Le standard SQL 92 a définit une norme sur les niveaux d’isolation des transactions (source: Second Informal Review Draft ISO/IEC 9075:1992, Database Language SQL- July 30, 1992). Document très coûteux mais certainement dispo quelque part…
Il existe trois phénomènes qui peuvent apparaître durant une lecture des données dans la base: les Dirty read, les Non-repeatable read et enfin les Phantoms. Selon le niveau d’isolation choisi pour la transaction, il se peut que l’un ou plusieurs (voire aucun pour serializable) de ces phénomènes apparaisse (C.f. tableau page 69 pour ceux qui ont le document normatif).
Tout SGBD voulant être conforme avec cette norme se doit donc d’implémenter les 4 niveaux d’isolation suivants:
- READ UNCOMMITTED
- READ COMMITTED
- REPEATABLE READ
- SERIALIZABLE
Mettre en place une solution style Datawarehouse (lecture seule) avec PostgreSQL est très simple: il suffit d’éditer le fichier postgresql.conf et d’y placer les paramètres suivant:
default_transaction_isolation = ‘READ UNCOMMITTED’
default_transaction_read_only = yes
Dans la mesure où les transactions ne poserons pas de verrou exclusif sur les ressources, la lecture sera extrèmement rapide si les index sont correctement définis. On peut également penser qu’une telle base de données serait parfaitement adaptée à une pile de disques en RAID 0. Avec de bons disques et une carte Raid munie d’une bonne quantité de RAM, on devrait obtenir des perfs à faire pâlir mySQL en isam.
Conclusion: tous les bons SGBDR savent remplir ce rôle. J’ajoute qu’avant qu’une base puisse être en lecture seule il faut quand même l’avoir alimentée avec des données…
Information glannée ici
Source : http://korben.info/tuto-ssh-securiser.html
Config de base à changer dans le fichier /etc/ssh/sshd_config
#Changez le port par défaut. Cela évite pas mal d'attaques automatiques sur le port 22 (bots) Port 1234 #C'est la seconde version du protocole ssh qui sera utilisée Protocol 2 #Désactiver le login root. Ça c'est super important !! PermitRootLogin no |
Là déjà c'est pas mal... Relancez le serveur ssh :
/etc/init.d/ssh restart |
Pour vous connecter sur ce nouveau port, vous devez utiliser le paramètre "p" avec ssh mac ou ssh linux. Pour Windows, utilisez Putty.
ssh -p1234 korben@monserveur.com |
Vous continuez donc à vous logger en entrant votre login + mot de passe à chaque fois. C'est bien mais n'importe qui peut intercepter dans un mail, dans un snif (keylogger matériel ou qui balance ensuite par le réseau), ou autre, votre login et mot de passe... et ainsi avoir accès à votre serveur. Heureusement, on peut sécuriser tout ça encore un peu plus en interdisant l'authentification par mot de passe. Pour se connecter, on utilise alors des clés SSH (publique/privée). C'est de loin la technique la plus sûre même si pour vous connecter vous devrez être forcement sur un ordinateur qui dispose des bonnes clés...(pas évident donc depuis un cybercafé par exemple)
Voici donc comment faire... cette méthode fonctionne sous Linux / Mac OSX. Pour Windows, je sais que Putty-gen sait faire ça complètement via l'interface graphique.
=A faire sur votre ordinateur ET sur votre serveur=
#On crée un répertoire .ssh dans notre HOME mkdir ~/.ssh #Ensuite on lui change ses droits d'accès chmod 0700 ~/.ssh |
=A faire sur votre ordinateur uniquement=
#Puis on génère les clés. Vous pouvez choisir de mettre ou pas un mot de passe sur ces clés. Je vous recommande de le faire. ssh-keygen -t dsa -f ~/.ssh/id_server |
On se retrouve alors avec 2 fichiers dans .ssh :
id_server => clé privée qui ira sur vos machines clients
id_server.pub => clé publique qui ira sur votre serveur
id_server => clé privée qui ira sur vos machines clients
id_server.pub => clé publique qui ira sur votre serveur
#On transfère alors cette clé via scp vers votre serveur... scp -P 1234 ~/.ssh/id_server.pub korben@monserveur.com:~/.ssh/authorized_keys #Et on supprime cette clé publique parce qu'on n'en a plus besoin rm -f ~/.ssh/id_server.pub |
=A faire sur votre ordinateur ET sur votre serveur=
#On rechange les droits sur le répertoire qui contient les clés chmod 0600 ~/.ssh/* |
=A faire sur le serveur=
Et ensuite pour améliorer encore plus la sécurité, on va simplement créer un groupe avec uniquement votre / vos users dedans
Et ensuite pour améliorer encore plus la sécurité, on va simplement créer un groupe avec uniquement votre / vos users dedans
#On crée le groupe sshusers groupadd sshusers #Et on ajouter l'utilisateur à ce groupe usermod -a -G sshusers korben |
Maintenant on retourne jeter un oeil dans le /etc/ssh/sshd_config afin de tout blinder et permettre l'utilisation de la clé que vous avez crée
#Décommentez ou ajouter la ligne suivante. Cela permet que le serveur donne son empreinte DSA en cas de connexion ssh. HostKey /etc/ssh/ssh_host_dsa_key |
#Mettez ensuite le paramètre suivant à 20s (par exemple). C'est la durée pendant laquelle une connexion sans être loggée sera ouverte. #Si on avait gardé la bonne vieille technique du mot de passe, laisser 2 ou 3 minutes pour le taper, ce n'est pas de trop. #Mais vu que là, on utilise la clé, on sera loggé immédiatement. Donc on peut vachement réduire le truc et mettre ça a 20 secondes par exemple. LoginGraceTime 20s |
#ça c'est le nombre maximum d'essais avant de se faire jeter par le serveur... #Vu qu'avec la clé, pas d'erreur possible, vous pouvez le mettre à 1 essai possible. MaxAuthTries 1 |
#Ensuite, on va indiquer au serveur SSH où se trouvent les clés et lui dire qu'on va les utiliser comme méthode d'authentification PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys |
#Et bien sûr, on va désactiver toutes les autres méthodes d'authentification
RSAAuthentication no
UsePAM no
KerberosAuthentication no
GSSAPIAuthentication no
PasswordAuthentication no
|
Note: Attention avec ce dernier paramètre (PasswordAuthentication) car il désactive l'authentification par mot de passe. Donc si vous vous êtes viandé avec les clés, vous n'aurez plus d'autre moyen de vous connecter. Finissez tout le tuto avant de mettre PasswordAuthentication à "no" et testez la connexion avec votre clé en faisant un simple "ssh -p1234 korben@monserveur.com". Dès que c'est bon, passez le paramètre à no et relancez ssh
#Ensuite, on va lui dire qu'on autorise uniquement les utilisateurs du groupe sshusers (pour plus de sécurité)
AllowGroups sshusers
|
#Le paramètre MaxStartups indique le nombre de connexions ssh non authentifiées que vous pouvez lancer en même temps. #2 c'est largement suffisant sachant qu'avec les clés, c'est instantané. |
MaxStartups 2 |
Maintenant que tout est paramétré, on va redémarrer le serveur ssh
sudo /etc/init.d/ssh restart |
Faisons ensuite une connexion ssh pour tester
ssh -p1234 korben@monserveur.com |
Normalement, ça devrait se connecter directement. Bravo, votre clé fonctionne ! (Si vous ne l'avez pas encore fait, vous pouvez alors mettre le paramètre PasswordAuthentication à "no")
On va maintenant hasher le fichier known_hosts qui contient en clair les infos de connexions déjà établies afin que justement, cela ne soit plus en clair.
ssh-keygen -H -f ~/.ssh/known_hosts |
Supprimez ensuite le fichier known_hosts.old
rm ~/.ssh/known_hosts.old |
Et voilà, je pense que là on est bon. Si vous souhaitez changer le mot de passe sur votre clé, voici la commande :
ssh-keygen -p -f ~/.ssh/id_server |
Là, vous avez donc la clé "id_server" qui vous permet de vous connecter dans le répertoire .ssh. Vous pouvez la copier dans tous les .ssh de vos profils linux ou mac sur vos ordis (enfin, là où vous en avez besoin).
Un cas de figure un peu particulier se présente si vous utilisez Putty. En effet, celui-ci utilise des clés particulières .ppk. Il faudra donc importer votre clé avec un outil qui s'appelle Putty-gen. Sous Windows, c'est simple, c'est une interface graphique.
Sous linux par contre, il faut utiliser la ligne de commande pour convertir votre clé SSH en clé PPK
puttygen id_server -o macleputty.ppk
|
Dès que c'est ok, il suffit de configurer Putty pour lui indiquer sa clé ppk :
Fuzz Box: Greece's Public Sector merges its data, how it was done
Kallikratis is the codename of the largest project ever conceived in the later years (2010-2011) of Greece's public sector digitalisation / computerisation effort and was founded by the Ministry of Interior and Decentralization.
The goal? To migrate different datasets spread among different applications and databases within the public sector's infrastructure.
That accounts to million rows of citizens' and public organizations' data / datasets distributed among different applications, structures, databases etc. having to be migrated in a homogenous, valid, normalized and commonly accepted data structure. In other words an ETL - Extract Transform Load process was required.
Kallikratis is the codename of the largest project ever conceived in the later years (2010-2011) of Greece's public sector digitalisation / computerisation effort and was founded by the Ministry of Interior and Decentralization.
The goal? To migrate different datasets spread among different applications and databases within the public sector's infrastructure.
That accounts to million rows of citizens' and public organizations' data / datasets distributed among different applications, structures, databases etc. having to be migrated in a homogenous, valid, normalized and commonly accepted data structure. In other words an ETL - Extract Transform Load process was required.
A very interresting post from Sylvain Decloix on osbi.fr about Excel Exports with Kettle.
Cependant, comment faire pour permettre à un utilisateur final de télécharger à la demande le fichier Excel via un navigateur web, en filtrant éventuellement les données à exporter au travers de paramètres présentés via un formulaire Html (listes déroulantes, cases à cocher…) ?
Réponse: avec un serveur Pentaho !
The continuation on osbi.fr
Pentaho Data Integration (Kettle) est souvent très utile pour générer et délivrer de façon simple des fichiers Excel à destination d’utilisateurs finaux. On peut en effet joindre un fichier « au résultat » d’une transformation afin de l’envoyer ensuite par mail aux personnes souhaitées via l’étape « Envoi Courriel » (cliquer sur les images pour les agrandir) :
Réponse: avec un serveur Pentaho !
The continuation on osbi.fr
Did you know that Pentaho Data Integration includes Experimental Transformation steps? Experimental steps encourage proactive testing and critical feedback from the user community. The reported results are used to harden the product for the next revision. You can always provide your feedback, suggest new features and report issues here on our tracking site for any of Pentaho’s product offerings.Transformation steps already ........ read more of this topic and download a working sample here at the Pentaho Evaluation Sandbox.
