Geekfault » Logiciel

Zeroconf : Réseaux IP sans configuration

Tito — Thu, 15 Jul 2010 21:10:43 +0000

Zeroconf est un ensemble de protocoles permettant de créer des réseaux IP et y fournir plusieurs services sans aucune configuration. Zeroconf permet entre autres de :

Allouer automatiquement des IP, sans configurer un serveur DHCP
Résoudre des noms de domaines locaux, sans configurer de serveur DNS
Annoncer et découvrir des services, sans serveur d’annuaire

Aventurons-nous donc un peu dans le monde du « zOMG ça marche tout seul ! »

Les protocoles dits “Zeroconf”

Zeroconf n’est qu’une appellation générique de différents protocoles. Sa première implémentation est imputable à Apple, qui l’appela Rendezvous puis Bonjour. Ensuite Microsoft a plus ou moins imposé son équivalent, l’UPnP.

Sous Linux nous profitons d’une implémentation des protocoles d’Apple, sous le nom de Avahi. Contrairement aux protocoles Microsoft, ceux de Bonjour et Avahi sont promulgués par l’IETF, l’organisme établissant les standards de l’Internet. Ils ne sont toutefois pas encore admis en tant que standards, la plupart n’étant décrits que dans des RFC informels.

Installation

Avahi apparait généralement dans les gestionnaires de paquets comme une multitude de paquets. Bien que déjà présente dans Ubuntu, on peut ajouter quelques packages utiles :

sudo apt-get install avahi-daemon avahi-discover avahi-utils avahi-ui-utils avahi-dnsconfd libnss-mdns service-discovery-applet mdns-scan

Sous Gentoo, c’est un peu plus délicat : il faut d’abord ajouter les USE flags avahi et zeroconf à votre /etc/make.conf, recompiler les packages nécessaire et installer net-dns/avahi ainsi que net-misc/mDNSResponder.

IPv4LL : Création d’un réseau IP sans DHCP

IPv4LL, pour Local-Link, fait partie de Zeroconf mais est la partie moins poétique, souvent à l’origine d’erreurs de configurations IP… Elle consiste en fait en une norme RFC proposant l’allocation dynamique des adresses IP de 169.254.0.0 à 169.254.254.254 (fe80::/16 en IPv6) sur les réseaux ne possédant pas de serveur DHCP. Il y a évidemment un test évitant que deux ordinateurs prennent la même IP.

Ce n’est pas très propre et ces IP sont haïes de pas mal d’administrateurs. Remarquons toutefois que les dernières versions de NetworkManager implémentent un mode “Partagé avec d’autres ordinateurs” lors de la création d’un réseau Ad-Hoc, ce qui crée un vrai serveur DHCP.

Résolution de noms locale

Si Avahi est correctement installé, vous pouvez commencer à résoudre des noms automatiquement. Chaque machine s’attibue un nom de domaine sous la forme HOSTNAME.local. Par exemple, ma machine s’appelant epsilon :

tito@epsilon:~$ ping epsilon.local
PING epsilon.local (10.0.73.18) 56(84) bytes of data.

epsilon.local a bien été résolu par Avahi !

Cette magie est amenée par Multicast DNS, ou mDNS : chaque machine membre du réseau Zeroconf maintient en fait un petit serveur avec ses propres enregistrements DNS. Lorsqu’un membre du réseau fait une requête (multicast vers 224.0.0.251 ou ff02::fb, port UDP 5353), la machine se reconnaissant répond.

Découverte de services

Tous les serveurs supportant Zeroconf peuvent annoncer qu’ils fournissent un service. On pourra ainsi détecter automatiquement des partages de fichiers, des serveurs VNC, des serveurs SSH et bien d’autres.

Ce système est lui aussi basé sur un serveur mDNS, sous forme d’enregistrements de type SRV, TXT et PTR.

Pour lister les services disponibles sur le réseau Zeroconf il existe plusieurs outils, je citerai juste avahi-discover qui est simple et complet.

Quelques applications bien cools de Zeroconf

XMPP décentralisé

Intégrée dans quelques clients Jabber, dont Pidgin (libpurple) entre autres, la norme XMPP XEP-0174 définit les communications XMPP sans serveur. Dans Pidgin, une fois le protocole Bonjour activé, vous verrez de nouveaux contacts apparaître comme par magie dès qu’ils se connectent !

C’est très pratique pour discuter sans aucune configuration avec ses collègues, sa famille ou même des inconnus sur un réseau Ad-Hoc dans un train ^_^

PulseAudio

Malheureusement PulseAudio n’a pas de bonne interface pour le présenter, mais exploite très bien ZeroConf en détectant facilement les autres serveurs PulseAudio. Il m’arrive souvent de streamer l’audio de mon laptop vers mon desktop afin de profiter d’une meilleure qualité sonore. Tout ça bien entendu sans configuration ni reconfiguration en cas de changements sur mon réseau.

Over VPN

Si vous êtes connecté sur un VPN (au sens propre du terme, pas un VPN de tunneling tel qu’IPredator) Zeroconf y passera normalement sans accroc ! Après tout, un VPN c’est aussi un réseau local.

Couplé au XMPP décentralisé, c’est un super moyen de discuter avec ses collègues facilement, ainsi que toutes les autres applications auxquelles vous pouvez penser.

En savoir plus…

ZeroConf.org
MultiCast DNS
« Zero Configuration Networking: The Definitive Guide » de Daniel H Steinberg et Stuart Cheshire, O’Reilly, Décembre 2005.

Si vous avez aimé ce post...

XCompose → Enlarge your keymap

Lord — Wed, 07 Jul 2010 16:05:17 +0000

Vous avez désormais un clavier ergonomique et utilisez un layout adapté au français. Et si on ajoutait des caractères plus exotiques à votre clavier ou plutôt votre keymap ? On va donc utiliser une touche méconnue de votre clavier : Compose.

La touche Compose est une touche morte de fonction. Elle ne produit rien en elle-même mais suivies d’autres touches classiques, elle prend effet. Il devient possible d’écrire du grec λ , des flêches ← , des symboles mathématiques ½ , d’écrire en ᵉˣᵖᵒˢᵃⁿᵗ , des symboles (in)utiles ♥ ☭ ☺ ™ … en fait vous pouvez écrire tout les caractères existants d’unicode, vous aurez juste besoin d’une suffisamment bonne mémoire pour vous souvenir des enchaînements de touches. Le plus fort, c’est vous qui définissez ces enchaînements.

Mais où est cette fichue touche ?

Bien qu’une réponse de trois lettres s’impose d’elle même, elle se situe en fait où vous la définissez. Oui oui pour ça aussi vous avez le choix. La touche Windows est souvent déclarée comme telle mais j’ai préféré utiliser la touche Ctrl droite. En définissant la touche Windows, vous rendez inaccessible les raccourcis qui lui sont liés alors qu’avec Ctrl droit il vous reste toujours Ctrl gauche … Enfin vous avez compris, de toute façon vous êtes libres. Pour ce faire tout dépend de votre environnement :

Gnome : Dans les options du clavier, rendez-vous sur l’onglet « layout » puis cliquez sur Options. Vous pourrez alors y définir la touche de votre choix.
Xorg nature : La manipulation est un peu plus longue mais pas compliquée :
Premièrement il faut déterminer le keycode de la touche que vous souhaitez utiliser. Pour cela lancez xev. Cet utilitaire vous affichera le keycode des touches que vous pressez. Mémorisez ce keycode. Créez ensuite un fichier

~/.xmodmap

keycode 105 = Multi_key

105 correspondant à Ctrl droit. Il ne reste plus qu’à lancer la commande

$ xmodmap ~/.xmodmap

pour que le changement soit effectif (commande à lancer au lancement de X).

Le dernier obstacle avant de pouvoir utiliser votre Compose personnalisé est la méthode de saisie. Seule la méthode dite xim permet cette petite fantaisie. La plupart des applications permettent de changer ce paramètres en faisant un clic droit dans les zones de texte. Il est également possible de la mettre par défaut grâce à la commande im-switch -c et de choisir xim-default.

Make it big !

Bon la touche est prête à être dégainée. Il faut maintenant définir votre fichier XCompose. Ce fichier est spécifique à chaque utilisateur de votre système et se trouve là → /home/$user/.XCompose . Voilà sa syntaxe :

<$touche1> <$touche2> <$touche3> : "$résutat" $num

Vous pouvez mettre plusieurs touches d’affilées. Le résultat ou le numéro ou les deux doivent être présents. Le résultat est le caractère escompté.

Le numéro est celui défini dans la norme CCS d’unicode.

Par exemple si vous voulez faire une flèche vers la droite en appuyant sur compose puis la flèche droite de votre clavier.

: "→" U2192

Et voilà le chemin est tout tracé. Bon parce que je sais que vous êtes flemmards (si si ça se voit, la moitié n’a pas lu jusqu’à la fin et ne regarde que les images), sachez qu’il est possible d’inclure un fichier externe afin de ne pas avoir à recopier le ficher pour chaque utilisateurs ou alors carrément de réutiliser le boulot du paqueteur de votre distrib :

include "/usr/share/X11/locale/en_US.UTF-8/Compose"

Ce fichier compte de très nombreuses lignes pas toujours intéressantes, à survoler vite fait pour voir un paquet de combinaisons déjà existantes.

Si vous avez aimé ce post...

Redshift, ne vous abimez plus les yeux la nuit

roidelapluie — Wed, 30 Jun 2010 11:23:16 +0000

Ne vous est-il jamais arrivé de passer des nuits ou des soirées devant votre pc? C’est une question rhétorique, bien sûr! Je vais vous présenter un logiciel libre qui pourrait améliorer sensiblement votre expérience nocturne.

Ce logiciel s’appelle Redshift.
Comme l’indique son site officiel, Redshift ajuste la température des couleurs de votre écran en fonction de votre environnement, et plus précisément de la position du soleil. Ce qui permettra d’avoir un écran blanc en journée, un écran orangé en soirée et un écran rougeâtre en pleine nuit. L’idéal étant que votre écran aie la même chaleur que la lampe de votre cave^Wchambre.

Paint it red

Si vous vous demandez à quoi diable peut bien servir d’avoir un écran rougeâtre dans l’obscurité, sachez que dans de nombreux domaines, y compris l’aéronautique, les instruments sont faits de façon à être rétro-éclairés dans une teinte rouge la nuit.
En effet, cette couleur, dans le bas de notre spectre visible est moins agressive à l’œil dans un environnement sombre.

De plus, non seulement l’éclat pâle de votre écran dans l’obscurité peut vous fatiguer la vue, mais des études ont démontré qu’il tenait éveillé, et provoquais des difficultés à trouver le sommeil.

Pour vos yeux, et pour votre productivité, aimez le rouge !

Utilisation

Afin de commencer à l’utiliser, entrez dans une console:

$ redshift -l 48.8:2.32

48.8:2.32 représente vos coordonnées (latitude et longitude). Si vous utilisez gnome, redshift pourra trouver votre position si vous l’avez encodée dans l’applet horloge. Il est également possible de passer une option -t afin e définir les différentes températures (jour:nuit). Exemple:

$ redshift -l 48.8:2.32 -t 5500:4500

Enfin, sachez qu’en envoyant le signal USR1 à redshift, on le désactive et réactive temporairement.

$ killall -USR1 redshift

Je vous renvoie à vos tests et au site officiel afin de découvrir d’autres options et des explications plus poussées.

installation

Redshift est packagé dans les principales distributions, pour l’installer sous ubuntu :

$ sudo add-apt-repository ppa:jonls/redshift-ppa
$ sudo apt-get update && sudo apt-get install redshift

sous gentoo :

# emerge x11-misc/redshift

sous exherbo :

# cave resolve -x repository/roidelapluie
# cave resolve -x x11-apps/redshift

Il peut être utilisé avec son interface iconifiée gtk minimaliste en apposant le préfixe “gtk-” à la commande redshift :

$ gtk-redshift -l 48.8:2.32 -t 5500:4500

Si vous avez aimé ce post...

L’arche des mascottes du Libre

madx — Sun, 13 Jun 2010 10:04:54 +0000

Dans le monde du Logiciel Libre, on aime bien les animaux, ils sont partout ! C’est bien simple, on se croirait à un safari photo au Kenya.
Vous vous êtes surement demandé un jour : “Pourquoi un dromadaire pour Perl ?” ou encore “C’est quoi ce poisson bizarre pour OpenBSD ?“. Autant de questions, et bien d’autres encore que vous ne vous êtes même pas posées, auxquelles vous aurez la réponse dans cet article !
Cet article est relativement long (il y a beaucoup d’animaux) mais la bonne nouvelle c’est que vous pouvez le lire par n’importe quel bout donc n’hésitez pas à aller directement dans la section qui vous intéresse.

Si vous avez aimé ce post...

PXE : Y a-t-il un bootloader sur l’réseau ?

Lord — Sat, 15 May 2010 14:02:25 +0000

Comment installer un OS sur une machine sans lecteur CD et sans clé USB ? Comment utiliser le même nunux quelque soit votre PC sur votre réseau ? Comment avoir votre nunux de secours pour dépanner les machines de votre réseau ? C’est simple, le Preboot eXecution Environment est une technique permettant de booter une machine par le réseau.
On pourrait simplifier la chose en disant qu’il s’agit d’une sorte de grub téléchargé et exécuté par le réseau.

Pour démarrer une machine sur le réseau, il faut tout d’abord que son bios supporte cette technologie (c’est le cas de la plupart des machines modernes). Il faut ensuite un serveur DHCP et un serveur TFTP configurés pour fournir un bail spécial ainsi que les fichiers nécessaires au boot. Cet article couvre donc la mise en place d’un système basique. On abordera ensuite le côté esthétique par un petit coup de maquillage, ensuite on ajoutera quelques fonctions parfois utiles et enfin la mise en place d’un système complètement diskless.

Récupération du matos

La grande majorité des serveurs DHCP est à même de faire tourner un PXE. J’aborderai ici Dnsmasq qui a l’avantage d’être très léger et de pouvoir faire office de serveur DNS et TFTP. Nous n’aurons donc qu’un seul et unique serveur pour tout faire.

USE="dhcp tftp" emerge dnsmasq

Il vous faudra également syslinux pour récupérer les précieux fichiers de boot ainsi que quelques petits utilitaires bonus.
Vous trouverez la dernière version sur le très sérieux site de kernel.org:

http://www.kernel.org/pub/linux/utils/boot/syslinux/

Il ne manque plus que la distribution à booter et son kernel. Tout dépendra de ce que vous voulez proposer. Ici on va monter un installeur Debian :

wget ftp://ftp.fr.debian.org/debian/dists/lenny/main/installer-i386/current/images/netboot/debian-installer/i386/linux /var/tftp/distros/debian/lenny/i386/linux
wget ftp://ftp.fr.debian.org/debian/dists/lenny/main/installer-i386/current/images/netboot/debian-installer/i386/initrd.gz /var/tftp/distros/debian/lenny/i386/initrd.gz
wget ftp://ftp.fr.debian.org/debian/dists/etch/main/installer-amd64/current/images/netboot/debian-installer/amd64/linux /var/tftp/distros/debian/lenny/amd64/linux
wget ftp://ftp.fr.debian.org/debian/dists/etch/main/installer-amd64/current/images/netboot/debian-installer/amd64/initrd.gz /var/tftp/distros/debian/lenny/amd64/initrd.gz

Configuration du serveur

Je n’aborderai pas la configuration complète de Dnsmasq, uniquement les parties relatives à notre objecif.

/etc/dnsmasq.conf

dhcp-boot=pxelinux.0
enable-tftp
tftp-root=/var/tftp

La première ligne fournit le nom du fichier de PXE, la seconde active le tftp et la troisième déclare le dossier qui sera la racine de notre TFTP. Ça suffit pour obtenir le fonctionnement désiré. Relancez Dnsmasq, désormais on n’y touchera plus.

Mise en place basique

Commençons par créer la racine du tftp et récupérer le fameux pxelinux.0

# mkdir /var/tftp/pxelinux.cfg
# tar xvf syslinux-3.81.tar.gz
# cp syslinux-3.81/core/pxelinux.0 /var/tftp/

Créons maintenant un petit menu tout simple :

/var/tftp/menu.txt

-: PXE BOOT :-

lenny_i386_installer
lenny_i386_expert
lenny_amd64_installer
lenny_amd64_expert

C’est ce menu qui s’affichera. C’est moche mais efficace. Il faut créer le fichier de configuration associé :

/var/tftp/pxelinux.cfg/default

DISPLAY menu.txt

DEFAULT lenny_i386_installer

LABEL lenny_i386_installer
kernel distros/debian/lenny/i386/linux
append vga=normal initrd=debian/lenny/i386/initrd.gz

LABEL lenny_i386_expert
kernel distros/debian/lenny/i386/linux
append priority=low vga=normal initrd=debian/lenny/i386/initrd.gz

LABEL lenny_amd64_linux
kernel distros/debian/lenny/amd64/linux
append vga=normal initrd=debian/lenny/amd64/initrd.gz

LABEL lenny_amd64_expert
kernel distros/debian/lenny/amd64/linux
append priority=low vga=normal initrd=debian/lenny/amd64/initrd.gz

PROMPT 1
TIMEOUT 0

Vous avez maintenant un PXE tout ce qu’il y a de plus simple. C’est assez brut mais ça fonctionne. Maintenant vous pouvez tester. La machine se verra attribé sa config réseau et vous devriez voir s’afficher le contenu de votre boot.txt . Vous n’aurez plus qu’à taper le « label » désiré pour lancer le boot.

Si vous avez aimé ce post...

Linux – Laptop – Ultimate Powersaving !

bragon — Thu, 13 May 2010 12:52:48 +0000

Le but de cet article est de faire économiser de la batterie à votre laptop sous Linux.

Avec quelques tips, c’est possible très facilement.
On peut gagner 1h de batterie avec quelques méthodes simples.

Follow the white rabbit

Outils indispensable

Déjà il va vous falloir vous munir d’un outils indispensable développé par intel nommé : powertop
Le gars qui cherche à économiser de la batterie et qui n’a pas installé powertop c’est vraiment un gros naz

emerge -av powertop

apt-get install powertop

Lancez powertop en root, et suivez le guide, tout est expliqué directement dans l’interface ncurses.

Désactive le superflu dans l’bios petite loutre

Il convient d’aller désactiver les choses dont vous ne vous servez jamais dans le bios.
Exemple :

Désactiver le bluetooth

Désactiver le wake on lan sur eth0

Désactiver l’extension Wimax de votre carte wifi.

Désactiver le lecteur CD si vous ne vous en servez jamais.

Etc … etc …

ça permet d’économiser déjà pas mal de batterie.

Modifies ton sysctl.conf petit castor

Quelques réglages à avoir dans le sysctl.conf

modifier : /etc/sysctl.conf

vm.laptop_mode = 5 # Activating laptop mode, power friendly I/Os
vm.dirty_writeback_centisecs = 2000
kernel.nmi_watchdog = 0
vm.swappiness = 5

Le writeback du cache du système de fichiers sur le disque dur se fait assez fréquemment. Pour réduire la consommation, il suffit de le faire moins fréquemment.
Par defaut le writeback est à 500

fout ça dans ton /sys petit scarabée

echo 10 > /sys/module/snd_hda_intel/parameters/power_save
echo min_power > /sys/class/scsi_host/host0/link_power_management_policy
echo min_power > /sys/class/scsi_host/host1/link_power_management_policy

Actives le power management dans ta carte wifi Intel petite fourmis des bois

iwconfig wlan0 power on

Mon petit script à la con, lis ça petit phasmid

#!/bin/bash

#echo 5 > /sys/bus/pci/drivers/iwlagn/*/power_level
echo 5 > /sys/bus/pci/drivers/iwlagn/0000\:03\:00.0/power_level

echo 1 > /sys/devices/system/cpu/sched_mc_power_savings

echo 1500 > /proc/sys/vm/dirty_writeback_centisecs

echo 5 > /proc/sys/vm/laptop_mode

# passe en economie d'energie la carte son
echo 10 > /sys/module/snd_hda_intel/parameters/power_save
echo min_power > /sys/class/scsi_host/host0/link_power_management_policy
# desactive le wake on lan sur eth0
ethtool -s eth0 wol d
# met la luminosité à 30%
xbacklight -set 30
# Passe le frequency scaling en "on demand"
echo ondemand > /sys/devices/system/cpu/cpu0/cpufreq/scaling_governor

## Spécifique thinkpad x300 ou equivalent
# desactive le bluetooth
echo disable > /proc/acpi/ibm/bluetooth
# desactive le modem 3G
echo disable > /proc/acpi/ibm/wan
echo min_power > /sys/class/scsi_host/host0/link_power_management_policy

Le paramètre sched_smt_power_savings sous /sys/devices/system/cpu/ contrôle le multithreading. Par défaut, il vaut 0 pour des performances optimales
Mettez le à 1 pour avoir plus de batterie, ainsi vous ne vous servirez du second cœur de votre cpu qu’en cas de besoin ! :

echo 1 > /sys/devices/system/cpu/sched_smt_power_savings

Conclusion

Cet article n’est pas complet car j’ai également des optimisations dans mon kernel, mais ça peut déjà vous donner une bonne base de travail.
N’hésitez pas à faire des bench avec powertop à CHAQUE modification pour voir ce que ça change sur votre consommation en Watts.

Si vous avez aimé ce post...

Photoshop CS5 content aware fill VS Gimp resynthesizer

madx — Sat, 24 Apr 2010 14:23:24 +0000

Vous en avez forcement entendu parler, le content aware fill est la feature du futur Photoshop CS5 : on dessine vaguement les contours de l’objet qu’on veux enlever d’une photo, on lance la fonction et *pouf* l’objet disparait en laissant place à ce qui se trouve derrière.

Vous avez aussi surement vu les démonstrations sur youtube et les réactions de fanboys Photoshop telles que “That’s beyond insane!“, “BLACK MAGIC“, “I will buy this over everything i’ve ever wanted ever“, ou encore “And then i, JIZZED, IN MY PANTS” (tous absolument véridiques).

On ne vas pas s’éterniser sur le comment (de l’extrapolation mixé avec du random) mais sur le fait que Gimp possède cette fonction depuis … 2004. Oui, 6 ans.

6 ans après, Photoshop rattrape Gimp

Au cas ou vous n’auriez pas vu les démonstrations et pour bien comprendre de quoi on parle, rien de mieux qu’une photo, ou deux pour le coup.

Avant

Après

A noter que cette fonction n’est pas de série dans Gimp, mais sous forme de plug-in (en licence GPL), disponible dans toutes les bonnes distributions sous le nom de gimp-resynthesizer ou quelque chose de proche.

Si vous avez aimé ce post...

Filtrer ses mails ! Un cauchemard !

bragon — Fri, 09 Apr 2010 17:18:10 +0000

Le but de ce howto est de vous présenter ma façon de filtrer mes mails de tous mes comptes pop/imap, afin de les centraliser dans une même interface.
Afin de filtrer les mails qui arrivent nous allons utiliser “sieve” un merveilleux ajout disponible dans le packet dovecot, qui permet de filtrer les messages directement AVANT qu’ils arrivent dans la casserole IMAP.

Les mails sans rangement c’est immangeable, ceci est une petite recette d’assaisonnement

Centraliser mes mails m’apporte plusieurs choses :

- Faciliter le filtrage.
- Faciliter le rangement dans différents dossiers.
- Effectuer un backup de tous mes comptes IMAP/POP.
- Faire apprendre à mon antispam mes différents réglages.

Cette recette ne couvre pas l’installation de Apache + php + MySQL
Nous supposons ici que vous savez faire ce type d’installation.

Cette recette ne couvre pas non plus l’utilisation de mutt (je mettrai tout de même en ligne ma configuration).
En effet, l’utilisation de mutt mérite un article à lui seul !

Postulat1 : Les mails seront stockés dans cette recette ici : /home/utilisateur/.maildir
Postulat2 : Nous supposons que vous avez plusieurs comptes email à rapatrier.
Postulat3 : Nous supposons que vous disposez d’une machine GNU/Linux sous Gentoo et/ou Debian pour effectuer ce howto.
Postulat4 : Nous supposons que vous stockez vos mails dans le format Maildir ! (se reporter au Howto Sur la conversion mbox => maildir en cas de soucis) Allez lire : http://geekfault.org/2010/04/09/maildir-mbox-la-migration/

Résultat une fois que la recette est en place

Si vous avez aimé ce post...

Maildir mbox – La migration

pistache — Fri, 09 Apr 2010 17:16:18 +0000

Traditionellement, les serveurs UNIX utilisent mbox pour stocker les mails. Pour mbox, chaque dossier de votre boîte mail (Reçu, Envoyés, Archive, Corbeille, etc) est representé par un fichier, ou tout les mails sont enregistrés à la suite, séparés par une ligne vide.

Ce format, très simple à utiliser, pose de nombreux problèmes. Premièrement, on ne peut pas faire d’accès parallèles, même sur des mails différents, puisque le fichier est le même (problème de verrou). Deuxièment, les serveurs POP/IMAP (comme Dovecot) ont souvent un support limité de mbox. Dovecot est obligé de placer un mail “interne” dans la boîte, pour garder l’arborescence et l’organisation des dossiers. Courier ne supporte pas mbox.

L’avantage principal de mbox, c’est le fait qu’il soit très répandu. Il est supporté par tout les MUA (mailutils/mail, bsd-mailx, mutt, emacs, Kmail, thunderbird, evolution). Mais les problèmes récurrents qu’il pose ont poussé le principal développeur de qmail a créer un nouveau format : Maildir.

Maildir

Avec Maildir, chaque mail est un fichier, et chaque dossier de la boîte mail, un répertoire. Attention, c’est un peu plus compliqué que ça. Les mails ne sont pas directement enregistrés dans boîte/mail :

Le MDA enregistre le mail dans boîte/tmp/unique (“unique” est un nom de fichier unique généré a partir de données pseudo-aléatoires)
Une fois que le mail est écrit, le MDA le déplace dans boîte/new/unique
Le MUA le déplace dans boîte/cur/unique une fois qu’il voit qu’un nouveau message est arrivé dans boîte/new/

Pourquoi ? Ce comportement est utilisé pour éviter que le MUA voit un mail incomplet (car le MDA est encore en train de l’écrire), ce qui peut arriver si la machine est surchargée, si le Maildir est sur un serveur distant (NFS,FTP), voire même si le mail est gigantesque.

Maildir et procmail

Le but de cet article n’est pas d’expliquer comment configurer un MDA pour qu’il enregistre les mails en Maildir, mais malgré tout je fais une petite encartade pour les gens qui utilisent procmail. Le code suivant dans /etc/procmailrc permet de dire à procmail de mettre par défaut (cela peut donc être supplanté par une directive contraire dans le ~/.procmailrc) :

DEFAULT=$HOME/Maildir/

Aussi, si vous n’utilisez pas encore procmail je vous conseille d’y migrer rapidement :

Plus besoin de toucher à la configuration du MTA pour changer les méthodes de livraison des mails
Les utilisateurs peuvent écrire leurs propres règles pour leurs boîtes mails (pour avoir des boîtes séparées pour certains mails, par exemple)
Si vous changez de MTA vous pouvez toujours garder la même configuration, à condition de dire à votre MTA d’utiliser procmail

Configuration de mutt

mutt gère très bien les Maildirs, mais il faut le configurer. Dans le .muttrc, rajoutez :

# pour dire à mutt de que mbox est un Maildir
set mbox_type=Maildir
# pour dire à mutt que les chemins relatifs (avec +) sont dans "~/Maildir/"
set folder="~/Maildir/"
# pour dire à mutt que les mails arrivent dans Maildir/
set spoolfile="~/Maildir/"
# les mails archivés (pas nouveau) seront envoyés dans +Mailbox
# (+ est remplacé par la variable folder).
set mbox="+Mailbox"

# remplacez par votre propre choix (ce n'est pas un tutorial de la configuration de mutt)
# on indique à mutt d'envoyer les mails de ~/Maildir/ dans la boîte indiquée par la variable "mbox"
set move="ask-yes"

# ce code montre la puissance de mutt (inclure des scripts shell dans sa configuration)
# ouvrir tous les dossiers qu'il trouve dans ~/Maildir/
mailboxes ! + `\
for file in ~/Maildir/.*; do \
box=$(basename "$file"); \
if [ ! "$box" = '.' -a ! "$box" = '..' -a ! "$box" = '.customflags' \
-a ! "$box" = '.subscriptions' ]; then \
echo -n "\"+$box\" "; \
fi; \
done`

On note qu’il faut créer les boîtes mails dans ~/Maildir/, ainsi que le Maildir en lui-même (même si procmail peut le créer tout seul, et que si vous avez converti vos mbox il existe déjà). On va créer la boîtes “Mailbox” (utilisé par mutt avec set mbox=”+Mailbox”).

cd # on se place dans $HOME
mkdir Maildir # on crée Maildir (ça sera peut-être déjà fait)
cd Maildir
mkdir cur new tmp # on crée une arborescence Maildir
mkdir .Mailbox # on crée une nouvelle boite
cd .Mailbox
mkdir cur new tmp

On note que :

La boîte principale, ou les mails entrants sont enregistrés par le MDA, est à la racine du Maildir
Les sous-dossiers de la boîte, commencent tous par un .

Vous pouvez maintenant démarrer mutt, et exploiter votre mbox (pour naviguer dans les boîtes, utilisez “y”)

Migrer des boîtes mbox en Maildir

Pour migrer les mbox en Maildir, le script perfect_maildir.pl est parfait, et son usage est simple :

./perfect_maildir.pl path_to_Maildir/ < mbox

pam_mail.so et You have new mail

Vous avez peut-être déjà remarqué que quand vous vous ouvrez un shell, vous avez un beau message “You have new mail” qui indique de nouveaux mail dans /var/mail/$USER. Cet avertissement est geré par pam_mail.so, un module de PAM qui permet de faire ça. Si on utilise Maildir il est intéressant de dire à pam_mail.so d’aller vérifier les nouveaux mails dans le Maildir. Cette configuration se fait dans /etc/pam.d/ sous Debian et Gentoo. Tout d’abord éditer le fichier login, et trouver cette ligne :

session optional pam_mail.so standard

Remplacer par :

session optional pam_mail.so standard dir=~/Maildir

Je recommande d’effectuer aussi la manipulation pour le fichier “ssh”.

Normalement PAM devra modifier la variable d’environnement MAIL à Maildir/, si par hasard ce comportement ne marche pas (en fonction de la configuration de PAM) il y a toujours moyen d’ajouter

MAIL=Maildir/

dans /etc/environment.

Faire fonctionner la commande “mail”

La commande mail est le moyen le plus simple de lire ses mails sous unix. Vous constaterez probablement que votre commande mail ne marche plus (même avec MAIL=Maildir/), car elle ne supporte pas Maildir. Mais il y a plusieurs versions de cette commande, la plus répandue étant celle de bsd (bsd-mailx avec Debian). Je vous conseille d’installer une autre version, appellée “heirloom-mailx” (sous Debian), voire “nail”, qui supporte très bien les Maildir.

Liens relatifs

Configurer Maildir et Dovecot
man pam_mail
la première spécification de Maildir (a changé depuis)

Ironiquement j’ai trouvé beaucoup de mes renseignements sur bugs.debian.org :

Si vous avez aimé ce post...

L’email : un vilain petit cafardeur !

ckg — Sat, 13 Mar 2010 18:49:26 +0000

Votre architecture réseau ne regarde pas vos correspondants, cependant vous avez donné aux plus curieux d’entre eux quelques bribes d’information à votre insu : ip interne, dns interne, chaîne de mta…

Nous allons voir un exemple récent, déterminer quels logiciels font les pies et finir par quelques réglages de ces derniers.

Quelques définitions rapides :

MUA : Mail User Agent, c’est l’agent coté utilisateur. Thunderbird que j’évoque dans cet article, Evolution, KMail, mutt, mail et sendEmail sont quelques exemples.
MTA : Mail Transfer Agent, le serveur smtp. Sendmail que j’évoque dans cet article, postfix, qmail, exim sont les plus connus, mais ssmtp et OpenSMTPd sont des alternatives montant en puissance.
MDA : Mail Delivery Agent, c’est le logiciel qui remet les emails dans les comptes utilisateurs. Procmail est le plus connu.
RFC : Request For Comment, un texte de référence. Le texte nous intéressant ici est la RFC 5321 http://tools.ietf.org/html/rfc5321

Cas concret

Décortiquons ensemble un email envoyé par un de mes fournisseurs. Il n’y a rien d’exceptionnel dans cette section qui n’ait déjà été maintes fois abordé dans la presse informatique vulgarisée.

L’email en question

From - Mon Jan 18 17:07:56 2010
(…)
Return-Path:
Received: from smtp20.msg.oleane.net (smtp20.mail.priv [172.17.20.138])
by mail03.msg.oleane.net with LMTP id H7q6321w;
Mon, 18 Jan 2010 17:07:52 +0100
Received: from smtp20.msg.oleane.net (localhost [127.0.0.1])
by smtp20.msg.oleane.net (MX-ASAV) with ESMTP id o0IG7pk9022097;
Mon, 18 Jan 2010 17:07:51 +0100
Received: from abc.correspondant.com (abc.correspondant.com [81.211.11.111])
by smtp20.msg.oleane.net (MX) with ESMTP id o0IG7ndC021964;
Mon, 18 Jan 2010 17:07:49 +0100
Received: from PC1.correspondant.fr ([192.168.69.50])
(authenticated user monsieur@correspondant.fr)
by abc.correspondant.com (Kerio MailServer 6.7.0 patch 1);
Mon, 18 Jan 2010 17:10:15 +0100
Subject: RE: GeekFault
Date: Mon, 18 Jan 2010 17:07:48 +0100
Message-ID:
In-Reply-To:
From: "Monsieur CORRESPONDANT"
Sender: "Monsieur CORRESPONDANT"
To: "Monsieur DESTINATAIRE"
Importance: Normal
X-Priority: 3
X-MSMail-Priority: Normal
User-Agent: Kerio Outlook Connector (6.7.0.7695)
MIME-Version: 1.0
X-MimeOLE: Produced by Kerio Outlook Connector (6.7.0.7695)
Content-Type: multipart/mixed; boundary=MIXED-MIME-355913937-24773-delim
X-Spam-Flag: NO
X-PMX-Spam: Probability=13%
X-Spam-Level: X
X-PFSI-Info: PMX 5.5.5.374460, Antispam-Engine: 2.7.1.369594, Antispam-Data: 2010.1.18.155416 (no virus found)

Comment le lire ?

La RFC 5321 section 4.4 précise que le Mail Transfert Agent (mta) se DOIT, et avant toutes autres opérations de transfert, d’inclure une trace « Received » ou « timestamp ». L’ordre des « Received » se lit donc de bas en haut.

Nous apprenons que notre « correspondant » a émis son email depuis son « PC1 » 192.168.69.50 (IPV4) . On devine aisément son système d’exploitation, c’est celui qui donne des noms de machines en majuscules.

Jouons au jean-kevin

On déduit du mix « .fr »/ « .com » que notre sujet d’étude n’est pas très familier avec les dns et c’est sans doute la raison pour laquelle il n’en a pas en interne. Il n’est pas non plus familier avec ntp. Visiblement notre sujet d’étude n’est pas familier avec certains services réseaux.

Attardons nous quelques secondes sur le 3ème mta rencontré, OBS utilise un mta du nom de « localhost [127.0.0.1] », nous sommes dans une application minimaliste de la section 4.4 de la RFC 5321. Pourquoi être resté a minima, contrairement aux autres mta ? Le terme MX-ASAV nous donne un indice : AntiSpam AntiVirus … ce mta est vraisemblablement inaccessible il n’y a aucune raison de fournir plus de détails.

Que retenir de cette partie ?

Nous n’avons donc rien appris de bien intéressant car nous ne cherchons rien de particulier. Détails à priori inintéressants, mais avez-vous vraiment envie d’en faire profiter le reste de vos correspondants ?

Si vous avez aimé ce post...

nginx et python – le perfect setup

pistache — Mon, 01 Mar 2010 11:47:32 +0000

Python est devenu assez à la mode, pour le développement web, ces dernières années avec l’arrivée de frameworks web comme Django, Pylons et web.py. On le voit souvent utilisé sur apache2, avec mod_python, ou sur des serveurs Python dediés à ça (CherryPy, etc)

Je cherche depuis longtemps un moyen de faire du Python sur HTTP. J’ai mis pas mal de temps mais je pense avoir trouvé une configuration sympa.

Je vous propose ici d’essayer nginx, un serveur HTTP (entre autres), très performant et beaucoup plus léger/rapide que apache2. Il est très efficace pour faire du reverse-proxy (c’est à dire être utilisé en frontal/load-balancer devant un serveur HTTP, et lui transmettre les requêtes en faisant du cache et le cas échéant du load-balancing).

La configuration de nginx est très simple, et la documentation est très complète : wiki.nginx.org. L’installation de nginx est facile, il est inclus dans la plupart des distributions actuelles, donc à vos emerge/apt-get.

apt-get install nginx

nginx ne gère pas le python nativement. Il y a plusieurs solutions cependant :

Faire du proxy vers un serveur qui gère le python, comme apache2. On perd la majeure partie de l’intêret de nginx, cependant.
Faire du FastCGI vers un serveur FastCGI. C’est la solution la plus fréquente, en utilisant fcgi.py ou flup
Faire du WSGI. C’est un protocole de communication entre serveurs HTTP et applications Python. Solution aussi assez fréquente.
Faire du proxy vers un serveur qui gère le python de manière native. C’est une solution moins fréquente mais très pratique.

Avant même de penser à choisir une des solutions ici présentes, il faut les comparer entre elles.

nginx => apache2 => python

L’ennui de cette solution c’est : apache2. Utiliser nginx pour forwarder à apache2 est presque inutile. Presque ? Oui, car on peut dire à nginx de garder les fichiers statiques pour lui. Cependant, le gain de cette méthode est assez minime, et ce n’est intéressant que pour faire du load balancing sur plusieurs apaches.

le FastCGI

FastCGI c’est une norme, pour faire traiter du contenu dynamique par une application externe. Donc le support du FastCGI tout seul est inutile, il faut aussi quelque chose pour gérer derrière.

J’ai testé flup, un framework Python léger. Le résultat : ça marche, méééé c’est lent. Je tournais autour de 35/50 requêtes par seconde, et l’utilisation en mémoire vive était phénoménale, 150 mégas pour 1000 requêtes. (bien sur ces chiffres n’auront de valeur que lorsqu’ils seront comparés aux autres).

FastCGI est sympa pour faire une configuration “vite”. C’est d’ailleurs la seule solution viable, à ma connaissance pour faire du PHP sur nginx, à part le proxy vers un autre serveur HTTP.

Bref, FastCGI ne m’a pas convaincu. Et mes tests avec les autres solutions m’ont donné raison. Toujours avec moi ? On passe au WSGI !

le WSGI

WSGI is the Web Server Gateway Interface. It is a specification for web servers and application servers to communicate with web applications (though it can also be used for more than that). It is a Python standard, described in detail in PEP 333.

le WSGI, c’est le standard pour le Web Python. Il n’y a qu’à consulter wsgi.org pour se rendre compte que c’est tout un monde. Il consiste en un ensemble de normes (nom de variables, par exemple) pour permettre au serveur d’exécuter un fichier codé en Python.

Le standard pour le WSGI sur les serveurs HTTP grand public, c’est le mod_wsgi de apache2. Il a été porté sur nginx, mais c ‘est une #@!## infame, qui ne marche que sur les vieilles versions et qui n’a pas été mise à jour depuis bientôt 2 ans et demi (cf. hg.mperillo.ath.cx/nginx/mod_wsgi/). J’ai obtenu des performances d’environ 133 requêtes par seconde avec, ce qui est déjà mieux que FastCGI, pour ceux qui suivent . Par contre, dès que j’ai voulu avancer un peu avec (toucher à la configuration, et surtout, passer à une version supérieure de nginx), j’ai été confronté à ses limites (et aux #@!## de faute de frappe dans le code source)

D’autant plus que l’auteur de mod_wsgi pour apache2 et l’auteur de mod_wsgi pour nginx reconnaissent ses limitations, respectivement ici et ici. Le premier document est très intéressant pour comprendre un peu l’architecture de nginx et ses différences avec apache2. En effet, le mod_wsgi pour nginx a été codé à partir de celui pour apache2, et il subit les différences d’architecture entre apache2 et nginx.

Attention, je ne remet absolument pas à cause le WSGI ici, juste l’implémentation de mod_wsgi dans nginx.

Parce que justement, un projet super récent, c’est…. uWSGI ! uWSGI sert à combler le manque de support du WSGI dans nginx, en rajoutant un module, meilleur que mod_wsgi. Il nécessite donc de recompiler nginx. Il y a encore une autre solution, nommée gunicorn, qui ne nécessite pas de recompiler nginx. C’est un serveur HTTP minimal qui gère le WSGI nativement. uwsgi offre plus de fonctionalitées que gunicorn, mais gunicorn a l’air assez dynamique (dans le développement), et est plus facile à utiliser (pas de recompilation, support de Django natif). Au niveau des performances, je me suis amusé à faire cette comparaison :

Comparaison des performances entre uwsgi et gunicorn en fonction du niveau de parallélisme

On constate plusieurs choses :

Les performances augmentent en utilisant 2 workers à la place d’un, mais au delà, le gain est ridicule, puis inexistant. Le nombre 2 est dépendant du nombre de coeurs de la machine, et le nombre de workers à utiliser ne sera pas le même sous un bi-socket octocore, bien évidemment. Les meilleures performances étaient obtenues en utilisant gunicorn+3workers.
La différence est vraiment minime, gunicorn est en moyenne légèrement au dessus de uwsgi.
Ces tests sont réalisés sur une application Django. Les performances augmentent en utilisant des frameworks plus légers comme web.py, bien évidemment.

uwsgi dispose de plus de fonctionalitées, comme par exemple une interface d’administration de serveur wsgi dans Django. Je vais ici expliquer l’installation et la configuration des deux solutions.

Ici je vais couvrir l’installation et la configuration de uwsgi et gunicorn avec Django et web.py, même si c’est bien sur adaptable avec d’autres frameworks supportant le wsgi (liste sur wsgi.org/wsgi/Frameworks).

Installation et configuration de uwsgi

Sous Debian :

1) Rajouter les dépots source, par exemple :

deb-src http://ftp.gr.debian.org/debian/ squeeze main contrib non-free

2) Télécharger la source

apt-get source nginx
tar -zxvf nginx_*.orig.tar.gz
cd nginx-*
tar -zxvf nginx_*.debian.tar.gz

2) Télécharger uwsgi

cd ..

wget http://projects.unbit.it/downloads/uwsgi-0.9.4.2.tar.gz

tar -zxvf uwsgi-0.9.4.2.tar.gz

3) Modifier le paquet source de nginx pour y ajouter uwsgi. Il faut éditer le fichier nginx-*/debian/rules, trouver le bloc qui commence par ./configure et ou se trouvent toutes les options de compilation, et y ajouter

--add-module=$(CURDIR)/../uwsgi-0.9.4.2/nginx/

$(CURDIR)/../uwsgi-0.9.4.2/nginx/ est le chemin vers le dossier du module dans la source de uwsgi

4) maintenant, dans le dossier de la source de nginx, faites (pas besoin de root) :

dpkg-buildpackage

5) installer le .deb généré ainsi (en tant que root maintenant)

dpkg -i ../nginx-*.deb

6) Dernière étape : compiler uWSGI (le binaire en lui-même, qui va communiquer avec nginx par le biais du module)

cd ../uwsgi-0.9.4.2/ && make && make install && cp uwsgi_params /etc/nginx/

Cette dernière commande (le cp uwsgi_params…) sert à placer un fichier de configuration du module uwsgi exemple dans le repertoire de nginx.

Sous les autres distributions :

Il faut télécharger la source de nginx et de uwsgi, compiler nginx avec le module uwsgi (dans le répertoire nginx de la source de uwsgi), puis compiler uwsgi.

On a maintenant un serveur uWSGI et un nginx avec le module uwsgi. Il va maintenant falloir dire à nginx de transférer les requêtes au serveur uWSGI, avec une commande uwsgi_pass. Par exemple, dans la section server d’un de vos vhost (/etc/nginx/sites-enabled/default, par exemple, sous Debian) :

location / {
include uwsgi_params;
uwsgi_pass unix:///tmp/uwsgi.sock;
}

Il faut ensuite créer une application WSGI, par exemple, pour le framework web.py :

import web

urls = (
'/.*', 'hello',
)

class hello:
def GET(self):
return "Hello, world."

application = web.application(urls, globals()).wsgifunc()
applications = {'/': application }

Pour Django :

import django.core.handlers.wsgi
application = django.core.handlers.wsgi.WSGIHandler()
applications = {'/': application }

Nommez ce fichier wsgi.py et placez le dans le repertoire ou vous allez placer votre code (pour Django, dans le repertoire du projet, évidemment). Si vos nerfs n’ont pas encore lâché ici, allez prendre une petite pause de 5 minutes à titre préventif, et reprenez. Maintenant, on va démarrer un serveur uWSGI. Placez vous dans le répertoire de votre fichier wsgi.py, et faites :

uwsgi -s /tmp/uwsgi.sock -C -w wsgi -p2 -L

Explications : le -s indique ou placer le socket (ça pourrait aussi être une adresse au format hôte:port, pour un usage distant). Le -w wsgi indique de charger le fichier wsgi(.py), le -p2 indique de démarrer 2 processus, et le -L désactive l’envoi des requêtes à stdout (=>flood).

Si vous allez à l’adresse de votre serveur web, vous devriez voir votre application Python en face de vous ! Vous voilà en train d’utiliser nginx+uwsgi+python.

En annexe, je rappelle que uwsgi est aussi utilisable avec apache et lighttpd.

Aussi, dans le dossier source de uwsgi, vous trouverez des templates pour un module d’administration de Django, à installer dans le repertoire des templates de l’administration de Django (si, si).

Installation et configuration de gunicorn

gunicorn est carrèment plus facile à installer. Il est codé en python, donc pas de compilation, seulement un easy_install :

easy_install gunicorn

La configuration est tout aussi facile, il suffit de cela dans la configuration du vhost dans nginx :

location / {
proxy_pass http://unix:/tmp/gunicorn.sock
}

On démarre ensuite gunicorn. Pour Django, gunicorn dispose d’un support intégré, il vous suffit de vous placer dans le répertoire de votre projet, puis :

gunicorn_django -b unix:/tmp/gunicorn.sock --workers=2

Pour web.py, il faut créer un module :

import web

urls = (
'/.*', 'hello',
)

class hello:
def GET(self):
return "Hello, world."

application = web.application(urls, globals()).wsgifunc()

Il faut ensuite démarrer le serveur Gunicorn. En étant dans le repertoire ou se trouve le module web.py (le fichier donc le code vient avant, là, au-dessus, oui), :

gunicorn -b unix:/tmp/gunicorn.sock --workers=2 wsgi

Je vous invite à consulter ce lien : gunicorn.org/tuning.html, pour vous permettre d’augmenter les performances de gunicorn.

Annexe

Fichiers statiques

location /admin-media {alias /usr/lib/pymodules/python2.5/django/contrib/admin/media;}

location /static {root /var/www/byteflow;}

Ces deux lignes, à rajouter après le “location /” avec uwsgi_pass ou proxy_pass (selon votre configuration) indiquent à nginx de traiter les fichiers statiques directement. Il faut bien évidemment adapter à votre configuration.

Munin

Vous pouvez trouver des plugins nginx pour munin ici. Je n’ai pas trouvé de plugin munin pour uwsgi/gunicorn, mais je pourrais peut-être en faire un si je trouve le temps.

Plusieurs serveurs

Si par hasard vous avez plusieurs serveurs gunicorn/uwsgi répartis sur plusieurs machines , vous pouvez les utiliser en déclarant une section

upstream nom {}

dans nginx, contenant les adresses des serveurs distant (hôte:port ou emplacement du socket) et en utilisant “nom” comme argument à uwsgi_pass et proxy_pass.

Conclusion

Ces deux architectures sont très pratiques pour faire tourner du python dans un serveur web, ici nginx. uwsgi dispose de plus de fonctionalités, mais la plupart (template d’admin Django, memory profiling) pourraient facilement être ajoutées à gunicorn, qui est beaucoup plus léger à installer/configurer/maintenir (2 commandes et 3 lignes de configuration dans nginx). J’ai les deux personellement sur mon serveur, j’ai eu à alterner entre les deux pour écrire cet article, et c’est pas bien dur, un daemon à arrêter, un autre à démarrer, et changer une ligne dans la configuration de nginx.

Liens

wsgi.org

gunicorn.org/

projects.unbit.it/uwsgi/

irc.freenode.org/#gunicorn

nginx.org/

djangoadvent.com/

www.django-fr.org/

www.djangoproject.com/

webpy.org/

Je tiens à remercier la communauté Geek{node|fault}, le chan irc #gunicorn, les développeurs de gunicorn qui sont très aimables, ainsi que Amandarn qui m’a aidé pour certains détails.

Si vous avez aimé ce post...

Chromium: l’adolescence de l’enfant de google.

koolfy — Fri, 26 Feb 2010 22:39:55 +0000

Chromium (Chrome pour la version estampillée Google) est un projet né dans le buzz absolu, mais aussi dans le plus simple appareil. Lors de sa naissance, tout lui manquait: le support de flash, un support java, des plugins (et donc un moyen de se prémunir des publicités envahissantes), des thèmes, un semblant de stabilité et surtout une version linux native !

Attentifs à son existence post-buzz, nous avons déjà couvert sa naissance sur Linux, le début de son apprentissage, et le moment semble venu de marquer un nouveau chapitre dans l’évolution du navigateur : l’adolescence.

Au risque de synthétiser les deux premiers articles, il semble nécessaire de ré-établir le contexte et la genèse de ce projet, afin de mieux en comprendre le parcours.

Attention : Cette page reprends ma vision personnelle du contexte de la sortie de Chrome/Chromium et a pour objectif de poser le décor pour la suite de l’article. Cette page n’engage donc que moi et n’est pas nécessaire à la suite de l’article, si vous n’êtes pas d’accord avec mon point de vue, ne vous énervez pas : passer à la page 2

Avant la conception

Le monde des navigateurs n’était pas rose, Internet Explorer avait le rôle du père violent, un échec total qui ne parvenait à maintenir son autorité que par la force de son poing et la violence de ses pratiques anti-concurrentielles, Safari était ignoré par au moins 90% du marché, Opera était un refuge obscur que l’on trouve presque par hasard, une sorte de soupe de bonnes idées (très) mal arrangées, et de choix intéressants, mais pas concluants.

Et Firefox là-dedans ? Il fut d’abord envoyé par la Mozilla Foundation en tant que messie venu se dresser contre l’hégémonie d’Internet Explorer, et prêcher la bonne parole du Logiciel Libre et des standards dans cet océan de code propriétaire.

Firefox fut rapide, Firefox fut efficace, Firefox fut puissant, Firefox fut multi-plateforme, Firefox fut meilleur. Il engrangea ainsi à juste titre des utilisateurs par poignées, une solide réputation, un écosystème de plugins et devint même le porte-flambeau de la lute pour la percée du Logiciel libre au delà de Linux, au delà des geeks : dans la vie quotidienne du grand public, au nez et à la barbe des logiciels propriétaires.
(petit témoignage humoristique représentant la place de Firefox dans nos esprits en ces temps-là)

Mais ce qui s’apparenta d’abord à de l’adoration et à de l’amour inconditionnel, commença à perdre de sa fraicheur à partir et au delà de Firefox 2.0. Il commença à perdre de sa légèreté, à traîner la patte, à s’approprier toute la mémoire RAM de nos systèmes et la retenir en otage, et à ne plus convenir à de plus en plus d’utilisateurs. Alors, tout naturellement (et surtout sous Linux), chacun partit en quête d’un navigateur plus léger, plus rapide, quitte à sacrifier quelques avantages de Firefox, mais à travers les 4 ou 5 petits projets inaboutis, chacun revint bredouille et se rendit à deux évidences : “Firefox reste un excellent navigateur”, et “Il n’existe pas d’alternative viable à l’Alternative.”

Et peu à peu, les utilisateurs se rendirent compte que la concurrence au sein des alternatives à Internet Explorer et aux navigateurs propriétaires était tout simplement inexistante, et que chacun avait un choix simple à faire : “Le mal, ou Firefox.”

naissance d’un navigateur, d’un buzz et d’un imparfait.

L’annonce et la sortie initiale de la toute première mouture du navigateur firent un fracas monumental. Ce que Google annonçait était purement et simplement une alternative à Firefox, et ses points forts et principaux arguments étaient très exactement les reproches faits à Firefox : la gestion de la mémoire RAM, la réactivité, la vitesse des rendus, le moteur JavaScript. Chrome les réalisait d’emblée.

Les frustrés et les curieux se jetèrent sur Chrome et déclarèrent dans les premiers jours avoir définitivement abandonné Firefox, et fait de Chrome leur navigateur par défaut. Dans les premiers jours seulement car comme notre premier article sur l’arrivée de Chromium (le parent/jumeau Opensource de chrome) sur Linux l’indiquait, même plus d’un an après la sortie du navigateur, ses carences en faisaient plus une PoC (Proof of Concept) qu’un navigateur viable dans la vie de tous les jours, c’est ainsi que le buzz s’éteignit, et que seuls les utilisateurs les moins exigeants continuèrent de l’utiliser quotidiennement.
Le pic d’utilisation de Chrome retomba largement, et tout le monde ou presque se retourna vers Firefox.

Malgré les désenchantements, Chromium était là, et alors qu’il luttait contre l’oubli, certains, dont une partie de la rédaction de Geekfault, restaient persuadés qu’il devait être suvi car il n’avait pas seulement sa place, mais était une nécessité dans l’équilibre concurrentiel des navigateurs.

Si vous avez aimé ce post...

DenyHosts pour empêcher le bruteforce sur SSH

Lord — Wed, 24 Feb 2010 10:31:35 +0000

Ras le bol de voir des tentatives de connexion sur votre SSH ? Il existe plusieurs logiciel pour vous en prémunir avec en tête de liste le célèbre Fail2ban qui permet de protéger SSH ainsi que la plupart des autres serveurs logguant l’authentification. Mais alors pourquoi choisir DenyHosts ? DenyHosts se limite à la protection SSH mais sa force provient de deux fonctionnalités : utiliser un système de synchronisation entre plusieurs DenyHosts ( je ne l’aborde pas ), mais également le partage des IP incriminées. Afin de récupérer des IP à blacklister et de d’offrir les siennes afin de se fabriquer une blacklist évolutive.

Un attaquant vera son adresse IP inscrite dans le fichier /etc/hosts.deny l’empêchant de se logguer.

Installation

Gentoo

emerge denyhosts

Debian et dérivés

aptitude install denyhosts

Red Hat et consorts

yum install denyhosts

Configuration

/etc/denyhosts

#Doit pointer vers votre fichier logguant les tentatives de connexions
SECURE_LOG = /var/log/auth.log

#Doit pointer vers votre fichier de blacklist
HOSTS_DENY = /etc/hosts.deny
BLOCK_SERVICE = sshd

#Nombre d'essai avant d'être bloqué pour une connexion non root
DENY_THRESHOLD_INVALID = 5
DENY_THRESHOLD_VALID = 5

#Nombre d'essai avant d'être bloqué pour une connexion en temps que root
DENY_THRESHOLD_ROOT = 3
DENY_THRESHOLD_RESTRICTED = 1
WORK_DIR = /var/lib/denyhosts
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES
LOCK_FILE = /var/run/denyhosts.pid

#Vers quelle adresse email signaler une attaque infructueuse
ADMIN_EMAIL = votre@mail
SMTP_HOST = localhost
SMTP_PORT = 25
SMTP_FROM = DenyHosts
SMTP_SUBJECT = DenyHosts Report
SYSLOG_REPORT=YES

#temps avant la remise à zéro du compteur
AGE_RESET_VALID=5d
AGE_RESET_ROOT=10d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
RESET_ON_SUCCESS = yes
DAEMON_LOG = /var/log/denyhosts
DAEMON_LOG_TIME_FORMAT = %b %d %H:%M:%S
DAEMON_LOG_MESSAGE_FORMAT = %(asctime)s - %(name)-12s: %(levelname)-8s %(message)s
DAEMON_SLEEP = 30s
DAEMON_PURGE = 1h

#Ces dernières lignes permettent d'utiliser le partage d'IP. On peut se limiter au partage montant ou descendant
#C'est purement facultatif mais je vous le recommande.
SYNC_SERVER = http://xmlrpc.denyhosts.net:9911
SYNC_UPLOAD = yes
SYNC_DOWNLOAD = yes

Puis pour le lancer :

/et/init.d/denyhosts start

Sous Gentoo pour le lancer automatiquement au boot vous devez l’ajouter à votre « rc par défaut » :

rc-update add denyhosts default

Logs

Allons faire un tour dans les logs de DenyHosts pour voir à quoi s’attendre.

Exemple de synchro où l’on récupère des IP à blacklister :

Feb 20 04:42:43 - denyhosts : INFO received new hosts: ['217.10.117.161', '194.185.200.156', '91.75.180.114', '202.141.132.50', '60.248.91.64', '211.100.42.83', '202.165. 177.203', '211.155.227.171', '58.221.34.18', '88.191.15.133', '210.51.36.162', '220.165.28.66', '91.205.74.41', '61.178.74.43', '202.117.54.134', '74.127.18.195', '195.250.39.6 6', '216.229.160.194', '122.70.147.103', '200.195.168.194', '202.44.11.60', '94.190.187.113', '213.5.64.164', '201.116.98.210', '163.13.175.44', '119.149.189.199', '93.152.156. 13', '125.7.209.4', '210.51.48.71', '88.117.234.162', '217.97.185.35', '217.20.183.73', '117.41.228.195', '201.20.186.222', '79.39.6.98', '221.165.162.4', '211.72.171.76', '209 .255.67.10', '80.203.122.116', '12.152.124.2', '70.169.201.74', '202.5.95.205', '217.219.67.131', '65.98.97.98', '218.241.155.144', '80.14.186.105', '96.31.68.39', '218.108.247 .138', '61.138.217.19', '82.230.95.10']

Ajout d’un attaquant + upload au serveur central :

Feb 21 09:25:31 - denyhosts : INFO new denied hosts: ['81.7.171.15']
Feb 21 09:43:01 - sync : INFO sent 1 new host

Reset du compteur en cas de login réussi :

Feb 21 11:35:03 - loginattempt: INFO resetting count for: 10.0.0.3

Liens

Site officiel
Statistiques mondiales de DenyHosts

Si vous avez aimé ce post...

Libérez votre esprit avec Freemind

koolfy — Sun, 21 Feb 2010 02:32:55 +0000

Ça semble évident : dans le monde de l’OpenSource, de la programmation ou de l’informatique en général, s’il est un besoin omniprésent, c’est bien celui de structurer une pensée, schématiser une procédure, ou hierarchiser un projet.

Combien de projets sont-ils morts ou ont-ils été paralysés par un défaut de structure, d’ordre et de clarté dans la manière de procéder ?

Freemind, ce n’est pas un nouveau procédé de méditation New-Age à la mode, mais c’est tout de même la solution à ce problème !

Freemind est un logiciel de création de schémas et d’organigrames de type WYSIWYG permettant de structurer graphiquement des idées ou des procédures, c’est à dire à peu près tout ce qui passe par votre tête.

Nous allons ici voir les avantages, pas toujours triviaux, et pourquoi il peut réellement être important de se forcer à représenter ses pensées schématiquement.

Freemind : comment regarder son cerveau dans un miroir, et y mettre un peu d’ordre !

Dans une citation célèbre, souvent attribuée à Einstein, il est dit que “Si tu n’es pas en mesure d’expliquer un concept à un enfant de 8 ans, c’est que tu ne maitrises pas ce concept correctement.”

Le premier intérêt d’une représentation graphique, au delà de tout autre utilité, est d’appréhender ses pensées.
Cela peut paraître stupide, ou inutile, mais la réalité est que, si on prenait la peine de se représenter correctement à soi-même ses propres pensées, avant de tenter de les appliquer ou de les expliquer à quelqu’un, on éviterait souvent de perdre beaucoup de temps à tenter d’expliquer un raisonnement qu’on n’appréhende et donc ne peut exprimer clairement, ou à tenter d’implémenter une procédure qui, sur un schéma correct, se révèle irréalisable, et dont les failles apparaissent comme des guirlandes de noël.

Une preuve ? Un exemple ? Mieux : un témoignage !

Pas plus tard que cette nuit, j’ai tenté de me mettre sérieusement à utiliser les services de réseaux sociaux dont on entends tant parler actuellement.
Mes 4 nominés ? Google Buzz, Facebook, Identi.ca et Twitter.
Mon objectif ? Parvenir à tous les utiliser en même temps, avec un moindre effort, et qu’ils se synchronisent correctement entre-eux le plus possible.

Ceux qui se sont déjà lancés dans ce genre d’initiatives savent à quel point les procédés pour relier deux services qui refusent de se parler (concurrents, par exemple) peuvent être tordus, mais surtout à quel point une structuration sans faille des interactions de ces réseaux est vitale pour éviter des redondances ou des boucles infinies.

Après avoir cassé les dents de mon petit esprit inférieur sur ce problème épineux, j’ai décidé de le représenter sur un bout de papier, ou mieux, sur “ce logiciel dont je dois faire un article Geekfault depuis des mois”, comment je voulais structurer mon réseau.

Ci-jointe, donc, la première itération de mon schéma logique des interactions entre ces différents services.

You're doing it wrong !

Je vous mets au défi de jeter un coup d’œil rapide à ce schéma, et à ensuite tenter de vous persuader que vous avez compris la structure exacte de ce dispositif, ou pire : de l’expliquer à quelqu’un.
C’est quasiment impossible sans y passer au moins 5 bonnes minutes. 5 précieuses minutes pour un concept qui n’en mérite qu’une maximum, car un schéma d’organisation plus complexe pourrait facilement vous prendre 30 minutes pour comprendre un concept qui pourrait être décrit et défini en 5 minutes.

Il ne s’agit pas ici (uniquement) d’une inaptitude à utiliser un logiciel de schématisation. J’ai d’ailleurs très exactement reproduit le concept que j’avais en tête.
Là est précisément le problème.
Ce n’est qu’après avoir à moitié schématisé mon plan de pensée, que j’ai compris que si je n’arrivais pas à comprendre mon propre schéma, c’était tout simplement parce qu’il était déjà totalement bordélique dans ma tête, et qu’il devait être repensé from scratch.

C’est ainsi que, en quelques minutes seulement (voire quelques dizaines de secondes), j’ai recommencé mon schéma, en repensant, non seulement sa schématisation, mais également sa structure dans ma tête, et que je suis parvenu à ce simple mais efficace résultat :

La différence est frappante !

S’il semble un peu déconcertant à première vue (de par l’absence de légendes), quelques secondes d’observation seulement vous feront déjà réaliser les trois principaux points importants du dispositif :

Twitter occupe une position centrale, et est celui qui se charge de propager les mises à jours aux autres services. (flèches bleues)
Identi.ca est le seul service qui poste des mises à jours à Twitter (flèche rouge)
Chaque service est en contact avec chaque autre service via Twitter (flèches vertes, représentant des liens indirects)

Une fois qu’on a compris ça, on peut déjà mettre en place le dispositif de façon ordonnée, méthodique et productive, et on peut déjà très clairement apercevoir les implications plus abstraites :

Tout ce qui est posté par Identi.ca est correctement propagé à tous les services, il doit donc être le service utilisé pour poster des mises à jour.
On peut poster des mises à jours sur Facebook et Buzz sans qu’elles ne soient répercutées partout à la fois, ces deux services peuvent donc être utilisés pour poster des mises à jours plus personnelles/privées, ou simplement n’ayant pas la prétention de devoir être propagées sur tous les moyens de communications et «spamées» inutilement.

Cette expérience illustre parfaitement que même si je croyais avoir saisi la structure à appliquer, et avoir compris mon raisonnement, une représentation graphique m’a évité de me gratter la tête pendant des heures, et m’a permis de reprendre mes erreurs, qui apparaissaient évidentes en comparant les deux schémas.

Quelques minutes plus tard, mon dispositif était en place, et marchait du tonnerre de dieu. Ils vécurent heureux et eurent beaucoup de followers !

Si vous avez aimé ce post...

Monitoring – Munin

bragon — Sat, 20 Feb 2010 17:40:17 +0000

Je vais ici vous parler de Munin.
C’est un outils de génération de graphs basé sur rrdtool.
Il permet de grapher toute sorte de chose vachement bien, et comme j’en suis pleinement convaincu, je vais vous le présenter ici.
L’intégration de plugins supplémentaire afin de grapher des choses non prévu à la base est enfantine.
Il existe pas mal de munin publique qui peuvent vous permettre de vous rendre compte de la puissance de l’outils.
Allez par exemple visualiser : https://supervision.globenet.org/munin/

Geeknode génére sa page statistique grace à des plugins Munin homemade également :
Allez visualiser : http://www.geeknode.org/statistiques.html

J’espère ainsi vous avoir donné l’envie d’aller voir plus loin avec ce soft très bien fait.

Munin se décompose en 2 parties :

Le grapheur munin sur une machine qui va se charger de la surveillance, c’est la machine qui va s’occuper d’interroger tous les nodes, et de générer les graphiques à partir des fichiers rrd collectés.

Le démon munin-node sur chaque machine qui va fournir son état au grapheur.

Evidement, si vous n’avez qu’un seul serveur vous aurez a exécuter munin-graph et munin-node sur la même machine.

munin-node.conf doit binder sur 127.0.0.1 (host) et n’a pas besoin d’accepter autre chose que 127.0.0.1 (allow) dans le cas d’une machine simple.

Si vous avez plusieurs machines à grapher vous devez bien sur écouter sur une ipv4 publique afin que le grapher puisse récupérer vos données.

Pour firewaller munin-node :

INPUT TCP IP.SRC.MUNIN.GRAPH/32 4949 sur les munin-node
OUTPUT TCP 4949 sur le munin-graph

On install munin-node sur les machines à surveiller

MUNIN-NODE est à installer sur toutes les machines que l’on veut grapher.

Installation du daemon munin-node sous Gentoo :

echo 'net-analyzer/munin minimal -ssl -mysql' >> /etc/portage/package.use
emerge -av net-analyzer/munin

Installation du daemon munin-node sous Debian

apt-get install munin-node

Configuration du daemon munin-node

On importe les plugins sous gentoo :
On ajoute les plugins de base
Sous debian les plugins de base en fonction des services tournant sur la machine sont par defaut activés.

cd /etc/munin/plugins
ln -s /usr/libexec/munin/plugins/swap
ln -s /usr/libexec/munin/plugins/memory
ln -s /usr/libexec/munin/plugins/processes
ln -s /usr/libexec/munin/plugins/if_ /etc/munin/plugins/if_eth0
ln -s /usr/libexec/munin/plugins/if_ /etc/munin/plugins/if_eth1
ln -s /usr/libexec/munin/plugins/uptime
ln -s /usr/libexec/munin/plugins/cpu
ln -s /usr/libexec/munin/plugins/load
ln -s /usr/libexec/munin/plugins/df
ln -s /usr/libexec/munin/plugins/interrupts
ln -s /usr/libexec/munin/plugins/iostat
ln -s /usr/libexec/munin/plugins/netstat
ln -s /usr/libexec/munin/plugins/users

On ajoute les plugins apache

ln -s /usr/libexec/munin/plugins/apache_accesses
ln -s /usr/libexec/munin/plugins/apache_processes
ln -s /usr/libexec/munin/plugins/apache_volume

On autorise le serveur à grapher à accéder au munin-node

* /etc/munin/munin-node.conf
allow ^IP\.PRIVE\.DU-SERVEUR-QUI-GRAPH\.ETH1$

* au passage on bind le munin-node sur eth1 aussi, ça évite d’écouter inutilement sur toutes les autres interfaces
host IP.PRIVE.DE.CETTE.MACHINE

Exemple de fichier munin-node.conf

log_level 4
log_file /var/log/munin/munin-node.log
port 4949
pid_file /var/run/munin/munin-node.pid
background 1
setseid 1

# Which port to bind to;
host *
user root
group root
setsid yes

# Regexps for files to ignore

ignore_file ~$
ignore_file \.bak$
ignore_file %$
ignore_file \.dpkg-(tmp|new|old|dist)$
ignore_file \.rpm(save|new)$

allow ^10\.0\.69\.250$

Installation du grapheur

Sous Gentoo :

echo 'net-analyzer/munin -minimal -mysql' > /etc/portage/package.use
emerge -av munin

Sous Debian :

apt-get install munin

Exemple de fichier munin.conf

dbdir /var/lib/munin
htmldir /var/www/munin
logdir /var/log/munin
rundir /var/run/munin
tmpldir /etc/munin/templates

[localhost.localdomain]
address 127.0.0.1
use_node_name yes

[brag-nas]
address 10.0.69.240
use_node_name yes

[satanas.bragon.info]
address 10.0.69.45
use_node_name yes
[lucifer.bragon.info]
address 10.0.69.1
use_node_name yes

crontab

Une crontab doit logiquement s’etre ajouté lors de l’installation sur le grapher pour l’utilisateur munin :

crontab -u munin -l
# m h dom mon dow command
*/5 * * * * [ -x /usr/bin/munin-cron ] && /usr/bin/munin-cron

Si la crontab ne s’est pas mise en place rajoutez la.

crontab -u munin -e

Exemples de graphs

Et enjoy les supra bien graph )

Si vous avez aimé ce post...

EeeGW : Créer soi-même une passerelle réseau

bragon — Thu, 31 Dec 2009 11:44:59 +0000

Le routeur-passerelle (gateway, en anglais) est le lien entre votre réseau local et l’Internet. Sans doute utilisez-vous simplement la box fournie par votre FAI ou un autre modem-routeur acheté en magasin, mais installer et configurer soi-même son gateway présente de nombreux avantages.

Je vous présente via cet article ma transformation d’un EeePC, qui ne me servait à rien, en routeur-passerelle réseau. Je vous présente mon travail, mais il est très facile d’adapter ce travail à votre utilisation et à votre propre machine afin de la transformer en un super routeur Linux qui tue tout

Article illustré par l’exemple

Cette documentation est adapté à mon LAN qui est paramétré sur le subnet 10.0.69.0/24. Le eeegw, comme je l’appelle, prend donc l’adresse 10.0.69.250/24 est sera la gateway de mon réseau afin que mes autres machines puissent accéder à l’internet.

À quoi ça sert de monter sa propre Gateway ?

Ne pas avoir à redémarrer sa connexion internet chaque fois qu’on a envie de toucher aux règles de firewalling. En effet les box des FAI nécessitent de redémarrer pour prendre en compte de nouveaux paramètres
Ne pas avoir une boite noire à la place de routeur : on peut surveiller son réseau et savoir quels sont les packets qui y passent
Pouvoir loguer via iptables et ulogd par exemple (futur article)
Pouvoir grapher via rrdtool / Mrtg la bande passante qui passe par vos liens
Pouvoir héberger un petit blog (par exemple) directement sur votre passerelle
Pouvoir mettre en place un proxy transparent pour votre connexion pour mettre en cache les pages les plus souvent demandées et ainsi économiser de la bande passante (futur article)
Savoir exactement ce qui se passe avec votre connexion internet
Mettre en place des outils de détection d’attaques sur votre réseau via SNORT (futur article)

Choisir le bon matériel

N’importe quel ordinateur avec un tant soit peu de puissance est suffisant pour faire un bon gateway, il suffit que cette machine soit munie de plusieurs interfaces réseau.

Durant des années j’ai eu en tant que passerelle un PII 266Mhz muni de 128MB de ram et d’un disque dur de 2Go. Pour cette nouvelle gateway j’ai choisi le EeePC 7″ que j’ai baptisé eeegw

Pourquoi ce choix? Parce que le EeePC dispose de beaucoup d’avantages à être transformé en Gateway :

Il est muni d’une batterie donc non affecté par une coupure de courant éventuelle
Il dispose d’une interface réseau ethernet et d’une interface wifi
La carte wifi intégrée est une Atheros et supporte donc (via le pilote madwifi) les multi wireless WAN
Sa puissance est honorable (512 de RAM / 900Mhz / 4Go de SSD)
On peut très facilement installer une distribution GNU/Linux dessus
On peut installer un serveur web dessus en toute tranquillité
Son matériel est pleinement supporté par le noyau Linux
Sa consommation est très faible, permettant donc d’être allumé 24/24 sans détruire son budget EDF

Installer la bonne distribution

Si comme moi vous souhaitez transformer un EeePC, je vous conseille Debian. Personnelement j’aurais bien choisi Gentoo, mais le EeePC prendrait trop de temps à compiler, et ne refroidit pas spécialement bien.

Installer la distribution Debian sur un EeePC est très bien documenté, il vous suffit de créer une clée usb bootable. Je vous renvoie à la documentation de Debian : EeeDebian.

Glossaire des packets Debian nécessaires pour ce howto

iproute
iptables
apache2
munin munin-node
wireless-tools

Si vous avez aimé ce post...

IP over DNS : Contourner les limitations des hotspots

Tito — Sat, 26 Sep 2009 14:50:24 +0000

Vous êtes dans une gare, un hôtel ou un aéroport. Celui-ci est équipé en hotspots WiFi mais dès que vous vous connectez ils essayent de vous sous-tirer plus de 10€ pour une petite heure de connexion, ce qui est totalement aberrant vu les coûts de déploiement actuels.

Là, vous avez deux solutions : payer (ce qui peut vite devenir cher si vous passer plus d’une semaine à l’hôtel) ou contourner les limitations. Vous vous rendrez vite compte que, même avant d’avoir payé, tous les hotspots résolvent les DNS… et il ne vous aura pas échappé qu’une résolution de DNS est un échange de données!

Attention : Cet article fait appel à des connaissances avancées.

Le port UDP 53

Pour faciliter la configuration de ces hotspots, de nombreux administrateurs n’hésitent pas à tout simplement ouvrir le port DNS, c’est-à-dire le port UDP 53. Une solution simple pour accéder à internet serait donc d’avoir un serveur VPN sur ce port.

Malheureusement on tombe souvent sur des hotspots bien configurés, qui n’autorisent du trafic que vers leur propre serveur DNS. Pourtant, vous avez remarqué qu’un

dig geekfault.org

vous a retourné la bonne adresse IP (81.93.247.142 actuellement) et non une adresse IP du hotspot. Vous venez de communiquer avec l’internet!

Échange de données over DNS

L’idée est donc simple : traduire vos “requêtes IP” en requêtes DNS. Un faux serveur DNS va comprendre ces requêtes, les exécuter et retourner la “réponse IP” en réponse DNS! Ce détournement du système DNS est réalisable grâce à NSTX, ou Name Service Transfer Procotol qui crée un véritable tunnel IP entre votre laptop et votre serveur, grâce aux requêtes DNS.

Par exemple vous essayez de vous connecter à Geekfault.

Firefox génère une requête HTTP vers geekfault.org
Celle-ci est interceptée par le client NSTX tournant sur le laptop. Il génère une requête vers le domaine KJhjh33.dd_2sT-XXT.dAAoi_f.tunnel.example.com
Le NSTX tournant sur le serveur reçoit cette requête DNS et décode le KJhjh33.dd_2sT-XXT.dAAoi_f en “requête HTTP vers geekfault.org”
Le serveur se connecte alors à geekfault.org et récupère son contenu
Le contenu récupéré est encodé de la même manière et transmis vers votre laptop en tant que réponse DNS TXT
Le NSTX tournant sur le laptop décode les données, reformant les paquets IP
Firefox reçoit les données HTTP, Geekfault.org s’affiche

Mise en place du serveur

Attention il est important que votre vrai serveur DNS et votre serveur NSTX soient sur deux machines différentes, ou au moins sur deux IP différentes. En effet, il faut qu’un vrai serveur DNS fasse pointer le sous-domaine tunnel.example.com vers NSTX. Pour cela, ajoutez à la fin de votre zone DNS

$ORIGIN tunnel.example.com.
@ IN NS ns.tunnel.example.com.
ns IN A 1.2.3.4

où example.com est votre domaine et 1.2.3.4 est l’IP du serveur où vous installerez NSTX.

Vérifiez que votre kernel est compilé avec le “Universal TUN/TAP device driver support” (dans Network device support) . Installez NSTX, disponible en package pour de nombreuses distributions.

Et il ne reste plus qu’à créer le tunnel côté serveur:

# modprobe tun #Uniquement si compilé en module
# nstxd -i 1.2.3.4 tunnel.example.com
# ifconfig tun0 up 172.16.42.1 netmask 255.255.255.0
# iptables -t nat -A POSTROUTING -s 172.16.42.2 -o eth0 -j SNAT

Le client sur le laptop

De la même manière, vérifiez que vous avez le support TUN/TAP dans le kernel et installez NSTX.

Récupérez l’adresse IP du serveur DNS fourni par DHCP (dans /etc/resolv.conf) ainsi que l’adresse IP du routeur (dans route). On crée alors l’autre bout du tunnel et on route le trafic approprié dans celui-ci:

# modprobe tun #Uniquement si compilé en module
# nstxcd tunnel.example.com
# ifconfig tun0 up 172.16.42.2 netmask 255.255.255.0
# route del default
# route add -host gw dev
# route add default gw 172.16.42.1 tun0

Performances

Vous devriez maintenant être capable de surfer sur le web. Selon le serveur DNS du fournisseur, vous pouvez espérer entre 10 et 60ko/s. Malheureusement les fortes latences de toutes les requêtes empêchent l’utilisation de plusieurs services, dont le SSH. Mais, hé, vous accédez à internet sans vous défaire de 10€

Vous aurez aussi sans doute compris que nous sommes là au bord de la légalité : on exploite en quelque sorte une faille dans le système de hotspot. À utiliser avec précaution et parcimonie.

Si vous avez aimé ce post...

Plowshare : MegaUpload, RapidShare et autres en CLI

Tito — Wed, 26 Aug 2009 12:32:45 +0000

Récemment j’ai découvert un petit script en ligne de commande qui pemet de télécharger sur MegaUpload, RapidShare, 2Shared, Badongo, Mediafire, 4Shared et Zshare !

Ce script sait en plus utiliser les comptes Premium sur MegaUpload (mon préféré) ainsi qu’uploader sur MegaUpload, RapidShare et 2Shared. Si vous n’avez pas de compte premium, il est même capable de déchiffrer les captcha!

Installation

Assurez-vous d’abord d’avoir toutes les dépendances nécessaires : curl recode imagemagick tesseract spidermonkey aview.

Ensuite, téléchargez et décompressez la dernière version de plowdown. En root, déplacez-vous dans son répertoire et exécutez

./setup.sh install

Vous pouvez désormais utiliser les commandes plowdown pour télécharger et plowup pour uploader !

Quelques exemples de commandes

Simplement télécharger un fichier sur un des fournisseurs compatibles :

plowdown http://...
Télécharger avec un compte utilisateur (MegaUpload uniquement) :
plowdown -a user:password http://www.megaupload.com/?d=XXXXXXXX
Télécharger tous liens répertoriés dans fichier.txt, un lien par ligne :
plowdown fichier.txt
Récupérer le lien de download direct :
plowdown --link-only http://...
Si vous préférez wget :
plowdown --link-only http://... | xargs -rt wget
Uploader un fichier chez MegaUpload :
plowup -a user:password -d "Description" film.avi megaupload

Lecture des captchas

Grâce à tesseract ce script arrive à déchiffer les captchas parfois présents sur ces services de téléchargement. Je n’ai essayé que celui de MegaUpload et, même s’il lui faut souvent plusieurs essais, il y arrive quand même à tous les coups.

À noter que sous Gentoo j’ai dû télécharger et installer manuellement tesseract plus les fichiers data (absents de l’ebuild officiel) pour qu’il arrive à lire les captcha.

Un script bien pratique!

Ce script est très utile si vous possédez un serveur dédié. Vous pourrez ainsi exploiter la puissance (j’ai déjà pompé à plus de 9Mo/sec ) et stabilité de sa connexion. Ensuite vous pouvez récupérer le fichier sur votre propre ordinateur avec le support de la reprise d’un téléchargement interrompu!

Le but premier de ce script n’était sans doute pas le warez mais il faut avouer qu’il s’y prête bien Il est d’ailleurs très pratique pour partager un compte Premium (uniquement MegaUpload dans sa version actuelle) derrière une seule et même IP.

Si vous avez aimé ce post...

Echinus, un WM, simplement.

roidelapluie — Wed, 19 Aug 2009 16:19:26 +0000

Sur le marché des WM, il est parfois compliqué de s’y retrouver, et il arrive que certains d’entre eux restent injustement cachés. Le WM dont je vais vous parler aujourd’hui s’appelle Echinus, et je l’ai découvert tout à fait par hasard, suite à une faute de frappe.

Au premier test, je me suis demandé si le WM s’était bien lancé. Et pour cause: rien n’apparaissait à l’écran. Un clic droit sur le «bureau» m’a cependant affiché xterm, me permettant alors d’utiliser mon pc et de lire documentation et site web du projet.

De fil en aiguille, et avec mes quelques personnalisations détaillées plus loin, je suis devenu fan de ce petit WM qui n’attire pas autant qu’il devrait la lumière des projeteurs.

Au fil de cet article, vous (re-)découvrirez ce qu’est un WM (gestionnaire de fenêtre, en français), avant de vous pencher plus précisément sur Echinus.

Un WM, qu’est-ce que c’est?

Les WM, gestionnaires de fenêtres, sont ces logiciels qui sont chargés de l’affichage et du placement des fenêtres, nous informe Wikipédia.

Cette définition devrait vous éclairer sur leur fonction, mais surtout sur leur omniprésence. Pour la plupart des utilisateurs, dès qu’il y a des fenêtres, il y a un gestionnaire de fenêtres qui se cache derrière. C’est lui qui choisit où se place la fenêtre, la taille qu’elle a, si elle doit être maximisée, minimisée, si elle doit avoir une barre de titre, etc…

Concrètement, que fait-il?

Un WM peut gérer les barres de titres, les bureaux virtuels, les fonds d’écran, les raccourcis claviers, le déplacement, le redimensionnement, l’icônification des fenêtres, les effets 3d, et bien d’autres choses.

Des exemples de WM

Gnome n'est en fait qu'un «gestionnaire» pour Metacity

Les WM les plus fréquents, intégrés à la plupart des grosses distributions, sont Metacity, Compiz-Fusion, Kwin, Openbox, Xfwm4.

Cependant, pas mal d’autres WM, malgré qu’ils ne sont pas intégrés de base dans ces méga-distributions, disposent de leur public et d’une communauté plus ou moins active. Ces WM ont traversé les âges. Je parle de fvwm2, Icewm, Fluxbox, awesome, dwm (dont nous reparleront), et bien d’autres encore.

Voyons maintenant comment classer ces différents WM.

Classification des WM

Il est possible de classer les différents WM selon plusieurs critères. Parmi ceux-ci, l’âge, la licence, le système d’exploitation, l’activité, la taille de la communauté et l’origine sont des critères certes intéressants, mais ils permettent de classifier n’importe quels logiciels.

Nous préfèrerons ici une classification propre aux WM: d’une part, les Floating Window Manager, et d’autre part les Tiling Window Manager.

La technique du Floating

Echinus en mode Floating

Dans un Floating Window Manager, une fenêtre est dite flottante. C’est à dire qu’elle se déplace où vous le voulez sur l’écran, elle prend la place qu’elle désire, et les fenêtres peuvent se superposer.

La technique du Tiling

Les Tiling Window Managers fonctionnent tout à fait différemment. Une nouvelle fenêtre créée changera la taille de toutes les autres fenêtres, afin que toutes les fenêtres soient visibles en même temps, et occupent tout l’espace disponible à l’écran.

Mon Echinus en mode Tiling

À noter que la méthode du tiling n’est pas incompatible avec la notion de bureaux virtuels.

En pratique: les WM mixtes

La technique du tiling peut sembler la meilleure, mais n’est pas adaptée à de nombreux cas.

Par exemple, le logiciel Gimp, qui est constitué de plusieurs fenêtres, la messagerie instantannée, la bureautique, le visionnage de vidéos demandent des fenêtres flottantes, avec leur propre placement et leur propre taille.

Pour cela, la plupart des Tiling Window manager sont mixtes: ils permettent d’avoir certaines fenêtres toujours flottantes, et même certains bureaux virtuels où toutes les fenêtres seront flottantes. Il s’agit de l’immense majorité des gestionnaires de fenêtres en tiling.

Echinus organise les terminaux du fond en Tiling, mais permet la superposition d'une fenêtre en Floating par dessus

Approchons maintenant un de ces fameux gestionnaires de fenêtres mixte: Echinus.

Si vous avez aimé ce post...

Faille critique dans tous les noyaux Linux

Tito — Fri, 14 Aug 2009 19:18:19 +0000

Hier, Tavis Ormandy et Julien Tinnes (Google Security) ont dévoilé une faille qui affecte tous les kernels Linux 2.4 et 2.6 depuis 2001.

C’est un bug de type NULL Pointer Deference qui permet au pirate d’exécuter n’importe quel code au niveau du kernel et donc d’acquérir les droits root.

NULL Pointer

Dans le noyau Linux, chaque socket de connexion a une structure d’opérations associée (proto_ops) qui contient des pointeurs vers diverses opérations : accept, bind, shutdown, …

Si une des opérations n’est pas nécessaire à ce type de socket, le pointeur devrait tout de même être défini vers une fonction “inutile”. Mais évidemment tous les développeurs n’y pensent pas forcément et beaucoup de sockets laissent ces pointeurs non-initialisés (NULL).

Le problème, c’est que certaines fonctions du noyau Linux (sock_sendpage, par exemple) ne vérifient pas si ces pointeurs sont bien initialisés et exécutent le code “NULL”, c’est à dire un code à l’emplacement 0.

Un pirate n’a donc qu’à insérer son code dans l’emplacement 0 et faire en sorte que le kernel l’exécute. Puisque le kernel possède des droits absolus, il est très facile d’exploiter cette faille pour acquérir les droits de root (privilege escalation).

Des exploits déjà disponibles

Comme le précise Julien Tinnes, ce type de vulnérabilité est très facile à exploiter : « ça ne nous a pris que quelques minutes pour adapter un ancien exploit ». Et forcément il y en a déjà plusieurs qui circulent sur la toile.

Nous avons trouvé un exploit nommé wunderbar_emporium. Celui-ci exploite un bug dans pulseaudio et n’est donc pas dangereux pour la plupart des serveurs. (NB aux petits script kiddies ) Comme vous pouvez le voir dans le screenshot ci-dessus il fonctionne plutôt pas mal!

Bien sûr des exploits existent pour des failles dans d’autres protocoles, plus largement répandus que Pulseaudio.

Mais un patch aussi disponible

Très exactement 9 minutes après la publication de l’article sur le blog de Jean Tinnes, Linus Torvalds lui-même a mis en ligne le patch comblant cette faille en remplaçant la fonction sock->ops->sendpage par kernel_sendpage, fonction ne laissant pas passer ce genre d’erreurs.

Les kernels gérant mmap_min_addr peuvent aussi se prémunir de certains exploits en règlant cette variable à une valeur supérieure à 0 :

# echo 4096 > /proc/sys/vm/mmap_min_addr

Celle-ci empêche toute écriture dans la mémoire 0… Mais cette mesure de sécurité est toute neuve et contournable pour les kernels inférieurs à 2.6.30.2. Il est donc plus qu’impératif d’appliquer le patch kernel au plus vite.

La faille couvrant le plus grand nombre de kernels Linux

Couvrant tous les kernels publiés depuis 2001, que ce soit en version 2.4 ou 2.6, cette faille décroche la palme de la faille portant sur le plus grand nombre de releases stables du kernel Linux. Elle est potentiellement très dangereuse puisqu’un utilisateur lambda peut acquérir les droits de root!

Nous ne pouvons que vous conseiller d’appliquer le patch au plus vite. Les différentes distributions devraient d’ailleurs publier le kernel mis à jour dans les prochaines heures…. Enfin, espérons