demande s'il doit installer une nouvelle version d'un fichier, répondez de préférence oui puis faites les adaptations nécessaires à votre configuration après la fin de la mise à jour. L'ancien fichier restera disponible, suffixé de .dpkg-old

=Cleanup=

==Supprimez les paquets qui ne sont plus nécessaires==

<pre>apt autoremove</pre>

==Identifiez les configurations et fichier résiduels des paquets qui ne sont plus nécessaires==

<pre>apt list '~c'</pre>

===Purgez ces paquets===

<pre>apt purge '~c'</pre>

==Identifiez et supprimez les paquets obsolètes==

Ce sont des paquets qui ne sont plus maintenu par debian.

* Pour les lister :

<pre>apt list '~o'</pre>

* Pour les supprimer :

<pre>apt purge '~o'</pre>

=Spécificités trixie=

==Risque de modification du nom des interfaces réseaux==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#network-interface-names-may-change

==Le dossier des fichiers temporaires /tmp est maintenant un tmpfs==

Pour récupérer ou supprimer les anciens fichiers du dossier /tmp il faut faire un bind mount :
<pre>mount --bind / /mnt</pre>

Les anciens fichiers tmp seront dans <code>/mnt/tmp/</code>

Par défaut, le dossier <code>/tmp</code> disposera de 50% de la mémoire du système. Vous pouvez modifier l'espace alloué avec <code>systemctl edit tmp.mount</code> et modifier par exemple :
<pre>
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
</pre>

Si vous souhaitez retrouver un dossier <code>/tmp</code> classique (sans tmpfs) :
<pre>systemctl mask tmp.mount</pre>
Puis redémarrer

==Les dossiers /tmp et /var/tmp sont purgés automatiquement==
https://www.debian.org/releases/trixie/release-notes/issues.en.html#the-directories-tmp-and-var-tmp-are-now-regularly-cleaned

Cette fonctionnalité n'est pas activé automatiquement après l'upgrade. Pour l'activer supprimez le fichier <code>/etc/tmpfiles.d/tmp.conf</code> :
<pre>rm -f /etc/tmpfiles.d/tmp.conf</pre>

Après cela, les fichiers dans <code>/tmp</code> seront automatiquement supprimé après 10 jours et les fichiers dans <code>/var/tmp</code> après 30 jours

==Les paquets isc-dhcp sont dépréciés==
Si vous utilisez NetworkManager ou systemd-networkd : rien à faire et vous pouvez supprimer le paquet <code>isc-dhcp-client</code>.

Si vous utilisez ifupdown, le paquet <code>dhcpcd-base</code> fourni un client dhcp de remplacement.

=Appendice=
https://www.debian.org/releases/trixie/release-notes/upgrading.en.html