Imaginez avoir accès en SSH à la machine de ce noob qui ne sait pas configurer son NAT. Ou bien vous assurer que votre laptop soit toujours joignable en SSH peu importe la connexion sur laquelle il est…

Cette conférence du DEF-Con m’a interloqué : comment le mec a repris la main sur une machine qui était probablement derrière un NAT? Peut-être grâce au reverse SSH !

Principe de fonctionnement

Le principe est assez simple : c’est l’ordinateur derrière le NAT (nous l’appellerons distant) qui doit établir la première connexion. Il établit en fait un tunnel SSH vers vous (nous l’appellerons local) et ainsi en remontant le tunnel dans l’autre sens on accède très facilement à la destination.

On suppose donc que la connexion SSH vers l’ordinateur local est aisée (serveur dédié ou NAT bien configuré).

Avantages

• Plus besoin de connaître ou de modifier la configuration du réseau sur lequel est branché distant pour pouvoir y établir une connexion SSH. Tant que le port 22 est ouvert en outgoing ça fonctionnera (on peut même envisager de déplacer le serveur de local sur un port moins restreint tel que le 80 ou 443)
• Plus besoin de connaître l’IP où se trouve distant, c’est lui qui établit le contact vers local

Vérifiez la configuration du serveur SSH local

Il faut que le serveur sur local autorise les tunnels (/etc/ssh/sshd_config) :
AllowTcpForwarding yes

Let’s go!

Sur distant (la machine inaccessible), créez le tunnel :
distant$ ssh -NR 22222:localhost:22 user@local
Bien entendu local est l’IP de votre machine et user est un utilisateur qui y a accès.

Une fois le tunnel établi, il ne vous reste plus qu’à remonter le tunnel pour établir la connexion SSH depuis local :
local$ ssh -p 22222 user@127.0.0.1

Service au démarrage

Avec autossh (disponible dans le package manager de votre distro préférée) et une connexion SSH sans mot de passe, vous pouvez très facilement créer un script de démarrage sur distant pour que le tunnel soit toujours récréé sans intervention humaine :
# autossh -i /path/to/privateKey.rsa -NR 22222:localhost:22 user@local

Il vous suffit d’ajouter cette commande dans vos scripts de boot (/etc/rc.local par exemple).

Aller plus loin

Ici nous utilisons du SSH pour ouvrir l’accès à un serveur SSH, mais on pourrait envisager d’ouvrir l’accès à n’importe quel serveur qui tournerait sur distant, par exemple un serveur web pour du monitoring Munin :
distant$ ssh -NR 22280:localhost:80 user@local
local$ firefox "http://127.0.0.1:22280"

Vous l’aurez compris, vous pouvez aussi centraliser sur votre serveur (“local”) des tunnels venant de tous les n00bs que vous aidez régulièrement, l’astuce est de remplacer 22222 dans les diverses commandes citées sur cette page par un autre code de port compris entre 1024 et 65535. Et de maintenir une liste exhaustive de ceux-ci !

Si vous avez aimé ce post...

1. Serveur Lighttpd avec PHP sur iPhone
2. Facebook s’apprêterait à lancer son serveur XMPP
3. Le tunnel SSH facile

Ça claque à mort non d’avoir un nom de domaine en .42 ?
Vous l’avez rêvé ! Ils l’ont fait !
En clin d’œil à H2G2, pour épater un peu Marvin, et parce que la réponse universelle doit bien être ré-solvable quelque part sur le net

Pour le moment pure expérimentation de la 42registry de ce .42, juste avant de peut être conquérir le monde ! (L’univers et le reste !)

Pourquoi on vous parle de ça ?

Bah parce que la 42registry.org ils sont cool, on les aimes bien, et on a envie de les aider.
C’est des fous, et nous chez GeekFault on aime bien les fous.

Vous pouvez d’ailleurs remarquer que si vous savez résoudre les domaines en .42 http://geekfault.42 est disponible.

Vous pouvez d’ailleurs remarquer que vous pouvez venir nous parler de geekfault ou de 42registry sur Geeknode : 4.irc.42 / salon #geekfault / et salon : #42

Votre humble serviteur est également lisible sur son .42 : http://bragon.42

Erf, je sais pas résoudre les domaines en .42, comment je fais ?

3 méthodes pour le moment :
- Je possède mon propre serveur DNS bind9
- Je possède mon propre serveur DNScache DJBDNS.
- Je veux utiliser des serveurs DNS open qui savent résoudre .42

Je possède Bind

Et bah je rajoute à mon named.conf (ou named.conf.local selon les distribs):


zone “42″ IN {
type forward;
forwarders {81.93.248.69; 81.93.248.68; 91.194.60.196; 193.17.192.53; };
};


Je reload bind, et roulz.

/etc/init.d/bind9 reload

ou

/etc/init.d/named reload


J’ai DJB … Oui Je sais ….


cd /services/dnscache
echo 91.191.147.246 > root/servers/42
echo 91.191.147.243 >> root/servers/42
svc -t /services/dnscache


Je suis un pauvre pommé, j’ai pas de serveur de nom

Et bien j’utilise les openDNS de GeekNode.org :

On édite /etc/resolv.conf

nameserver 81.93.248.69
nameserver 81.93.248.68


Hey mec ? Comment je réserve mon .42 ?

Gros poulet ! t’es pas déjà sur : http://42registry.org, tout est expliqué en long en large et en travers !
Alors va vite réserver ton .42 et faire passer le message.

Merci à la team 42registry pour tout l’poisson !

(Et surtout à Colin qui se reconnaîtra ;D)

Liste des domaines enregistrés

Ils sont disponible ici : http://bragon.42/42.txt

Si vous avez aimé ce post...

1. Un geek en vacances
2. maintenir son DNS menteur avec Adblock
3. Ifconfig.me, connaitre son IP publique en un rien de temps

Wikileaks a aujourd’hui publié sa solution à la censure : le mirroring. Si Wikileaks est consultable sur des centaines de noms de domaine et des centaines d’IPs, il sera d’autant plus difficile de tous les faire taire.

A noter que cet article, bien qu’entièrement orienté autour de ce sujet, s’applique aussi si vous souhaitez offrir à quelqu’un un accès SSH chrooté et aux commandes limitées.

Mise à jour : Mes mesures de sécurité étaient trop optimistes : Rsync n’utilise pas du SFTP mais doit pouvoir lancer un serveur Rsync sur sa destination en SSH. Voici donc une nouvelle version de cet article, testé et approuvé.

Le problème

Pour décentraliser la chose, les administrateurs de Wikileaks demande à tous les volontaires de leur offrir un accès en SSH à leur serveur pour pouvoir y pousser un miroir de Wikileaks et le garder à jour grâce à Rsync.

Ca qui m’a dérangé c’est le fait de donner un accès SSH à des inconnus sur mon serveur. Mais la solution existe : CHROOTER ce compte à un endroit où il ne peut faire aucun mal au système. Voici comment faire.

Attention : cet article ne porte bien évidemment pas sur la sécurisation de votre serveur. Il présente juste une manière d’éviter que les administrateurs de Wikileaks (que vous ne connaissez pas) aient trop de libertés sur votre serveur (et, oui, je suis paranoïaque sur le coup).

NB : Si vous souhaitez devenir très simplement un miroir Wikileaks et que vous leur faites entièrement confiance, les étapes “Créer l’utilisateur“, “Configurer un nom de domaine et un VirtualHost” et “Soumettre votre miroir à Wikileaks” sont suffisantes.

Sécuriser OpenSSH

On va donner à Wikileaks (ou toute personne ayant leur clé RSA privée) un accès SSH sur notre serveur. Mais on ne veut prendre aucun risque : cet accès n’aura aucune autre possibilité que de déposer des fichiers là où on l’y autorise, c’est-à-dire dans sa home.

Pour cela, modifiez votre fichier /etc/ssh/sshd_config. Vérifiez d’abord que vous avez ces trois lignes qui autorisent la connexion avec une clé publique RSA.
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

Dernièrement, à la fin du fichier créez une nouvelle règle d’override telle que celle-ci :
Match user wikileaks
ChrootDirectory /home/wikileaks
X11Forwarding no
AllowTcpForwarding no
Cette règle est assez explicite et fait simplement en sorte que l’utilisateur wikileaks soit Chrooté dans sa home. Redémarrez SSHd.

Créer l’utilisateur

Rien de bien sorcier :
# mkdir /home/wikileaks
# useradd -d /home/wikileaks -s /bin/bash wikileaks
# chown wikileaks:wikileaks /home/wikileaks

Ensuite autorisons la connexion des administrateurs de Wikileaks :
# su - wikileaks
$ mkdir ~/.ssh
$ wget http://wikileaks.ch/id_rsa.pub -O ~/.ssh/authorized_keys
$ chmod 600 ~/.ssh/authorized_keys

Pour finir, n’oublions pas de créer le répertoire où sera hébergé le miroir :
$ mkdir ~/www

Créer l’environnement chroot

Pour qu’un chroot fonctionne correctement, il faut que sa racine appartienne à root. Nous créons aussi les deux répertoires indipensables à l’exécution d’un rsync : /bin et /lib.
# chown root:root /home/wikileaks
# mkdir /home/wikileaks/bin
# mkdir /home/wikileaks/lib

Ensuite copions les binaires nécessaires pour faire un Rsync :
# cp `which bash` /home/wikileaks/bin/bash
# cp `which rsync` /home/wikileaks/bin/rsync

Pour que ces binaires fonctionnent, il faut aussi copier les librairies nécessaires. Pour lister ces librairies vous pouvez exécuter un ldd puis copiez une à une ces libraires
# ldd `which bash` `which rsync`
# cp /lib/libncurses.so.5 /home/wikileaks/lib/
...
Attention : si votre serveur est un système 64bits il faudra créer le dossier /home/wikileaks/lib64/ et le peupler avec les librairies venant de /lib64.

Au final vous devriez arriver à une structure proche de celle-ci :
bin
|- bash
|- rsync
lib
|- ld-linux.so.2
|- libacl.so.1
|- libattr.so.1
|- libc.so.6
|- libdl.so.2
|- libncurses.so.5
|- libpopt.so.0
Dès maintenant, si on se chroote dans /home/wikileaks on n’aura que très très peu de possibilités : les commandes internes à bash et rsync.

Un dummyshell

Oui, je suis d’accord, les commandes internes de bash c’est encore trop! Nous permettons un accès SSH qui pourrait potentiellement lancer une fork bomb par exemple. Nous allons donc créer un shell stupide qui ne permet que de lancer un serveur Rsync. Créez le fichier /home/wikileaks/bin/dummyshell :
#!/bin/bash
if (( $# == 0 )); then
printf "%s\n" "shell access is disabled. sorry."
exit 1
elif (( $# == 2 )) && [[ $1 == "-c" && $2 == "rsync --server"* ]]; then
exec $2
fi

Il faut ensuite le rendre exécutable et utilisé comme shell par défaut de l’utilisateur :
# chmod +x /home/wikileaks/bin/dummyshell
# ln -s /home/wikileaks/bin/dummyshell /bin/dummyshell
# usermod -s /bin/dummyshell wikileaks
C’est maintenant officiel, l’utilisateur wikileaks ne peut rien faire de plus que lancer un serveur Rsync ! Et il y a aussi la sécurité du Chroot.

Test

Je vous recommande de tester le tout, pour être sûr que Wikileaks pourra uploader son site sur votre serveur. Pour cela ajoutez votre propre clé RSA dans une nouvelle ligne de /home/wikileaks/.ssh/authorized_keys et tentez d’envoyer un fichier :
$ rsync -ave ssh test.html wikileaks@votreServeur:/www

Vous pouvez également éprouver la sécurité en tentant de vous connecter en SSH ou d’exécuter une commande en SSH -t.

Configurer un nom de domaine et un VirtualHost

Je suppose que vous vous en sortirez sur ce point-là : créez un nom de domaine (ou un sous-domaine) pour votre miroir et configurez votre serveur web en conséquence.

Le DocumentRoot à spécifier est bien /home/wikileaks/www

Profitez-en pour empêcher l’exécution de scripts sur le répertoire :

AllowOverride None
Options -ExecCGI


Soumettre votre miroir à Wikileaks

Rendez-vous sur http://46.59.1.2/mass-mirror.html et soumettez votre miroir !

Sous “absolute path where we should upload the html data” mettez simplement “/www/”.

Normalement Wikileaks pushera l’entièreté du site sur votre serveur. Félicitations, vous défendez la liberté d’expression sans risque majeur pour votre serveur !

Si vous avez aimé ce post...

1. SSH sans mot de passe
2. Choisir son keymap X.org 1.8 sans xorg.conf ni hack
3. Zeroconf : Réseaux IP sans configuration

Mais il reste toujours certaines interactions qu’on n’arrive pas à automatiser : celles qui touchent aux interfaces graphiques (lorsqu’aucune API n’est présente/utile). Je vous présente donc Sikuli, le moyen d’automatiser simplement ce qu’on voit à l’écran à partir de screenshots.

Installation

Sikuli est un programme open-source en Jython (un interpréteur Python en Java, silence dans le fond de la salle~) et dispose de versions compatibles avec Windows, MacOS et évidemment Linux (32 ou 64bits). Je vous renvoie donc sur la page de téléchargements du projet pour télécharger la dernière version.

Assurez-vous d’avoir toutes les dépendances:
sudo apt-get install sun-java6-jre libcv4 libcvaux4 libhighgui4

Rien à compiler, décompressez le tout et lancez sikuli-ide.sh

Scripts simples

Je ne pense pas que tout vous expliquer soit réellement utile ici, l’application est très intuitive. Les instructions principales sont évidemment click(…), rightClick(…) ou type(“…”). Tout est renseigné dans la colonne de gauche.

Pour insérer un screenshot je vous recommande le raccourci clavier Ctrl+Maj+2 ou, s’il ne fonctionne pas à l’endroit où vous souhaitez le faire, utilisez le bouton de screenshot de Sikuli qui a un délai configurable dans les préférences.

Voici par exemple un script qui change la résolution de mon écran (oui, je sais, je pourrais le faire avec xrandr mais ici c’est vraiment à la portée de n’importe qui) :

Remarquez que sur certains des screenshots il y a un point rouge. Il correspond à l'endroit précis qui sera cliqué, appelé Target Offset dans Sikuli et programmable en cliquant sur le bouton représentant le screenshot.

Scripts un peu plus intelligents

Bien sûr Sikuli est proche d’un vrai langage de programmation et permet donc des scripts plus puissants, plus intelligents. On peut faire des boucles, des conditions, des wait, etc.

Voici quelques exemples simples qui parlent d’eux-même.

value = input("Entre la bonne valeur : ")
type(value + "\n")

Beaucoup d’autres exemples sont consultables dans la documentation de Sikuli.

C’est bien beau pour les n00bs, mais pour les geeks comme moi?

Bon j’ai du me détruire le cerveau à trouver une utilité à Sikuli pour les geeks durs de dur qui savent tout faire en bash… Et j’ai trouvé!

Si vous développez des interfaces graphiques, Sikuli peut faire des unitTests sur celles-ci ! On peut aussi utiliser les possibilités de Sikuli dans ses propres logiciels Java.

On peut aussi interagir avec des grosses méchantes applications web en AJAX… Si vous trouvez d’autres utilités, laissez-les en commentaire

Lancer un script

On peut évidemment lancer un script depuis l’interface graphique de Sikuli mais le plus intéressant est de le faire depuis un terminal ou un raccourci. Rien de plus simple, il suffit d’appeler Sikuli avec le paramètre –run :
/chemin/vers/sikuli/sikuli-ide.sh --run /chemin/vers/script.sikuli

J’en ai même un assigné à un raccourcis clavier (Google est votre ami, les raccourcis clavier dépendent de votre environnement graphique)

En savoir plus

• Le site du projet
• Documentation par l’exemple

Si vous avez aimé ce post...

1. Mise en place d’un système de backup avec Rsnapshot
2. Libérez votre esprit avec Freemind
3. S’authentifier avec une clé USB

Or, la plupart d’entre nous effectuent des démarches assez fastidieuses pour mettre du contenu sur ces fameux pastebin: copier le texte, ouvrir un navigateur, aller sur le pastebin, coller le texte, récupérer l’url. Ceci est long et peu pratique. Heureusement, un logiciel libre existe pour simplifier les choses: wgetpaste.

Wgetpaste, dont le site n’est pas vraiment explicite, va vous permettre, via un pipe “|”, d’envoyer aisément le résultat d’une commande vers un pastebin, et de récupérer l’URL de destination.

En voici quelques exemples d’utilisation, qui vous parleront surement plus:

Le comportement par défault, utilisant paste.pocoo.org

Le plus simple pour émettre sur un pastebin est d’utiliser “wgetpaste”, sans options. Le service par défaut est paste.pocoo.org.
$ cat geekfault.txt | wgetpaste
Your paste can be seen here: http://paste.pocoo.org/show/263519/
De cette manière, nous avons l’URL directe où a été posté notre fichier.

Pour aller plus loin, nous pouvons donner l’option -r (“raw”) afin de recevoir l’URL du texte sans formatage ni fioriture:
$ cat geekfault.txt | wgetpaste -r
Your raw paste can be seen here: http://paste.pocoo.org/raw/263520/

Choisir un autre service de pastebin

Vous pouvez obtenir la liste des services en utilisant l’option -S
$ wgetpaste -S
Services supported: (case sensitive):
Name: | Url:
=========|=================
ca | http://pastebin.ca/
codepad | http://codepad.org/
dpaste | http://dpaste.com/
osl | http://pastebin.osuosl.org/
*pocoo | http://paste.pocoo.org/

Ensuite, vous pouvez sélectionner le service avec l’option -s
$ cat geekfault.txt | wgetpaste -s ca
Your paste can be seen here: http://pastebin.ca/1943411

La coloration syntaxique

La liste des syntaxes est disponible avec l’option -L (combinable avec l’option -s).

Voici un exemple de post d’un fichier python:
$ cat geekfault.py | wgetpaste -l Python
Your paste can be seen here: http://paste.pocoo.org/show/263529/

Aller plus loin

Bien d’autres choses sont disponibles. La liste est disponible avec l’option -h… Je vous laisse découvrir tout cela!
$ wgetpaste -h
Usage: /usr/bin/wgetpaste [options] [file[s]]

Defaults (DEFAULT_{NICK,LANGUAGE,EXPIRATION}[_${SERVICE}] and DEFAULT_SERVICE)
can be overridden globally in /etc/wgetpaste.conf or /etc/wgetpaste.d/*.conf or
per user in any of ~/.wgetpaste.conf or ~/.wgetpaste.d/*.conf.

Bon amusement!

Dans c’est article, nous n’avons utilisé que la commande “cat”. Mais ceci fonctionne avec n’importe quelle commande.

Attention! Wgetpaste ne prend en compte que ce qui sort sur la sortie standard (stdout). Pour prendre stderr en compte, vous pouvez utiliser 2>&1. Par exemple:
$ cat file_not_found 2>&1 | wgetpaste
Your paste can be seen here: http://paste.pocoo.org/show/263533/

Si vous avez aimé ce post...

1. Libérez votre esprit avec Freemind
2. Plowshare : MegaUpload, RapidShare et autres en CLI
3. Zeroconf : Réseaux IP sans configuration

Ifconfig.me a la particularité d’être utilisable en ligne de commande, avec le célèbre client cURL. Prenons un exemple simple:

$ curl ifconfig.me

Renverra l’adresse IP publique directement. Ni plus, ni moins. Pas besoin d’ouvrir un navigateur internet, ni de devoir parcourir une page à la recherche de l’élément recherché.

Il existe d’autres commandes, telles que:

$ curl ifconfig.me/host
$ curl ifconfig.me/ua
$ curl ifconfig.me/all

Ces trois commandes renverront respectivement l’éventuel hostname lié à votre IP publique, votre user agent et l’ensemble des infos données par le site. La liste complète des commandes est disponible sur le site.

Si vous avez aimé ce post...

1. Allocation d’adresses IPv4 publiques over VPN
2. maintenir son DNS menteur avec Adblock
3. La nouvelle mode Geek : avoir son domaine .42

• Allouer automatiquement des IP, sans configurer un serveur DHCP
• Résoudre des noms de domaines locaux, sans configurer de serveur DNS
• Annoncer et découvrir des services, sans serveur d’annuaire

Aventurons-nous donc un peu dans le monde du « zOMG ça marche tout seul ! »

Les protocoles dits “Zeroconf”

Zeroconf n’est qu’une appellation générique de différents protocoles. Sa première implémentation est imputable à Apple, qui l’appela Rendezvous puis Bonjour. Ensuite Microsoft a plus ou moins imposé son équivalent, l’UPnP.

Sous Linux nous profitons d’une implémentation des protocoles d’Apple, sous le nom de Avahi. Contrairement aux protocoles Microsoft, ceux de Bonjour et Avahi sont promulgués par l’IETF, l’organisme établissant les standards de l’Internet. Ils ne sont toutefois pas encore admis en tant que standards, la plupart n’étant décrits que dans des RFC informels.

Installation

Avahi apparait généralement dans les gestionnaires de paquets comme une multitude de paquets. Bien que déjà présente dans Ubuntu, on peut ajouter quelques packages utiles :
sudo apt-get install avahi-daemon avahi-discover avahi-utils avahi-ui-utils avahi-dnsconfd libnss-mdns service-discovery-applet mdns-scan

Sous Gentoo, c’est un peu plus délicat : il faut d’abord ajouter les USE flags avahi et zeroconf à votre /etc/make.conf, recompiler les packages nécessaire et installer net-dns/avahi ainsi que net-misc/mDNSResponder.

IPv4LL : Création d’un réseau IP sans DHCP

IPv4LL, pour Local-Link, fait partie de Zeroconf mais est la partie moins poétique, souvent à l’origine d’erreurs de configurations IP… Elle consiste en fait en une norme RFC proposant l’allocation dynamique des adresses IP de 169.254.0.0 à 169.254.254.254 (fe80::/16 en IPv6) sur les réseaux ne possédant pas de serveur DHCP. Il y a évidemment un test évitant que deux ordinateurs prennent la même IP.

Ce n’est pas très propre et ces IP sont haïes de pas mal d’administrateurs. Remarquons toutefois que les dernières versions de NetworkManager implémentent un mode “Partagé avec d’autres ordinateurs” lors de la création d’un réseau Ad-Hoc, ce qui crée un vrai serveur DHCP.

Résolution de noms locale

Si Avahi est correctement installé, vous pouvez commencer à résoudre des noms automatiquement. Chaque machine s’attibue un nom de domaine sous la forme HOSTNAME.local. Par exemple, ma machine s’appelant epsilon :
tito@epsilon:~$ ping epsilon.local
PING epsilon.local (10.0.73.18) 56(84) bytes of data.
epsilon.local a bien été résolu par Avahi !

Cette magie est amenée par Multicast DNS, ou mDNS : chaque machine membre du réseau Zeroconf maintient en fait un petit serveur avec ses propres enregistrements DNS. Lorsqu’un membre du réseau fait une requête (multicast vers 224.0.0.251 ou ff02::fb, port UDP 5353), la machine se reconnaissant répond.

Découverte de services

Tous les serveurs supportant Zeroconf peuvent annoncer qu’ils fournissent un service. On pourra ainsi détecter automatiquement des partages de fichiers, des serveurs VNC, des serveurs SSH et bien d’autres.

Ce système est lui aussi basé sur un serveur mDNS, sous forme d’enregistrements de type SRV, TXT et PTR.

Pour lister les services disponibles sur le réseau Zeroconf il existe plusieurs outils, je citerai juste avahi-discover qui est simple et complet.

Quelques applications bien cools de Zeroconf

XMPP décentralisé

Intégrée dans quelques clients Jabber, dont Pidgin (libpurple) entre autres, la norme XMPP XEP-0174 définit les communications XMPP sans serveur. Dans Pidgin, une fois le protocole Bonjour activé, vous verrez de nouveaux contacts apparaître comme par magie dès qu’ils se connectent !

C’est très pratique pour discuter sans aucune configuration avec ses collègues, sa famille ou même des inconnus sur un réseau Ad-Hoc dans un train ^_^

PulseAudio

Malheureusement PulseAudio n’a pas de bonne interface pour le présenter, mais exploite très bien ZeroConf en détectant facilement les autres serveurs PulseAudio. Il m’arrive souvent de streamer l’audio de mon laptop vers mon desktop afin de profiter d’une meilleure qualité sonore. Tout ça bien entendu sans configuration ni reconfiguration en cas de changements sur mon réseau.

Over VPN

Si vous êtes connecté sur un VPN (au sens propre du terme, pas un VPN de tunneling tel qu’IPredator) Zeroconf y passera normalement sans accroc ! Après tout, un VPN c’est aussi un réseau local.

Couplé au XMPP décentralisé, c’est un super moyen de discuter avec ses collègues facilement, ainsi que toutes les autres applications auxquelles vous pouvez penser.

En savoir plus…

• ZeroConf.org
• MultiCast DNS
• « Zero Configuration Networking: The Definitive Guide » de Daniel H Steinberg et Stuart Cheshire, O’Reilly, Décembre 2005.

Si vous avez aimé ce post...

1. SSH sans mot de passe
2. Devenez miroir de Wikileaks sans risque (corrigé)
3. Chromium, le Google Chrome sous Linux sans émulation

Malheureusement l’organisateur n’avait rien organisé de plus que les affiches. Arrivé sur place j’ai donc dû faire ce que j’ai pu pour prendre les choses en main. Voici enfin compilé et en français quelques conseils pour qu’une Key Signing Party d’une taille raisonnable (nous étions une quinzaine) se déroule correctement.

C’est quoi PGP et une Key Signing Party?

Pour ceux qui ne connaissent pas, PGP ou “Pretty Good Privacy” est un système cryptographique introduit par Philip Zimmermann et basé sur le principe connu des paires de clés publiques et privées. Désormais standardisé en la norme OpenPGP (RFC4880), PGP permet de sécuriser ses communications soit en signant un message pour prouver son auteur soit en chiffrant le contenu pour être sûr que seul le destinataire légitime pourra le lire.

Mais puisque tout le monde peut générer sa paire de clés de chiffrement, il faut un moyen de lui donner de la valeur : il faut que d’autres personnes signent la clé publique pour certifier l’identité de son propriétaire. Pour cela on organise lors de divers rassemblements geeks des Key Signing Parties où les utilisateurs de PGP s’échangent leurs clés publiques et procèdent à une vérification de l’identité (grâce à un Passeport ou autre document officiel).

Étape 1 : Informez les gens à temps

Les RMLL durent une semaine et l’annonce de la Key Signing s’est pourtant faite moins de 8h avant son déroulement. Il vaut mieux prévenir plus tôt pour que les gens puissent éventuellement créer leur première clé PGP et se documenter sur son utilisation.

Surtout, il faut récolter les clés publiques des participants de préférence avant le début de la Key Signing Party.

Étape 2 : Récoltez les clés publiques des participants

Même si la plupart des clés sont disponibles sur le serveur de clés du MIT, elles n’y sont justement pas toutes. Pire, certains utilisateurs de PGP préfèrent que leurs clés ne se partagent que de personne à personne.

Il est donc important que l’organisateur récupère toutes les clés publiques, de préférence avant la Key Signing, pour éviter qu’elle ne dure trop longtemps.

Pour cela demandez aux participants de vous envoyer leur clé par e-mail (non chiffré mais signé) ou de l’uploader sur un serveur que vous mettriez en place.

Étape 3 : Compilez les informations du keyring et imprimez-les

Une fois que vous avez récolté les clés publiques de tous les participants il faut en faire quelque chose d’utile pour la Key Signing Party. Un tableau tel que celui-ci est intéressant:

Ensuite envoyez-le ou mieux imprimez-le pour chaque participant. La Key Signing peut commencer.

Étape 4 : Un peu d’ordre dans tout ça…

C’est maintenant le grand jour. Demandez aux participants de venir avec une pièce d’identité, la liste imprimée, un stylo et leur propre fingerprint.

Les participants se mettent en deux lignes face à face, dans l’ordre de la liste. Normalement lors d’une Key Signing Party on n’utilise pas de laptop. Les deux participants l’un en face de l’autre vérfient mutuellement la fingerprint imprimée sur la liste et la pièce d’identité. Après vérification ils cochent les cases correspondantes.

Une fois tout vérifié, chacun passe au participant à sa droite. Ceux en bout de file changent de ligne. Et ainsi de suite… Normalement à la fin tout le monde aura vérifié les identité des de tous les autres participants.

Si la Key Signing Party prend des proportions inattendues il est peut-être nécessaire d’imaginer un autre système, par exemple en utilisant une webcam et un projecteur pour que tout le monde puisse vérifier une même identité en même temps.

Étape 5 : Distribuez le keyring

Puisque vous avez récolté toutes les clés publiques, il faut maintenant les retransmettre à tous les participants. Pour cela créez un keyring, càd. un fichier texte avec toutes les clés publiques les unes à la suite des autres. Vous pouvez éventuellement signer ou fournir le hash SHA-1 de ce fichier pour l’authentifier.

Si vous avez déjà importé les clés dans votre keyring personnel vous pouvez facilemenet exporter vers un keyring dédié à la Key Signing Party :
$ gpg --armor --export key1 key2 key3 key4 > Keyring-de-MaSuperKeySigningParty.asc
Faites en sorte que tous les participants y aient accès : mettez-le sur un serveur web ou envoyez-le par e-mail.

Étape 6 : Expliquez aux n00bs comment signer

Bah oui à toute Key Signing Party il y aura forcément des puceaux du PGP. Expliquez-leur la procédure idéale :

• Récupérer et importer le keyring dans gpg
• Vérifier consciencieusement le fingerprint et l’identité des différentes clés publiques en les comparant au papier rempli durant la Key Signing
• Signer chaque clé publique uniquement si on est sûr de sa vérification d’identité
• Envoyer les clés ainsi signées par e-mail à son propriétaire original. Éviter de les uploader directement sur un serveur de clés car cela permet de vérifier l’adresse e-mail.

À noter qu’il existe des outils pour automatiser tout cela. J’utilise PIUS, un script Python qui se charge de tout jusqu’à l’envoi par e-mail assez simplement :
./pius -H smtp.gmail.com -P 587 -u tito@webtito.be -S -A -s -r


En savoir plus…

• La documentation de GnuPG
• How PGP works (en)

Si vous avez aimé ce post...

1. SSH sans mot de passe
2. Mise en place d’un système de backup avec Rsnapshot
3. S’authentifier avec une clé USB

La touche Compose est une touche morte de fonction. Elle ne produit rien en elle-même mais suivies d’autres touches classiques, elle prend effet. Il devient possible d’écrire du grec λ , des flêches ← , des symboles mathématiques ½ , d’écrire en ᵉˣᵖᵒˢᵃⁿᵗ , des symboles (in)utiles ♥ ☭ ☺ ™ … en fait vous pouvez écrire tout les caractères existants d’unicode, vous aurez juste besoin d’une suffisamment bonne mémoire pour vous souvenir des enchaînements de touches. Le plus fort, c’est vous qui définissez ces enchaînements.

Mais où est cette fichue touche ?

Bien qu’une réponse de trois lettres s’impose d’elle même, elle se situe en fait où vous la définissez. Oui oui pour ça aussi vous avez le choix. La touche Windows est souvent déclarée comme telle mais j’ai préféré utiliser la touche Ctrl droite. En définissant la touche Windows, vous rendez inaccessible les raccourcis qui lui sont liés alors qu’avec Ctrl droit il vous reste toujours Ctrl gauche … Enfin vous avez compris, de toute façon vous êtes libres. Pour ce faire tout dépend de votre environnement :

• Gnome : Dans les options du clavier, rendez-vous sur l’onglet « layout » puis cliquez sur Options. Vous pourrez alors y définir la touche de votre choix.
• Xorg nature : La manipulation est un peu plus longue mais pas compliquée :
  Premièrement il faut déterminer le keycode de la touche que vous souhaitez utiliser. Pour cela lancez xev. Cet utilitaire vous affichera le keycode des touches que vous pressez. Mémorisez ce keycode. Créez ensuite un fichier ~/.xmodmap keycode 105 = Multi_key105 correspondant à Ctrl droit. Il ne reste plus qu’à lancer la commande $ xmodmap ~/.xmodmap pour que le changement soit effectif (commande à lancer au lancement de X).

Le dernier obstacle avant de pouvoir utiliser votre Compose personnalisé est la méthode de saisie. Seule la méthode dite xim permet cette petite fantaisie. La plupart des applications permettent de changer ce paramètres en faisant un clic droit dans les zones de texte. Il est également possible de la mettre par défaut grâce à la commande im-switch -c et de choisir xim-default.

Make it big !

Bon la touche est prête à être dégainée. Il faut maintenant définir votre fichier XCompose. Ce fichier est spécifique à chaque utilisateur de votre système et se trouve là → /home/$user/.XCompose . Voilà sa syntaxe :

<$touche1> <$touche2> <$touche3> : "$résutat" $num

Vous pouvez mettre plusieurs touches d’affilées. Le résultat ou le numéro ou les deux doivent être présents. Le résultat est le caractère escompté.

Le numéro est celui défini dans la norme CCS d’unicode.

Par exemple si vous voulez faire une flèche vers la droite en appuyant sur compose puis la flèche droite de votre clavier.
: "→" U2192
Et voilà le chemin est tout tracé. Bon parce que je sais que vous êtes flemmards (si si ça se voit, la moitié n’a pas lu jusqu’à la fin et ne regarde que les images), sachez qu’il est possible d’inclure un fichier externe afin de ne pas avoir à recopier le ficher pour chaque utilisateurs ou alors carrément de réutiliser le boulot du paqueteur de votre distrib :
include "/usr/share/X11/locale/en_US.UTF-8/Compose"
Ce fichier compte de très nombreuses lignes pas toujours intéressantes, à survoler vite fait pour voir un paquet de combinaisons déjà existantes.

Si vous avez aimé ce post...

1. Keymap Linux sous Windows
2. Choisir son keymap X.org 1.8 sans xorg.conf ni hack
3. Synergy

Ce logiciel s’appelle Redshift.
Comme l’indique son site officiel, Redshift ajuste la température des couleurs de votre écran en fonction de votre environnement, et plus précisément de la position du soleil. Ce qui permettra d’avoir un écran blanc en journée, un écran orangé en soirée et un écran rougeâtre en pleine nuit. L’idéal étant que votre écran aie la même chaleur que la lampe de votre cave^Wchambre.

Paint it red

Si vous vous demandez à quoi diable peut bien servir d’avoir un écran rougeâtre dans l’obscurité, sachez que dans de nombreux domaines, y compris l’aéronautique, les instruments sont faits de façon à être rétro-éclairés dans une teinte rouge la nuit.
En effet, cette couleur, dans le bas de notre spectre visible est moins agressive à l’œil dans un environnement sombre.

De plus, non seulement l’éclat pâle de votre écran dans l’obscurité peut vous fatiguer la vue, mais des études ont démontré qu’il tenait éveillé, et provoquais des difficultés à trouver le sommeil.

Pour vos yeux, et pour votre productivité, aimez le rouge !

Utilisation

Afin de commencer à l’utiliser, entrez dans une console:

$ redshift -l 48.8:2.32

48.8:2.32 représente vos coordonnées (latitude et longitude). Si vous utilisez gnome, redshift pourra trouver votre position si vous l’avez encodée dans l’applet horloge. Il est également possible de passer une option -t afin e définir les différentes températures (jour:nuit). Exemple:

$ redshift -l 48.8:2.32 -t 5500:4500

Enfin, sachez qu’en envoyant le signal USR1 à redshift, on le désactive et réactive temporairement.

$ killall -USR1 redshift

Je vous renvoie à vos tests et au site officiel afin de découvrir d’autres options et des explications plus poussées.

installation

Redshift est packagé dans les principales distributions, pour l’installer sous ubuntu :
$ sudo add-apt-repository ppa:jonls/redshift-ppa
$ sudo apt-get update && sudo apt-get install redshift
sous gentoo :
# emerge x11-misc/redshift
sous exherbo :
# cave resolve -x repository/roidelapluie
# cave resolve -x x11-apps/redshift

Il peut être utilisé avec son interface iconifiée gtk minimaliste en apposant le préfixe “gtk-” à la commande redshift :
$ gtk-redshift -l 48.8:2.32 -t 5500:4500

Si vous avez aimé ce post...

1. Minimeter : votre quota de téléchargement en permanence sous les yeux
2. On a testé pour vous : Ubuntu Jaunty Jackalope 9.04
3. Libérez votre esprit avec Freemind

Dans le monde du Logiciel Libre, on aime bien les animaux, ils sont partout ! C’est bien simple, on se croirait à un safari photo au Kenya.
Vous vous êtes surement demandé un jour : “Pourquoi un dromadaire pour Perl ?” ou encore “C’est quoi ce poisson bizarre pour OpenBSD ?“. Autant de questions, et bien d’autres encore que vous ne vous êtes même pas posées, auxquelles vous aurez la réponse dans cet article !
Cet article est relativement long (il y a beaucoup d’animaux) mais la bonne nouvelle c’est que vous pouvez le lire par n’importe quel bout donc n’hésitez pas à aller directement dans la section qui vous intéresse.

Perl – Le Dromadaire

Le dromadaire vient de la couverture du livre Programming Perl écrit, entre autre, par Larry Wall himself (le créateur de Perl) et publié en 1991 par O’Reilly.

Il faut savoir qu’O'reilly a l’étrange coutume de mettre des dessins d’animaux, assez moches, sur les couvertures de ses livres et il se trouve que pour cet ouvrage en particulier, c’est un dromadaire qui a été choisi.
Cela aurait pu être pire, on aurait pu avoir un serpent ou une connerie comme ça …

A noter que ce n’est pas le logo officiel de Perl, celui-ci étant l’oignon, probablement pour sa propension à faire pleurer ceux qui s’y attaquent, à moins que ce ne soit sa structure qui rappelle la capacité de Perl à pouvoir emboiter les instructions comme des poupées russes jusqu’à ce que tout le programme tienne sur une seule ligne.

PHP – L’Éléphant

On doit l’éléphant à un français : Vincent Pontier, qui eu l’idée en 1998 (le 15 novembre pour être précis) à force de regarder les lettres PHP. Surement sous l’effet de la drogue, il trouvait que les lettres PHP ressemblaient à un éléphant.

Il a aussi fait un petit film narrant cette invention majeure du XXieme siècle : ici en flash proprio caca et ci-dessous en html5 libre de winner :

En bref

	Python – Les Pythons Ça vous en bouche un coin tant d’originalité hein ! Quoi “non” ? Plus sérieusement le nom, et par extension la mascotte, viens des Monty Python.
	Google Go – La Marmotte Gordon, la (ridicule) mascotte du langage Go de Google. Ça ne se voit probablement pas, mais c’est bien une marmotte (gopher en anglais).
	LLVM – La Wyverne La wyverne, cousin du dragon a été choisi pour les caractéristiques de dernier : puissance, rapidité … et sa présence sur la couverture d’un livre sur les compilateurs.
	Mono – Le Singe Mono veut tout simplement dire singe en espagnol.

PostgreSQL – L’Éléphant

Encore un éléphant, bien que celui-ci soit légèrement plus ancien que celui de PHP. Il a été introduit en 1997 au moment où Postgres95 a intégré les commandes SQL et est devenu PostgreSQL.

Il fait référence au titre d’un livre d’Agatha Christie qui lui-même viens d’une propriété bien connue des éléphants et très pratique pour une base de données : ils n’oublient jamais.

Petit détail amusant : au Japon c’est une tortue qui sert de logo. Apparemment là-bas des masques d’éléphants étaient portés lors de cérémonies par les adaptes de la secte qui a fait l’attentat au gaz sarin dans le métro de Tokyo en 1995.
Le JPUG (Japan Postgresql Users Group) a donc choisi de remplacer la tête d’éléphant par le logo original de Postgres quand il n’était encore qu’un projet de l’Université de Berkeley : une tortue.

MySQL – Le Dauphin

Le dauphin MySQL, cette feignasse, est arrivé sur le tard en 2001, soit 6 ans après la création de MySQL (1995).
Il a été choisi par Michael “Monty” Widenius, un des deux fondateurs de MySQL, car il trouvait que le dauphin, avec sa rapidité, sa puissance, sa précision et sa gentillesse représentait bien MySQL.

Il y eut ensuite en 2002 un concours pour lui trouver un nom et c’est Sakila qui a été retenu. Sakila est un prénom africain mais c’est aussi un prénom féminin ce qui fait donc de notre dauphin une dauphine.

Pour votre culture, le dauphin a remplacé l’ancien logo MySQL qui était tout de même assez immonde comme vous pouvez le constater.

En bref

	Firebird – Le Phœnix Cette base de données a connu son heure de gloire quand Mozilla voulu utiliser ce nom pour ce qui s’appellera finalement Firefox.
	MariaDB – Le Phoque Un fork de MySQL par Michael “Monty” Widenius (encore lui). Comme la mascotte de MySQL était un dauphin, ils ont décidé de rester dans les mammifères marins et de prendre un phoque.

Linux – Le Pingouin

Le fameux pingouin (techniquement un manchot mais bon) a été inventé par Linus Torvalds himself sur une idée originale d’Alan Cox himself et dessiné par Larry Ewing (pas himself parce que personne ne le connait) avec la première version publique de Gimp … itself.

Le nom Tux viens d’un certain James Hughes sur la LKML (Linux Kernel Mailing List) pour qui cela serait l’acronyme de Torvalds UniX.
En vérité il a surement choisi ce nom car c’est comme cela qu’on appelle familièrement les smokings en anglais (Tuxedo) et que ces derniers ont les mêmes couleurs que les pingouins.

Bonus : à gauche l’image que Linus a donné comme inspiration pour les dessinateurs. À droite Tuz, le diable de Tasmanie, qui remplaça temporairement Tux pour le kernel 2.6.29, afin de rappeler que le diable de Tasmanie pourrais bientôt rejoindre les dodos.

GNU – Le Gnou

Le gnou est la mascotte GNU pour une raison assez évidente, mais ce qui l’est moins c’est la raison pour laquelle Richard M. Stallman (RMS pour les intimes) a choisi cet animal.
Cela viendrais d’une obscure chanson comique, mais sachant que le même Stallman a appelé son éditeur emacs car il voulait pouvoir le lancer juste en tapant son initiale et que E était libre à l’époque… il ne faut pas chercher trop loin.

Dans la plus pure tradition de l’esprit GNU, le logo a été successivement modifié par plusieurs dessinateurs, chacun apportant quelques améliorations.

Évolution du logo GNU

Original (Etienne Suvasa)	Meilleure définition (Peter Gerwinski)	Simplification (Aurélio A. Heckert)

*BSD – Le Daemon

Le daemon BSD n’est pas vraiment un animal mais avec ses cornes et sa queue on dira que c’est un cousin éloigné de la vache. Pour info daemon != démon, même si le daemon BSD y ressemble bigrement. Un daemon est plutôt comme un esprit ou un génie et n’est pas nécessairement du coté obscur de la force.

Tout débute en 1976 avec un dev BSD qui travaille comme serrurier et qui se retrouve en train de forcer un coffre fort chez un artiste, oui ça commence bizarrement. Le dev (Mike O’Brien) parle à l’artiste (Phil Foglio) des daemons unix, des pipes et des forks et l’artiste fait une image avec quatre daemons ressemblant à des démons tenant chacun un trident (fork veut dire fourchette, qui n’est jamais qu’un mini-trident) et jouant sur des tuyaux (pipes) devant un PDP-11.
L’image originale a été perdue depuis, ne restent que des photos des T-Shirts sur lesquels elle a été imprimée.

Plus tard, en 1988, John Lasseter dessinera la version la plus connue du daemon, celle avec les chaussures de sport (voir en haut), qui sera la mascotte de FreeBSD de longues années avant d’être remplacée par un logo abstrait (voir à gauche).
Le nom du daemon est Beastie, non pas en hommage aux Beastie Boys, mais à la prononciation de BSD quand on est bourré (bi-hès-di → alcool → beastie).

Le daemon BSD se retrouvera par la suite dans le logo d’OpenBSD, avec un halo, ainsi que dans le logo de NetBSD, avec trois potes à lui et un drapeau en train de répliquer une célèbre photo, nus.

OpenBSD – Le Poisson-hérisson

Puffy est arrivé en même temps que l’algorithme Blowfish pour OpenSSH, comme pour Tux il y a une petite confusion entre le poisson-ballon (blowfish) qui n’a pas d’épines et son cousin le poisson-hérisson (porcupinefish) qui lui en a. Un autre nom du blowfish est pufferfish, d’où le nom Puffy.

Puffy est venu remplacer un daemon bsd classique (avec un halo), mais il est en fait le logo de plusieurs projets : OpenSSH, OpenNTPD, OpenBGPD, OpenCVS … et OpenBSD bien sûr.
Il apparait aussi dans de nombreux posters (et fresques), notamment à chaque nouvelle release d’OpenBSD (accompagné d’une chanson d’ailleurs).

Logos des projets OpenBSD (cliquez pour voir le logo en entier)

OpenSSH	OpenBGPD	OpenNTPD
OpenCVS		OpenBSD 4.7

Gentoo – La Vache

Un voile de mystère entoure l’origine de Larry la Vache (Larry the Cow), il aurait été “inventé” par Daniel Robbins, le créateur de Gentoo, un peu par hasard.

En fait l’image de la tête de vache viens d’une obscure font et est bizarrement assignée à la lettre S.
Daniel aurait utilisé cette image pour un poster ventant les mérites de Gentoo dans lequel le nom de la mascotte apparait.

Depuis il y a eu de nombreux débat sur le sexe réel de Larry, est-ce une vache, un taureau, un transsexuel ? Il y a même un bug pour cela sur bugs.gentoo.org. Il s’agirait en fait d’un taureau, “Cow” ne faisant référence qu’à son espèce.

En bref

	Darwin – L’ornithorynque Hexley la mascotte du cœur open source de Mac OS X a été choisi lors d’un concours en 2000, il porte un casque et un trident pour rappeler ses origines bsdiènes. Son nom aurait dû être Huxley, d’apres un biologiste fan de Charles Darwin, mais l’erreur a été découverte trop tard et Hexley est resté.
	SUSE – Le Caméléon Suite à un concours, la mascotte, un caméléon casqué, fut surnommée Geeko, un mix de Geek et Gecko (lézard en anglais).
	DragonFlyBSD – La libellule Lorsque Matthew Dillon, créateur de l’OS, cherchais un nom pour celui-ci, une libellule (dragonfly) se posa dans son jardin. Le nom de la mascotte est Fred.
	Plan 9 – Le Lapin Ed Wood, déjà coupable de Plan 9 From Outer Space qui a donné son nom à l’OS, est aussi responsable, avec Glen or Glenda, du nom de la lapine : Glenda. Cette mascotte et celle de Google Go ont été dessinées par la femme de Rob Pike qui a travaillé sur les deux projets.
	Minix – Le Raton-Laveur L’OS d’Andy Tanenbaum a pour mascotte un raton-laveur, car comme vous le savez tous (faites semblant), c’est un animal qui mange des insectes (bugs).
	FreeDOS – Le Poisson D’espèce indéterminée le poisson de FreeDOS est arrivé un peu par hasard lorsque les devs cherchaient une mascotte pour leur projet. Un des devs voulais un lémurien, mais il était bien le seul, puis quelqu’un a parlé de poisson et Blinky est né.

Firefox – Le Renard Roux

Au premier abord, en voyant le logo, on se dit que c’est un renard, et puis inévitablement un petit malin vous dis que c’est en fait un panda roux, car c’est ce que le mot firefox désigne en anglais.
Et bien pas du tout, c’est bien un renard et ça vous apprendra à écouter les petits malins. En effet les designers du logo trouvaient que le panda roux, ça faisais pas assez “cool”, et du coup, rusés comme ils sont, ils ont pris un fox classique.

Mais le renard n’est pas la mascotte de base du projet, car firefox a changé plusieurs fois de nom.
À sa création il s’appelait Phoenix et avait une mascotte correspondante (cf à gauche), mais ce nom était déjà utilisé par une boite qui fait des BIOS. Il fut alors renommé Firebird, qui est juste un autre nom du phénix, mais là encore, déjà utilisé. Il prit alors son nom final : Firefox, et le logo que l’on connait aujourd’hui. Ouf !

Mozilla se réservant le droit de distribuer FIrefox sous ce nom et avec ce logo, des noms et logos alternatifs, libres, sont apparus pour palier à ce problème. À gauche Iceweasel (belette de glace) de debian, à droite Icecat (chat de glace) de GNU.

Thunderbird – L’Oiseau-tonnerre

Un Thunderbird est un oiseau légendaire de la culture indienne d’Amérique du Nord, un piaf qu’il ne fallait pas faire chier apparemment car il tirait des éclairs avec ses yeux.
Au tout début, le projet avait un autre nom d’animal mythique : Minotaur, mais ce fut un flop. Un peu plus tard, quand Firebird (futur Firefox) commença à bien marcher, le projet fut relancé sous son nom actuel en intégrant certaines avancés de Firebird.

Firebird et Thunderbird, ça sonnais bien à l’époque, une équipe aviaire de winners. À tel point qu’ils partageaient même leur logo, rouge pour Firebird et bleu pour Thunderbird (voir à gauche). Comme pour Firefox, debian utilise un nom et un logo alternatif : Icedove (colombe de glace, à droite). Il n’y a en revanche pas d’alternatif GNU.

Seamonkey – L’Artemia

Quoi ? Vous ne savez pas ce qu’est un artemia ? Ah la la … bon ok moi non plus, mais heureusement il y a wikipedia ! C’est donc un petit crustacé dont les oeufs ont la particularité de pouvoir survivre des années en hibernation, un peu comme ceux d’Alien mais en moins violent pour votre cage thoracique.

Pour en revenir à Seamonkey, c’était le nom de code de la Suite Mozilla (celle avec browser + mail + éditeur html). Quand celle-ci fut abandonnée par Mozilla au profit de Firefox/Thunderbird, quelques courageux reprirent l’affaire avec le nouveau nom.

Tout comme pour Firefox et Thunderbird, pour des raisons de droit, debian utilise un nom et un logo alternatif : Iceape (singe de glace, à gauche). Iceape, seamonkey, jeu de mot !

Mozilla – Le Tyrannosaure

Pour connaitre l’origine de cette mascotte, il faut remonter très loin en arrière. Au début il n’y avait qu’un énorme nuage de gaz qui s’est agrégé pour former le s… hum … peut être pas aussi loin.

Au début donc, en 1993, il y avait le navigateur Mosaic, un des premiers navigateurs, qui faisait un tabac. Quelques-uns de ses créateurs décidèrent alors de faire un nouveau navigateur encore mieux, Netscape, dont le nom de code était Mozilla, un mix de Mosaic Killer et Gozilla, et dont la mascotte était un sympathique lézard vert et violet dénommé Mozilla. Le choix du lézard faisant là encore référence à Gozilla.

En 1998 lorsque Netscape libéra le code du navigateur, un projet de navigateur open-source fut créé avec le nom de code de son ancêtre : Mozilla. La mascotte du nouveau projet, un tyrannosaure, est évidemment inspirée de celle de Netscape et (encore) de Gozilla. À l’époque le “ton graphique” de Mozilla était très “Soviétique”, ce qui explique la couleur rouge de la mascotte.

En bref

	Sunbird – Le Nectariniidé Mozilla a choisi de rester dans le thème des oiseaux (Thunderbird, Firebird) pour nommer son calendrier. Les nectariniidés sont de petits oiseaux qui se nourrissent, vous l’aurez deviné, de nectar. Sous debian il s’appelle Iceowl (Hibou de glace) mais n’a pas de logo.
	Pidgin – Le Pigeon Pidgin désigne une sorte de baragouin basé sur de vraies langues, ce qui colle bien avec un client IM. En anglais pidgin sonne exactement comme pigeon, d’où la mascotte, sa couleur violette vient de l’utilisation de la libpurple qui gère les divers protocoles IM.
	Adium – Le Canard Au départ c’était un pigeon voyageur, rien de bien original pour un client IM, puis le logo a bizarrement évolué en canard vert avec le temps. Son nom est Adiumy

KDE – Le Dragon

KDE, qui a pour habitude de tout faire commencer par un K, avait pour mascotte originale Kandalf le Sorcier, qui distillait sa sagesse en donnant des trucs et astuces au lancement de KDE.
Mais Kandalf ressemblait un peu trop au Gandalf de Tolkien et fut donc remplacé par Konqi le Dragon à la sortie de KDE 3.0. Le dragon apparaissait déjà dans les versions précédentes mais n’était pas la mascotte.

Konqi tire son nom de Konqueror, le navigateur de KDE, tout simplement. Et chose rare dans ce monde de geeks, il a une petite amie : Katie, qui est en fait la mascotte du groupe KDE Women.

Blender – Le Chimpanzé

Vous connaissez surement la Théière de l’Utah qu’on utilise pour illustrer un effet ou une technique 3D quelconque, eh bien pour Blender c’est une tête de chimpanzé qui est utilisée.
Suzanne, c’est son nom, est apparu comme easter-egg dans la dernière version commerciale de Blender, juste avant qu’il ne passe en GPL, et elle est depuis devenue la mascotte. Elle doit son nom au film Jay et Bob contre-attaquent dans lequel une orang-outan porte ce nom.

Bonus: et le logo de Blender, c’est un animal ? Presque ! C’est dans le monde du vivant on va dire. C’est un mix d’une main (les 3 “doigts” qui dépassent) et d’un œil (bleu) qui symbolise la hand-eye coordination, que l’on pourrait traduire par dextérité, nécessaire à l’artiste.

Wikipedia – ^{[choix nécessaire]}

En 2002 un concours fut lancé pour trouver une mascotte à Wikipedia, deux mascottes sont sorties du lot mais avec des scores trop proches pour les departager. À ce jour il n’y a toujours pas de mascotte officielle.

Une des deux propositions de mascottes arrivée en tête est Miwiki, la fourmi coupe-feuille. Elle symbolise bien l’aspect collectiviste de Wikipedia mais certains ne la trouvaient pas assez individualiste (à la différence des fourmis, les contributeurs Wikipedia sont tous uniques et différents).

L’autre mascotte est un mille-pattes: le Wikipede (mille-pattes se dit centipede en anglais). On le voit en train de multi-tasker avec ses fameuses pattes dans une bibliothèque. Mais les mille-pattes n’ont pas une image très positive, voir même carrément négative.

En bref

	GIMP – Le … Gimp Dénommé Wilber, la mascotte de GIMP est un gimp, mais qu’est ce qu’un gimp me direz vous ? Un gimp un animal de la même espèce que Wilber. Exemple de gimp célèbre : Wilber.
	Xfce – La Souris La souris bondissante du logo représente la légèreté et la rapidité de Xfce. Probablement à comparer avec le poids du dragon KDE ainsi qu’avec les lourds “pas” de Gnome.
	Xen – Le Panda Le panda en habit de moine bouddhiste fait évidemment référence au mot zen, très proche en prononciation de Xen.
	KAME – La Tortue KAME était un projet pour implémenter l’ipv6 et IPsec dans les *BSD. Une mission terminée avec succès il y a un moment mais le site web est connu pour sa tortue qui s’anime quand on le visite en ipv6. Kame veut dire tortue en japonais.

Rangé par ordre alphabetique.

Amarok – Esprit de Loup Lecteur Multimedia	Backtrack – Dragon Distrib Linux sécurité	Bacula – Chauve-souris Backup
Beagle – Beagle Indexeur de fichiers	BitlBee – Abeille Passerelle IRC/IM	Bluefish – Tassergal IDE
Bugzilla – Insecte (bug) Suivi de bug	Cairo – Bousier sacré Librairie Graphique	CamelBones – Dromadaire Mort Bindings Perl pour Objective-C
Caml – Dromadaire Langage	CapROS – Ours Blanc Capability based OS	Dragon Player – Dragon Lecteur Multimédia
eMule – Mulet Pirate2Pirate	Felix – Chat Langage	Firebug – Gendarme Plugin Firefox pour dev web
FireFTP – Hippocampe Client FTP	Freemind – Papillon Gestion de Projet	Fugu – Fugu SFTP pour Mac
Gambas – Crevette VB-like	GCC – Gnou Compilateur	Hadoop – Éléphant Framework Java
Ichthux – Poisson de Jésus Distrib Linux pour Chrétiens	Jackrabbit – Lapin Content Repository	L4KA – Ecureuil Microkernel
LaTeX – Lion Composition de documents	Mantis – Mante Religieuse Suivi de bug	MirOS BSD – Daemon Fork OpenBSD
Monotone – Rat Gestionnaire de versions	Mutt – Chien Client Mail	Nautilus – Nautile Gestionnaire de fichiers
Nexenta – Giraffe GNU/Solaris OS	OGRE – Ogre Moteur 3D	OpenOffice – Mouettes Suite Bureautique
Openswan – Cygne Pile IPsec	Orca – Orque Truc pour myopes	Pardus – Leopard Distrib Linux turque
Parrot – Perroquet Bytecode Compilalteur/VM	Pike – Brochet Langage	Postfix – Souris Serveur Mail
Puppy Linux – Chiot Distrib Linux	Ratpoison – Rat Window Manager	RSSOwl – Hibou Agrégateur RSS
Sawfish – Poisson-scie Window Manager	Scilab – Macareux MATLAB-like	Sendmail – Chauve-Souris Serveur Mail
Shiira – Coryphène Browser WebKit pour Mac	sidux – Scorpion Distrib Linux	SliTaz – Araignée Distrib Linux
Snort – Cochon Détection d’intrusion	Speex – Perroquet Codec Audio	Spip – Écureuil volant CMS
Squid – Calamar Proxy Web	Squirrelmail – Écureuil Webmail	thttpd – Chat Serveur web
Tomcat – Chat Conteneur de servlets	Webgui – Pieuvre CMS	Window Maker – Panda Window Manager
Wireshark – Requin Packet sniffer	Workrave – Mouton Soft de santé	Xiph – Poisson Vorbis/Theora/etc

Si vous avez aimé ce post...

1. Mise en place d’un système de backup avec Rsnapshot
2. Echinus, un WM, simplement.
3. Filtrer ses mails ! Un cauchemard !

La Quality Of Service (QOS) , qualité de service en français, intervient principalement au niveau 3 du modèle OSI.
Il faut donc placer ses scripts de QOS sur la passerelle de votre réseau, c’est la raison pour laquelle, mettre en place de la QOS sur la eeegw prend tout son sens.

N’hésitez pas à revenir sur les précédents articles sur la eeegw :
eeegw part I
eeegw part II

Si vous avez besoin d’un rafraîchissement sur le concept, je vous oriente vers la page Qualité de service de Wikipedia.

La partie qui clairement nous intéresse ici est décrite au chapitre Ordonnancement :
L’ordonnancement désigne l’ensemble des méthodes visant à modifier l’ordre de départ des paquets, en remplacement de la règle du « premier arrivé, premier servi ».

Une de ses applications les plus courantes consistera ainsi à donner priorité à certains types de trafic.

Grosso modo j’ai mis en place de la QOS sur ma eeegw car j’en avais marre que mes communications SIP (Téléphonie voir futur article :p) ne soient pas de bonne qualité, lors d’upload de pièces jointes via mon mailer ou lorsque j’avais besoin d’utiliser beaucoup d’upload en même temps qu’une communication téléphonique.

Voici mon tout premier script de QOS, ill date un peu et est loin de bien fonctionner
Je vous le montre afin que vous voyez un peu à quoi on s’attaque en parlant de QOS :

Script de QOS exemple1 basé sur HTB

#!/bin/bash

#Constantes
LOCALNET="213.41.xx.xx/255.255.255.255"
MARKPRIO1="1"
MARKPRIO2="2"
MARKPRIO3="3"
MARKPRIO4="4"
MARKPRIO5="5"
MARKPRIO6="6"
MARKPRIO7="7"

IFACE=eth0

UPRATE="8mbit"
DOWNRATE="0.8mbit"

PRIORATE1="5mbit"
PRIORATE2="3mbit"
PRIORATE3="2mbit"
PRIORATE4="0.5mbit"

QUANTUM1="12187"
QUANTUM2="8625"
QUANTUM3="5062"
QUANTUM4="1500"

BURST1="1000k"
BURST2="400k"
BURST3="200k"
BURST4="10k"

CBURST1="300k"
CBURST2="200k"
CBURST3="10k"
CBURST4="1k"

iptables -t mangle -F OUTPUT
iptables -t mangle -F FORWARD

iptables -t mangle -A FORWARD -p icmp -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A OUTPUT -p icmp -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A INPUT -p icmp -j MARK --set-mark $MARKPRIO1

iptables -t mangle -A FORWARD -p tcp --dport 22 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A OUTPUT -p tcp --dport 22 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A INPUT -p tcp --dport 22 -j MARK --set-mark $MARKPRIO1

iptables -t mangle -A FORWARD -p tcp --dport 687 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A OUTPUT -p tcp --dport 687 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A INPUT -p tcp --dport 687 -j MARK --set-mark $MARKPRIO1

iptables -t mangle -A FORWARD -p udp --dport 687 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A OUTPUT -p udp --dport 687 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A INPUT -p udp --dport 687 -j MARK --set-mark $MARKPRIO1

iptables -t mangle -A FORWARD -p tcp --dport 5060 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A OUTPUT -p tcp --dport 5060 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A INPUT -p tcp --dport 5060 -j MARK --set-mark $MARKPRIO1

iptables -t mangle -A FORWARD -p udp --dport 5060 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A OUTPUT -p udp --dport 5060 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A INPUT -p udp --dport 5060 -j MARK --set-mark $MARKPRIO1

iptables -t mangle -A FORWARD -p tcp --dport 25 -j MARK --set-mark $MARKPRIO3
iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark $MARKPRIO3

iptables -t mangle -A FORWARD -p tcp --dport 143 -j MARK --set-mark $MARKPRIO3
iptables -t mangle -A OUTPUT -p tcp --dport 143 -j MARK --set-mark $MARKPRIO3

iptables -t mangle -A FORWARD -p tcp --dport 80 -j MARK --set-mark $MARKPRIO2
iptables -t mangle -A OUTPUT -p tcp --dport 80 -j MARK --set-mark $MARKPRIO2
iptables -t mangle -A INPUT -p tcp --dport 80 -j MARK --set-mark $MARKPRIO2

iptables -t mangle -A FORWARD -p tcp --dport 443 -j MARK --set-mark $MARKPRIO2
iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark $MARKPRIO2
iptables -t mangle -A INPUT -p tcp --dport 443 -j MARK --set-mark $MARKPRIO2

iptables -t mangle -A FORWARD -p tcp --dport 21 -j MARK --set-mark $MARKPRIO3
iptables -t mangle -A OUTPUT -p tcp --dport 21 -j MARK --set-mark $MARKPRIO3
iptables -t mangle -A INPUT -p tcp --dport 21 -j MARK --set-mark $MARKPRIO3

ifconfig $IFACE txqueuelen 128

tc qdisc add dev $IFACE root handle 1:0 htb default 103 r2q 1
tc class add dev $IFACE parent 1:0 classid 1:1 htb rate $UPRATE burst $BURST1 cburst $CBURST1

tc class add dev $IFACE parent 1:1 classid 1:101 htb rate $PRIORATE1 ceil $UPRATE quantum $QUANTUM1 burst $BURST1 cburst $CBURST1 prio 0
tc class add dev $IFACE parent 1:1 classid 1:102 htb rate $PRIORATE2 ceil $UPRATE quantum $QUANTUM2 burst $BURST2 cburst $CBURST2 prio 1
tc class add dev $IFACE parent 1:1 classid 1:103 htb rate $PRIORATE3 ceil $UPRATE quantum $QUANTUM3 burst $BURST3 cburst $CBURST3 prio 2
tc class add dev $IFACE parent 1:1 classid 1:104 htb rate $PRIORATE4 ceil $P2PRATE quantum $QUANTUM4 burst $BURST4 cburst $CBURST4 prio 3

tc filter add dev $IFACE parent 1:0 protocol ip prio 0 handle $MARKPRIO1 fw classid 1:101
tc filter add dev $IFACE parent 1:0 protocol ip prio 1 handle $MARKPRIO2 fw classid 1:102
tc filter add dev $IFACE parent 1:0 protocol ip prio 2 handle $MARKPRIO3 fw classid 1:103
tc filter add dev $IFACE parent 1:0 protocol ip prio 3 handle $MARKPRIO4 fw classid 1:104

tc qdisc add dev $IFACE parent 1:101 sfq perturb 16 quantum $QUANTUM1
tc qdisc add dev $IFACE parent 1:102 sfq perturb 16 quantum $QUANTUM2
tc qdisc add dev $IFACE parent 1:103 sfq perturb 16 quantum $QUANTUM3
tc qdisc add dev $IFACE parent 1:104 sfq perturb 16 quantum $QUANTUM4

Ce script est loin d’être optimisé.
Son but était de marquer via iptables certain type de flux, afin de les faire passer via des règles de tc/qdisc pour en limiter la bande passante. il utilise HTB (voir plus loin)
Ce script manque clairement de flexibilité.

Soyons clairs, la QOS sous GNU/Linux est un cauchemar à gérer.
Autre concept à bien avoir en tête, vous ne pouvez gérer la QOS que de votre lien sortant, en aucun cas vous ne pouvez gérer ce qui rentre via votre lien. Par analogie, vous ne pouvez pas contrôler la pluie qui tombe dans votre piscine, par contre vous pouvez contrôler l’eau que vous enlevez, et l’eau que vous décidez de rajouter.
Il existe quelques bidouilles afin de réussir tout de même à gérer ce trafic entrant, nous allons essayer de vous présenter ça un peu plus loin dans l’article.

Nous allons donc utiliser Mangle de iptables (pour qos.sh) ainsi que la fonction de mark des packets de iptables.
Il faut donc aller activer cela dans le noyau.


#
# QoS and/or fair queueing
#
CONFIG_NET_SCHED=y
CONFIG_NET_SCH_CBQ=m
CONFIG_NET_SCH_HTB=m
CONFIG_NET_SCH_CSZ=m
CONFIG_NET_SCH_PRIO=m
CONFIG_NET_SCH_RED=m
CONFIG_NET_SCH_SFQ=m
CONFIG_NET_SCH_TEQL=m
CONFIG_NET_SCH_TBF=m
CONFIG_NET_SCH_GRED=m
CONFIG_NET_SCH_DSMARK=m
CONFIG_NET_SCH_INGRESS=m
CONFIG_NET_QOS=y
CONFIG_NET_ESTIMATOR=y
CONFIG_NET_CLS=y
CONFIG_NET_CLS_TCINDEX=m
CONFIG_NET_CLS_ROUTE4=m
CONFIG_NET_CLS_ROUTE=y
CONFIG_NET_CLS_FW=m
CONFIG_NET_CLS_U32=m
CONFIG_NET_CLS_RSVP=m
CONFIG_NET_CLS_RSVP6=m
CONFIG_NET_CLS_POLICE=y


Scheduler / Ordonnanceur

Mise en place des outils

En tout premier lieu vous aurez besoin de iptables et de iproute2
iproute2 est une suite d’utilitaires en ligne de commande qui vous permettent de manipuler les structures kernel liées aux couches réseau de votre machine.

Gentoo :


emerge -av iproute2 iptables


Debian :

apt-get install iptables iproute2


Verifiez que vous avez bien l’utilitaire tc :

Traduction du manuel de tc

Les “classful qdiscs” sont :

“Class Based Queueing” implémente une hierarchie de classes. il contient des éléments de shaping comme des fonctions de prioritisations. Le shape est calculé à partir de latence et de taille de packets

“Hierarchy Token Bucket”
HTB permet de garantir de la bande passante a une classe, définir des limites entre les classes et de fixer des priorités entre elles.

PRIO qdisc n’effectue pas de traffic shapping en tant que tel, il permet juste de fixer des priorités entre les différents type de protocoles transitant dans le lien.
PRIO permet de classifier les classes qui prennent en priorité de la bande passante, en ne laissant aux autres que ce qui reste de bande passante disponible.

Qu’est-ce qu’une classe

Une classe forme, en fait, un arbre avec des branches.
Le but est de former une classe root qui va permettre de faire rentrer tout le trafic et, en fonction des protocoles, on va faire passer le traffic dans différentes branches.

ici nous définissons nos classes root :

## On met en place la classe root pour la BP disponible.
/sbin/tc qdisc add dev $EXTERNAL_IFACE root handle 1: cbq avpkt 1000 bandwidth $BNDWIDTH
## Match ici l'upload de la connexion
/sbin/tc class add dev $EXTERNAL_IFACE parent 1: classid 1:1 cbq rate ${UPLINK}kbit allot 1500 prio 5 bounded isolated

Datagrame IPv4 et Type Of Service : TOS

Tableau des TOS possible dans un Datagram IPv4

Binaire	Décimal	Signification
1000	8	Minimise le Délai (Minimize delay) (md)
0100	4	Maximalise le Débit (Maximize throughput) (mt)
0010	2	Maximalise la Fiabilité (Maximize reliability) (mr)
0001	1	Minimalise le Coût Monétaire (Minimize monetary cost) (mmc)
0000	0	Service Normal

TOS	Binaire	Décimal	Signification	Priorité Linux	Bande
0×0	0000	0	Service Normal	0 Best Effort	1
0×2	0001	1	Minimise le Coût Monétaire (mmc)	1 Filler	2
0×4	0010	2	http://fr.wikipedia.org/wiki/Mod%C3%A8le_OSI	0 Best Effort	1
0×6	0011	3	mmc+mr	0 Best Effort	1
0×8	0100	4	Maximalise le Débit (mt)	2 Masse	2
0xa	0101	5	mmc+mt	2 Masse	2
0xc	0110	6	mr+mt	2 Masse	2
0xe	0111	7	mmc+mr+mt	2 Masse	2
0×10	1000	8	Minimise le Délai (md)	6 Interactive	0
0×12	1001	9	mmc+md	6 Interactive	0
0×14	1010	10	mr+md	6 Interactive	0
0×16	1011	11	mmc+mr+md	6 Interactive	0
0×18	1100	12	mt+md	4 Int. Masse	1
0x1a	1101	13	mmc+mt+md 4 Int. Masse 1	4 Int. Masse	1
0x1c	1110	14	mr+mt+md	4 Int. Masse	1
0x1e	1111	15	mmc+mr+mt+md	4 Int. Masse	1

Exemple de ce qu’on peut faire avec TOS

L’intérêt de la QoS sous Linux est très souvent associé à la priorisation de flux interactifs via iptables.
Par exemple, vous ne souhaitez pas que votre session ssh lag à cause d’un utilisateur qui est en train de monopoliser la bande passante de votre réseau en téléchargeant une bande annonce sur internet ?
Nous allons ici, à titre d’exemple, optimiser les trafics courants avec iptables, à savoir ssh :

# Priorisation des connexions ftp et ssh
iptables -A PREROUTING -t mangle -p tcp -sport ssh -j TOS -set-tos Minimize-Delay
# On donne un maximum de débit aux transferts scp
iptables -A PREROUTING -t mangle -p tcp -sport ssh -j TOS -set-tos Maximize-Throughput

Voici le script de QOS final basé sur CTB et PRIO (celui que j’utilise en production)

#!/bin/bash
### Script de reservation de bande passante par bragon

## On fixe quelques variables

EXTERNAL_DOWNLINK_KBPS="6400"
## je sais downloader à  ~800ko/s ma limite est donc a 6400 Kbps
EXTERNAL_DL_IPSEC_KBPS="1024"
EXTERNAL_DL_PPTP_KBPS=""
EXTERNAL_DL_ICA_KBPS=""
EXTERNAL_DL_TSE_KBPS="128"
EXTERNAL_DL_SMTP_KBPS="512"
EXTERNAL_DL_HTTP_KBPS="1024"
EXTERNAL_DL_OTHERTCP_KBPS="2048"
EXTERNAL_DL_OTHERTCP_PORT="2048"
## je sais uploader à environ 80Ko/s je fixe donc ma limite a 512 afin d'être sûr de ne pas engendrer de lag.
EXTERNAL_UPLINK_KBPS="512"
EXTERNAL_UL_IPSEC_KBPS=""
EXTERNAL_UL_IPSEC_SHARE=""
EXTERNAL_UL_PPTP_KBPS=""
EXTERNAL_UL_PPTP_SHARE=""
EXTERNAL_UL_ICA_KBPS=""
EXTERNAL_UL_ICA_SHARE=""
EXTERNAL_UL_TSE_KBPS="512"
EXTERNAL_UL_TSE_SHARE="512"
EXTERNAL_UL_SMTP_KBPS="256"
EXTERNAL_UL_SMTP_SHARE="256"
EXTERNAL_UL_HTTP_KBPS="32"
EXTERNAL_UL_HTTP_SHARE=""
EXTERNAL_UL_OTHERTCP_KBPS=""
EXTERNAL_UL_OTHERTCP_SHARE=""
EXTERNAL_UL_OTHERTCP_PORT=""
EXTERNAL_UL_VOIP_KBPS="256"
EXTERNAL_UL_VOIP_SHARE="isolated"
EXTERNAL_DEV_BANDWIDTH="" 

## CE script de QOS s'applique à toutes les interface dans MON cas cela convient.
## Je vous conseille de retirer votre interface LAN du match si vous avez plusieurs interfaces reseau.
## La commande va permettre de lister toutes les interfaces et d'appliquer les regles de QOS dessus.
## On match aussi les interfaces tap

if [ -n "$EXTERNAL_DOWNLINK_KBPS" ] && [ -n "$EXTERNAL_UPLINK_KBPS" ] && echo $INTERFACE | egrep -q "(eth[023]|ppp[0-9]|ippp0|tap[0-3])" ; then

#In kilobits
DOWNLINK=$EXTERNAL_DOWNLINK_KBPS
UPLINK=$EXTERNAL_UPLINK_KBPS
BNDWIDTH=$EXTERNAL_DEV_BANDWIDTH

if [ -z "$BNDWIDTH" ]; then
    BNDWIDTH="100mbit"
fi

## on clean deja les parametres en tout premier lieu
## On vide toutes les regles pouvant deja etre en place.
/sbin/tc qdisc del dev $EXTERNAL_IFACE root    2> /dev/null > /dev/null
/sbin/tc qdisc del dev $EXTERNAL_IFACE ingress 2> /dev/null > /dev/null

# install root CBQ # On met en place la policy root, les autres policies seront liées à celle-ci
## cbq avpkt : la taille moyenne des packets en bytes sont necessaire afin de calculer l'idle maximum
## bandwidth rate : pour determiner l'idle time cbq doit forcement connaitre la bande passante de l'interface physique.
/sbin/tc qdisc add dev $EXTERNAL_IFACE root handle 1: cbq avpkt 1000 bandwidth $BNDWIDTH

## allot bytes : utile pour calculer le temps de transmission des packets entre tables, valeur liée à avpkt
/sbin/tc class add dev $EXTERNAL_IFACE parent 1: classid 1:1 cbq rate ${UPLINK}kbit allot 1500 prio 5 bounded isolated

# voip (udp sip 5060 et asterisk 4569)
## Tout ce qui match cette règle possede une reservation CBQ de $EXTERNAL_UL_VOIP_KBPS | priorité numéro 1 !
if [ -n "$EXTERNAL_UL_VOIP_KBPS" ]; then
/sbin/tc class add dev $EXTERNAL_IFACE parent 1:1 classid 1:5 cbq rate ${EXTERNAL_UL_VOIP_KBPS}kbit allot 1600 prio 1 avpkt 1000 $EXTERNAL_UL_VOIP_SHARE

## pfifo : pure 'premier entré premier sortie' qdisc, évite la congestion de packet dans la classid 1:5
/sbin/tc qdisc add dev $EXTERNAL_IFACE parent 1:5 handle 5: pfifo limit 10

 # sip prioritaire 5 !
## filter: utile afin de savoir dans quel classfull qdisc, un packet va etre envoye.
## on peut filter les packets a partir de leur TOS : Type Of Service
/sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 5 u32 match ip sport 5060 0xffff match ip protocol 17 0xff flowid 1:5
/sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 5 u32 match ip dport 5060 0xffff match ip protocol 17 0xff flowid 1:5

# rtp (tos 0x10 et udp) (voir le tableau recap de TOS)
/sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 5 u32 match ip tos 0x10 0xff match ip protocol 17 0xff flowid 1:5

let UPLINK=UPLINK-EXTERNAL_UL_VOIP_KBPS
fi

# SMTP
if [ -n "$EXTERNAL_UL_SMTP_KBPS" ]; then
 /sbin/tc class add dev $EXTERNAL_IFACE parent 1:1 classid 1:44 \
 cbq rate ${EXTERNAL_UL_SMTP_KBPS}kbit allot 1600 prio 1 avpkt 1000 $EXTERNAL_UL_SMTP_SHARE
 /sbin/tc qdisc add dev $EXTERNAL_IFACE parent 1:44 handle 44: sfq perturb 10

 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 44 u32 \
 match ip dport 25 0xffff match ip protocol 6 0xFF match ip firstfrag flowid 1:44

 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 44 u32 \
 match ip dport 2525 0xffff match ip protocol 6 0xFF match ip firstfrag flowid 1:44

 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 44 u32 \
 match ip dport 587 0xffff match ip protocol 6 0xFF match ip firstfrag flowid 1:44

let UPLINK=UPLINK-EXTERNAL_UL_SMTP_KBPS
fi

# HTTP
if [ -n "$EXTERNAL_UL_HTTP_KBPS" ]; then
 /sbin/tc class add dev $EXTERNAL_IFACE parent 1:1 classid 1:46 \
 cbq rate ${EXTERNAL_UL_HTTP_KBPS}kbit allot 1600 prio 1 avpkt 1000 $EXTERNAL_UL_HTTP_SHARE
 /sbin/tc qdisc add dev $EXTERNAL_IFACE parent 1:46 handle 46: sfq perturb 10

 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 46 u32 \
 match ip dport 80 0xffff match ip protocol 6 0xFF match ip firstfrag flowid 1:46
 let UPLINK=UPLINK-EXTERNAL_UL_HTTP_KBPS
fi

# OTHERTCP
if [ -n "$EXTERNAL_UL_OTHERTCP_KBPS" ]; then
 /sbin/tc class add dev $EXTERNAL_IFACE parent 1:1 classid 1:48 \
 cbq rate ${EXTERNAL_UL_OTHERTCP_KBPS}kbit allot 1600 prio 1 avpkt 1000 $EXTERNAL_UL_OTHERTCP_SHARE
 /sbin/tc qdisc add dev $EXTERNAL_IFACE parent 1:48 handle 48: sfq perturb 10

 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 48 u32 \
 match ip dport $EXTERNAL_UL_OTHERTCP_PORT 0xffff match ip protocol 6 0xFF match ip firstfrag \
 flowid 1:48
 let UPLINK=UPLINK-EXTERNAL_UL_OTHERTCP_KBPS
fi

if [ $UPLINK -gt 0 ]; then

# classe interactive
/sbin/tc class add dev $EXTERNAL_IFACE parent 1:1 classid 1:10 cbq rate ${UPLINK}kbit allot 1600 prio 2 avpkt 1000
/sbin/tc qdisc add dev $EXTERNAL_IFACE parent 1:10 handle 10: sfq perturb 10

 # TOS Minimum Delay (ssh, NOT scp) in 1:10: donc on lui donne un priorité de 1000
 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 1000 u32 match ip tos 0x10 0xff  flowid 1:10

 # ICMP (ip protocol 1) dans la classe interactive 1:10 donc on lui donne un priorité de 1001
 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 1001 u32 match ip protocol 1 0xff flowid 1:10

 # Pour accélérer le downaload lorsqu'un upload est en court il faut bien faire les ACK dans la classe interactive.

 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1: protocol ip prio 1002 u32 match ip protocol 6 0xff match u8 0x05 0x0f at 0 match u16 0x0000 0xffc0 at 2 match u8 0x10 0xff at 33 flowid 1:10

# classe bulk

 /sbin/tc class add dev $EXTERNAL_IFACE parent 1:1 classid 1:20 cbq rate $[9*$UPLINK/10]kbit \
   allot 1600 prio 3 avpkt 1000
 /sbin/tc qdisc add dev $EXTERNAL_IFACE parent 1:20 handle 20: sfq perturb 10

 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1: protocol ip prio 1003 u32 \
   match ip dst 0.0.0.0/0 flowid 1:20

else
 echo "Error: no bandwidth left for uplink on $EXTERNAL_IFACE: $UPLINK" 1>&2
 /sbin/tc qdisc del dev $EXTERNAL_IFACE root    2> /dev/null > /dev/null
fi

#
# Il faut ralentir les download afin d'éviter que l'ISP mette en queue ce qui engendre le lag
# Les ISP ont tendance à avoir des queues énormes afin d'être sûrs que les downloads seront rapides.
#
# police ingress:

/sbin/tc qdisc add dev $EXTERNAL_IFACE handle ffff: ingress

# voip
# tout ce qui est voip ne doit pas être limité, donc on fait un match simple
# iax2

/sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 5 u32 \
  match ip sport 4569 0xffff match ip protocol 17 0xff flowid :1
 /sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 5 u32 \
  match ip dport 4569 0xffff match ip protocol 17 0xff flowid :1

# sip # priorite 5 !
/sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 5 u32 \
  match ip sport 5060 0xffff match ip protocol 17 0xff flowid :1
/sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 5 u32 \
  match ip dport 5060 0xffff match ip protocol 17 0xff flowid :1

/sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 5 u32 \
match ip sport 5061 0xffff match ip protocol 17 0xff flowid :1

# rtp (tos 0x10 et udp) # priorte 5 !
/sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 5 u32 \
  match ip tos 0x10 0xff match ip protocol 17 0xff flowid :1

# SMTP
if [ -n "$EXTERNAL_DL_SMTP_KBPS" ]; then
 /sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 44 u32 \
 match ip sport 25 0xffff match ip protocol 6 0xFF match ip firstfrag \
 police rate ${EXTERNAL_DL_SMTP_KBPS}kbit burst 10k drop flowid :1
 let DOWNLINK=DOWNLINK-EXTERNAL_DL_SMTP_KBPS
fi

# HTTP
if [ -n "$EXTERNAL_DL_HTTP_KBPS" ]; then
 /sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 46 u32 \
 match ip sport 80 0xffff match ip protocol 6 0xFF match ip firstfrag \
 police rate ${EXTERNAL_DL_HTTP_KBPS}kbit burst 10k drop flowid :1
 let DOWNLINK=DOWNLINK-EXTERNAL_DL_HTTP_KBPS
fi

# OTHERTCP qui ne matchent pas les règles précédentes
if [ -n "$EXTERNAL_DL_OTHERTCP_KBPS" ]; then
 /sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 48 u32 \
 match ip sport $EXTERNAL_DL_OTHERTCP_PORT 0xffff match ip protocol 6 0xFF match ip firstfrag \
 police rate ${EXTERNAL_DL_OTHERTCP_KBPS}kbit burst 10k drop flowid :1
 let DOWNLINK=DOWNLINK-EXTERNAL_DL_OTHERTCP_KBPS
fi

##règles de burst
if [ $DOWNLINK -gt 0 ]; then
 /sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 1000 u32 \
 match ip src 0.0.0.0/0 police rate ${DOWNLINK}kbit burst 10k drop flowid :1
else
 echo "Error: no bandwidth left for downlink on $EXTERNAL_IFACE: $DOWNLINK" 1>&2
 /sbin/tc qdisc del dev $EXTERNAL_IFACE ingress 2> /dev/null > /dev/null
fi

# initial if (are the 2 required variables defined?)
fi

N’hésitez pas à le tester, il déboite

Si vous avez aimé ce post...

1. EeeGW : Créer soi-même une passerelle réseau
2. EeeGW – ZE retour du détour ! – Proxycache.
3. Allocation d’adresses IPv4 publiques over VPN

]]> http://geekfault.org/2010/05/24/eeegw-part-iii-quality-of-service-aka-qos/feed/ 1 http://geekfault.org/2010/05/20/bash-and-shell-tips-and-tricks/ http://geekfault.org/2010/05/20/bash-and-shell-tips-and-tricks/#comments Thu, 20 May 2010 10:44:57 +0000 bragon http://geekfault.org/?p=4416 Si vous avez aimé ce post...

1. Linux – Laptop – Ultimate Powersaving !
2. maintenir son DNS menteur avec Adblock
3. La nouvelle mode Geek : avoir son domaine .42

]]> Le but de cet l’article est de partager avec vous des petits “trucs”, que nous rédacteur geekfault utilisons dans nos consoles préférées tous les jours, et souhaitons échanger avec vous petits scarabées.

En faite mon idée est partie de ce petit délire que m’a sorti khemael :


tr -c "[:digit:]" " " < /dev/urandom | dd cbs=$COLUMNS conv=unblock | GREP_COLOR="1;32" grep --color "[^ ]"


Les astuces sont livrées de façon brute de fonderie.
Noob s'abstenir.

Nota Noob : Ne tappe pas une commande sur ton shell que tu ne comprends pas.

Some of madx's tricks

Redirections


commande 1> fichier : Redirige stdout dans fichier
commande 2> fichier : Redirige stderr dans fichier
commande 2>&1 : Redirige stderr vers stdout
commande &> fichier : Redirige stdout et stderr dans fichier


Fork bomb ! Warning, ne pas utiliser ça sur un serveur non protégé


f(){ f|f&};f


Bash and perl regexp


for i in * ; do mv "$i" "`echo $i | perl -pe 's/foo_regex/bar/' `"; done
for i in *.gif ; do convert "$i" "`echo $i | perl -pe 's/gif$/png/' `"; done


scp resume


rsync --partial --progress -e ssh file user@host:/dir


Remote backup


tar -cv / | ssh user@host -T -e none "cat > backup.tar"
ssh root@host "tar -c /" | cat > backup.tar


burning


mkisofs -v -R -r -V "dvd title" -o dvd.iso file1 file2 ...
cdrecord -v -dao -fs=500m -dev=/dev/sg1 -data dvd.iso
cdrecord -dev=/dev/sg1 blank=fast


perl regex sur un fichier


perl -pi -e 's/^(#)?TIMEZONE=.*$/TIMEZONE="Europe\/Paris"/' /etc/conf.d/clock


encode to theora/ogg


ffmpeg -i whatever.avi -f ogg -vcodec libtheora -vb 2000k -acodec libvorbis -ab 128k -y whatever.ogg


Some of bragon's tricks

Perfect rsync + remote


#!/bin/sh
time /usr/bin/rsync \
--rsh="ssh -2 -l root" \
--verbose \
--archive \
--hard-links \
--numeric-ids \
--progress \
--stats \
--delete \
--exclude "/proc/*" \
--exclude "/sys/*" \
--exclude "/vservers/*/proc/*" \
--exclude "/vservers/*/dev/*" \
--exclude "/vservers/*/sys/*" \
--exclude "/data/*" \
/vservers/sam/ gerontius:/vservers/sam/


config backup


cp /etc/httpd/conf/httpd.conf{,.bak}


for file in * ; do cp $file $file.bak; done


Afficher un calendrier rapidement


cal -3


La date d'aujourd'hui


date +%d-%b-%Y
16-May-2010

today=$(date +%d-%b-%Y)

echo $today
16-May-2010


repeting an argument


mkdir /path/to/exampledir
cd !$


Majuscule are useless


bragon@shaytan ~ $ shopt -s cdspell
bragon@shaytan ~ $ cd Downloads/
bragon@shaytan ~/Downloads $ cd
bragon@shaytan ~ $ cd downloads
Downloads
bragon@shaytan ~/Downloads $


Socket information sur ta workstation


ss -ari
ss -arn


Change user shell


chsh -s /bin/bash utilisateur # lui definir bash en tant que shell
chsh -s /bin/false utilisateur # pas de shell
chsh -s /bin/zsh utilisateur # zsh


iptables line del


iptables -L -n --line-numbers
iptables -D INPUT 34 # vires la ligne 34


history clean / dmesg clean


history -c
dmesg -c


petit script de screenshot


#!/bin/bash
export DISPLAY=":1"
/usr/bin/firefox --display :1 "$1" > /dev/null 2> /dev/null &
/bin/sleep 10
/usr/bin/import -window root -display :1 "$2"
killall firefox-bin


Se déconnecter d'un ssh quand on a timeout pour récupérer sa console


~.


Some of khemael's tricks

Relancer la commande en root


su -c !!


nice output of mount


mount | column -t


Query wikipedia à travers le DNS


dig +short txt .wp.dg.cx


afficher les 10 processus les plus gourmant en RAM


ps aux | sort -nk +4 | tail


"BEEP" when the IP comes online


ping -a IP_address


Extract a tarball without local saving.


wget -qO - "http://www.tarball.com/tarball.gz" | tar zxvf -


My cool terminal clock


watch -t -n1 "date +%T|figlet"


Binary clock


watch -n 1 'echo "obase=2;`date +%s`" | bc'


Quick share of a file through a port


nc -w 5 -v -l -p 80 < file.ext


Stream youtube url directly to mplayer (no cclive needed)


mplayer -fs $(echo "http://youtube.com/get_video.php?$(curl -s $youtube_url | sed -n "/watch_fullscreen/s;.*\(video_id.\+\)&title.*;\1;p")")


Si vous avez aimé ce post...

1. Linux – Laptop – Ultimate Powersaving !
2. maintenir son DNS menteur avec Adblock
3. La nouvelle mode Geek : avoir son domaine .42

]]> http://geekfault.org/2010/05/20/bash-and-shell-tips-and-tricks/feed/ 6 http://geekfault.org/2010/05/15/pxe-ya-til-un-bootloader-sur-lreseau/ http://geekfault.org/2010/05/15/pxe-ya-til-un-bootloader-sur-lreseau/#comments Sat, 15 May 2010 14:02:25 +0000 Lord http://geekfault.org/?p=3993 Si vous avez aimé ce post...

1. Zeroconf : Réseaux IP sans configuration
2. Devbox KVM+Libvirt perfect setup.
3. Mise en place d’un système de backup avec Rsnapshot

]]> Comment installer un OS sur une machine sans lecteur CD et sans clé USB ? Comment utiliser le même nunux quelque soit votre PC sur votre réseau ? Comment avoir votre nunux de secours pour dépanner les machines de votre réseau ? C’est simple, le Preboot eXecution Environment est une technique permettant de booter une machine par le réseau.
On pourrait simplifier la chose en disant qu’il s’agit d’une sorte de grub téléchargé et exécuté par le réseau.

Pour démarrer une machine sur le réseau, il faut tout d’abord que son bios supporte cette technologie (c’est le cas de la plupart des machines modernes). Il faut ensuite un serveur DHCP et un serveur TFTP configurés pour fournir un bail spécial ainsi que les fichiers nécessaires au boot. Cet article couvre donc la mise en place d’un système basique. On abordera ensuite le côté esthétique par un petit coup de maquillage, ensuite on ajoutera quelques fonctions parfois utiles et enfin la mise en place d’un système complètement diskless.

Récupération du matos

La grande majorité des serveurs DHCP est à même de faire tourner un PXE. J’aborderai ici Dnsmasq qui a l’avantage d’être très léger et de pouvoir faire office de serveur DNS et TFTP. Nous n’aurons donc qu’un seul et unique serveur pour tout faire.
USE="dhcp tftp" emerge dnsmasq
Il vous faudra également syslinux pour récupérer les précieux fichiers de boot ainsi que quelques petits utilitaires bonus.
Vous trouverez la dernière version sur le très sérieux site de kernel.org:

http://www.kernel.org/pub/linux/utils/boot/syslinux/

Il ne manque plus que la distribution à booter et son kernel. Tout dépendra de ce que vous voulez proposer. Ici on va monter un installeur Debian :
wget ftp://ftp.fr.debian.org/debian/dists/lenny/main/installer-i386/current/images/netboot/debian-installer/i386/linux /var/tftp/distros/debian/lenny/i386/linux
wget ftp://ftp.fr.debian.org/debian/dists/lenny/main/installer-i386/current/images/netboot/debian-installer/i386/initrd.gz /var/tftp/distros/debian/lenny/i386/initrd.gz
wget ftp://ftp.fr.debian.org/debian/dists/etch/main/installer-amd64/current/images/netboot/debian-installer/amd64/linux /var/tftp/distros/debian/lenny/amd64/linux
wget ftp://ftp.fr.debian.org/debian/dists/etch/main/installer-amd64/current/images/netboot/debian-installer/amd64/initrd.gz /var/tftp/distros/debian/lenny/amd64/initrd.gz

Configuration du serveur

Je n’aborderai pas la configuration complète de Dnsmasq, uniquement les parties relatives à notre objecif.

/etc/dnsmasq.conf
dhcp-boot=pxelinux.0
enable-tftp
tftp-root=/var/tftp
La première ligne fournit le nom du fichier de PXE, la seconde active le tftp et la troisième déclare le dossier qui sera la racine de notre TFTP. Ça suffit pour obtenir le fonctionnement désiré. Relancez Dnsmasq, désormais on n’y touchera plus.

Mise en place basique

Commençons par créer la racine du tftp et récupérer le fameux pxelinux.0
# mkdir /var/tftp/pxelinux.cfg
# tar xvf syslinux-3.81.tar.gz
# cp syslinux-3.81/core/pxelinux.0 /var/tftp/

Créons maintenant un petit menu tout simple :
/var/tftp/menu.txt
-: PXE BOOT :-

lenny_i386_installer
lenny_i386_expert
lenny_amd64_installer
lenny_amd64_expert

C’est ce menu qui s’affichera. C’est moche mais efficace. Il faut créer le fichier de configuration associé :
/var/tftp/pxelinux.cfg/default
DISPLAY menu.txt

DEFAULT lenny_i386_installer

LABEL lenny_i386_installer
kernel distros/debian/lenny/i386/linux
append vga=normal initrd=debian/lenny/i386/initrd.gz

LABEL lenny_i386_expert
kernel distros/debian/lenny/i386/linux
append priority=low vga=normal initrd=debian/lenny/i386/initrd.gz

LABEL lenny_amd64_linux
kernel distros/debian/lenny/amd64/linux
append vga=normal initrd=debian/lenny/amd64/initrd.gz

LABEL lenny_amd64_expert
kernel distros/debian/lenny/amd64/linux
append priority=low vga=normal initrd=debian/lenny/amd64/initrd.gz

PROMPT 1
TIMEOUT 0
Vous avez maintenant un PXE tout ce qu’il y a de plus simple. C’est assez brut mais ça fonctionne. Maintenant vous pouvez tester. La machine se verra attribé sa config réseau et vous devriez voir s’afficher le contenu de votre boot.txt . Vous n’aurez plus qu’à taper le « label » désiré pour lancer le boot.

Maquillage

Bon c’est bien gentil mais d’une part c’est moche et d’autre part c’est pas vraiment super pratique. On va donc faire un menu ressemblant à un bon vieux GRUB.
Tout d’abord on va tenter de faire les trucs proprement donc on va créer un petit dossier /var/tftp/tools qui contiendra les petits binaires et un autre /var/tftp/menu pour les menus.

On a donc cette arborescence :
/var/tftp
/distros
…
/menu
/tools
/pxelinux.0
/pxelinux.cfg
/default
Il faut récupérer le binaire permettant de faire afficher un beau menu. Celui-ci se trouve dans syslinux.
# cp syslinux-3.81/com32/menu/vesamenu.c32 /var/tftp/tools
Il nous faut maintenant modifier le fichier pxelinux.cfg/default pour utiliser ce binaire et faire un truc plus classe :
DEFAULT tools/vesamenu.c32 menu/design.conf ~

MENU TITLE Mon PXE

LABEL Lenny I386
MENU LABEL Installer Lenny I386
KERNEL distros/debian/lenny/i386/linux
APPEND vga=normal initrd=distros/debian/lenny/i386/initrd.gz

LABEL Lenny I386 Expert
MENU LABEL Installer Lenny I386 en mode Expert
KERNEL distros/debian/lenny/i386/linux
APPEND priority=low vga=normal initrd=distros/debian/lenny/i386/initrd.gz

LABEL Lenny amd64 linux
MENU LABEL Installer Lenny AMD64
KERNEL distros/debian/lenny/amd64/linux
APPEND vga=normal initrd=distros/debian/lenny/amd64/initrd.gz

LABEL Lenny amd64 expert
MENU LABEL Installer Lenny AMD64 en mode Expert
KERNEL distros/debian/lenny/amd64/linux
APPEND priority=low vga=normal initrd=distros/debian/lenny/amd64/initrd.gz

TIMEOUT 0
La première ligne appelle le binaire en lui fournissant en argument le fichier design.conf que l’on va créer de ce pas.
/var/tftp/menu/design.conf
MENU WIDTH 80
MENU MARGIN 10
MENU ROWS 12
MENU TABMSGROW 18
MENU CMDLINEROW 12
MENU ENDROW 24
MENU TIMEOUTROW 20
MENU PASSWORDMARGIN 3
MENU PASSWORDROW 11

menu background menu/background.png
L’image de background doit être en png 24bits en 640*480 ce qui laisse pas mal de choix de fond d’écran.

Vous pouvez maintenant tester votre nouveau PXE tout en couleurs et bien plus fonctionnel. Vous avez maintenant un PXE ressemblant à un bon petit grub.

Ajouts de nouvelles fonctions

Il est possible d’ajouter quelques fonctionnalités bien pratiques comme par exemple le fameux Memtest permettant de tester ses barettes de RAM ou bien ajouter HDT qui vous permettra d’obtenir de nombreuses informations concernant la machine sans même booter un OS.

Un sous-menu

Pour créer un sous-menu, il suffit de refaire appel à vesamenu.c32 et lui indiquer un autre fichier de conf :
/var/tftp/pxelinux.cfg/default
LABEL Outils systèmes
MENU LABEL Outils systèmes >>
KERNEL tools/vesamenu.c32
APPEND menu/design.conf menu/systemes.conf

/var/tftp/menu/systemes.conf
MENU TITLE Outils Systèmes

LABEL retour_menu
MENU LABEL <- Retour menu principal
KERNEL tools/vesamenu.c32
APPEND menu/design.conf ~

LABEL
Le ~ correspond au menu par défaut.

MemTest

On le récupère
# wget http://www.memtest.org/download/4.00/memtest86+-4.00.bin.gz
tar xvf memtest86+-4.00.bin.gz
# cp memtest86+-4.00/precomp.bin /var/tftp/tools/memtest

/var/tftp/menu/systemes.conf
LABEL memtest
MENU LABEL ^MemTest 4.0
KERNEL tools/memtest

Et voilà MemTest est désormais intégré.

HDT

HDT fait partie de syslinux donc il faut le récupérer :
# cp syslinux-3.81/com32/hdt/hdt.c32 /var/tftp/tools
Il faut récupérer le fichier pci.ids qui se trouve sur sourceforge et le placer dans notre dossier /var/tftp/tools et enfin récupérer le fichier /lib/modules/`uname -r`/modules.pcimap à copier dans le même dossier.
Maintenant que tout est en place éditons, le fameux
/var/tftp/menu/systemes.conf
LABEL HDT
MENU LABEL ^Hardware Detection Test
KERNEL tools/hdt.c32
APPEND modules=tools/modules.pcimap pciids=tools/pci.ids memtest=tools/memtest
Et voili voilou

Reboot

Une petite option pour reboot pour le fun :
# cp syslinux-3.81/com32/modules/reboot.c32 /var/tftp/tools/reboot.c32

/var/tftp/menu/systemes.conf
LABEL reboot
MENU LABEL ^Reboot
KERNEL tools/reboot.c32

Boot Local

Ajoutons une option pour tout de même booter sur son disque dur.
# cp syslinux-3.81/com32/samples/localboot.c32 /var/tftp/tools/localboot.c32

/var/tftp/menu/systemes.conf
LABEL LocalBoot
MENU LABEL ^Boot Local
KERNEL tools/localboot.c32

On a au final ces deux écrans :

Image du menu principale

Menu des fonctionnalités

Et maintenant que nous avons un PXE fonctionnel, pratique et regardable passons au choses sérieuses : un vrai linux par le réseau.

Du diskless par distribution « live »

Concrètement qu’est-ce qu’il nous manque pour avoir du vrai diskless et non juste un installeur ? Il nous faut un kernel qui puisse récupérer son root (pas l’utilisateur mais son système de fichier) soit par le réseau soit par un initrd. Je vais commencer par la seconde possibilité avec Tiny Core Linux. Ce qu’on va faire c’est booter un kernel et lui fournir un initrd qui lui servira de racine. Les changements ne seront pas conservés après reboot, comme une distribution sur LiveCD.

On va donc faire ce système avec Tiny Core Linux. Il s’agit d’une toute petite distro avec interface graphique qui tient dans 10 Mo. Ça se récupère ici. Et ça s’intègre en moins de deux sur votre PXE. Mettez le bzImage et le tinycore.gz dans (par exemple) /var/tftp/distros/tinycore et ajoutez ces quelques lignes à votre menu :
LABEL Tiny_Core_Linux
MENU LABEL Tiny Core Linux
KERNEL distros/tinycore/bzImage
APPEND initrd=distros/tinycore/tinycore.gz max_loop=256
Et c’est bootable. Cette distrib est pratique quand on veux un shell vite fait. C’est juste dommage de ne pas avoir de client SSH pré-installé mais c’est une autre histoire.

Un linux vrai de vrai avec root en nfs

Maintenant au lieu de se limiter à un kernel et un initrd, on va fournir l’arborescence complète. En fait la racine sera un export NFS. Le système sera donc utilisable comme un nunux classique. Mieux encore, vous pourrez l’utiliser sur plusieurs PC (non simultanément). Allez c’est parti pour se monter une petite Debian en mois de deux.

D’abord on installe les paquets nécessaires :
# emerge debootstrap nfs-utils
Debootstrap est un script recréant une debian (ou ubuntu) à partir d’un miroir. Si vous voulez monter une autre distrib, pas la peine de le prendre. Nfs-utils apporte quelques outils pour la mise en place du serveur NFS. Il faut que votre kernel possède le module nfs-server.

Maintenant créons la Debian de toute pièce :
# mkdir /var/exports/debian/lenny
# debootstrap lenny /var/exports/debian/lenny
Après une pause bien méritée, noyautons cette petite. Soit vous vous faites votre kernel aux petits oignons, soit vous prenez celui de la Debian qu’il faudra installer par chroot. Bien évidemment, le mieux est de le compiler soi-même en n’oubliant surtout pas filesystems/network file systems/root filesystems on nfs. vous placerez ce kernel non pas dans l’export NFS (enfin ce n’est pas indispensable) mais dans le tftp /var/tftp/distros/debian/kernel_perso.

Créez l’export NFS dans le fichier
/etc/exports
/var/exports/debian/lenny 10.0.0.0/8(rw,async,no_subtree_check,no_root_squash,no_all_squash)

Donc là je déclare tout le dossier contenant la lenny visible pour tout mon réseau local (en 10/8) avec des droits de lecture/écriture.
Il ne reste plus qu’à ajouter une entrée dans le menu du PXE.
LABEL Debian
MENU LABEL Debian NFS
KERNEL distros/debian/kernel_perso
APPEND ip=dhcp root=/dev/nfs nfsroot=10.0.0.1:/var/exports/debian/lenny

Et il ne reste plus qu’à booter et rebooter !

What else ?

Bon voilà vous avez vu comment monter votre joli PXE. Vous pouvez donc installer ure distrib sur ce petit EeePC sans lecteur CD. Vous pouvez réparer ce grub que vous venez de dégommer sans sortir votre clé USB bootable. Pour aller plus loin, sachez qu’il est possible par mesure de sécurité (ou commodité) de proposer un PXE différent pour chaque machine en fonction de sa MAC.

Si vous avez aimé ce post...

1. Zeroconf : Réseaux IP sans configuration
2. Devbox KVM+Libvirt perfect setup.
3. Mise en place d’un système de backup avec Rsnapshot

]]> http://geekfault.org/2010/05/15/pxe-ya-til-un-bootloader-sur-lreseau/feed/ 11 http://geekfault.org/2010/05/13/linux-laptop-ultimate-powersaving/ http://geekfault.org/2010/05/13/linux-laptop-ultimate-powersaving/#comments Thu, 13 May 2010 12:52:48 +0000 bragon http://geekfault.org/?p=4331 Si vous avez aimé ce post...

1. Partager la connexion de son laptop
2. Faille critique dans tous les noyaux Linux
3. Chromium, le Google Chrome sous Linux sans émulation

]]>

Le but de cet article est de faire économiser de la batterie à votre laptop sous Linux.

Avec quelques tips, c’est possible très facilement.
On peut gagner 1h de batterie avec quelques méthodes simples.

Follow the white rabbit

Outils indispensable

Déjà il va vous falloir vous munir d’un outils indispensable développé par intel nommé : powertop
Le gars qui cherche à économiser de la batterie et qui n’a pas installé powertop c’est vraiment un gros naz


emerge -av powertop



apt-get install powertop


Lancez powertop en root, et suivez le guide, tout est expliqué directement dans l’interface ncurses.

Désactive le superflu dans l’bios petite loutre

Il convient d’aller désactiver les choses dont vous ne vous servez jamais dans le bios.
Exemple :

Etc … etc …

ça permet d’économiser déjà pas mal de batterie.

Modifies ton sysctl.conf petit castor

Quelques réglages à avoir dans le sysctl.conf

modifier : /etc/sysctl.conf

vm.laptop_mode = 5 # Activating laptop mode, power friendly I/Os
vm.dirty_writeback_centisecs = 2000
kernel.nmi_watchdog = 0
vm.swappiness = 5


Le writeback du cache du système de fichiers sur le disque dur se fait assez fréquemment. Pour réduire la consommation, il suffit de le faire moins fréquemment.
Par defaut le writeback est à 500

fout ça dans ton /sys petit scarabée


echo 10 > /sys/module/snd_hda_intel/parameters/power_save
echo min_power > /sys/class/scsi_host/host0/link_power_management_policy
echo min_power > /sys/class/scsi_host/host1/link_power_management_policy


Actives le power management dans ta carte wifi Intel petite fourmis des bois


iwconfig wlan0 power on


Mon petit script à la con, lis ça petit phasmid

Le paramètre sched_smt_power_savings sous /sys/devices/system/cpu/ contrôle le multithreading. Par défaut, il vaut 0 pour des performances optimales
Mettez le à 1 pour avoir plus de batterie, ainsi vous ne vous servirez du second cœur de votre cpu qu’en cas de besoin ! :


echo 1 > /sys/devices/system/cpu/sched_smt_power_savings


Conclusion

Cet article n’est pas complet car j’ai également des optimisations dans mon kernel, mais ça peut déjà vous donner une bonne base de travail.
N’hésitez pas à faire des bench avec powertop à CHAQUE modification pour voir ce que ça change sur votre consommation en Watts.

Si vous avez aimé ce post...

1. Partager la connexion de son laptop
2. Faille critique dans tous les noyaux Linux
3. Chromium, le Google Chrome sous Linux sans émulation

Les régies de publicité ne sont pas honnêtes, elles proposent de la pornographie (bon ça c’est pas grave), des jeux en ligne (ça ne touche que les cons qui croient gagner face à un logiciel), des faux antivirus (là c’est moins drôle) voire des mouchards (là je ne ris plus du tout).
Filtrer les pubs est parfois considéré comme une attitude hostile vis à vis de l’éditeur du contenu que vous vous apprêtez à consommer. Vous refusez la contrepartie d’un service gratuit, vous êtes fourbes, vous mériteriez d’aller casser des cailloux à Cayenne et qu’on fasse un lolcat avec votre chien.

Plan du site

Dans cette page nous allons capitaliser sur le travail bienveillant des furieux de chez yoyo.org, utiliserons les excellentes listes de fanboy et de liam une liste adblock polonaise et nous finirons par intégrer la liste adblock de notre profil firefox.
Les trois source seront formatées en un fichier de configuration pour notre DNS menteur.

Chez yoyo.org

Chez yoyo ils sont très geek. Il est possible de télécharger une liste toute prête des données qui nous intéresse. Ce qui nous importe le plus, c’est le formulaire de la section adservers. Nous allons choisir le format de sortie “AdBlock” pour le champ “list ad server hostnames:”.
Nous invoquerons cette liste par l’URL suivante http://pgl.yoyo.org/adservers/serverlist.php?hostformat=adblock pour ne plus avoir à faire du clic-clic lors des mises à jour.

L’objectif est d’obtenir des hosts de cette liste, ce qui se fait très simplement par :

curl -s 'http://pgl.yoyo.org/adservers/serverlist.php?hostformat=adblock' | egrep '^[a-z0-9]*\.[a-z0-9]*' | sort -u

Ce qui donne :

a.collective-media.net
a.consumer.net
(...)
kliks.nl
klipads.dvlabs.com
(...)
zintext.com
zmedia.com

Le site pgl.yoyo.org est très riche, la section adservers est une mine d’information pour le filtrage responsable en environnement réseau très hétérogènes.

Liste adblock polonaise

Commençons par une digression sur la Creative Commons : c’est un concept de licence que je n’apprécie pas. La notion de paternité pour un fichier de configuration me sidère.
Les excellentes listes adblock de Fanboy et Liam sont en CC NC BY SA, leur réutilisation est incompatible avec la licence initiale (WTFPL) compatible avec la licence utilisée par Geekfault pour les articles. Bref, nous allons nous orienter vers une liste plus amicale.

Ce qui nous emmène à l’utilisation de la liste du site AdblockList.org (en polonais).
Voici les 4 structures possibles :

(...)

(...)
|http://mklik.gazeta.pl/*
(...)
||nuggad.net/*
(...)

La différence entre webespion.com, |webespion.com et ||webespion.com est documenté dans la section filters de AdblockPlus.
Ce qui nous conduit a l’expression régulière suivante :
'^|{0,2}(http://)?[^/.]+.[^/#]+/[^/$a-z0-9]*$'
Utilisable par exemple comme ceci :
$ curl -s http://adblocklist.org/adblock-pxf-polish.txt | egrep '^\|{0,2}(http://)?[^/.]+.[^/#]+/[^/$a-z0-9]*$'

||nuggad.net/*
(...)

Avec perl nous allons, en une seule ligne (merci madx), regrouper le egrep ET nettoyer la sortie

$ curl -s http://adblocklist.org/adblock-pxf-polish.txt | perl -ne 'm;^\|{0,2}(http://)?[^/.]+.[^/#]+/[^/$a-z0-9]*$; && m;^\|{0,2}(http://)?\*?.?([^/#]*)/; && print $2."\n";'
r.reklama.biz
stats.wordpress.com
mklik.gazeta.pl
rek.www.wp.pl
kropka.onet.pl
csr.onet.pl
nuggad.net
(...)


La liste adblock de notre profil Firefox

Maintenant que nous savons sélectionner depuis une liste adblock, les filtres intégrables à bind9 et que nous savons nettoyer nous pouvons parcourir la liste adblock dans nos profils firefox :
$ (for i in ~/.mozilla/firefox/*/adblockplus/patterns*; do perl -ne 'm;^|{0,2}(http://)?[^/.]+.[^/#]+/[^/$a-z0-9]*$; && m;^|{0,2}(http://)?*?.?([^/#]*)/; && print $2." <-- ".$_."n";' < $i;done;) | sort -u | less
Ce qui donne chez moi :

(...)
5killspyware.eu <-- ||5killspyware.eu/
5l2o8.com <-- ||5l2o8.com/
5mariasara.cn <-- ||5mariasara.cn/
5may2009.com <-- ||5may2009.com/
5removespyware.com <-- ||5removespyware.com/
5rublei.com <-- ||5rublei.com/
5w90.co.cc <-- ||5w90.co.cc/
5we5.com <-- ||5we5.com/
5yttrre.cn <-- ||5yttrre.cn/
6-tube-world.com <-- ||6-tube-world.com/
60sys60.cn <-- ||60sys60.cn/

On peut donc parcourir la liste temporaire et regarder si il n'y a pas trop de faux positifs. A plusieurs milliers de lignes (21282 très précisément sur mes profils firefox) il ne faut pas hésiter à faire un lecture étalée dans le temps.
Normalement il n'y aura pas trop de surprises, nous obtenons une liste de hosts correctes comme ceci :

(for i in ~/.mozilla/firefox/*/adblockplus/patterns*; do perl -ne 'm;^|{0,2}(http://)?[^/.]+.[^/#]+/[^/$a-z0-9]*$; && m;^|{0,2}(http://)?*?.?([^/#]*)/; && print $2."n";' < $i;done;) | sort -u

Création du fichier blackhole.conf

Pour rappel, notre structure de blackhole.conf est:
zone "HOTE_A_FILTRER" { type master; notify no; file "null.zone.file"; };
Nous savons que la commande pour extraire HOTE_A_FILTRER avec :

• la liste de chez yoyo :

curl -s 'http://pgl.yoyo.org/adservers/serverlist.php?hostformat=adblock' | egrep '^[a-z0-9]*\.[a-z0-9]*'

• la liste adblock polonaise :

curl -s http://adblocklist.org/adblock-pxf-polish.txt | perl -ne 'm;^\|{0,2}(http://)?[^/.]+.[^/#]+/[^/$a-z0-9]*$; && m;^\|{0,2}(http://)?\*?.?([^/#]*)/; && print $2."\n";'

• notre liste adblock maison :

(for i in ~/.mozilla/firefox/*/adblockplus/patterns*; do perl -ne 'm;^\|{0,2}(http://)?[^/.]+.[^/#]+/[^/$a-z0-9]*$; && m;^\|{0,2}(http://)?\*?.?([^/#]*)/; && print $2."\n";' < $i;done;)

Nous pouvons donc écrire notre générateur de blackhole.conf en une seule ligne (bash) :
(for i in `((curl -s 'http://pgl.yoyo.org/adservers/serverlist.php?hostformat=adblock' | egrep '^[a-z0-9]*\.[a-z0-9]*');(curl -s http://adblocklist.org/adblock-pxf-polish.txt | perl -ne 'm;^\|{0,2}(http://)?[^/.]+.[^/#]+/[^/$a-z0-9]*$; && m;^\|{0,2}(http://)?\*?.?([^/#]*)/; && print $2."\n";');(for i in ~/.mozilla/firefox/*/adblockplus/patterns*; do perl -ne 'm;^\|{0,2}(http://)?[^/.]+.[^/#]+/[^/$a-z0-9]*$; && m;^\|{0,2}(http://)?\*?.?([^/#]*)/; && print $2."\n";' < $i;done;) ) | sort -u `; do echo "zone "$i" { type master; notify no; file \"null.zone.file\"; };";done;)> blackhole.conf

Conclusion

Nous voila donc avec un blackhole.conf prêt a être injecté dans notre bind9 local comme expliqué dans l'article de base du dns menteur.

J'attire votre attention sur le fait que cette liste brute a de grandes chances de ne pas être tout à fait conforme à votre utilisation du web. Sur plus de 22000 entrées (ce qui est mon cas), il y a de grandes chances d'avoir des doublons genre xyz.webespion.org et webespion.org par exemple.
Le principal risque des listes adblock est le faux-positif, ce risque est transmis intégralement. Je vous invite à manier tout ceci avec prudence.

Si vous avez aimé ce post...

1. DNS menteur, une autre méthode anti-curieux
2. La nouvelle mode Geek : avoir son domaine .42
3. Mise en place d’un système de backup avec Rsnapshot