Presque 2 ans après la sortie de la version 1.2 de GreenSQL et le support natif de la base de données PostgreSQL, GreenSQL vient de sortir une nouvelle version majeure.

Pour rappel ou information, GreenSQL est un firewall de bases de données MySQL et PostgreSQL, il fonctionne comme un proxy entre l’application qui interroge et la base de données. Pour plus d’informations sur le mode de fonctionnement, je vous invite à lire l’article que j’avais écrit par le passé au sujet de GreenSQL

GreenSQL est une solution libre sous licence GPL permettant de protéger vos bases de données MySQL des attaques de type « SQL Injection », « Cross-Site Scripting » et « Cross-Site Requests Forgeries ».

Depuis d’ailleurs l’annonce de cette sortie, il y a eu pas mal de changement au niveau de l’éditeur de GreenSQL qui propose désormais 2 versions de GreenSQL, l’une communautaire et l’autre commerciale.

Je vous laisse le soin de découvrir de par vous même les différences entre ces 2 versions car ce n’est pas le sujet de cet article.

Voici la liste des nouveautés qu’apportent cette version :

• Correction de l’affichage sur le tableau de bord du statut du proxy.
• Correction du rechargement automatique du proxy.
• Notification incluant l’adresse IP utilisateur
• Meilleurs gestion des protocoles de MySQL et PostgreSQL
• Optimisations réseaux
• Notifications : Refonte
• Whitelist : Refonte
• Possibilité de suppression d’une alerte
• Possibilité de retirer une whitelist pour le repositionner en alterable.
• …

Donc voici pas mal de nouveautés qui semble intéressante.

Liens utiles :

Site Communautaire de GreenSQL

Annonce officielles de la sortie de GreenSQL 1.3

Le SGBDR Libre PostgreSQL vient de sortir une nouvelle version majeure qui est la 9.0.

J’ai toujours eu une affection particulière pour PostgreSQL car c’est le premier SGDBR Libre que j’ai utilisé.

A l’époque, c’était une version PostgreSQL 7.1.3. Bref, passons à l’actualité

Cette nouvelle version MAJEURE de PostgreSQL annonce deux nouveautés très importantes et orientée Haute Disponibilité :

Le Hot Stanby qui permet d’exécuter des requêtes en lecture seule alors que le serveur est en récupération d’archive or standby mode.

La streaming replication permet à un serveur de standby de rester plus à jour qu’il n’est possible avec l’envoi de journaux par fichiers. Le standby se connecte au primaire, qui envoie au standby les enregistrements de WAL dès qu’ils sont générés, sans attendre qu’un fichier de WAL soit rempli.

Voici la liste complète des principales nouveautés :

Réplication et extensibilité

• Reprise à chaud
• Réplication en continue

Administration et sécurité

• Mise-à-niveau sur site intégrée avec pg_upgrade, auparavant appelé pg_migrator, permettant de faire des mises à jour majeures sans nécessité de faire des sauvegardes (par expérience, j’en ferais quand même…)
• Authentification RADIUS – Attention, l’utilisateur doit déjà exister dans la base de données avant que RADIUS puisse être utilisé pour l’authentification.
• Vérification de la force des mots de passe avec passwordcheck, comme la taille des mots de passe ou encore si le mot de passe contient le login
• Commandes facilitant la gestion des permissions de la base (GRANT ON ALL et DEFAULT PERMISSIONS)

Conception de bases et SQL

• Contraintes d’unicité retardées
• Déclencheurs sur condition
• Déclencheurs de niveau colonne
• Tri dans les agrégats
• Nouvelles fonctions de fenêtrage (ROWS PRECEDING et FOLLOWING)

Procédures stockées

• Blocs de code procédural anonyme (instruction DO)
• Procédures stockées Perl et Python améliorées (incluant le support de Python 3)
• Appels par paramètres nommés

Performance et fonctionnalités avancées

• Messagerie d’événements améliorée (LISTEN/NOTIFY)
• Support de Windows 64-bit
• Optimisation des requêtes produites par les ORM (suppression de JOIN)
• Clés d’unicité pour les données non-scalaires (contraintes d’exclusion)
• Support étendu des données clé-valeur (HStore)
• Plans aux formats JSON et XML

Cette liste de nouveautés provient du communiqué de presse officiel de PostgreSQL

Voici plus de détails sur les nouveautés de PostgreSQL 9.0 (en anglais)

Liens utiles :

Site Officiel de PostgreSQL

Annonce officielle de la sortie de PostgreSQL 9.0

Documentation complète de PostgreSQL 9.0 (en Français)

Matrice des fonctionnalités de PostgreSQL de la version 7.4 à la version 9.0 (en anglais – très intéressant)

Téléchargement de PostgreSQL 9.0

Note : Merci à TuxPlanet de m’avoir informé de la sortie de cette nouvelle version

htop permet de monitorer l’activité de son serveur comme top, mais avec une interface plus ergonomqie et amélioré.

Il liste les processus, le load average, l’utilisation RAM / SWAP…

atop permet également de monitorer l’activité de se serveur linux.

atop permet de monitorer les processus, l’activité des disques, la charge processeur, l’utilisation du réseau ou de la mémoire (vive et swap).

LinuxPedia a fait un article très complet sur htop et atop. Je vous le conseille vraiment il est très complet.

apachetop fonctionne sur le même principe que top, mais lui concerne le serveur web apache

Il permet de voir les requêtes par seconde, les bytes par seconde l’url la plus populaire… sur un serveur web.

mytop permet de surveiller les requêtes et la performance MySQL

Il supporte les serveurs aux versions 3.22.x, 3.23.x, 4.x et 5.x

mtop permet de tracer et de diagnostiquer des requêtes en cours et leur déroulement, ce qui aidera à la résolution d’éventuelles requêtes mal écrites.

Il semblerait que mytop et mtop soit abandonné…

ptop ou pg_top est similaire à top pour postgresql. Il va permettre de voir les requêtes en cours, voir le plan d’exécution des requêtes SQL, voir les locks, voir les statistiques

dnstop permet de visualiser le trafic de son serveur dns, il permet notamment d’identifier les requêtes indésirables.

iftop permet de visualiser l’état de la bande passante sur une interface réseau.

Il y a de quoi trouver son bonheur je pense, il est à remarquer que l’application top aura suscité bien des possibilités.

Si vous en voyez d’autres, n’hésitez pas à me les soumettre.

Je vous parlez précédemment de GreenSQL est un Firefwall de base de données fonctionnant en mode proxy, entre votre serveur web et de bases de données.

Je vous avais parlé également que GreenSQL n’était compatible que pour MySQL et qu’une version compatible pour PostgreSQL était en cours de développement.

Et bien ça y est, avec cette nouvelle version qui est la 1.2, GreenSQL est désormais compatible avec PostgreSQL nativement.

GreenSQL intègre également par défaut la console de gestion, il vous sera posé la question à l’installation de savoir si vous souhaitez ou non l’installer.

La nouvelle console intègre désormais :

1. La configuration et sécurisation
2. La création et la modification facile de proxy pour les bases de données
3. La centralisation des alertes fonctionnant sur plusieurs bases de données
4. La possibilité de sauvegarder et restaurer la configuration
5. Un nouveau design

Tout ça me semble bien intéressant, à tester…

D’ailleurs si vous souhaitez le tester System-Linux a fait un howto d’installation de GreenSQL

Liens utiles :

Site Officiel de GreenSQL

Screenshot de GreenSQL

Ayant déjà eu a faire à des injections SQL, c’est quelque chose de très dérangeant…

GreenSQL est une solution libre sous licence GPL permettant de protéger vos bases de données MySQL des attaques de type « SQL Injection », « Cross-Site Scripting » et « Cross-Site Requests Forgeries ».

GreenSQL fonctionne en tant que proxy pour les requêtes SQL sur les bases de données MySQL. A noter qu’il est prévue de le faire fonctionner également sur les bases de données PostgreSQL selon la roadmap. Voici un post sur leur forum qui en parle avec pour titre : GreenSQL for PostgreSQL

Le fonctionnement est basé sur une évaluation des commandes SQL en utilisant une matrice de cotation des risques (ça me rappele spamassassin ça) ainsi que le blocage de commandes d’administration (DROP, CREATE, etc.)

GreenSQL fonctionne en mode reverse-proxy, c’est à dire, la requête SQL sera transmise à GreenSQL qui va l’analyser pour ensuite la transmettre à MySQL si bien sur, elle est acceptée.

Le schema ci-dessous explique son fonctionnement :

GreenSQL écoute le port 3305 et réexpédie les requêtes vers le port 3306, port standard de MySQL

GreenSQL peut fonctionner sous différents modes :

• Simulation (base de données IDS) – Ne fait que détecter mais ne bloque rien
• Protection (base de données IPS)- Détecter et bloque les requêtes
• Apprentissage
• Protection contre les requêtes non recencées

Durant le mode simulation, GreenSQL en fait que logguer les requêtes SQL et envoie une notifications via la console d’administration les requêtes suspicieuse en consultant la matrice de cotation des risques pour en informer les administrateurs.

Durant le mode Protection, si une requête est considérée comme illégale suite à l’interrogation de son moteur heuristique, une whitelist est consultée.

Si celle-ci apparait dans la whitelist elle est envoyée au moteur MySQL.

Si la requête est considérée comme illégale, GreenSQL renvoie une réponse vide pour ne pas bloguer l’application sur le serveur Web.

Bien sur avec ce mode, il est possible d’avoir des faux-positifs…

Le mode apprentissage sert justement à corriger cette problèmatique en apprenant le type de requêtes possible, il faudra ensuite le repasser en mode protection contre les requêtes non-recencées.

Quand le mode de protection contre les requêtes non-recencées est activé, les requêtes qui n’ont pas été intégrée dans la whitelist sont automatiquement rejetées.

GreenSQL va alors calculer les risques que représente cette requête et remonter l’information à la console de management.

C’est le mode le plus rapide car il ne fait que calculer le risque que pour les nouvelles requêtes.

Voilà en gros le fonctionnement de GreenSQL qui me paraît vraiment être une solution très intéressante, même si le mieux est toujours de prévoir les risques dans le développement, mais bon…

Concernant les performances de l’application web, elle ne paraissent pas tant impactées que cela selon un test de performance effectuée avec l’utilisation de GreenSQL

Des packages sont fournit pour les distributions linux le plus courantes (CentOS, Debian, Fedora, Mandriva, RHEL 5, SLE 5, Opensuse, Ubuntu)

La dernière version, qui est la 1.1.0, vient de sortir le 19 octobre, voici l’annonce de cette sortie

Liens utiles :

Site Officiel de GreenSQL

Démonstration de GreenSQL

Tsung est un outils de test de performances permettant de réaliser des benchmark massif.

Initialement créé par IDEALX sous le nom IDX-Tsunami par Nicolas Niclausse en 2000 pour stresser les serveur Jabber, ce projet à ensuite changé de nom en 2005 pour s’appeler Tsung (Pour Tsunami Next Generation).

Voici la liste de ses fonctionnalités principales :

• La charge peut être distribué sur un cluster permettant à chaque noeud de générer sa propre charge

• Multi-protocoles utilisant un système de plugin (HTTP, WebDAV, SOAP, PostgreSQL, MySQL, LDAP, SSL et XMPP/Jabber)

• De nombreuses adresses IP peuvent être utilisée en faisant de l’IP aliasing (eth0, eth0:1, eth0:2…)

• Support du snmp pour la supervision.

• Système de configuration via XML. De nombreuses sessions peuvent être utilisées pour simuler différents types d’utilisateur.

• Afin de générer un trafic réaliste, l’activité de l’utilisateur et le taux d’arrivée peut être aléatoire en utilisant une notion de probabilité.

• Des rapports HTML peuvent être générés en temps réel pour voir les temps de réponse, la charge CPU…

Je n’ai pas encore eu l’occasion de tester, mais ça m’a l’air assez impressionnant !!!

A noter qu’une nouvelle version vient de sortir le 28 septembre qui est la 1.3.1.

Cette version apporte le support de Pubsub (Publish-Subscribe) et MUC (Multi-User Chat) et améliore les performances (million d’utilisateurs). Ajout du support d’ajout Munin pour la supervision. Cette version apporte de nombreuses améliorations et corrections de bugs.

Pour avoir la liste complète vous pouvez consulter le changelog

J’essaieraie d’en faire un test prochainement et j’en ferait donc bien sur un retour plus complet et j’espère didactique ici

Liens utiles :

Site Officiel de Tsung

Quelques screenshots

Liens utiles :
Site Officiel
Annonce de la sortie