Ça claque à mort non d’avoir un nom de domaine en .42 ?
Vous l’avez rêvé ! Ils l’ont fait !
En clin d’œil à H2G2, pour épater un peu Marvin, et parce que la réponse universelle doit bien être ré-solvable quelque part sur le net

Pour le moment pure expérimentation de la 42registry de ce .42, juste avant de peut être conquérir le monde ! (L’univers et le reste !)

Pourquoi on vous parle de ça ?

Bah parce que la 42registry.org ils sont cool, on les aimes bien, et on a envie de les aider.
C’est des fous, et nous chez GeekFault on aime bien les fous.

Vous pouvez d’ailleurs remarquer que si vous savez résoudre les domaines en .42 http://geekfault.42 est disponible.

Vous pouvez d’ailleurs remarquer que vous pouvez venir nous parler de geekfault ou de 42registry sur Geeknode : 4.irc.42 / salon #geekfault / et salon : #42

Votre humble serviteur est également lisible sur son .42 : http://bragon.42

Erf, je sais pas résoudre les domaines en .42, comment je fais ?

3 méthodes pour le moment :
- Je possède mon propre serveur DNS bind9
- Je possède mon propre serveur DNScache DJBDNS.
- Je veux utiliser des serveurs DNS open qui savent résoudre .42

Je possède Bind

Et bah je rajoute à mon named.conf (ou named.conf.local selon les distribs):


zone “42″ IN {
type forward;
forwarders {81.93.248.69; 81.93.248.68; 91.194.60.196; 193.17.192.53; };
};


Je reload bind, et roulz.

/etc/init.d/bind9 reload

ou

/etc/init.d/named reload


J’ai DJB … Oui Je sais ….


cd /services/dnscache
echo 91.191.147.246 > root/servers/42
echo 91.191.147.243 >> root/servers/42
svc -t /services/dnscache


Je suis un pauvre pommé, j’ai pas de serveur de nom

Et bien j’utilise les openDNS de GeekNode.org :

On édite /etc/resolv.conf

nameserver 81.93.248.69
nameserver 81.93.248.68


Hey mec ? Comment je réserve mon .42 ?

Gros poulet ! t’es pas déjà sur : http://42registry.org, tout est expliqué en long en large et en travers !
Alors va vite réserver ton .42 et faire passer le message.

Merci à la team 42registry pour tout l’poisson !

(Et surtout à Colin qui se reconnaîtra ;D)

Liste des domaines enregistrés

Ils sont disponible ici : http://bragon.42/42.txt

Si vous avez aimé ce post...

1. Un geek en vacances
2. maintenir son DNS menteur avec Adblock
3. Ifconfig.me, connaitre son IP publique en un rien de temps

Wikileaks a aujourd’hui publié sa solution à la censure : le mirroring. Si Wikileaks est consultable sur des centaines de noms de domaine et des centaines d’IPs, il sera d’autant plus difficile de tous les faire taire.

A noter que cet article, bien qu’entièrement orienté autour de ce sujet, s’applique aussi si vous souhaitez offrir à quelqu’un un accès SSH chrooté et aux commandes limitées.

Mise à jour : Mes mesures de sécurité étaient trop optimistes : Rsync n’utilise pas du SFTP mais doit pouvoir lancer un serveur Rsync sur sa destination en SSH. Voici donc une nouvelle version de cet article, testé et approuvé.

Le problème

Pour décentraliser la chose, les administrateurs de Wikileaks demande à tous les volontaires de leur offrir un accès en SSH à leur serveur pour pouvoir y pousser un miroir de Wikileaks et le garder à jour grâce à Rsync.

Ca qui m’a dérangé c’est le fait de donner un accès SSH à des inconnus sur mon serveur. Mais la solution existe : CHROOTER ce compte à un endroit où il ne peut faire aucun mal au système. Voici comment faire.

Attention : cet article ne porte bien évidemment pas sur la sécurisation de votre serveur. Il présente juste une manière d’éviter que les administrateurs de Wikileaks (que vous ne connaissez pas) aient trop de libertés sur votre serveur (et, oui, je suis paranoïaque sur le coup).

NB : Si vous souhaitez devenir très simplement un miroir Wikileaks et que vous leur faites entièrement confiance, les étapes “Créer l’utilisateur“, “Configurer un nom de domaine et un VirtualHost” et “Soumettre votre miroir à Wikileaks” sont suffisantes.

Sécuriser OpenSSH

On va donner à Wikileaks (ou toute personne ayant leur clé RSA privée) un accès SSH sur notre serveur. Mais on ne veut prendre aucun risque : cet accès n’aura aucune autre possibilité que de déposer des fichiers là où on l’y autorise, c’est-à-dire dans sa home.

Pour cela, modifiez votre fichier /etc/ssh/sshd_config. Vérifiez d’abord que vous avez ces trois lignes qui autorisent la connexion avec une clé publique RSA.
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

Dernièrement, à la fin du fichier créez une nouvelle règle d’override telle que celle-ci :
Match user wikileaks
ChrootDirectory /home/wikileaks
X11Forwarding no
AllowTcpForwarding no
Cette règle est assez explicite et fait simplement en sorte que l’utilisateur wikileaks soit Chrooté dans sa home. Redémarrez SSHd.

Créer l’utilisateur

Rien de bien sorcier :
# mkdir /home/wikileaks
# useradd -d /home/wikileaks -s /bin/bash wikileaks
# chown wikileaks:wikileaks /home/wikileaks

Ensuite autorisons la connexion des administrateurs de Wikileaks :
# su - wikileaks
$ mkdir ~/.ssh
$ wget http://wikileaks.ch/id_rsa.pub -O ~/.ssh/authorized_keys
$ chmod 600 ~/.ssh/authorized_keys

Pour finir, n’oublions pas de créer le répertoire où sera hébergé le miroir :
$ mkdir ~/www

Créer l’environnement chroot

Pour qu’un chroot fonctionne correctement, il faut que sa racine appartienne à root. Nous créons aussi les deux répertoires indipensables à l’exécution d’un rsync : /bin et /lib.
# chown root:root /home/wikileaks
# mkdir /home/wikileaks/bin
# mkdir /home/wikileaks/lib

Ensuite copions les binaires nécessaires pour faire un Rsync :
# cp `which bash` /home/wikileaks/bin/bash
# cp `which rsync` /home/wikileaks/bin/rsync

Pour que ces binaires fonctionnent, il faut aussi copier les librairies nécessaires. Pour lister ces librairies vous pouvez exécuter un ldd puis copiez une à une ces libraires
# ldd `which bash` `which rsync`
# cp /lib/libncurses.so.5 /home/wikileaks/lib/
...
Attention : si votre serveur est un système 64bits il faudra créer le dossier /home/wikileaks/lib64/ et le peupler avec les librairies venant de /lib64.

Au final vous devriez arriver à une structure proche de celle-ci :
bin
|- bash
|- rsync
lib
|- ld-linux.so.2
|- libacl.so.1
|- libattr.so.1
|- libc.so.6
|- libdl.so.2
|- libncurses.so.5
|- libpopt.so.0
Dès maintenant, si on se chroote dans /home/wikileaks on n’aura que très très peu de possibilités : les commandes internes à bash et rsync.

Un dummyshell

Oui, je suis d’accord, les commandes internes de bash c’est encore trop! Nous permettons un accès SSH qui pourrait potentiellement lancer une fork bomb par exemple. Nous allons donc créer un shell stupide qui ne permet que de lancer un serveur Rsync. Créez le fichier /home/wikileaks/bin/dummyshell :
#!/bin/bash
if (( $# == 0 )); then
printf "%s\n" "shell access is disabled. sorry."
exit 1
elif (( $# == 2 )) && [[ $1 == "-c" && $2 == "rsync --server"* ]]; then
exec $2
fi

Il faut ensuite le rendre exécutable et utilisé comme shell par défaut de l’utilisateur :
# chmod +x /home/wikileaks/bin/dummyshell
# ln -s /home/wikileaks/bin/dummyshell /bin/dummyshell
# usermod -s /bin/dummyshell wikileaks
C’est maintenant officiel, l’utilisateur wikileaks ne peut rien faire de plus que lancer un serveur Rsync ! Et il y a aussi la sécurité du Chroot.

Test

Je vous recommande de tester le tout, pour être sûr que Wikileaks pourra uploader son site sur votre serveur. Pour cela ajoutez votre propre clé RSA dans une nouvelle ligne de /home/wikileaks/.ssh/authorized_keys et tentez d’envoyer un fichier :
$ rsync -ave ssh test.html wikileaks@votreServeur:/www

Vous pouvez également éprouver la sécurité en tentant de vous connecter en SSH ou d’exécuter une commande en SSH -t.

Configurer un nom de domaine et un VirtualHost

Je suppose que vous vous en sortirez sur ce point-là : créez un nom de domaine (ou un sous-domaine) pour votre miroir et configurez votre serveur web en conséquence.

Le DocumentRoot à spécifier est bien /home/wikileaks/www

Profitez-en pour empêcher l’exécution de scripts sur le répertoire :

AllowOverride None
Options -ExecCGI


Soumettre votre miroir à Wikileaks

Rendez-vous sur http://46.59.1.2/mass-mirror.html et soumettez votre miroir !

Sous “absolute path where we should upload the html data” mettez simplement “/www/”.

Normalement Wikileaks pushera l’entièreté du site sur votre serveur. Félicitations, vous défendez la liberté d’expression sans risque majeur pour votre serveur !

Si vous avez aimé ce post...

1. SSH sans mot de passe
2. Choisir son keymap X.org 1.8 sans xorg.conf ni hack
3. Zeroconf : Réseaux IP sans configuration

HAL, je te quitte …

Un bon nombre d’entre nous a jeté au feu son Xorg.conf lorsque X.org a atteint la maturité suffisante pour deviner efficacement notre matériel.
Sauf que le keymap ne fait pas partie des paramètres devinés. Avec la 1.5, il nous a fallu jouer avec un /etc/hal/fdi/policy/10-keymap.fdi indigeste. Fini tout ça … mais du coup on s’y prend comment pour ne pas retomber dans le Xorg.conf ?

… mais j’hésite encore un peu …

Pour ceux qui ne reculent devant aucun hack cradingue, il est possible de mettre dans tous les ~/.xinitrc
setxkbmap fr
Pour ceux qui aiment regarder dans le passé, retourner au Xorg.conf (BOUH!!) :

Section "InputClass"
Identifier "Keyboard Defaults"
Option "XkbLayout" "fr"
EndSection

Rien de bien satisfaisant …

… Oh zut ! Je choisi evdev

Autant vivre avec son temps et utiliser les bons outils. Voici ce que l’on obtient par défaut, out-of-the-box comme ils disent :

$ grep xkb /var/log/Xorg.0.log
[ 95648.133] (**) Option "xkb_rules" "evdev"
[ 95648.133] (**) Option "xkb_model" "evdev"
[ 95648.133] (**) Option "xkb_layout" "us"

Sans grande surprise nous allons devoir agir du coté de /etc/X11/xorg.conf.d/10-evdev.conf
Voici la partie qui nous interesse dans ce fichier :

Section "InputClass"
Identifier "evdev keyboard catchall"
MatchIsKeyboard "on"
MatchDevicePath "/dev/input/event*"
Driver "evdev"
EndSection

Il nous suffit de reporter l’option qui va bien :

Section "InputClass"
Identifier "evdev keyboard catchall"
MatchIsKeyboard "on"
MatchDevicePath "/dev/input/event*"
Driver "evdev"
Option "xkb_layout" "fr"
EndSection

Et normalement, en relançant Xorg, vous devez obtenir ceci dans votre /var/log/Xorg.0.log

$ grep xkb /var/log/Xorg.0.log
[ 95648.133] (**) Option "xkb_rules" "evdev"
[ 95648.133] (**) Option "xkb_model" "evdev"
[ 95648.133] (**) Option "xkb_layout" "fr"


Le mot de la fin

Proposer un login manager avec le bon keymap évite pas mal d’ennui avec les non-geek qui composent notre famille, notre entourage professionnel.
Lors d’une rupture technologique telle que X.org en 1.8 nous avons plusieurs méthodes plus ou moins cradingues pour revenir à l’état correct, nous avons aussi des méthodes propres : autant les appliquer.

Si vous avez aimé ce post...

1. XCompose → Enlarge your keymap
2. Keymap Linux sous Windows
3. Devenez miroir de Wikileaks sans risque (corrigé)

Voici donc une petite présentation de cet évènement où les rédacteurs Geekfault seront bien sûr présents.

Un meeting internationnal

Très jeune déjà (en 2004, j’avais presque 14 ans!) j’ai commencé à participer à ce genre de conférences aux Rencontres Mondiales du Logiciel Libre. Mais je me suis vite rendu compte que cet évènement n’avait de Mondial que le nom : tout le monde était francophone !

Ce n’est que quelques années plus tard que j’ai découvert les FOSDEM, pourtant organisées dans ma propore ville. Et là ce fut la révélation : un forum en anglais dans une ville aussi centrale que Bruxelles était une bien meilleure idée!

Chaque année on y retrouve ainsi des développeurs, personnalités et organisations du Logiciel Libre venant des 4 coins du monde. Citons par exemple des développeurs de Mozilla, la Free Sofware Foundation et Richard Stallman. Les FOSDEM sont aujourd’hui considérées comme « le meilleur évènement du logiciel libre et gratuit en Europe ».

Programme

Le FOSDEM a lieu sur un week-end : les samedi 6 et dimanche 7 février 2010 dans les locaux de l’Université Libre de Bruxelles (campus Solbosch). Le programme est constitué de conférences, de débats et les couloirs sont parsemés de stands permanents.

Il y a aussi des séances de “travaux pratiques” pour découvrir différents langages de programmation, protocoles et API mais elles ne sont pas encore référencées sur le site. Finalement, les plus motivés peuvent même passer des examens pour obtenir par exemple la certification LPI.

En dehors de ces journées de conférences, vous pouvez visiter la ville et la soirée du vendredi au samedi, organisée au Délirium Café est devenue incontournable! (C’est un célèbre bar bruxellois avec plus de 2000 bières à la carte et où chaque année Google en offre quelques unes )

See you there!

Alors si vous souhaitez rencontrer la rédaction de Geekfault IRL et assister à des conférences/débats intéressants autour du Logiciel Libre, n’hésitez pas à nous rejoindre! Avec Koolfy, bragon, Tito, target0, roidelapluie et Tycale, nous resterons connectés sur IRC :

• irc://irc.geeknode.org/geekfault
• irc://irc.geeknode.org/fosdem

Liens

• Le site du FOSDEM 2010
• Le programme
• Plans d’accès

Si vous avez aimé ce post...

1. Organisation et déroulement d’une PGP Key Signing Party
2. Télécharger les Guignols de l’Info v2

Depuis cette annonce, nous n’avions plus de nouvelles. Mais au début du mois dernier ProcessOne annonçait avoir découvert un serveur XMPP hébergé sur chat.facebook.com !

Attention : Cet article est sujet aux trolls sur l’utilité des réseaux sociaux

Une vieille idée

Facebook a lancé son système de chat le 7 avril 2008, via son interface web. Dès le début on s’est vite rendus compte qu’elle n’était pas très stable et nous obligeait à garder l’onglet Facebook ouvert en permanence.

Et le 14 mai, un développeur annonce qu‘ils développent activement une interface XMPP compatible avec ce chat. Pourtant, depuis ce post, on n’en a plus entendu parler (malgré les nombreux groupes, wish reports et lettres ouvertes le réclamant).

Mais une très bonne idée

Dès le lancement du chat Facebook, celui-ci a rencontré un grand succès. Après tout, quel est l’intérêt d’un IM si ce n’est de parler avec ses amis? Et Facebook connait, à priori, une grande partie de ceux-ci. J’ai personnellement remarqué que la plupart de mes contacts avaient délaissé MSN pour n’utiliser plus que ce chat Facebook.

Mais évidemment on se heurte vite aux limites des web-apps : lenteurs, instabilités, utilisation d’un navigateur, absence de notifications et encore instabilités! Je suppose que c’est ce qui a motivé les développeurs à utiliser un vrai protocole de messagerie instantannée.

Le XMPP

Le serveur de chat de Facebook découvert par ProcessOne a été déployé sur chat.facebook.com (port 5222, port standard serveur-client pour Jabber) et répond aux requêtes de type XMPP!

Nous ne pouvons que saluer le choix de Facebook pour ce protocole libre et déjà supporté par une multitude de clients de messagerie instantannée, aussi bien desktops que mobiles!

Le XMPP n’a malheureusement jamais connu le succès escompté, loin derrière Yahoo! Messenger et Microsoft Live Messenger aux protocoles propriétaires mal implémentés dans nos logiciels libres. Facebook va peut-être redorer un peu le blason de ce protocole délaissé en lui apportant ses 350 millions d’utilisateurs.

On regrettera tout de même que, selon les scans de ports, Facebook n’a pas activé le server-to-server qui aurait permis aux utilisateurs du chat Facebook de communiquer avec des utilisateurs de réseaux Jabber concurrents et vice-versa.

À quand le déploiement public?

Même si le serveur de type ejabberd modifié répond aux requêtes de connexion, il répond toujours par la négative. Facebook n’a pas encore fait d’annonce publique, sans doute parce que le service est actuellement en phase de tests.

L’existence de ce serveur est encourageante, mais on est en droit de se demander si les administrateurs de Facebook valideront sa mise en service puisqu’ils n’ont, à priori, aucun moyen de le monétiser…

Si vous avez aimé ce post...

1. Reverse SSH : accéder à un serveur derrière un NAT/Firewall
2. Serveur Lighttpd avec PHP sur iPhone
3. Lancer votre dual-booting Windows dans une VirtualBox

Pourtant, quelques minutes plus tard, le site Planete Lolo redirigeait purement et simplement vers xTaze.net, contre le gré des administrateurs de Planete Lolo! Il apparait selon toute vraisemblance que ce soit le créateur de la board xTaze.net, xtazy, qui essaye de pirater plusieurs boards afin de favoriser la sienne, dont il retire de bons revenus grâce aux nombreuses publicités.

Des comptes PayPal piratés

xtazy, parfois appelé xta!, est un pirate tunisien bien connu dans le monde du warez, mais aussi par les autorités de plusieurs pays pour de nombreuses escrocries, blanchiments d’argent, pishings, vols de cartes bancaires et de comptes PayPal, malversations et attaques DDoS .

Pire, xtazy a eu accès à la base de données de Planete Lolo et en aurait profité pour débiter plusieurs comptes PayPal des malheureux qui utilisaient le même e-mail et mot de passe sur les deux sites !

La chute de xTaze.net

Bien évidemment la réaction ne s’est pas faite attendre : xtazy s’est tout de même attaqué à des administrateurs qui ont certaines notions de piratage, ce qui explique pourquoi xTaze.net aussi est down à cette heure-ci. xtazy se serait en plus attaqué à plusieurs boards à la fois, ce qui explique peut-être aussi pourquoi RedList est down.

Face à l’évidence de l’origine de ces attaques, nous encourageons tous les utilisateurs de xTaze.net à déserter cette board, après avoir pris soin de changer de mot de passe.

Sécurité sur internet

Même si nous ne pouvons que vous encourager à payer pour les films et musiques dont vous profitez, profitons-en pour rappeler une règle de sécurité élémentaire: variez vos mots de passe! L’idéal serait un MDP pour chaque site, mais pensez au moins à utiliser un mot de passe pour les sites sensibles (Facebook, eBay, PayPal) et un autre pour les sites de détente.

Planete Lolo, down depuis vendredi soir, a bon espoir de remettre en place la board sous peu (voir message ci-contre).

Si vous avez aimé ce post...

1. Yubikey : la petite clé qui assure
2. Devenez miroir de Wikileaks sans risque (corrigé)
3. Plowshare : MegaUpload, RapidShare et autres en CLI