Ifconfig.me a la particularité d’être utilisable en ligne de commande, avec le célèbre client cURL. Prenons un exemple simple:

Renverra l’adresse IP publique directement. Ni plus, ni moins. Pas besoin d’ouvrir un navigateur internet, ni de devoir parcourir une page à la recherche de l’élément recherché.

Il existe d’autres commandes, telles que:

Ces trois commandes renverront respectivement l’éventuel hostname lié à votre IP publique, votre user agent et l’ensemble des infos données par le site. La liste complète des commandes est disponible sur le site.

Si vous avez aimé ce post...

1. Allocation d’adresses IPv4 publiques over VPN
2. maintenir son DNS menteur avec Adblock
3. DNS menteur, une autre méthode anti-curieux

• Allouer automatiquement des IP, sans configurer un serveur DHCP
• Résoudre des noms de domaines locaux, sans configurer de serveur DNS
• Annoncer et découvrir des services, sans serveur d’annuaire

Aventurons-nous donc un peu dans le monde du « zOMG ça marche tout seul ! »

Les protocoles dits “Zeroconf”

Zeroconf n’est qu’une appellation générique de différents protocoles. Sa première implémentation est imputable à Apple, qui l’appela Rendezvous puis Bonjour. Ensuite Microsoft a plus ou moins imposé son équivalent, l’UPnP.

Sous Linux nous profitons d’une implémentation des protocoles d’Apple, sous le nom de Avahi. Contrairement aux protocoles Microsoft, ceux de Bonjour et Avahi sont promulgués par l’IETF, l’organisme établissant les standards de l’Internet. Ils ne sont toutefois pas encore admis en tant que standards, la plupart n’étant décrits que dans des RFC informels.

Installation

Avahi apparait généralement dans les gestionnaires de paquets comme une multitude de paquets. Bien que déjà présente dans Ubuntu, on peut ajouter quelques packages utiles :

Sous Gentoo, c’est un peu plus délicat : il faut d’abord ajouter les USE flags avahi et zeroconf à votre /etc/make.conf, recompiler les packages nécessaire et installer net-dns/avahi ainsi que net-misc/mDNSResponder.

IPv4LL : Création d’un réseau IP sans DHCP

IPv4LL, pour Local-Link, fait partie de Zeroconf mais est la partie moins poétique, souvent à l’origine d’erreurs de configurations IP… Elle consiste en fait en une norme RFC proposant l’allocation dynamique des adresses IP de 169.254.0.0 à 169.254.254.254 (fe80::/16 en IPv6) sur les réseaux ne possédant pas de serveur DHCP. Il y a évidemment un test évitant que deux ordinateurs prennent la même IP.

Ce n’est pas très propre et ces IP sont haïes de pas mal d’administrateurs. Remarquons toutefois que les dernières versions de NetworkManager implémentent un mode “Partagé avec d’autres ordinateurs” lors de la création d’un réseau Ad-Hoc, ce qui crée un vrai serveur DHCP.

Résolution de noms locale

Si Avahi est correctement installé, vous pouvez commencer à résoudre des noms automatiquement. Chaque machine s’attibue un nom de domaine sous la forme HOSTNAME.local. Par exemple, ma machine s’appelant epsilon :

epsilon.local a bien été résolu par Avahi !

Cette magie est amenée par Multicast DNS, ou mDNS : chaque machine membre du réseau Zeroconf maintient en fait un petit serveur avec ses propres enregistrements DNS. Lorsqu’un membre du réseau fait une requête (multicast vers 224.0.0.251 ou ff02::fb, port UDP 5353), la machine se reconnaissant répond.

Découverte de services

Tous les serveurs supportant Zeroconf peuvent annoncer qu’ils fournissent un service. On pourra ainsi détecter automatiquement des partages de fichiers, des serveurs VNC, des serveurs SSH et bien d’autres.

Ce système est lui aussi basé sur un serveur mDNS, sous forme d’enregistrements de type SRV, TXT et PTR.

Pour lister les services disponibles sur le réseau Zeroconf il existe plusieurs outils, je citerai juste avahi-discover qui est simple et complet.

Quelques applications bien cools de Zeroconf

XMPP décentralisé

Intégrée dans quelques clients Jabber, dont Pidgin (libpurple) entre autres, la norme XMPP XEP-0174 définit les communications XMPP sans serveur. Dans Pidgin, une fois le protocole Bonjour activé, vous verrez de nouveaux contacts apparaître comme par magie dès qu’ils se connectent !

C’est très pratique pour discuter sans aucune configuration avec ses collègues, sa famille ou même des inconnus sur un réseau Ad-Hoc dans un train ^_^

PulseAudio

Malheureusement PulseAudio n’a pas de bonne interface pour le présenter, mais exploite très bien ZeroConf en détectant facilement les autres serveurs PulseAudio. Il m’arrive souvent de streamer l’audio de mon laptop vers mon desktop afin de profiter d’une meilleure qualité sonore. Tout ça bien entendu sans configuration ni reconfiguration en cas de changements sur mon réseau.

Over VPN

Si vous êtes connecté sur un VPN (au sens propre du terme, pas un VPN de tunneling tel qu’IPredator) Zeroconf y passera normalement sans accroc ! Après tout, un VPN c’est aussi un réseau local.

Couplé au XMPP décentralisé, c’est un super moyen de discuter avec ses collègues facilement, ainsi que toutes les autres applications auxquelles vous pouvez penser.

En savoir plus…

• ZeroConf.org
• MultiCast DNS
• « Zero Configuration Networking: The Definitive Guide » de Daniel H Steinberg et Stuart Cheshire, O’Reilly, Décembre 2005.

Si vous avez aimé ce post...

1. SSH sans mot de passe
2. Choisir son keymap X.org 1.8 sans xorg.conf ni hack
3. Chromium, le Google Chrome sous Linux sans émulation

Malheureusement l’organisateur n’avait rien organisé de plus que les affiches. Arrivé sur place j’ai donc dû faire ce que j’ai pu pour prendre les choses en main. Voici enfin compilé et en français quelques conseils pour qu’une Key Signing Party d’une taille raisonnable (nous étions une quinzaine) se déroule correctement.

C’est quoi PGP et une Key Signing Party?

Pour ceux qui ne connaissent pas, PGP ou “Pretty Good Privacy” est un système cryptographique introduit par Philip Zimmermann et basé sur le principe connu des paires de clés publiques et privées. Désormais standardisé en la norme OpenPGP (RFC4880), PGP permet de sécuriser ses communications soit en signant un message pour prouver son auteur soit en chiffrant le contenu pour être sûr que seul le destinataire légitime pourra le lire.

Mais puisque tout le monde peut générer sa paire de clés de chiffrement, il faut un moyen de lui donner de la valeur : il faut que d’autres personnes signent la clé publique pour certifier l’identité de son propriétaire. Pour cela on organise lors de divers rassemblements geeks des Key Signing Parties où les utilisateurs de PGP s’échangent leurs clés publiques et procèdent à une vérification de l’identité (grâce à un Passeport ou autre document officiel).

Étape 1 : Informez les gens à temps

Les RMLL durent une semaine et l’annonce de la Key Signing s’est pourtant faite moins de 8h avant son déroulement. Il vaut mieux prévenir plus tôt pour que les gens puissent éventuellement créer leur première clé PGP et se documenter sur son utilisation.

Surtout, il faut récolter les clés publiques des participants de préférence avant le début de la Key Signing Party.

Étape 2 : Récoltez les clés publiques des participants

Même si la plupart des clés sont disponibles sur le serveur de clés du MIT, elles n’y sont justement pas toutes. Pire, certains utilisateurs de PGP préfèrent que leurs clés ne se partagent que de personne à personne.

Il est donc important que l’organisateur récupère toutes les clés publiques, de préférence avant la Key Signing, pour éviter qu’elle ne dure trop longtemps.

Pour cela demandez aux participants de vous envoyer leur clé par e-mail (non chiffré mais signé) ou de l’uploader sur un serveur que vous mettriez en place.

Étape 3 : Compilez les informations du keyring et imprimez-les

Une fois que vous avez récolté les clés publiques de tous les participants il faut en faire quelque chose d’utile pour la Key Signing Party. Un tableau tel que celui-ci est intéressant:

Ensuite envoyez-le ou mieux imprimez-le pour chaque participant. La Key Signing peut commencer.

Étape 4 : Un peu d’ordre dans tout ça…

C’est maintenant le grand jour. Demandez aux participants de venir avec une pièce d’identité, la liste imprimée, un stylo et leur propre fingerprint.

Les participants se mettent en deux lignes face à face. Normalement lors d’une Key Signing Party on n’utilise pas de laptop. Les deux participants l’un en face de l’autre vérfient mutuellement la fingerprint imprimée sur la liste et la pièce d’identité. Après vérification ils cochent les cases correspondantes.

Une fois tout vérifié, chacun passe au participant à sa droite. Ceux en bout de file changent de ligne. Et ainsi de suite… Normalement à la fin tout le monde aura vérifié les identité des de tous les autres participants.

Si la Key Signing Party prend des proportions inattendues il est peut-être nécessaire d’imaginer un autre système, par exemple en utilisant une webcam et un projecteur pour que tout le monde puisse vérifier une même identité en même temps.

Étape 5 : Distribuez le keyring

Puisque vous avez récolté toutes les clés publiques, il faut maintenant les retransmettre à tous les participants. Pour cela créez un keyring, càd. un fichier texte avec toutes les clés publiques les unes à la suite des autres. Vous pouvez éventuellement signer ou fournir le hash SHA-1 de ce fichier pour l’authentifier.

Si vous avez déjà importé les clés dans votre keyring personnel vous pouvez facilemenet exporter vers un keyring dédié à la Key Signing Party :

Faites en sorte que tous les participants y aient accès : mettez-le sur un serveur web ou envoyez-le par e-mail.

Étape 6 : Expliquez aux n00bs comment signer

Bah oui à toute Key Signing Party il y aura forcément des puceaux du PGP. Expliquez-leur la procédure idéale :

• Récupérer et importer le keyring dans gpg
• Vérifier consciencieusement le fingerprint et l’identité des différentes clés publiques en les comparant au papier rempli durant la Key Signing
• Signer chaque clé publique uniquement si on est sûr de sa vérification d’identité
• Envoyer les clés ainsi signées par e-mail à son propriétaire original. Éviter de les uploader directement sur un serveur de clés car cela permet de vérifier l’adresse e-mail.

À noter qu’il existe des outils pour automatiser tout cela. J’utilise PIUS, un script Python qui se charge de tout jusqu’à l’envoi par e-mail assez simplement :

En savoir plus…

• La documentation de GnuPG
• How PGP works (en)

Si vous avez aimé ce post...

1. SSH sans mot de passe
2. Mise en place d’un système de backup avec Rsnapshot
3. S’authentifier avec une clé USB

La touche Compose est une touche morte de fonction. Elle ne produit rien en elle-même mais suivies d’autres touches classiques, elle prend effet. Il devient possible d’écrire du grec λ , des flêches ← , des symboles mathématiques ½ , d’écrire en ᵉˣᵖᵒˢᵃⁿᵗ , des symboles (in)utiles ♥ ☭ ☺ ™ … en fait vous pouvez écrire tout les caractères existants d’unicode, vous aurez juste besoin d’une suffisamment bonne mémoire pour vous souvenir des enchaînements de touches. Le plus fort, c’est vous qui définissez ces enchaînements.

Mais où est cette fichue touche ?

Bien qu’une réponse de trois lettres s’impose d’elle même, elle se situe en fait où vous la définissez. Oui oui pour ça aussi vous avez le choix. La touche Windows est souvent déclarée comme telle mais j’ai préféré utiliser la touche Ctrl droite. En définissant la touche Windows, vous rendez inaccessible les raccourcis qui lui sont liés alors qu’avec Ctrl droit il vous reste toujours Ctrl gauche … Enfin vous avez compris, de toute façon vous êtes libres. Pour ce faire tout dépend de votre environnement :

• Gnome : Dans les options du clavier, rendez-vous sur l’onglet « layout » puis cliquez sur Options. Vous pourrez alors y définir la touche de votre choix.
• Xorg nature : La manipulation est un peu plus longue mais pas compliquée :
  Premièrement il faut déterminer le keycode de la touche que vous souhaitez utiliser. Pour cela lancez xev. Cet utilitaire vous affichera le keycode des touches que vous pressez. Mémorisez ce keycode. Créez ensuite un fichier
  ~/.xmodmap
  keycode 105 = Multi_key

  105 correspondant à Ctrl droit. Il ne reste plus qu’à lancer la commande

  $ xmodmap ~/.xmodmap

  pour que le changement soit effectif (commande à lancer au lancement de X).

Le dernier obstacle avant de pouvoir utiliser votre Compose personnalisé est la méthode de saisie. Seule la méthode dite xim permet cette petite fantaisie. La plupart des applications permettent de changer ce paramètres en faisant un clic droit dans les zones de texte. Il est également possible de la mettre par défaut grâce à la commande im-switch -c et de choisir xim-default.

Make it big !

Bon la touche est prête à être dégainée. Il faut maintenant définir votre fichier XCompose. Ce fichier est spécifique à chaque utilisateur de votre système et se trouve là → /home/$user/.XCompose . Voilà sa syntaxe :

Vous pouvez mettre plusieurs touches d’affilées. Le résultat ou le numéro ou les deux doivent être présents. Le résultat est le caractère escompté.

Le numéro est celui défini dans la norme CCS d’unicode.

Par exemple si vous voulez faire une flèche vers la droite en appuyant sur compose puis la flèche droite de votre clavier.

Et voilà le chemin est tout tracé. Bon parce que je sais que vous êtes flemmards (si si ça se voit, la moitié n’a pas lu jusqu’à la fin et ne regarde que les images), sachez qu’il est possible d’inclure un fichier externe afin de ne pas avoir à recopier le ficher pour chaque utilisateurs ou alors carrément de réutiliser le boulot du paqueteur de votre distrib :

Ce fichier compte de très nombreuses lignes pas toujours intéressantes, à survoler vite fait pour voir un paquet de combinaisons déjà existantes.

Si vous avez aimé ce post...

1. Keymap Linux sous Windows
2. Choisir son keymap X.org 1.8 sans xorg.conf ni hack
3. Synergy

Ce logiciel s’appelle Redshift.
Comme l’indique son site officiel, Redshift ajuste la température des couleurs de votre écran en fonction de votre environnement, et plus précisément de la position du soleil. Ce qui permettra d’avoir un écran blanc en journée, un écran orangé en soirée et un écran rougeâtre en pleine nuit. L’idéal étant que votre écran aie la même chaleur que la lampe de votre cave^Wchambre.

Paint it red

Si vous vous demandez à quoi diable peut bien servir d’avoir un écran rougeâtre dans l’obscurité, sachez que dans de nombreux domaines, y compris l’aéronautique, les instruments sont faits de façon à être rétro-éclairés dans une teinte rouge la nuit.
En effet, cette couleur, dans le bas de notre spectre visible est moins agressive à l’œil dans un environnement sombre.

De plus, non seulement l’éclat pâle de votre écran dans l’obscurité peut vous fatiguer la vue, mais des études ont démontré qu’il tenait éveillé, et provoquais des difficultés à trouver le sommeil.

Pour vos yeux, et pour votre productivité, aimez le rouge !

Utilisation

Afin de commencer à l’utiliser, entrez dans une console:

48.8:2.32 représente vos coordonnées (latitude et longitude). Si vous utilisez gnome, redshift pourra trouver votre position si vous l’avez encodée dans l’applet horloge. Il est également possible de passer une option -t afin e définir les différentes températures (jour:nuit). Exemple:

Enfin, sachez qu’en envoyant le signal USR1 à redshift, on le désactive et réactive temporairement.

Je vous renvoie à vos tests et au site officiel afin de découvrir d’autres options et des explications plus poussées.

installation

Redshift est packagé dans les principales distributions, pour l’installer sous ubuntu :

sous gentoo :

sous exherbo :

Il peut être utilisé avec son interface iconifiée gtk minimaliste en apposant le préfixe “gtk-” à la commande redshift :

Si vous avez aimé ce post...

1. Minimeter : votre quota de téléchargement en permanence sous les yeux
2. On a testé pour vous : Ubuntu Jaunty Jackalope 9.04
3. Libérez votre esprit avec Freemind

Dans le monde du Logiciel Libre, on aime bien les animaux, ils sont partout ! C’est bien simple, on se croirait à un safari photo au Kenya.
Vous vous êtes surement demandé un jour : “Pourquoi un dromadaire pour Perl ?” ou encore “C’est quoi ce poisson bizarre pour OpenBSD ?“. Autant de questions, et bien d’autres encore que vous ne vous êtes même pas posées, auxquelles vous aurez la réponse dans cet article !
Cet article est relativement long (il y a beaucoup d’animaux) mais la bonne nouvelle c’est que vous pouvez le lire par n’importe quel bout donc n’hésitez pas à aller directement dans la section qui vous intéresse.

Si vous avez aimé ce post...

1. MPD : Le démon des media players.
2. Monitoring – Munin
3. DenyHosts pour empêcher le bruteforce sur SSH

La Quality Of Service (QOS) , qualité de service en français, intervient principalement au niveau 3 du modèle OSI.
Il faut donc placer ses scripts de QOS sur la passerelle de votre réseau, c’est la raison pour laquelle, mettre en place de la QOS sur la eeegw prend tout son sens.

N’hésitez pas à revenir sur les précédents articles sur la eeegw :
eeegw part I
eeegw part II

Si vous avez besoin d’un rafraîchissement sur le concept, je vous oriente vers la page Qualité de service de Wikipedia.

La partie qui clairement nous intéresse ici est décrite au chapitre Ordonnancement :
L’ordonnancement désigne l’ensemble des méthodes visant à modifier l’ordre de départ des paquets, en remplacement de la règle du « premier arrivé, premier servi ».

Une de ses applications les plus courantes consistera ainsi à donner priorité à certains types de trafic.

Grosso modo j’ai mis en place de la QOS sur ma eeegw car j’en avais marre que mes communications SIP (Téléphonie voir futur article :p) ne soient pas de bonne qualité, lors d’upload de pièces jointes via mon mailer ou lorsque j’avais besoin d’utiliser beaucoup d’upload en même temps qu’une communication téléphonique.

Si vous avez aimé ce post...

1. EeeGW : Créer soi-même une passerelle réseau
2. EeeGW – ZE retour du détour ! – Proxycache.
3. Allocation d’adresses IPv4 publiques over VPN

En faite mon idée est partie de ce petit délire que m’a sorti khemael :

Les astuces sont livrées de façon brute de fonderie.
Noob s’abstenir.

Nota Noob : Ne tappe pas une commande sur ton shell que tu ne comprends pas.

Some of madx’s tricks

Redirections

Fork bomb ! Warning, ne pas utiliser ça sur un serveur non protégé

Bash and perl regexp

scp resume

Remote backup

burning

perl regex sur un fichier

encode to theora/ogg

Si vous avez aimé ce post...

1. Mise en place d’un système de backup avec Rsnapshot
2. Linux – Laptop – Ultimate Powersaving !
3. Backup d’un compte Gmail

Pour démarrer une machine sur le réseau, il faut tout d’abord que son bios supporte cette technologie (c’est le cas de la plupart des machines modernes). Il faut ensuite un serveur DHCP et un serveur TFTP configurés pour fournir un bail spécial ainsi que les fichiers nécessaires au boot. Cet article couvre donc la mise en place d’un système basique. On abordera ensuite le côté esthétique par un petit coup de maquillage, ensuite on ajoutera quelques fonctions parfois utiles et enfin la mise en place d’un système complètement diskless.

Récupération du matos

La grande majorité des serveurs DHCP est à même de faire tourner un PXE. J’aborderai ici Dnsmasq qui a l’avantage d’être très léger et de pouvoir faire office de serveur DNS et TFTP. Nous n’aurons donc qu’un seul et unique serveur pour tout faire.

Il vous faudra également syslinux pour récupérer les précieux fichiers de boot ainsi que quelques petits utilitaires bonus.
Vous trouverez la dernière version sur le très sérieux site de kernel.org:

http://www.kernel.org/pub/linux/utils/boot/syslinux/

Il ne manque plus que la distribution à booter et son kernel. Tout dépendra de ce que vous voulez proposer. Ici on va monter un installeur Debian :

Configuration du serveur

Je n’aborderai pas la configuration complète de Dnsmasq, uniquement les parties relatives à notre objecif.

La première ligne fournit le nom du fichier de PXE, la seconde active le tftp et la troisième déclare le dossier qui sera la racine de notre TFTP. Ça suffit pour obtenir le fonctionnement désiré. Relancez Dnsmasq, désormais on n’y touchera plus.

Mise en place basique

Commençons par créer la racine du tftp et récupérer le fameux pxelinux.0

Créons maintenant un petit menu tout simple :

C’est ce menu qui s’affichera. C’est moche mais efficace. Il faut créer le fichier de configuration associé :

Vous avez maintenant un PXE tout ce qu’il y a de plus simple. C’est assez brut mais ça fonctionne. Maintenant vous pouvez tester. La machine se verra attribé sa config réseau et vous devriez voir s’afficher le contenu de votre boot.txt . Vous n’aurez plus qu’à taper le « label » désiré pour lancer le boot.

Si vous avez aimé ce post...

1. EeeGW : Créer soi-même une passerelle réseau
2. Zeroconf : Réseaux IP sans configuration
3. L’email : un vilain petit cafardeur !

Le but de cet article est de faire économiser de la batterie à votre laptop sous Linux.

Avec quelques tips, c’est possible très facilement.
On peut gagner 1h de batterie avec quelques méthodes simples.

Follow the white rabbit

Outils indispensable

Déjà il va vous falloir vous munir d’un outils indispensable développé par intel nommé : powertop
Le gars qui cherche à économiser de la batterie et qui n’a pas installé powertop c’est vraiment un gros naz

Lancez powertop en root, et suivez le guide, tout est expliqué directement dans l’interface ncurses.

Désactive le superflu dans l’bios petite loutre

Il convient d’aller désactiver les choses dont vous ne vous servez jamais dans le bios.
Exemple :

Etc … etc …

ça permet d’économiser déjà pas mal de batterie.

Modifies ton sysctl.conf petit castor

Quelques réglages à avoir dans le sysctl.conf

modifier : /etc/sysctl.conf

Le writeback du cache du système de fichiers sur le disque dur se fait assez fréquemment. Pour réduire la consommation, il suffit de le faire moins fréquemment.
Par defaut le writeback est à 500

fout ça dans ton /sys petit scarabée

Actives le power management dans ta carte wifi Intel petite fourmis des bois

Mon petit script à la con, lis ça petit phasmid

Le paramètre sched_smt_power_savings sous /sys/devices/system/cpu/ contrôle le multithreading. Par défaut, il vaut 0 pour des performances optimales
Mettez le à 1 pour avoir plus de batterie, ainsi vous ne vous servirez du second cœur de votre cpu qu’en cas de besoin ! :

Conclusion

Cet article n’est pas complet car j’ai également des optimisations dans mon kernel, mais ça peut déjà vous donner une bonne base de travail.
N’hésitez pas à faire des bench avec powertop à CHAQUE modification pour voir ce que ça change sur votre consommation en Watts.

Si vous avez aimé ce post...

1. Faille critique dans tous les noyaux Linux
2. Partager la connexion de son laptop
3. Chromium, le Google Chrome sous Linux sans émulation

Les régies de publicité ne sont pas honnêtes, elles proposent de la pornographie (bon ça c’est pas grave), des jeux en ligne (ça ne touche que les cons qui croient gagner face à un logiciel), des faux antivirus (là c’est moins drôle) voire des mouchards (là je ne ris plus du tout).
Filtrer les pubs est parfois considéré comme une attitude hostile vis à vis de l’éditeur du contenu que vous vous apprêtez à consommer. Vous refusez la contrepartie d’un service gratuit, vous êtes fourbes, vous mériteriez d’aller casser des cailloux à Cayenne et qu’on fasse un lolcat avec votre chien.

Plan du site

Dans cette page nous allons capitaliser sur le travail bienveillant des furieux de chez yoyo.org, utiliserons les excellentes listes de fanboy et de liam une liste adblock polonaise et nous finirons par intégrer la liste adblock de notre profil firefox.
Les trois source seront formatées en un fichier de configuration pour notre DNS menteur.

Chez yoyo.org

Chez yoyo ils sont très geek. Il est possible de télécharger une liste toute prête des données qui nous intéresse. Ce qui nous importe le plus, c’est le formulaire de la section adservers. Nous allons choisir le format de sortie “AdBlock” pour le champ “list ad server hostnames:”.
Nous invoquerons cette liste par l’URL suivante http://pgl.yoyo.org/adservers/serverlist.php?hostformat=adblock pour ne plus avoir à faire du clic-clic lors des mises à jour.

L’objectif est d’obtenir des hosts de cette liste, ce qui se fait très simplement par :

Ce qui donne :

Le site pgl.yoyo.org est très riche, la section adservers est une mine d’information pour le filtrage responsable en environnement réseau très hétérogènes.

Liste adblock polonaise

Commençons par une digression sur la Creative Commons : c’est un concept de licence que je n’apprécie pas. La notion de paternité pour un fichier de configuration me sidère.
Les excellentes listes adblock de Fanboy et Liam sont en CC NC BY SA, leur réutilisation est incompatible avec la licence initiale (WTFPL) compatible avec la licence utilisée par Geekfault pour les articles. Bref, nous allons nous orienter vers une liste plus amicale.

Ce qui nous emmène à l’utilisation de la liste du site AdblockList.org (en polonais).
Voici les 4 structures possibles :

La différence entre webespion.com, |webespion.com et ||webespion.com est documenté dans la section filters de AdblockPlus.
Ce qui nous conduit a l’expression régulière suivante :

Utilisable par exemple comme ceci :

Avec perl nous allons, en une seule ligne (merci madx), regrouper le egrep ET nettoyer la sortie

La liste adblock de notre profil Firefox

Maintenant que nous savons sélectionner depuis une liste adblock, les filtres intégrables à bind9 et que nous savons nettoyer nous pouvons parcourir la liste adblock dans nos profils firefox :

Ce qui donne chez moi :

On peut donc parcourir la liste temporaire et regarder si il n’y a pas trop de faux positifs. A plusieurs milliers de lignes (21282 très précisément sur mes profils firefox) il ne faut pas hésiter à faire un lecture étalée dans le temps.
Normalement il n’y aura pas trop de surprises, nous obtenons une liste de hosts correctes comme ceci :

Création du fichier blackhole.conf

Pour rappel, notre structure de blackhole.conf est:

Nous savons que la commande pour extraire HOTE_A_FILTRER avec :

• la liste de chez yoyo :

• la liste adblock polonaise :

• notre liste adblock maison :

Nous pouvons donc écrire notre générateur de blackhole.conf en une seule ligne (bash) :

Conclusion

Nous voila donc avec un blackhole.conf prêt a être injecté dans notre bind9 local comme expliqué dans l’article de base du dns menteur.

J’attire votre attention sur le fait que cette liste brute a de grandes chances de ne pas être tout à fait conforme à votre utilisation du web. Sur plus de 22000 entrées (ce qui est mon cas), il y a de grandes chances d’avoir des doublons genre xyz.webespion.org et webespion.org par exemple.
Le principal risque des listes adblock est le faux-positif, ce risque est transmis intégralement. Je vous invite à manier tout ceci avec prudence.

Si vous avez aimé ce post...

1. DNS menteur, une autre méthode anti-curieux
2. Libérez votre esprit avec Freemind
3. Mise en place d’un système de backup avec Rsnapshot

HAL, je te quitte …

Un bon nombre d’entre nous a jeté au feu son Xorg.conf lorsque X.org a atteint la maturité suffisante pour deviner efficacement notre matériel.
Sauf que le keymap ne fait pas partie des paramètres devinés. Avec la 1.5, il nous a fallu jouer avec un /etc/hal/fdi/policy/10-keymap.fdi indigeste. Fini tout ça … mais du coup on s’y prend comment pour ne pas retomber dans le Xorg.conf ?

… mais j’hésite encore un peu …

Pour ceux qui ne reculent devant aucun hack cradingue, il est possible de mettre dans tous les ~/.xinitrc

Pour ceux qui aiment regarder dans le passé, retourner au Xorg.conf (BOUH!!) :

Rien de bien satisfaisant …

… Oh zut ! Je choisi evdev

Autant vivre avec son temps et utiliser les bons outils. Voici ce que l’on obtient par défaut, out-of-the-box comme ils disent :

Sans grande surprise nous allons devoir agir du coté de /etc/X11/xorg.conf.d/10-evdev.conf
Voici la partie qui nous interesse dans ce fichier :

Il nous suffit de reporter l’option qui va bien :

Et normalement, en relançant Xorg, vous devez obtenir ceci dans votre /var/log/Xorg.0.log

Le mot de la fin

Proposer un login manager avec le bon keymap évite pas mal d’ennui avec les non-geek qui composent notre famille, notre entourage professionnel.
Lors d’une rupture technologique telle que X.org en 1.8 nous avons plusieurs méthodes plus ou moins cradingues pour revenir à l’état correct, nous avons aussi des méthodes propres : autant les appliquer.

Si vous avez aimé ce post...

1. XCompose → Enlarge your keymap
2. Keymap Linux sous Windows
3. Zeroconf : Réseaux IP sans configuration

C’est donc avec un peu de retard et le cœur gros qu’au nom de toute l’équipe de rédaction de Geekfault, je remercie ceux qui nous ont suivi dès les premiers articles, ceux qui ont rejoint de train en marche, et ceux qui viennent de nous rejoindre, lecteurs comme rédacteurs.
Merci d’avoir porté de l’attention à nos publications, de vous être dévoué à mettre bout à bout des articles de qualité, pertinents et accessibles à tous, d’avoir parlé de nous autour de vous, de nous avoir encouragé par commentaire, ou de nous avoir soutenu au jour le jour sur notre channel irc (#geekfault@irc.geeknode.org.)

Pour vous démontrer notre reconnaissance, nous avons décidé d’établir une liste du “Best-Of ’09-’10” des publications de Geekfault, précédées d’une estimation du nombre d’heures de notre temps libre que nous avons consacré à la rédaction de ces articles, en témoignage du travail accompli par notre fabuleuse équipe de rédaction pour laquelle je demande un tonnerre de cliquetis sonores de vos clavier en commentaire, à défaut d’applaudissements.

Nos premiers pas…

• [X] Création du blog
• [1] Synergy (Tycale)
• [2] Mobile Viking (Belgique) (Tito)
• [1] Télécharger les Guignols de l’Info (Tito)
• [1] Dropbox (Tito)
• [2] MPD, le démon des media-players (koolfy)

Le projet se concrétise, on prends nos marques, et de l’élan

• [X] Nouveautés sur Geekfault
• [3] S’authentifier avec une clé USB (koolfy)
• [<1] Mise en place d’un système de backup avec Rsnapshot (bragon)
• [11!] Review du clavier Typematrix EZ-Reach 2030 (koolfy)

Un début de rythme de croisière

• [X] Reprise d’activité de Geekfault
• [1] Serveur Lighttpd avec PHP sur iPhone (Tito)
• [2] Transformer son laptop en routeur wifi (Tito)
• [3] Un geek en vacances (Tito)
• [3] Jouer à la Playstation sous linux… avec sa manette Dualshock ! (koolfy)

Et si on passait aux choses sérieuses ?

• [2] Wave 1 : C’est quoi Wave ? (Tito)
• [3] Wave 2 : C’est quoi une Wave ? (Tito & koolfy)
• [4] Wave 3 : L’interface web de Google (Tito)
• [9] La recherche web… sans Google! (koolfy)
• [7] Echinus, un WM, simplement (roidelapluie)
• [5] Allocation d’adresses IPv4 publiques over VPN (target0)
• [3] Allocation d’IPv6 over OpenVPN (bragon)
• [2] IP over DNS : Contourner les limitations des hotspots (Tito)
• [3] 10 applications indispensables sur iPhone jailbreaké (Tito)
• [8] EeeGW : Créer soi-même une passerelle réseau (bragon)
• [1] EeeGW – ZE retour du détour ! – Proxycache (bragon)
• [8] IPv6 pour les nuls^Wgeeks (LeCoyote)
• [1] Monitoring – Munin (bragon)
• [4] Libérez votre esprit avec Freemind (koolfy)

Dis, cortex, on fait quoi ce soir ? Comme tous les soirs Minus, on TAKE OVER le monde du blog informatique !

• [7] Chromium: l’adolescence de l’enfant de google (koolfy)
• [3] nginx et python – le perfect setup (pistache)
• [2] OpenVZ : virtualisation légère, performante et amusante (Lord)
• [6] L’email : un vilain petit cafardeur ! (ckg)
• [3] Maildir mbox – La migration (pistache)
• [5] Filtrer ses mails ! Un cauchemard ! (bragon)
• [>8] Les autres nouveautés de l’HTML 5 (Tito)
• [>11] DNS menteur, une autre méthode anti-curieux (ckg)
• [3] Photoshop CS5 content aware fill VS Gimp resynthesizer (madx)

Remerciements

Un grand merci à Planet-Libre pour nous avoir accueilli dans leur flux, et nous avoir ouvert à un public nouveau et plus large.
Je tiens également à remercier une fois de plus (ils le méritent) tous les rédacteurs qui ont participé au contenu de Geekfault, car cette liste n’est pas exaustive, car ce sont un sacré nombre d’heures de travail au total, parce que tout ceci n’a été qu’en un an, et que grâce à eux.

Merci à

• ckg
• LeCoyote
• Lord
• madx
• pistache
• roidelapluie
• target0
• Tycale

Et parce que je ne peux que les remercier séparément et individuellement, pour mes deux collègues co-fondateurs, pour tout le respect que j’ai pour eux, ce qu’ils m’ont apporté, et ce qu’ils ont apporté à Geekfault :

Merci à Tito…

Pour avoir eu l’idée du projet, l’avoir mis sur pied et m’avoir proposé de le rejoindre
Pour s’être toujours dévoué corps et âme pour ce projet (44 articles !!)
Pour avoir donné une direction et un sens à Geekfault à son départ et tout le long de son existence

J'étais avec Tito et une amie dans sa chambre quand il annonce qu'il va faire un tour au trône. 30 secondes plus tard, un message apparait sur son écran, provenant de son iPhone, ne contenant qu'une URL vers une image et le commentaire : Heureusement que j'ai pris des mouchoirs, VDM.

Merci à bragon…

Parce qu’il nous a fourni l’infrastructure nécessaire au fonctionnement de Geekfault (à savoir la machine : « Xanadu »)
Pour avoir toujours cru en l’utilité, la nécessité et le potentiel de ce projet, peu importe le pessimisme de la situation
Pour nous avoir toujours secoué où et quand il le fallait, quand il sentait qu’on se laissait aller.
Pour nous avoir toujours tous encouragés à publier, et pour tous les rédacteurs qu’il nous a ramené

True Story, fake picture.

…et koolfy

Par fair-play, je ne m’épargne pas non plus

Si vous avez aimé ce post...

1. Difficultés techniques de Geekfault
2. Nouveautés sur Geekfault
3. Geekfault recherche des partenaires

Vous en avez forcement entendu parler, le content aware fill est la feature du futur Photoshop CS5 : on dessine vaguement les contours de l’objet qu’on veux enlever d’une photo, on lance la fonction et *pouf* l’objet disparait en laissant place à ce qui se trouve derrière.

Vous avez aussi surement vu les démonstrations sur youtube et les réactions de fanboys Photoshop telles que “That’s beyond insane!“, “BLACK MAGIC“, “I will buy this over everything i’ve ever wanted ever“, ou encore “And then i, JIZZED, IN MY PANTS” (tous absolument véridiques).

On ne vas pas s’éterniser sur le comment (de l’extrapolation mixé avec du random) mais sur le fait que Gimp possède cette fonction depuis … 2004. Oui, 6 ans.

6 ans après, Photoshop rattrape Gimp

Au cas ou vous n’auriez pas vu les démonstrations et pour bien comprendre de quoi on parle, rien de mieux qu’une photo, ou deux pour le coup.

Avant

Après

A noter que cette fonction n’est pas de série dans Gimp, mais sous forme de plug-in (en licence GPL), disponible dans toutes les bonnes distributions sous le nom de gimp-resynthesizer ou quelque chose de proche.

Si vous avez aimé ce post...

1. L’arche des mascottes du Libre
2. Echinus, un WM, simplement.
3. Maildir mbox – La migration

L’intérêt de ces outils est surtout le profilage à des fins techniques (versions, systèmes d’exploitations et résolutions des navigateurs…) et à des fins de positionnement sur le web (liens directs, liens indirects, durée moyenne de lecture).

La contre-partie de la gratuité de ces outils est la valorisation commerciale de vos profils. Le webmestre rémunère l’éditeur du service avec votre profil… sans votre consentement.

D’un point de vue éthique, ce procédé est peu honorable. D’un point de vue technique c’est guère mieux : augmentation sensible du nombre de requêtes, charge processeur superflue, stockage de cookies inutile, bande passante gaspillée.

WebSpy : l’autre côté obscur de la Force

Comment fonctionne le profilage sur le Ternet ? Est-ce généralisé ? Est-ce grave ? Quels sites profilent qui ? Quelles méthodes sont employées ? Quels types de sites communiquent aux méchants espions ? Comment maitriser ces informations sortantes ? Comment assurer cette maitrise sur un logiciel, une machine, un réseau ?

Évidemment, LA réponse universelle s’applique à toutes ces questions. Mais ne nous privons pas d’une approche plus technique en prenant comme sujet d’étude Geekfault. Il parait que c’est vendeur de critiquer Google, ne boudons pas notre plaisir et stigmatisons son outil de statistiques : Google Analytics.

Plan de l’article

Dans la section suivante, nous allons illustrer et quantifier ce gâchis avec des outils simples d’accès. Si vous êtes déjà adepte du NoScript, Adblock, Privoxy, Squid+adzap vous pouvez aller directement au chapitre 5.
Après avoir abordé les protections individuelles, nous traiterons des protections collectives de type proxies filtrants.
On abordera ensuite le vif du sujet avec le filtrage par DNS menteur de manière théorique pour mieux appréhender cette autre protection collective.
Le principe sera ensuite présenté dans deux scenarii avec bind : Gentoo/Linux + Lighttpd et FreeBSD + Apache.
On fera un bref récapitulatif des avantages et des inconvénients de chaque solutions et on rendra à César ce qui appartenait a feu CiteWeb dans la conclusion.

Bonne lecture !

Si vous avez aimé ce post...

1. maintenir son DNS menteur avec Adblock
2. Filtrer ses mails ! Un cauchemard !
3. bash and shell tips and tricks

Allez, les balises audio et video

D’accord, on en a assez parlé, mais ça constitue une bonne introduction à cet article Parmi les nombreuses innovations de l’HTML 5 qui vont permettre au web de se séparer d’Adobe Flash Player (vous savez, cette extension qui fait planter tous les navigateurs et bouffe au moins un des cores de votre CPU), les tags <audio> et <video> sont les plus connus. Insérer une vidéo dans un article est maintenant devenu aussi simple qu’y insérer une image :

Remarquez la rétro-compatibilité avec les navigateurs HTML4 : puisqu’ils ne vont pas interpréter ce tag, ils afficheront un gentil petit mot. Pensez éventuellement à y mettre un lien vers http://getFirefox.com ^_^ .

Bien sûr ces balises ont des attributs et une API qui leur sont propre, mais ce n’est pas le sujet de l’article.

La limitation du codec

La grosse limitation pour ces attributs est l’implémentation des codecs. Les principaux navigateurs libres n’implémentent que des codecs libres (Ogg Theora+Vorbis) mais par exemple Safari ou même Android n’implémentent que le h264. La W3C ne résoud pas ce problème, ce serait comme imposer le PNG dans les éléments <img> alors que le JPEG (propriétaire) est largement répandu.

Sa solution est donc de fournir les vidéos dans les deux formats, pour que tous les navigateurs compatibles HTML 5 puissent les décoder:

Malheureusement la plupart des éditeurs vont privilégier un seul format, que ce soit par idéologie ou par contraintes techniques (temps de conversion, espace de stockage). Déjà aujourd’hui YouTube, dans sa beta HTML 5, ne diffuse ses vidéos que en h264, ce qui le rend incompatible avec, entre autres, Firefox.

La balise canvas

Un canvas n’est pas un dessin à proprement parler mais une zone possédant une API complète pour dessiner des formes en 2D grâce à un JavaScript. Rien de mieux qu’un petit exemple je pense :

Votre navigateur n’est pas compatibleEt si vous avez un navigateur compatible, vous devriez voir le résultat ci-contre.

L’API permet de tracer des rectangles, des ronds, des traits, des pixels et même d’insérer des images ou du texte. On peut aussi jouer avec des ombres, des flous ou des dégradés de couleurs. Très pratique pour faire des manipulations de style sur un texte par exemple :
Votre navigateur n’est pas compatible
Pour être exact c’est une image, mais elle a été générée par votre navigateur (comment ça c’est moche? xD)

Et puis comme c’est basé sur le JavaScript, l’image générée peut être entièrement dynamique comme ce plotter dynamique ou le très impressionnant 3D Walker.

Si vous avez aimé ce post...

1. Plowshare : MegaUpload, RapidShare et autres en CLI
2. Nouveautés sur Geekfault
3. nginx et python – le perfect setup

Les mails sans rangement c’est immangeable, ceci est une petite recette d’assaisonnement

Centraliser mes mails m’apporte plusieurs choses :

- Faciliter le filtrage.
- Faciliter le rangement dans différents dossiers.
- Effectuer un backup de tous mes comptes IMAP/POP.
- Faire apprendre à mon antispam mes différents réglages.

Cette recette ne couvre pas l’installation de Apache + php + MySQL
Nous supposons ici que vous savez faire ce type d’installation.

Cette recette ne couvre pas non plus l’utilisation de mutt (je mettrai tout de même en ligne ma configuration).
En effet, l’utilisation de mutt mérite un article à lui seul !

Postulat1 : Les mails seront stockés dans cette recette ici : /home/utilisateur/.maildir
Postulat2 : Nous supposons que vous avez plusieurs comptes email à rapatrier.
Postulat3 : Nous supposons que vous disposez d’une machine GNU/Linux sous Gentoo et/ou Debian pour effectuer ce howto.
Postulat4 : Nous supposons que vous stockez vos mails dans le format Maildir ! (se reporter au Howto Sur la conversion mbox => maildir en cas de soucis) Allez lire : http://geekfault.org/2010/04/09/maildir-mbox-la-migration/

Résultat une fois que la recette est en place

Si vous avez aimé ce post...

1. Maildir mbox – La migration
2. EeeGW : Créer soi-même une passerelle réseau
3. Mise en place d’un système de backup avec Rsnapshot

Traditionellement, les serveurs UNIX utilisent mbox pour stocker les mails. Pour mbox, chaque dossier de votre boîte mail (Reçu, Envoyés, Archive, Corbeille, etc) est representé par un fichier, ou tout les mails sont enregistrés à la suite, séparés par une ligne vide.

Ce format, très simple à utiliser, pose de nombreux problèmes. Premièrement, on ne peut pas faire d’accès parallèles, même sur des mails différents, puisque le fichier est le même (problème de verrou). Deuxièment, les serveurs POP/IMAP (comme Dovecot) ont souvent un support limité de mbox. Dovecot est obligé de placer un mail “interne” dans la boîte, pour garder l’arborescence et l’organisation des dossiers. Courier ne supporte pas mbox.

L’avantage principal de mbox, c’est le fait qu’il soit très répandu. Il est supporté par tout les MUA (mailutils/mail, bsd-mailx, mutt, emacs, Kmail, thunderbird, evolution). Mais les problèmes récurrents qu’il pose ont poussé le principal développeur de qmail a créer un nouveau format : Maildir.

Maildir

Avec Maildir, chaque mail est un fichier, et chaque dossier de la boîte mail, un répertoire. Attention, c’est un peu plus compliqué que ça. Les mails ne sont pas directement enregistrés dans boîte/mail :

• Le MDA enregistre le mail dans boîte/tmp/unique (“unique” est un nom de fichier unique généré a partir de données pseudo-aléatoires)
• Une fois que le mail est écrit, le MDA le déplace dans boîte/new/unique
• Le MUA le déplace dans boîte/cur/unique une fois qu’il voit qu’un nouveau message est arrivé dans boîte/new/

Pourquoi ? Ce comportement est utilisé pour éviter que le MUA voit un mail incomplet (car le MDA est encore en train de l’écrire), ce qui peut arriver si la machine est surchargée, si le Maildir est sur un serveur distant (NFS,FTP), voire même si le mail est gigantesque.

Maildir et procmail

Le but de cet article n’est pas d’expliquer comment configurer un MDA pour qu’il enregistre les mails en Maildir, mais malgré tout je fais une petite encartade pour les gens qui utilisent procmail. Le code suivant dans /etc/procmailrc permet de dire à procmail de mettre par défaut (cela peut donc être supplanté par une directive contraire dans le ~/.procmailrc) :

Aussi, si vous n’utilisez pas encore procmail je vous conseille d’y migrer rapidement :

• Plus besoin de toucher à la configuration du MTA pour changer les méthodes de livraison des mails
• Les utilisateurs peuvent écrire leurs propres règles pour leurs boîtes mails (pour avoir des boîtes séparées pour certains mails, par exemple)
• Si vous changez de MTA vous pouvez toujours garder la même configuration, à condition de dire à votre MTA d’utiliser procmail

Configuration de mutt

mutt gère très bien les Maildirs, mais il faut le configurer. Dans le .muttrc, rajoutez :

On note qu’il faut créer les boîtes mails dans ~/Maildir/, ainsi que le Maildir en lui-même (même si procmail peut le créer tout seul, et que si vous avez converti vos mbox il existe déjà). On va créer la boîtes “Mailbox” (utilisé par mutt avec set mbox=”+Mailbox”).

On note que :

• La boîte principale, ou les mails entrants sont enregistrés par le MDA, est à la racine du Maildir
• Les sous-dossiers de la boîte, commencent tous par un .

Vous pouvez maintenant démarrer mutt, et exploiter votre mbox (pour naviguer dans les boîtes, utilisez “y”)

Migrer des boîtes mbox en Maildir

Pour migrer les mbox en Maildir, le script perfect_maildir.pl est parfait, et son usage est simple :

pam_mail.so et You have new mail

Vous avez peut-être déjà remarqué que quand vous vous ouvrez un shell, vous avez un beau message “You have new mail” qui indique de nouveaux mail dans /var/mail/$USER. Cet avertissement est geré par pam_mail.so, un module de PAM qui permet de faire ça. Si on utilise Maildir il est intéressant de dire à pam_mail.so d’aller vérifier les nouveaux mails dans le Maildir. Cette configuration se fait dans /etc/pam.d/ sous Debian et Gentoo. Tout d’abord éditer le fichier login, et trouver cette ligne :

Remplacer par :

Je recommande d’effectuer aussi la manipulation pour le fichier “ssh”.

Normalement PAM devra modifier la variable d’environnement MAIL à Maildir/, si par hasard ce comportement ne marche pas (en fonction de la configuration de PAM) il y a toujours moyen d’ajouter

dans /etc/environment.

Faire fonctionner la commande “mail”

La commande mail est le moyen le plus simple de lire ses mails sous unix. Vous constaterez probablement que votre commande mail ne marche plus (même avec MAIL=Maildir/), car elle ne supporte pas Maildir. Mais il y a plusieurs versions de cette commande, la plus répandue étant celle de bsd (bsd-mailx avec Debian). Je vous conseille d’installer une autre version, appellée “heirloom-mailx” (sous Debian), voire “nail”, qui supporte très bien les Maildir.

Liens relatifs

• Configurer Maildir et Dovecot
• man pam_mail
• la première spécification de Maildir (a changé depuis)

Ironiquement j’ai trouvé beaucoup de mes renseignements sur bugs.debian.org :

• libpam-modules: pam_mail doesn’t set MAIL enviroment variable when .hushlogin exists.
• login.defs: QMAIL_DIR problems

Si vous avez aimé ce post...

1. Filtrer ses mails ! Un cauchemard !
2. Mise en place d’un système de backup avec Rsnapshot
3. EeeGW : Créer soi-même une passerelle réseau

Nous allons voir un exemple récent, déterminer quels logiciels font les pies et finir par quelques réglages de ces derniers.

Quelques définitions rapides :

• MUA : Mail User Agent, c’est l’agent coté utilisateur. Thunderbird que j’évoque dans cet article, Evolution, KMail, mutt, mail et sendEmail sont quelques exemples.
• MTA : Mail Transfer Agent, le serveur smtp. Sendmail que j’évoque dans cet article, postfix, qmail, exim sont les plus connus, mais ssmtp et OpenSMTPd sont des alternatives montant en puissance.
• MDA : Mail Delivery Agent, c’est le logiciel qui remet les emails dans les comptes utilisateurs. Procmail est le plus connu.
• RFC : Request For Comment, un texte de référence. Le texte nous intéressant ici est la RFC 5321 http://tools.ietf.org/html/rfc5321

Cas concret

Décortiquons ensemble un email envoyé par un de mes fournisseurs. Il n’y a rien d’exceptionnel dans cette section qui n’ait déjà été maintes fois abordé dans la presse informatique vulgarisée.

L’email en question

Comment le lire ?

La RFC 5321 section 4.4 précise que le Mail Transfert Agent (mta) se DOIT, et avant toutes autres opérations de transfert, d’inclure une trace « Received » ou « timestamp ». L’ordre des « Received » se lit donc de bas en haut.

Nous apprenons que notre « correspondant » a émis son email depuis son « PC1 » 192.168.69.50 (IPV4) . On devine aisément son système d’exploitation, c’est celui qui donne des noms de machines en majuscules.

Jouons au jean-kevin

On déduit du mix « .fr »/ « .com » que notre sujet d’étude n’est pas très familier avec les dns et c’est sans doute la raison pour laquelle il n’en a pas en interne. Il n’est pas non plus familier avec ntp. Visiblement notre sujet d’étude n’est pas familier avec certains services réseaux.

Attardons nous quelques secondes sur le 3ème mta rencontré, OBS utilise un mta du nom de « localhost [127.0.0.1] », nous sommes dans une application minimaliste de la section 4.4 de la RFC 5321. Pourquoi être resté a minima, contrairement aux autres mta ? Le terme MX-ASAV nous donne un indice : AntiSpam AntiVirus … ce mta est vraisemblablement inaccessible il n’y a aucune raison de fournir plus de détails.

Que retenir de cette partie ?

Nous n’avons donc rien appris de bien intéressant car nous ne cherchons rien de particulier. Détails à priori inintéressants, mais avez-vous vraiment envie d’en faire profiter le reste de vos correspondants ?

Si vous avez aimé ce post...

1. EeeGW : Créer soi-même une passerelle réseau
2. DenyHosts pour empêcher le bruteforce sur SSH
3. Maildir mbox – La migration

OpenVZ est un système de virtualisation particulier. Il permet de faire tourner de multiples machines virtuelles partageant un seul kernel patché spécialement pour l’occasion. Cette techniques est donc limités à des machines (hôte ou invité) tournant sous linux. En contrepartie les performances sont particulièrement élevés. Il est également très aisé de modifier les particularités physiques des machines virtuelles sans les redémarrer. Cette technique est souvent employée chez les hébergeurs pour les offres « VPS ».

En pratique, c’est utile à des fins de sécurité. On essaie de mettre un seul serveur par VPS (serveur web sur un VPS, MySQL sur un autre, mail encore sur un autre …). Si l’un des serveurs possède une faille de sécurité, les autres serveurs ne pourront alors pas être impactés. Il y a également la facilité à backuper une machine virtuelle et donc au besoin de la dupliquer ou la déplacer. Cependant, on ne peut pas faire de migration à chaud comme certains de ses concurrents.

La création d’une machine ne prend guère plus d’une minute sur une machine correcte, ce qui permet de s’en servir comme d’un moyen de tester des logiciels sans encombrer votre distro. Qui plus est, le lancement d’une machine est quasi instantané, ce qui peut parfois sauver des manchots…

Installation de la bête

Le kernel

Cette partie dépend pas mal de la distro. J’aborderai ici la méthode pour Gentoo, à vous de l’adapter à votre distro.

On commence par installer les source du kernel patché qu’il faudra compiler :

Il faut ensuite adapter la config du kernel :
Rendez-vous dans ///usr/src/linux//

Ensuite, lancez:

Vérifiez que tout en haut il s’affiche bien le nom du kernel openvz : .config – Linux Kernel v2.6.27-openvz-briullov.1-r2 Configuration

Dans OpenVZ cochez tout (personnellement je préfère mettre en module le plus possible car je ne l’utilise pas tout le temps).
Puis allez dans Filesystems là vous aurez VPS Filesystems et Virtuozzo Disk Quota support, à ajouter également.

Maintenant enregistrez la config puis compilez votre tout nouveau kernel patché avant de faire une pause IRC :

Mettez votre kernel au chaud et préparez le reboot :

Ajoutez ces lignes en adaptant à votre cas dans /boot/grub/menu.lst :

Si vous avez suivit ces instructions sans virer ce qu’il y avait avant, vous ne devriez pas foirer votre machine : l’ancien kernel est toujours présent et le grub possède juste des lignes en plus. Donc maintenant faut tester avec un reboot en choisissant la nouvelle entrée du grub.

Si vous parvenez à reboot alors vous venez de faire le plus dur !
Un petit uname -r peut confirmer que vous tournez sur le noyau modifié.
Passons dès maintenant à la suite.

Les outils

OpenVZ se pilote avec la commande vzctl donc installons la :

Maintenant vous avez le kernel, les outils, il ne manque plus que les templates qui sont en faites les distros que vous pourrez monter en quelques secondes.
Vous pouvez les créer vous même mais généralement vous trouverez chaussure à votre pied sur le site officiel qui propose déjà une petite collection de templates pré-créés.

http://download.openvz.org/template/precreated/

Vous devrez les télécharger dans le dossier /vz/template/cache.

Prise en main du monstre

Ça y est : c’est tout bien installé et ça ne demande plus qu’à tourner.

Le script de démarrage fonctionne à merveille puisqu’il charge bien les modules (et les décharge en cas d’arrêt).
Pour faire en sorte de le lancer au démarrage de la machine :

Création d’une machine

OpenVZ a pour objectif de faire tourner de nombreuses machines virtuelles simultanément. Elles sont numérotées (en commençant à 101). Ce numéro se nomme CTID. Imaginons que vous ayez un template debian-5.0-x86:

Pendant quelques secondes ça mouline et vous pond une ptite Lenny des familles.

Configurons la pour qu’elle puisse rejoindre notre réseau :

Là je lui attribut un petit nom, une IP, un DNS, un quota de disque dur ainsi qu’un quota d’utilisation du processeur.

Bon c’est bien joli mais maintenant faut la faire tourner histoire de voir ce qu’on peut en tirer :

Et bha voilà elle est là … « Up & Running ».

Entrer et interagir avec une machine

Pour aller utiliser une machine rien de plus simple :

Sachez également que les templates pré-créés sur le site officiel possèdent toute un serveur SSH qui tourne afin de vous faciliter la tâche.

Il est possible d’exécuter des commandes dans une machine sans y rentrer :

Configurer un peu plus la bestiole

Il est possible de modifier la machine invitée pendant qu’elle tourne afin de lui ajouter de la ram, augmenter son quota d’espace disque ou bien restreindre son utilisation max de cpu. Pour cela vous devrez faire appel encore une fois à vzctl.

Modifier le bridage CPU

Il est donc possible de brider le pourcentage de processeur qu’une machine virtuelle peut utiliser afin d’éviter qu’une machine se goinfre et lèse le reste. Pour cela :

En sachant que chaque processeur représente 100%, si vous possédez une machine quadcore, vous pouvez jouer de 0 à 400%.
Vous constaterez que la modification est prise en compte immédiatement.

Modifier le quota de disque dur

Attribuons plus d’espace à une machine :

Modifier la quantité de RAM

C’est la commande la plus complexe :

Là on passe à 512 Mo de ram avec possibilité de monter en pic à 1024.

Là on passe à 256 avec possibilité de monter en pic à 512.
Vous voyez le principe …

Les paramètres réseaux

Le nom des paramètres est assez explicite.

Créer ou modifier le mot de passe d’un utilisateur

Il est possible de modifier le mot de passe d’un utilisateur (pratique en cas de boulette pour rester propre). Si l’utilisateur n’existe pas, il sera créé dans la foulée.

Tout le reste

Lancer une machine au boot

Il faut avoir lancé OpenVZ au boot. Il faut ensuite :

Configurer un peu tout

Il est possible et plus pratique de modifier la configuration directement dans le fichier de conf de la machine dans le fichier /etc/vz/conf/$CTID$.conf

Manipulons le bouzin

Voici à peu près tout ce que l’on peut faire.

• Créer une machine avec create
• Démarrer une machine avec start
• Stopper une machine avec stop
• Rentrer dans une machine avec enter
• Supprimmer une machine avec destroy

Pour plus de commandes :

Oui mais après ?

Ça y est vous savez créer vos machines en moins de trois minutes et gérer leur ressources comme un héros des temps modernes. Mais que faire de ce petit monde ?
Comme expliqué plus haut la virtualisation à pour but de fiabiliser une infrastructure. On peut déplacer une machine virtuelle l’une machine physique à une autre, on isole les différents serveurs publiques afin de limiter l’impact des failles de sécurité …
Il vous faut donc expérimenter ces différentes tâches afin de pouvoir parer l’imprévu. Replancher la gestion de son petit script iptables pour adapter son réseau à ce nouveau fonctionnement.
Le chemin est tout tracé…

Si vous avez aimé ce post...

1. Maildir mbox – La migration
2. Faille critique dans tous les noyaux Linux
3. Mise en place d’un système de backup avec Rsnapshot