Les mails sans rangement c’est immangeable, ceci est une petite recette d’assaisonnement

Centraliser mes mails m’apporte plusieurs choses :

- Faciliter le filtrage.
- Faciliter le rangement dans différents dossiers.
- Effectuer un backup de tous mes comptes IMAP/POP.
- Faire apprendre à mon antispam mes différents réglages.

Cette recette ne couvre pas l’installation de Apache + php + MySQL
Nous supposons ici que vous savez faire ce type d’installation.

Cette recette ne couvre pas non plus l’utilisation de mutt (je mettrai tout de même en ligne ma configuration).
En effet, l’utilisation de mutt mérite un article à lui seul !

Postulat1 : Les mails seront stockés dans cette recette ici : /home/utilisateur/.maildir
Postulat2 : Nous supposons que vous avez plusieurs comptes email à rapatrier.
Postulat3 : Nous supposons que vous disposez d’une machine GNU/Linux sous Gentoo et/ou Debian pour effectuer ce howto.
Postulat4 : Nous supposons que vous stockez vos mails dans le format Maildir ! (se reporter au Howto Sur la conversion mbox => maildir en cas de soucis) Allez lire : http://geekfault.org/2010/04/09/maildir-mbox-la-migration/

Résultat une fois que la recette est en place

Logiciels nécessaires pour “MailFiltrés”

Remplir la casserole

Pour trier le manger dans la casserole nous devons tout d’abord la remplir !

Pour effectuer ce howto il nous faut tout d’abord des emails.
Il va donc nous falloir configurer fetchmail.
Attention ne pas lancer fetchmail de suite ! Sinon vous risquez de rapatrier les emails sans même les faire passer dans la moulinette avant de les déposer dans les bons compartiments de la casserole !

Récupérer les ingrédients et les mettre dans la casserole

* Gentoo

USE="ssl" emerge -av net-mail/fetchmail


* Debian

apt-get install fetchmail


* .fetchmailrc


## les mails mondomaine.info
poll pop.geekmx.org
protocol pop3
username bragon@mondomaine.info
password ""
#mda '/usr/bin/procmail -d %T' ### petit commentaire pour vous faire voir comment faire pour faire passer vos mails dans la moulinette procmail avant de les donner à manger à dovecot !!
mda "/usr/libexec/dovecot/deliver"
is 'bragon' here ### Nom de l'utilisateur local pour déposer les mails.
keep ### Laisses mes mails sur l'imap distant ! Mechant !

Filtrer / Découper les ingrédients Juste avant la casserole


emerge -av =net-mail/dovecot-1.2.6

ou

apt-get install dovecot # Je crois que de base dans Debian dovecot est compilé avec sieve.


* Flag de compilation nécéssaire pour dovecot : “berkdb bzip2 ipv6 maildir managesieve mysql pam sieve ssl zlib -caps -cydir -dbox -doc -kerberos -ldap -mbox -postgres -sqlite -suid -vpopmail”

Via ces directives de compilation dovecot supporte maintenant les fichiers de filtrage “.sieve”
Il vous suffit de déposer n’importe quel fichier sieve dans /home/utilisateur/sieve pour que dovecot utilise vos filtres.

Voici un exemple de syntaxe : tamereenshortsurunCISCO7603.sieve


# rule:[cron]
elsif anyof (header :contains "Subject" "root@gn",
header :contains "From" "root@astaroth",
header :contains "From" "bragon@tobold",
header :contains "From" "root@aec-ri.com",
header :contains "From" "root@mail.geekmx.org",
header :contains "From" "root@bender")
{
fileinto "cron";
}


Second exemple de syntaxe : tonpapaesttellementvieuxque….sieve


# rule:[SYSADMIN ML]
elsif anyof (header :contains "From" "sysadmin@domaine.net",
header :contains "Subject" "Liste Franophone Administrateur systeme")
{
fileinto "boulot.sysadmin";
redirect "smartphone[at]bragon[point]info"; ## Mettre ici une adresse mail valide
}
# rule:[Debian Security Advertise]
elsif anyof (header :contains "Subject" "[SECURITY][DSA")
{
fileinto "boulot.dsa";
}


Virer les ingrédients moisis en les mettant dans un compartiment de la casserole


emerge -av =mail-filter/spamassassin-3.2.5-r2


* Flag de compilation nécessaire pour spamassassin : "berkdb ipv6 mysql ssl -doc -ldap -postgres -qmail -sqlite -tools"

* Voir les configurations de spamd ci-après.

Renvoyer certains ingrédients au cuisinier


emerge -av =mail-mta/postfix-2.6.5


* Flag de compilation nécessaire pour postfix : "dovecot-sasl ipv6 mysql pam ssl -cdb -hardened -ldap -mbox -nis -postgres -sasl (-selinux) -vda"

* Voir le fichier de configuration main.cf ci-après.

Le postfix me sert uniquement pour transférer certaines régles sieve vers une autre adresse mail.
Cette adresse mail est popé via mon smartphone.
Ainsi je reçois N'importe ou Certains mails qui "matchent" une régle de filtrage spécifique !

Le postfix peut me servir également à faire réply dans l'interface roundcube ou mutt . (mais je l'utilise rarement car ce postfix n'a ni domainkeys ni spf pour mes domaines pro / geeknode / gmail) Et le mail bien que délivré arrivera dans la boite à spam du correspondant fréquemment.

Ce postfix n'est là que pour dépanner, et pour transférer mes mails super important via mon smartphone.

Faire mijoter à feu doux !

Placer ce crontab pour l'utilisateur qui va devoir récupérer les mails.


crontab -e
*/10 * * * * /usr/bin/fetchmail > /dev/null 2>&1


Les mails vont donc être récupérés toutes les dix minutes, et directement déposés dans le MDA ( Mail Délivery Agent).
Le MDA de ma configuration fetchmail étant dovecot, et dovecot lisant tous mes filtres, cela devrait bien se passer

Présentation sur un joli plat du résultat.

La configuration de dovecot aka "Le déversoir"


base_dir = /var/run/dovecot/
protocols = imap managesieve ## Je suppose que vous n'avez pas besoin de pop pour votre interface centralisé.
shutdown_clients = yes
disable_plaintext_auth = no
ssl = no ## ce howto ne couvre pas la sécurité de l'imap

Configuration de .muttrc aka le rouleau à patisserie

Placer ce fichier .muttrc à la racine du répertoire utilisateur :

Configuration de postfix aka "Le renvoyeur"


queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = //usr/lib/postfix
data_directory = /var/lib/postfix
mail_owner = postfix
myhostname = tobold.mondomaine.info
mydomain = tobold.mondomaine.info
myorigin = $myhostname

Configuration SpamAssassin/MySQL

* Afin de générer un bon local.cf utilisez : http://www.yrex.com/spam/spamconfig.php

* Insérer dans une base MySQL

CREATE TABLE userpref (
username varchar(100) NOT NULL default '',
preference varchar(50) NOT NULL default '',
value varchar(100) NOT NULL default '',
prefid int(11) NOT NULL auto_increment,
PRIMARY KEY (prefid),
KEY username (username)
);
CREATE TABLE bayes_expire (
id int(11) NOT NULL default '0',
runtime int(11) NOT NULL default '0',
KEY bayes_expire_idx1 (id)
) TYPE=MyISAM;

* secret.cf

* local.cf


# SpamAssassin config file for version 3.x
# NOTE: NOT COMPATIBLE WITH VERSIONS 2.5 or 2.6
# See http://www.yrex.com/spam/spamconfig25.php for earlier versions
# Generated by http://www.yrex.com/spam/spamconfig.php (version 1.50)

# Mail using locales used in these country codes will not be marked
# as being possibly spam in a foreign language.
#ok_locales en fr


Ajouter les clous de girofles dans RoundCube

http://www.tehinterweb.co.uk/roundcube/#pisieverules

Il vous faut installer les plugins ManageSieve et ReportasJunk
Suivez la documentation officielle, elle s'en sortira mieux que moi afin de vous expliquer tout cela.

• http://www.tehinterweb.co.uk/roundcube/plugins/sieverules.README.txt
• http://www.tehinterweb.co.uk/roundcube/plugins/sauserprefs.README.txt
• http://www.tehinterweb.co.uk/roundcube/plugins/markasjunk2.README.txt

Laissez refroidir

Voilà c'est prêt !

Awesome non ?

Si vous avez aimé ce post...

1. Maildir mbox – La migration
2. EeeGW : Créer soi-même une passerelle réseau
3. Mise en place d’un système de backup avec Rsnapshot

Traditionellement, les serveurs UNIX utilisent mbox pour stocker les mails. Pour mbox, chaque dossier de votre boîte mail (Reçu, Envoyés, Archive, Corbeille, etc) est representé par un fichier, ou tout les mails sont enregistrés à la suite, séparés par une ligne vide.

Ce format, très simple à utiliser, pose de nombreux problèmes. Premièrement, on ne peut pas faire d’accès parallèles, même sur des mails différents, puisque le fichier est le même (problème de verrou). Deuxièment, les serveurs POP/IMAP (comme Dovecot) ont souvent un support limité de mbox. Dovecot est obligé de placer un mail “interne” dans la boîte, pour garder l’arborescence et l’organisation des dossiers. Courier ne supporte pas mbox.

L’avantage principal de mbox, c’est le fait qu’il soit très répandu. Il est supporté par tout les MUA (mailutils/mail, bsd-mailx, mutt, emacs, Kmail, thunderbird, evolution). Mais les problèmes récurrents qu’il pose ont poussé le principal développeur de qmail a créer un nouveau format : Maildir.

Maildir

Avec Maildir, chaque mail est un fichier, et chaque dossier de la boîte mail, un répertoire. Attention, c’est un peu plus compliqué que ça. Les mails ne sont pas directement enregistrés dans boîte/mail :

• Le MDA enregistre le mail dans boîte/tmp/unique (“unique” est un nom de fichier unique généré a partir de données pseudo-aléatoires)
• Une fois que le mail est écrit, le MDA le déplace dans boîte/new/unique
• Le MUA le déplace dans boîte/cur/unique une fois qu’il voit qu’un nouveau message est arrivé dans boîte/new/

Pourquoi ? Ce comportement est utilisé pour éviter que le MUA voit un mail incomplet (car le MDA est encore en train de l’écrire), ce qui peut arriver si la machine est surchargée, si le Maildir est sur un serveur distant (NFS,FTP), voire même si le mail est gigantesque.

Maildir et procmail

Le but de cet article n’est pas d’expliquer comment configurer un MDA pour qu’il enregistre les mails en Maildir, mais malgré tout je fais une petite encartade pour les gens qui utilisent procmail. Le code suivant dans /etc/procmailrc permet de dire à procmail de mettre par défaut (cela peut donc être supplanté par une directive contraire dans le ~/.procmailrc) :
DEFAULT=$HOME/Maildir/
Aussi, si vous n’utilisez pas encore procmail je vous conseille d’y migrer rapidement :

• Plus besoin de toucher à la configuration du MTA pour changer les méthodes de livraison des mails
• Les utilisateurs peuvent écrire leurs propres règles pour leurs boîtes mails (pour avoir des boîtes séparées pour certains mails, par exemple)
• Si vous changez de MTA vous pouvez toujours garder la même configuration, à condition de dire à votre MTA d’utiliser procmail

Configuration de mutt

mutt gère très bien les Maildirs, mais il faut le configurer. Dans le .muttrc, rajoutez :

# pour dire à mutt de que mbox est un Maildir
set mbox_type=Maildir
# pour dire à mutt que les chemins relatifs (avec +) sont dans "~/Maildir/"
set folder="~/Maildir/"
# pour dire à mutt que les mails arrivent dans Maildir/
set spoolfile="~/Maildir/"
# les mails archivés (pas nouveau) seront envoyés dans +Mailbox
# (+ est remplacé par la variable folder).
set mbox="+Mailbox"

# ce code montre la puissance de mutt (inclure des scripts shell dans sa configuration)
# ouvrir tous les dossiers qu'il trouve dans ~/Maildir/
mailboxes ! + `\
for file in ~/Maildir/.*; do \
box=$(basename "$file"); \
if [ ! "$box" = '.' -a ! "$box" = '..' -a ! "$box" = '.customflags' \
-a ! "$box" = '.subscriptions' ]; then \
echo -n "\"+$box\" "; \
fi; \
done`

On note qu’il faut créer les boîtes mails dans ~/Maildir/, ainsi que le Maildir en lui-même (même si procmail peut le créer tout seul, et que si vous avez converti vos mbox il existe déjà). On va créer la boîtes “Mailbox” (utilisé par mutt avec set mbox=”+Mailbox”).

cd # on se place dans $HOME
mkdir Maildir # on crée Maildir (ça sera peut-être déjà fait)
cd Maildir
mkdir cur new tmp # on crée une arborescence Maildir
mkdir .Mailbox # on crée une nouvelle boite
cd .Mailbox
mkdir cur new tmp

On note que :

• La boîte principale, ou les mails entrants sont enregistrés par le MDA, est à la racine du Maildir
• Les sous-dossiers de la boîte, commencent tous par un .

Vous pouvez maintenant démarrer mutt, et exploiter votre mbox (pour naviguer dans les boîtes, utilisez “y”)

Migrer des boîtes mbox en Maildir

Pour migrer les mbox en Maildir, le script perfect_maildir.pl est parfait, et son usage est simple :
./perfect_maildir.pl path_to_Maildir/ < mbox

pam_mail.so et You have new mail

Vous avez peut-être déjà remarqué que quand vous vous ouvrez un shell, vous avez un beau message "You have new mail" qui indique de nouveaux mail dans /var/mail/$USER. Cet avertissement est geré par pam_mail.so, un module de PAM qui permet de faire ça. Si on utilise Maildir il est intéressant de dire à pam_mail.so d'aller vérifier les nouveaux mails dans le Maildir. Cette configuration se fait dans /etc/pam.d/ sous Debian et Gentoo. Tout d'abord éditer le fichier login, et trouver cette ligne :

session optional pam_mail.so standard

Remplacer par :

session optional pam_mail.so standard dir=~/Maildir

Je recommande d'effectuer aussi la manipulation pour le fichier "ssh".

Normalement PAM devra modifier la variable d'environnement MAIL à Maildir/, si par hasard ce comportement ne marche pas (en fonction de la configuration de PAM) il y a toujours moyen d'ajouter
MAIL=Maildir/
dans /etc/environment.

Faire fonctionner la commande "mail"

La commande mail est le moyen le plus simple de lire ses mails sous unix. Vous constaterez probablement que votre commande mail ne marche plus (même avec MAIL=Maildir/), car elle ne supporte pas Maildir. Mais il y a plusieurs versions de cette commande, la plus répandue étant celle de bsd (bsd-mailx avec Debian). Je vous conseille d'installer une autre version, appellée "heirloom-mailx" (sous Debian), voire "nail", qui supporte très bien les Maildir.

Liens relatifs

• Configurer Maildir et Dovecot
• man pam_mail
• la première spécification de Maildir (a changé depuis)

Ironiquement j'ai trouvé beaucoup de mes renseignements sur bugs.debian.org :

• libpam-modules: pam_mail doesn't set MAIL enviroment variable when .hushlogin exists.
• login.defs: QMAIL_DIR problems

Si vous avez aimé ce post...

1. Filtrer ses mails ! Un cauchemard !
2. Mise en place d’un système de backup avec Rsnapshot
3. Migration de Geekfault

Nous allons voir un exemple récent, déterminer quels logiciels font les pies et finir par quelques réglages de ces derniers.

Quelques définitions rapides :

• MUA : Mail User Agent, c’est l’agent coté utilisateur. Thunderbird que j’évoque dans cet article, Evolution, KMail, mutt, mail et sendEmail sont quelques exemples.
• MTA : Mail Transfer Agent, le serveur smtp. Sendmail que j’évoque dans cet article, postfix, qmail, exim sont les plus connus, mais ssmtp et OpenSMTPd sont des alternatives montant en puissance.
• MDA : Mail Delivery Agent, c’est le logiciel qui remet les emails dans les comptes utilisateurs. Procmail est le plus connu.
• RFC : Request For Comment, un texte de référence. Le texte nous intéressant ici est la RFC 5321 http://tools.ietf.org/html/rfc5321

Cas concret

Décortiquons ensemble un email envoyé par un de mes fournisseurs. Il n’y a rien d’exceptionnel dans cette section qui n’ait déjà été maintes fois abordé dans la presse informatique vulgarisée.

L’email en question

From - Mon Jan 18 17:07:56 2010
(…)
Return-Path:
Received: from smtp20.msg.oleane.net (smtp20.mail.priv [172.17.20.138])
by mail03.msg.oleane.net with LMTP id H7q6321w;
Mon, 18 Jan 2010 17:07:52 +0100
Received: from smtp20.msg.oleane.net (localhost [127.0.0.1])
by smtp20.msg.oleane.net (MX-ASAV) with ESMTP id o0IG7pk9022097;
Mon, 18 Jan 2010 17:07:51 +0100
Received: from abc.correspondant.com (abc.correspondant.com [81.211.11.111])
by smtp20.msg.oleane.net (MX) with ESMTP id o0IG7ndC021964;
Mon, 18 Jan 2010 17:07:49 +0100
Received: from PC1.correspondant.fr ([192.168.69.50])
(authenticated user monsieur@correspondant.fr)
by abc.correspondant.com (Kerio MailServer 6.7.0 patch 1);
Mon, 18 Jan 2010 17:10:15 +0100
Subject: RE: GeekFault
Date: Mon, 18 Jan 2010 17:07:48 +0100
Message-ID:
In-Reply-To:
From: "Monsieur CORRESPONDANT"
Sender: "Monsieur CORRESPONDANT"
To: "Monsieur DESTINATAIRE"
Importance: Normal
X-Priority: 3
X-MSMail-Priority: Normal
User-Agent: Kerio Outlook Connector (6.7.0.7695)
MIME-Version: 1.0
X-MimeOLE: Produced by Kerio Outlook Connector (6.7.0.7695)
Content-Type: multipart/mixed; boundary=MIXED-MIME-355913937-24773-delim
X-Spam-Flag: NO
X-PMX-Spam: Probability=13%
X-Spam-Level: X
X-PFSI-Info: PMX 5.5.5.374460, Antispam-Engine: 2.7.1.369594, Antispam-Data: 2010.1.18.155416 (no virus found)

Comment le lire ?

La RFC 5321 section 4.4 précise que le Mail Transfert Agent (mta) se DOIT, et avant toutes autres opérations de transfert, d’inclure une trace « Received » ou « timestamp ». L’ordre des « Received » se lit donc de bas en haut.

Nous apprenons que notre « correspondant » a émis son email depuis son « PC1 » 192.168.69.50 (IPV4) . On devine aisément son système d’exploitation, c’est celui qui donne des noms de machines en majuscules.

Jouons au jean-kevin

On déduit du mix « .fr »/ « .com » que notre sujet d’étude n’est pas très familier avec les dns et c’est sans doute la raison pour laquelle il n’en a pas en interne. Il n’est pas non plus familier avec ntp. Visiblement notre sujet d’étude n’est pas familier avec certains services réseaux.

Attardons nous quelques secondes sur le 3ème mta rencontré, OBS utilise un mta du nom de « localhost [127.0.0.1] », nous sommes dans une application minimaliste de la section 4.4 de la RFC 5321. Pourquoi être resté a minima, contrairement aux autres mta ? Le terme MX-ASAV nous donne un indice : AntiSpam AntiVirus … ce mta est vraisemblablement inaccessible il n’y a aucune raison de fournir plus de détails.

Que retenir de cette partie ?

Nous n’avons donc rien appris de bien intéressant car nous ne cherchons rien de particulier. Détails à priori inintéressants, mais avez-vous vraiment envie d’en faire profiter le reste de vos correspondants ?

Dompter son Mail Transfer Agent (mta)

Je suis un utilisateur satisfait de sendmail (www.sendmail.org) depuis quelques années maintenant. Je vais donc vous parler de ce magnifique et ô combien trollifère mta.

Quel périmètre et que dit la RFC ?

Comme précisé dans la première partie, notre périmètre d’action est restreint : du (mua) jusqu’au dernier mta sous notre responsabilité.
La RFC précise que pour des raisons de traçabilité un mta ne doit pas procéder à de la destruction de « Received »/« timestamp ». Comprenez qu’en prenant la responsabilité de couper une partie de la chaîne de réponse vous devez vous engager à garder une trace dans votre système.

Ne modifiez rien si :

• Vous n’avez pas d’outils de logs fiables
• Vous n’êtes pas sûr de toutes les machines en amont de votre mta
• Vous êtes backup-MX
• Vous n’êtes pas sûr de toutes les utilisateurs en amont de votre mta
• Vous n’êtes pas sûr de toutes les logiciels en amont de votre mta
• Vous n’êtes pas sûr de ce que votre mta va supprimer, il serait DOMMAGE de supprimer des informations concernant les mails entrants (ceux venant du Great Ternet)

Pesez-bien cette décision, agissez en responsable. Si vous êtes sous FreeBSD vous pouvez recevoir une synthèse par mail quotidienne et la coupler à un daemon syslog sur une autre machine.

`hostname`.cf & `hostname`.mc

Nous allons jeter un oeil dans la configuration de sendmail (`hostname`.cf ) au niveau de la gestion du HEADER. Nous trouvons sans difficulté ceci :
HReceived: $?sfrom $s $.$?_($?s$|from $.$_)
$.$?{auth_type}(authenticated$?{auth_ssf} bits=${auth_ssf}$.)
$.by $j ($v/$Z)$?r with $r$. id $i$?{tls_version}
(version=${tls_version} cipher=${cipher} bits=${cipher_bits} verify=${verify})$.$?u for $u; $|;
$.$b$?g
(envelope-from $g)$.

Que nous pouvons réduire à :
HReceived: id $i; $b

Modifier `hostname`.cf est généralement une mauvaise idée, sendmail vous propose l’utilisation de macro m4, autant en profiter. Voici donc la correspondance dans `hostname`.mc
define(`confRECEIVED_HEADER',`id $i; $b')

Comparaisons de configurations

Commençons par faire un email vide de test :
$ cat mail.txt
helo toi
mail from:
rcpt to:
data
subject:Ok
ok
.
Que nous utilisons comme ceci :
$ nc localhost 25 < mail.txt
Avec un sendmail en configuration par défaut, le correspondant reçoit :
Received: by machin.ath.cx with ESMTP id o2BK1BKu031170; Thu, 11 Mar 2010 21:01:11 +0100
Received: from toi (localhost [127.0.0.1])
by bidule.ath.cx (8.14.3/8.14.3) with SMTP id o2BK13FB043209
for ; Thu, 11 Mar 2010 21:01:03 +0100 (CET)
(envelope­ from qualite@bidule.ath.cx)
Date: Thu, 11 Mar 2010 21:01:03 +0100 (CET)
From: Qualite
Message­Id: <201003112001.o2BK13FB043209@bidule.ath.cx>

Avec le nouveau HReceived nous obtenons :
Return­Path:
Received: by machin.ath.cx with ESMTP id o2BJxVBK031165; Thu, 11 Mar 2010 20:59:31 +0100
Received: id o2BJxOpC042941; Thu, 11 Mar 2010 20:59:24 +0100 (CET)
Date: Thu, 11 Mar 2010 20:59:24 +0100 (CET)
From: Qualite


Que retenir de cette partie ?

Vous conviendrez que notre mta est devenu moins bavard.
Nous avons ici abordé sendmail, mais il existe par exemple postfix qui, dixit bragon, "Tout ce que fait sendmail, postfix le fait en mieux". Je pense que vous n'aurez pas de difficulté a porter cette modification dans le conf de postfix, peut-être que LeCoyote nous honorera d'un commentaire à ce sujet .
Autre point à noter, il n'a été question QUE de `hostname`.(mc|cf) et pas de `hostname`.submit.(mc|cf) qui n'est en aucune manière concerné par cet article.

Dompter son Mail User Agent (mua)

Dompter son mta, c'est bien, mais que fait-on lorsque nous n'avons pas la main dessus ?

Thunderbird

Mes mails pros sont gérés par OBS et j'utilise comme mua Thunderbird qui a la mauvaise idée de transmettre l'ip ou le hostname lors du HELO (ou EHLO) ce qui donne par exemple ceci :
Received: from [192.168.5.12] (*.fr [217.1.2.3]) (authenticated)
by smtp05.msg.oleane.net (MTA) with ESMTP id o1QB4km3010343
for Fri, 26 Feb 2010 12:04:46 +0100
Que l'on peut transformer en :
Received: from truc.org (*.fr [217.1.2.3]) (authenticated)
by smtp06.msg.oleane.net (MTA) with ESMTP id o2BGsI5N007702
for Thu, 11 Mar 2010 17:54:18 +0100
Grâce à la clef de configuration de type string :
mail.smtpserver.smtp1.hello_argument
Que vous devrez créer dans le about:config du Thunderbird, et ceci pour tous vos mail.smtpserver bien entendu.

Que retenir de cette partie ?

Votre mua aussi peut donner des informations à votre insu. C'est inutilement idiot, une ip locale ne peut en aucun cas être une information pertinente pour le mta à l'autre bout de la connexion.

Conclusion

De manière générale les réglages par défaut des applications concernées ne sont pas pertinents sur le point abordé dans ce billet. Il est très important de pouvoir changer comme bon nous semble certains réglages que nous trouvons inappropriés.
Très logiquement, les mua/mta à sources fermées, certains cités de-ci de-là dans l'article, ne sont pas les plus simples à dompter.
Certains réglages ne sont pas prévus par les développeurs initiaux et ne le seront probablement jamais. Utilisons-en d'autres qui nous garantissent la liberté n°1 !

Les mauvaises pratiques chez les autres mua/mta populaires

Ils sont bavards :

• Mail.app
• Entourage
• Live Mail
• Yahoo

Les bonnes pratiques chez les autres mua/mta populaires

Ils sont discrets :

• Gmail
• mutt
• Thunderbird en changeant un réglage

Cette liste n'est pas exhaustive, il s'agit des logiciels utilisés ou par moi ou par mes correspondants.

Si vous avez aimé ce post...

1. EeeGW : Créer soi-même une passerelle réseau
2. DenyHosts pour empêcher le bruteforce sur SSH
3. nginx et python – le perfect setup

Python est devenu assez à la mode, pour le développement web, ces dernières années avec l’arrivée de frameworks web comme Django, Pylons et web.py. On le voit souvent utilisé sur apache2, avec mod_python, ou sur des serveurs Python dediés à ça (CherryPy, etc)

Je cherche depuis longtemps un moyen de faire du Python sur HTTP. J’ai mis pas mal de temps mais je pense avoir trouvé une configuration sympa.

Je vous propose ici d’essayer nginx, un serveur HTTP (entre autres), très performant et  beaucoup plus léger/rapide que apache2. Il est très efficace pour faire du reverse-proxy (c’est à dire être utilisé en frontal/load-balancer devant un serveur HTTP, et lui transmettre les requêtes en faisant du cache et le cas échéant du load-balancing).

La configuration de nginx est très simple, et la documentation est très complète : wiki.nginx.org. L’installation de nginx est facile, il est inclus dans la plupart des distributions actuelles, donc à vos emerge/apt-get.

apt-get install nginx

nginx ne gère pas le python nativement. Il y a plusieurs solutions cependant :

• Faire du proxy vers un serveur qui gère le python, comme apache2. On perd la majeure partie de l’intêret de nginx, cependant.
• Faire du FastCGI vers un serveur FastCGI. C’est la solution la plus fréquente, en utilisant fcgi.py ou flup
• Faire du WSGI. C’est un protocole de communication entre serveurs HTTP et applications Python. Solution aussi assez fréquente.
• Faire du proxy vers un serveur qui gère le python de manière native. C’est une solution moins fréquente mais très pratique.

Avant même de penser à choisir une des solutions ici présentes, il faut les comparer entre elles.

nginx => apache2 => python

L’ennui de cette solution c’est : apache2. Utiliser nginx pour forwarder à apache2 est presque inutile. Presque ? Oui, car on peut dire à nginx de garder les fichiers statiques pour lui. Cependant, le gain de cette méthode est assez minime, et ce n’est intéressant que pour faire du load balancing sur plusieurs apaches.

le FastCGI

FastCGI c’est une norme, pour faire traiter du contenu dynamique par une application externe. Donc le support du FastCGI tout seul est inutile, il faut aussi quelque chose pour gérer derrière.

J’ai testé flup, un framework Python léger. Le résultat : ça marche, méééé c’est lent. Je tournais autour de 35/50 requêtes par seconde, et l’utilisation en mémoire vive était phénoménale, 150 mégas pour 1000 requêtes. (bien sur ces chiffres n’auront de valeur que lorsqu’ils seront comparés aux autres).

FastCGI est sympa pour faire une configuration “vite”. C’est d’ailleurs la seule solution viable, à ma connaissance pour faire du PHP sur nginx, à part le proxy vers un autre serveur HTTP.

Bref, FastCGI ne m’a pas convaincu. Et mes tests avec les autres solutions m’ont donné raison. Toujours avec moi ? On passe au WSGI !

le WSGI

WSGI is the Web Server Gateway Interface. It is a specification for web servers and application servers to communicate with web applications (though it can also be used for more than that). It is a Python standard, described in detail in PEP 333.

le WSGI, c’est le standard pour le Web Python. Il n’y a qu’à consulter wsgi.org pour se rendre compte que c’est tout un monde. Il consiste en un ensemble de normes (nom de variables, par exemple) pour permettre au serveur d’exécuter  un fichier codé en Python.

Le standard pour le WSGI sur les serveurs HTTP grand public, c’est le mod_wsgi de apache2. Il a été porté sur nginx, mais c ‘est une #@!## infame, qui ne marche que sur les vieilles versions et qui n’a pas été mise à jour depuis bientôt 2 ans et demi (cf. hg.mperillo.ath.cx/nginx/mod_wsgi/). J’ai obtenu des performances d’environ 133 requêtes par seconde avec, ce qui est déjà mieux que FastCGI, pour ceux qui suivent . Par contre, dès que j’ai voulu avancer un peu avec (toucher à la configuration, et surtout, passer à une version supérieure de nginx), j’ai été confronté à ses limites (et aux #@!## de faute de frappe dans le code source)

D’autant plus que l’auteur de mod_wsgi pour apache2 et l’auteur de mod_wsgi pour nginx reconnaissent ses limitations, respectivement ici et ici. Le premier document est très intéressant pour comprendre un peu l’architecture de nginx et ses différences avec apache2. En effet, le mod_wsgi pour nginx a été codé à partir de celui pour apache2, et il subit les différences d’architecture entre apache2 et nginx.

Attention, je ne remet absolument pas à cause le WSGI ici, juste l’implémentation de mod_wsgi dans nginx.

Parce que justement, un projet super récent, c’est…. uWSGI ! uWSGI sert à combler le manque de support du WSGI dans nginx, en rajoutant un module, meilleur que mod_wsgi. Il nécessite donc de recompiler nginx. Il y a encore une autre solution, nommée gunicorn, qui ne nécessite pas de recompiler nginx. C’est un serveur HTTP minimal qui gère le WSGI nativement. uwsgi offre plus de fonctionalitées que gunicorn, mais gunicorn a l’air assez dynamique (dans le développement), et est plus facile à utiliser (pas de recompilation, support de Django natif). Au niveau des performances, je me suis amusé à faire cette comparaison :

Comparaison des performances entre uwsgi et gunicorn en fonction du niveau de parallélisme

On constate plusieurs choses :

• Les performances augmentent en utilisant 2 workers à la place d’un, mais au delà, le gain est ridicule, puis inexistant. Le nombre 2 est dépendant du nombre de coeurs de la machine, et le nombre de workers à utiliser ne sera pas le même sous un bi-socket octocore, bien évidemment. Les meilleures performances étaient obtenues en utilisant gunicorn+3workers.
• La différence est vraiment minime, gunicorn est en moyenne légèrement au dessus de uwsgi.
• Ces tests sont réalisés sur une application Django. Les performances augmentent en utilisant des frameworks plus légers comme web.py, bien évidemment.

uwsgi dispose de plus de fonctionalitées, comme par exemple une interface d’administration de serveur wsgi dans Django. Je vais ici expliquer l’installation et la configuration des deux solutions.

Ici je vais couvrir l’installation et la configuration de uwsgi et gunicorn avec Django et web.py, même si c’est bien sur adaptable avec d’autres frameworks supportant le wsgi (liste sur wsgi.org/wsgi/Frameworks).

Installation et configuration de uwsgi

Sous Debian :

1) Rajouter les dépots source, par exemple :

deb-src http://ftp.gr.debian.org/debian/ squeeze main contrib non-free

2) Télécharger la source

apt-get source nginx
tar -zxvf nginx_*.orig.tar.gz
cd nginx-*
tar -zxvf nginx_*.debian.tar.gz

2) Télécharger uwsgi

cd ..

tar -zxvf uwsgi-0.9.4.2.tar.gz

3) Modifier le paquet source de nginx pour y ajouter uwsgi. Il faut éditer le fichier nginx-*/debian/rules, trouver le bloc qui commence par ./configure et ou se trouvent toutes les options de compilation, et y ajouter

--add-module=$(CURDIR)/../uwsgi-0.9.4.2/nginx/

$(CURDIR)/../uwsgi-0.9.4.2/nginx/ est le chemin vers le dossier du module dans la source de uwsgi

4) maintenant, dans le dossier de la source de nginx, faites (pas besoin de root) :

dpkg-buildpackage

5) installer le .deb généré ainsi (en tant que root maintenant)

dpkg -i ../nginx-*.deb

6) Dernière étape : compiler uWSGI (le binaire en lui-même, qui va communiquer avec nginx par le biais du module)

cd ../uwsgi-0.9.4.2/ && make && make install && cp uwsgi_params /etc/nginx/

Cette dernière commande (le cp uwsgi_params…) sert à placer un fichier de configuration du module uwsgi exemple dans le repertoire de nginx.

Sous les autres distributions :

Il faut télécharger la source de nginx et de uwsgi, compiler nginx avec le module uwsgi (dans le répertoire nginx de la source de uwsgi), puis compiler uwsgi.

On a maintenant un serveur uWSGI et un nginx avec  le module uwsgi. Il va maintenant falloir dire à nginx de transférer les requêtes au serveur uWSGI, avec une commande uwsgi_pass. Par exemple, dans la section server d’un de vos vhost (/etc/nginx/sites-enabled/default, par exemple, sous Debian) :

location / {
include uwsgi_params;
uwsgi_pass unix:///tmp/uwsgi.sock;
}

Il faut ensuite créer une application WSGI, par exemple, pour le framework web.py :

import web

application = web.application(urls, globals()).wsgifunc()
applications = {'/': application }

Pour Django :

import django.core.handlers.wsgi
application = django.core.handlers.wsgi.WSGIHandler()
applications = {'/': application }

Nommez ce fichier wsgi.py et placez le dans le repertoire ou vous allez placer votre code (pour Django, dans le repertoire du projet, évidemment). Si vos nerfs n’ont pas encore lâché ici, allez prendre une petite pause de 5 minutes à titre préventif, et reprenez. Maintenant, on va démarrer un serveur uWSGI. Placez vous dans le répertoire de votre fichier wsgi.py, et faites :

uwsgi -s /tmp/uwsgi.sock -C -w wsgi -p2 -L

Explications : le -s indique ou placer le socket (ça pourrait aussi être une adresse au format hôte:port, pour un usage distant). Le -w wsgi indique de charger le fichier wsgi(.py), le -p2 indique de démarrer 2 processus, et le -L désactive l’envoi des requêtes à stdout (=>flood).

Si vous allez à l’adresse de votre serveur web, vous devriez voir votre application Python en face de vous ! Vous voilà en train d’utiliser nginx+uwsgi+python.

En annexe, je rappelle que uwsgi est aussi utilisable avec apache et lighttpd.

Aussi, dans le dossier source de uwsgi, vous trouverez des templates pour un module d’administration de Django, à installer dans le repertoire des templates de l’administration de Django (si, si).

Installation et configuration de gunicorn

gunicorn est carrèment plus facile à installer. Il est codé en python, donc pas de compilation, seulement un easy_install :

easy_install gunicorn

La configuration est tout aussi facile, il suffit de cela dans la configuration du vhost dans nginx :

location / {
proxy_pass http://unix:/tmp/gunicorn.sock
}

On démarre ensuite gunicorn. Pour Django, gunicorn dispose d’un support intégré, il vous suffit de vous placer dans le répertoire de votre projet, puis :

gunicorn_django -b unix:/tmp/gunicorn.sock --workers=2

Pour web.py, il faut créer un module :

import web

application = web.application(urls, globals()).wsgifunc()

Il faut ensuite démarrer le serveur Gunicorn. En étant dans le repertoire ou se trouve le module web.py (le fichier donc le code vient avant, là, au-dessus, oui), :

gunicorn -b unix:/tmp/gunicorn.sock --workers=2 wsgi

Je vous invite à consulter ce lien : gunicorn.org/tuning.html, pour vous permettre d’augmenter les performances de gunicorn.

Annexe

Fichiers statiques

location /admin-media {alias /usr/lib/pymodules/python2.5/django/contrib/admin/media;}

location /static {root /var/www/byteflow;}

Ces deux lignes, à rajouter après le “location /” avec uwsgi_pass ou proxy_pass (selon votre configuration) indiquent à nginx de traiter les fichiers statiques directement. Il faut bien évidemment adapter à votre configuration.

Munin

Vous pouvez trouver des plugins nginx pour munin ici. Je n’ai pas trouvé de plugin munin pour uwsgi/gunicorn, mais je pourrais peut-être en faire un si je trouve le temps.

Plusieurs serveurs

Si par hasard vous avez plusieurs serveurs gunicorn/uwsgi répartis sur plusieurs machines , vous pouvez les utiliser en déclarant une section

upstream nom {}

dans nginx, contenant les adresses des serveurs distant (hôte:port ou emplacement du socket) et en utilisant “nom” comme argument à uwsgi_pass et proxy_pass.

Conclusion

Ces deux architectures sont très pratiques pour faire tourner du python dans un serveur web, ici nginx. uwsgi dispose de plus de fonctionalités, mais la plupart (template d’admin Django, memory profiling) pourraient facilement être ajoutées à gunicorn, qui est beaucoup plus léger à installer/configurer/maintenir (2 commandes et 3 lignes de configuration dans nginx). J’ai les deux personellement sur mon serveur, j’ai eu à alterner entre les deux pour écrire cet article, et c’est pas bien dur, un daemon à arrêter, un autre à démarrer, et changer une ligne dans la configuration de nginx.

Liens

wsgi.org

gunicorn.org/

projects.unbit.it/uwsgi/

irc.freenode.org/#gunicorn

nginx.org/

djangoadvent.com/

www.django-fr.org/

www.djangoproject.com/

webpy.org/

Je tiens à remercier la communauté Geek{node|fault}, le chan irc #gunicorn, les développeurs de gunicorn qui sont très aimables, ainsi que Amandarn qui m’a aidé pour certains détails.

Si vous avez aimé ce post...

1. Devbox KVM+Libvirt perfect setup.
2. Maildir mbox – La migration
3. Filtrer ses mails ! Un cauchemard !

Attentifs à son existence post-buzz, nous avons déjà couvert sa naissance sur Linux, le début de son apprentissage, et le moment semble venu de marquer un nouveau chapitre dans l’évolution du navigateur : l’adolescence.

Au risque de synthétiser les deux premiers articles, il semble nécessaire de ré-établir le contexte et la genèse de ce projet, afin de mieux en comprendre le parcours.

Attention : Cette page reprends ma vision personnelle du contexte de la sortie de Chrome/Chromium et a pour objectif de poser le décor pour la suite de l’article. Cette page n’engage donc que moi et n’est pas nécessaire à la suite de l’article, si vous n’êtes pas d’accord avec mon point de vue, ne vous énervez pas : passer à la page 2

Avant la conception

Le monde des navigateurs n’était pas rose, Internet Explorer avait le rôle du père violent, un échec total qui ne parvenait à maintenir son autorité que par la force de son poing et la violence de ses pratiques anti-concurrentielles, Safari était ignoré par au moins 90% du marché, Opera était un refuge obscur que l’on trouve presque par hasard, une sorte de soupe de bonnes idées (très) mal arrangées, et de choix intéressants, mais pas concluants.

Et Firefox là-dedans ? Il fut d’abord envoyé par la Mozilla Foundation en tant que messie venu se dresser contre l’hégémonie d’Internet Explorer, et prêcher la bonne parole du Logiciel Libre et des standards dans cet océan de code propriétaire.

Firefox fut rapide, Firefox fut efficace, Firefox fut puissant, Firefox fut multi-plateforme, Firefox fut meilleur. Il engrangea ainsi à juste titre des utilisateurs par poignées, une solide réputation, un écosystème de plugins et devint même le porte-flambeau de la lute pour la percée du Logiciel libre au delà de Linux, au delà des geeks : dans la vie quotidienne du grand public, au nez et à la barbe des logiciels propriétaires.
(petit témoignage humoristique représentant la place de Firefox dans nos esprits en ces temps-là)

Mais ce qui s’apparenta d’abord à de l’adoration et à de l’amour inconditionnel, commença à perdre de sa fraicheur à partir et au delà de Firefox 2.0. Il commença à perdre de sa légèreté, à traîner la patte, à s’approprier toute la mémoire RAM de nos systèmes et la retenir en otage, et à ne plus convenir à de plus en plus d’utilisateurs. Alors, tout naturellement (et surtout sous Linux), chacun partit en quête d’un navigateur plus léger, plus rapide, quitte à sacrifier quelques avantages de Firefox, mais à travers les 4 ou 5 petits projets inaboutis, chacun revint bredouille et se rendit à deux évidences : “Firefox reste un excellent navigateur”, et “Il n’existe pas d’alternative viable à l’Alternative.”

Et peu à peu, les utilisateurs se rendirent compte que la concurrence au sein des alternatives à Internet Explorer et aux navigateurs propriétaires était tout simplement inexistante, et que chacun avait un choix simple à faire : “Le mal, ou Firefox.”

naissance d’un navigateur, d’un buzz et d’un imparfait.

L’annonce et la sortie initiale de la toute première mouture du navigateur firent un fracas monumental. Ce que Google annonçait était purement et simplement une alternative à Firefox, et ses points forts et principaux arguments étaient très exactement les reproches faits à Firefox : la gestion de la mémoire RAM, la réactivité, la vitesse des rendus, le moteur JavaScript. Chrome les réalisait d’emblée.

Les frustrés et les curieux se jetèrent sur Chrome et déclarèrent dans les premiers jours avoir définitivement abandonné Firefox, et fait de Chrome leur navigateur par défaut. Dans les premiers jours seulement car comme notre premier article sur l’arrivée de Chromium (le parent/jumeau Opensource de chrome) sur Linux l’indiquait, même plus d’un an après la sortie du navigateur, ses carences en faisaient plus une PoC (Proof of Concept) qu’un navigateur viable dans la vie de tous les jours, c’est ainsi que le buzz s’éteignit, et que seuls les utilisateurs les moins exigeants continuèrent de l’utiliser quotidiennement.
Le pic d’utilisation de Chrome retomba largement, et tout le monde ou presque se retourna vers Firefox.

Malgré les désenchantements, Chromium était là, et alors qu’il luttait contre l’oubli, certains, dont une partie de la rédaction de Geekfault, restaient persuadés qu’il devait être suvi car il n’avait pas seulement sa place, mais était une nécessité dans l’équilibre concurrentiel des navigateurs.

Un écosystème de plugins en bonne santé.

La principale lacune de Chromium, c’était l’absence d’un système de plugins. Quand il fut implémenté, la question restait entière : est ce que l’API de plugins permettrait une intégration aussi efficace qu’avec Firefox ? Allait-elle parvenir à créer une communauté de développeurs de plugins comparable à la communauté de Firefox ?

Aujourd’hui, la réponse est claire : oui.
Au 26 février 2010, le site de référencement des plugins Chromium recense 2990 plugins, et évolue à une vitesse régulière d’à peu près 30-40 plugins par semaine.
Leur intégration au browser est parfaite et prévue pour ne pas affecter l’ergonomie ni les preformances du browser, on sent qu’un réel effort a été fait dans ce sens, contrairement par exemple au système de Widgets d’Opera (qui m’a traumatisé.)

Les plugins rencontrés sont assez variés, il en existe forcément pour checker vos mails google, ou servir d’interface intégrée à des sites comme Picasa, Twitter, Facebook, Slashdot, Google Buzz, Icanhascheezburger, il en existe pour “rendre plus esthétique/ergonomique” des sites comme Facebook ou Netvibes, et biensur la catégorie des plugins qui imitent des plugins déjà existants et très prisé sur Firefox.

Cependant, si cet écosystème évolue rapidement et est en bonne santé, il faut être réaliste : il en est à ses balbutiements. En effet, la plupart des extensions pour Chromium sont très basiques, il en existe un très grand nombre qui ne sont qu’un script .js de 15 lignes ne s’appliquant qu’au site l’ayant créé. Ça gonfle le nombre de plugins listés sur le site, mais ça ne pousse pas leur qualité globale vers de haut. Il est vrai qu’il existe quelques plugins ayant évolué très vite, et donc qui sont à la fois stables, utiles, efficaces et complets, mais il faut encore les chercher attentivement, et parcourir la liste de tous les plugins vous révèlera que 80% des plugins sont encore des petits scripts baclés à l’utilité douteuse.

Geekfault ne vous oublie pas, et prévoit un article reprenant les 10 plugins les plus indispensables de Chromium, Stay Tuned !

Déjà un plugin d’ad blocking puissant, efficace et en évolution constante

Même s’il en existe plusieurs, celle qui se démarque est AdBlock (accompagné de son “tray-icon” séparé du moteur).

Il permet un filtrage efficace des publicités, même très agressivement incrustées dans les pages, non seulement grâce à une intégration parfaite des “Filter List Suscriptions” comme l’Easylist (plus une liste particulière propre à Chromium), mais également grâce à un système un peu particulier de filtrage manuel des pubs récalcitrantes.

Si une pub est passée à travers les mailles du filet, vous pouvez bien évidemment l’indiquer à AdBlock, qui vous présentera alors un petit cadre avec une “SlideBar” à faire glisser vers la droite jusqu’à ce que la pub disparaisse. AdBlock va dès lors appliquer des règles de filtrages de plus en plus violentes sur l’élément jusqu’à atteindre le parfait compromis entre le filtrage de la pub et l’affichage correct du reste de la page. Une fois l’élément filtré et les nouvelles règles enregistrées, elles deviennent disponibles dans la page de configuration du plugin, éditables à tout moment. Il en va de même pour les exceptions de type “Whitelist”.

Vous trouverez également plusieurs options sympatiques, comme la possibilité de laisser passer les pubs textuelles qui ne vous dérangent pas (comme celle de Google), ou de filtrer les pubs incrustées dans les vidéos de Youtube (option encore en Beta)

Son principal défaut actuellement est de ne pas empêcher les pubs de se charger: en effet, en l’absence de règles de blocking intégrées à Chromium, les plugins de filtrage de pubs en sont actuellement réduites à les “cacher” par des règles de CSS. Si ce procédé épargne vos yeux et votre CPU, il n’en est pas de même pour votre bande passante.
Heureusement, (et contrairement à ce que beaucoup de paranoïaques prédisaient) Google ne compte pas mettre de bâtons dans les roues des plugins de filtrage de pubs, au contraire, et pour les plus sceptiques d’entre vous, un simple coup d’oeil au site du projet Chromium vous apprendra que la fonction en question est en développement actif.

L’équipe d’AdBlock est donc bien évidemment à l’affût, et n’attends que son implémentation définitive pour l’intégrer dans son procédé de filtrage.

Un plugin de type “Firebug” ? Mieux, un outil intégré au Navigateur !

Beaucoup de Web Developpers ont peur de quitter Firefox par crainte de perdre leur meilleur ami : Firebug.

Il n’en est rien ! Chromium a intégré un outil de développement surpuissant au navigateur.
Celui-ci intègre entre-autres une console javascript, un affichage structuré de la source d’une page, des outils de chronométrage des chargement des différents éléments d’une page, de profiling des ressources consommées par chaque élément de la page, ainsi que plusieurs outils que je ne comprends pas du tout, n’ayant aucune notion de développement web

Bien que toujours inférieur à Firebug, cet outil est déjà très complet, en évolution constante, et totallement suffisant pour ne pas se retrouver “tout nu”.
Il existe déjà quelques petites extensions permettant de le compléter un peu, mais celles-ci sont anecdotiques et encore très minimalistes.

Un développement (trop ?) dynamique

Le développement de Chromium est tout sauf lent. Avec un rythme d’environ 100 révisions par jour, se tenir à jour est une mission quotidienne… et dangereuse.

En effet, Chromium étant une version “git” permanente, se ruer sur la toute dernière révision n’est pas forcément une bonne idée.
Au menu : erreurs de rendu, régressions dans l’interface graphique, corruption occasionnelle de certains plugins, boucles infinies dans le CPU, fuites de mémoire (parfois de l’ordre de la fontaine, voire du Titanic), ou simplement disparition de certaines fonctionnalités le temps de les recoder complètement (comme par exemple les “pin tab”)…

Heureusement, les distributions font souvent leur packaging de façon intelligente et proposent des versions snapshot reconnues “stables”, plus ou moins à jour, permettant un compromis tout à fait convenable. Il est toutefois déconseillé de s’aventurer hors de ces packages, si on veut pouvoir continuer à utiliser Chromium comme navigateur principal.

La communauté autour du développement est abondante, et les développeurs réactifs, même s’ils ne peuvent pas être partout à la fois et qu’ils ont beaucoup de travail rien qu’avec l’énorme quantité de patch à webkit que Chromium intègre.
Cependant leur ordre de priorité fait que souvent les bugs spécifiques à Linux sont plus coriaces et trainent plus longtemps, ou simplement que les features sont d’abord achevées sur les versions Windows, quelques jours/semaines avant les versions Linux.

Google Chrome vs Chromium, une fois pour toutes.

Deux ans après, je croise tous les jours des gens qui attribuent à Chromium des reproches de Chrome, et qui n’ont toujours pas clairement assimilé la distinction entre les deux.

Sur la page de clarification des deux projets :

Tableau comparatif des deux navigateurs

Pour faire simple :
Google héberge le projet Chromium, et paye une équipe de développeurs centraux sur le projet Chromium. Ceux-ci (aidés de la communauté) font des patch webkit, des ajouts de fonctionnalités, des améliorations de performances, de réactivité, de l’interface graphique… en bref : font avancer le navigateur.
Ce navigateur (Chromium), est sous licence libre (BSD pour la plupart).

Une fois que tous les objectifs nécessaires à une Milestone (déterminée par l’équipe de dev de Google) sont atteint, Google fait un Copier/Coller de tout le code de Chromium, “fork” le projet Chromium, y ajoute le code qui attribue un identifiant unique à chaque installation du navigateur, qui envoie les données de navigation à Google, et ce genre d’ “améliorations” made in Google, y ajoute des codecs propriétaires (h.264, mp3, etc), et enfin, fait une annonce de la sortie de la nouvelle version de Chrome : Chrome-[version_antérieure ++] !
Puis on lance le développement de Chromium-[version_de_Chrome ++], et le cycle recommence.
Le tout distribué sous licence propriétaire (comme le permet la licence BSD de Chromium).

En résumé, Chromium n’envoie pas vos informations de navigation à votre insu à Google, c’est Chrome qui s’en charge !
D’ailleurs Google met un point d’honneur à se détacher «le plus possible» du développement de Chromium : ils hébergent le projet (comme beaucoup d’autres sur code.google.com), salarient les développeurs principaux, et évidemment décident de la direction que le projet prends (vu que c’est à fortiori la direction que Chrome prendra), mais c’est «tout» !
Dans le code de Chromium il n’apparait aucune mention à Google ni à Chrome, aucune information n’est envoyée à Google, ces liens sont établis dans Chrome.

Le code source est disponible en téléchargement, les développeurs sont ouverts aux contributions, aux suggestions et même aux réclamations de la communauté autour du site du projet, ce ne sont pas des nazis ayant vendu leur âme et leurs principes à Google (enfin, ils sont payés par google mais) ils sont plus préoccupés par la qualité et l’efficacité de leur navigateur que par l’hégémonie de leur employeur.

Les seuls moments où on sent l’influence de Google derrière eux résident dans les choix d’implémentation orientés vers la branche Chrome OS du projet, ou dans les objectifs du navigateur (ex: quand un dev refuse un patch qui ralentit le lancement du navigateur de 100ms (!)).

J’espère que la distinction est désormais claire dans l’esprit de chacun.

Chromium, prêt à voler de ses propres ailes.

Après avoir utilisé Chromium pendant plusieurs mois, et vécu tous les constats faits en page 2, je peux maintenant affirmer que Chromium a enfin ce qu’il faut pour être un navigateur principal pour l’utilisateur moyen à avancé.

Biensur il est encore inférieur à Firefox en plusieurs points (souvent la maturité des plugins proposés), mais il a enfin gagné sa place parmi les navigateurs principaux, et surtout, est enfin sorti de son aura de “Projet inachevé” et de “Proof of Concept” qui l’aura suivi pendant près de deux années.

Pour toutes ces raisons, je le conseille à beaucoup de gens qui se plaignent de Firefox, ou simplement qui ont d’autres priorités dans leurs exigences, tout en reconnaissant que pour beaucoup de gens encore, Firefox reste le meilleur choix.

Si vous avez aimé ce post...

1. Chromium, le Google Chrome sous Linux sans émulation
2. La maturation de Chromium
3. La recherche web… sans Google!

Un attaquant vera son adresse IP inscrite dans le fichier /etc/hosts.deny l’empêchant de se logguer.

Installation

Gentoo

emerge denyhosts

Debian et dérivés

aptitude install denyhosts

Red Hat et consorts

yum install denyhosts

Configuration

/etc/denyhosts

#Doit pointer vers votre fichier logguant les tentatives de connexions
SECURE_LOG = /var/log/auth.log

#Ces dernières lignes permettent d'utiliser le partage d'IP. On peut se limiter au partage montant ou descendant
#C'est purement facultatif mais je vous le recommande.
SYNC_SERVER = http://xmlrpc.denyhosts.net:9911
SYNC_UPLOAD = yes
SYNC_DOWNLOAD = yes

Puis pour le lancer :
/et/init.d/denyhosts start

Sous Gentoo pour le lancer automatiquement au boot vous devez l’ajouter à votre « rc par défaut » :
rc-update add denyhosts default

Logs

Allons faire un tour dans les logs de DenyHosts pour voir à quoi s’attendre.

Exemple de synchro où l’on récupère des IP à blacklister :

Feb 20 04:42:43 - denyhosts : INFO received new hosts: ['217.10.117.161', '194.185.200.156', '91.75.180.114', '202.141.132.50', '60.248.91.64', '211.100.42.83', '202.165. 177.203', '211.155.227.171', '58.221.34.18', '88.191.15.133', '210.51.36.162', '220.165.28.66', '91.205.74.41', '61.178.74.43', '202.117.54.134', '74.127.18.195', '195.250.39.6 6', '216.229.160.194', '122.70.147.103', '200.195.168.194', '202.44.11.60', '94.190.187.113', '213.5.64.164', '201.116.98.210', '163.13.175.44', '119.149.189.199', '93.152.156. 13', '125.7.209.4', '210.51.48.71', '88.117.234.162', '217.97.185.35', '217.20.183.73', '117.41.228.195', '201.20.186.222', '79.39.6.98', '221.165.162.4', '211.72.171.76', '209 .255.67.10', '80.203.122.116', '12.152.124.2', '70.169.201.74', '202.5.95.205', '217.219.67.131', '65.98.97.98', '218.241.155.144', '80.14.186.105', '96.31.68.39', '218.108.247 .138', '61.138.217.19', '82.230.95.10']

Ajout d’un attaquant + upload au serveur central :

Feb 21 09:25:31 - denyhosts : INFO new denied hosts: ['81.7.171.15']
Feb 21 09:43:01 - sync : INFO sent 1 new host

Reset du compteur en cas de login réussi :

Feb 21 11:35:03 - loginattempt: INFO resetting count for: 10.0.0.3

Liens

Site officiel
Statistiques mondiales de DenyHosts

Si vous avez aimé ce post...

1. Mise en place d’un système de backup avec Rsnapshot
2. SSH sans mot de passe
3. On a testé pour vous : Ubuntu Jaunty Jackalope 9.04

Combien de projets sont-ils morts ou ont-ils été paralysés par un défaut de structure, d’ordre et de clarté dans la manière de procéder ?

Freemind, ce n’est pas un nouveau procédé de méditation New-Age à la mode, mais c’est tout de même la solution à ce problème !

Freemind est un logiciel de création de schémas et d’organigrames de type WYSIWYG permettant de structurer graphiquement des idées ou des procédures, c’est à dire à peu près tout ce qui passe par votre tête.

Nous allons ici voir les avantages, pas toujours triviaux, et pourquoi il peut réellement être important de se forcer à représenter ses pensées schématiquement.

Freemind : comment regarder son cerveau dans un miroir, et y mettre un peu d’ordre !

Dans une citation célèbre, souvent attribuée à Einstein, il est dit que “Si tu n’es pas en mesure d’expliquer un concept à un enfant de 8 ans, c’est que tu ne maitrises pas ce concept correctement.”

Le premier intérêt d’une représentation graphique, au delà de tout autre utilité, est d’appréhender ses pensées.
Cela peut paraître stupide, ou inutile, mais la réalité est que, si on prenait la peine de se représenter correctement à soi-même ses propres pensées, avant de tenter de les appliquer ou de les expliquer à quelqu’un, on éviterait souvent de perdre beaucoup de temps à tenter d’expliquer un raisonnement qu’on n’appréhende et donc ne peut exprimer clairement, ou à tenter d’implémenter une procédure qui, sur un schéma correct, se révèle irréalisable, et dont les failles apparaissent comme des guirlandes de noël.

Une preuve ? Un exemple ? Mieux : un témoignage !

Pas plus tard que cette nuit, j’ai tenté de me mettre sérieusement à utiliser les services de réseaux sociaux dont on entends tant parler actuellement.
Mes 4 nominés ? Google Buzz, Facebook, Identi.ca et Twitter.
Mon objectif ? Parvenir à tous les utiliser en même temps, avec un moindre effort, et qu’ils se synchronisent correctement entre-eux le plus possible.

Ceux qui se sont déjà lancés dans ce genre d’initiatives savent à quel point les procédés pour relier deux services qui refusent de se parler (concurrents, par exemple) peuvent être tordus, mais surtout à quel point une structuration sans faille des interactions de ces réseaux est vitale pour éviter des redondances ou des boucles infinies.

Après avoir cassé les dents de mon petit esprit inférieur sur ce problème épineux, j’ai décidé de le représenter sur un bout de papier, ou mieux, sur “ce logiciel dont je dois faire un article Geekfault depuis des mois”, comment je voulais structurer mon réseau.

Ci-jointe, donc, la première itération de mon schéma logique des interactions entre ces différents services.

You're doing it wrong !

Il ne s’agit pas ici (uniquement) d’une inaptitude à utiliser un logiciel de schématisation. J’ai d’ailleurs très exactement reproduit le concept que j’avais en tête.
Là est précisément le problème.
Ce n’est qu’après avoir à moitié schématisé mon plan de pensée, que j’ai compris que si je n’arrivais pas à comprendre mon propre schéma, c’était tout simplement parce qu’il était déjà totalement bordélique dans ma tête, et qu’il devait être repensé from scratch.

C’est ainsi que, en quelques minutes seulement (voire quelques dizaines de secondes), j’ai recommencé mon schéma, en repensant, non seulement sa schématisation, mais également sa structure dans ma tête, et que je suis parvenu à ce simple mais efficace résultat :

La différence est frappante !

• Twitter occupe une position centrale, et est celui qui se charge de propager les mises à jours aux autres services. (flèches bleues)
• Identi.ca est le seul service qui poste des mises à jours à Twitter (flèche rouge)
• Chaque service est en contact avec chaque autre service via Twitter (flèches vertes, représentant des liens indirects)

Une fois qu’on a compris ça, on peut déjà mettre en place le dispositif de façon ordonnée, méthodique et productive, et on peut déjà très clairement apercevoir les implications plus abstraites :

• Tout ce qui est posté par Identi.ca est correctement propagé à tous les services, il doit donc être le service utilisé pour poster des mises à jour.
• On peut poster des mises à jours sur Facebook et Buzz sans qu’elles ne soient répercutées partout à la fois, ces deux services peuvent donc être utilisés pour poster des mises à jours plus personnelles/privées, ou simplement n’ayant pas la prétention de devoir être propagées sur tous les moyens de communications et «spamées» inutilement.

Cette expérience illustre parfaitement que même si je croyais avoir saisi la structure à appliquer, et avoir compris mon raisonnement, une représentation graphique m’a évité de me gratter la tête pendant des heures, et m’a permis de reprendre mes erreurs, qui apparaissaient évidentes en comparant les deux schémas.

Quelques minutes plus tard, mon dispositif était en place, et marchait du tonnerre de dieu. Ils vécurent heureux et eurent beaucoup de followers !

La communication, ça compte.

Un autre gros frein dans un projet collaboratif, c’est la communication de la structure ou des objectifs qu’on a en tête avec les autres participants, pour être sur et certain qu’on va tous dans le même sens, vers le même résultat.

Et pour ça, Freemind est équipé !
Il intègre une pléthore de mini logos associables aux éléments (nœuds), de couleurs, d’annotations et de possibilités diverses de clarifier une structure, attirer l’attention sur un élément, constituer des listes hierarchisées et décrire avec clarté la direction qu’on veut prendre dans un projet.

Voici un exemple de brouillon réalisé pour les besoins de l’article, il y a quelques mois, représentant une vue d’ensemble du statut des différents pôles de Geekfault, de mon point de vue.

Ceci est totalement obsolète et non représentatif du statut du Geekfault actuel.

Réalisé en moins de 5 minutes, sans aucune expérience de schématisation préalable, ce schéma est parfaitement clair pour quiconque, facile et rapide à parcourir.
Il décrit pourtant le statut d’un projet collaboratif de manière complète et détaillée, de telle façon que cette seule image peut servir d’ordre du jour pour une réunion de décideurs Geekfault, car elle premet de communiquer en 20 secondes ce qui nécessiterais 30 messages sur IRC et 10 bonnes minutes d’explication.
Mais aussi et surtout, servir de pense-bête, et de repère fixé du paysage et de la santé du projet, incluant une TODO-List subtile avec une hierarchie de priorité, et indiquant implicitement mais intuitivement les prochaines actions à mettre en œuvre pour faire avancer le projet.

Comment l’installer

Sous gentoo :
# emerge app-misc/freemind
Sous ubuntu :
$ sudo apt-get install freemind

Le projet étant écrit en Java, il est multi-plateforme et des versions pour les autres OS sont disponibles sur le site officiel du projet.

À noter

Le projet, à défaut d’évoluer rapidement, avance par bonds, et il est donc très conseillé de se tourner vers l’absolue dernière version disponible, car par exemple, la version 0.9.0 se trouve être incomparablement plus aboutie que la version 0.8.0

De plus, un fork de ce projet, au développement plus dynamique, existe déjà. Il se nomme freeplane, se montre prometteur, et est à surveiller attentivement, voir à privilégier.

Liens utiles

• Blog francophone autour de Freemind
• Le site officiel du projet Freemind
• L’article wikipedia du projet Freemind
• Le site officiel du projet Freeplane
• L’article wikipedia du projet Freeplane

Si vous avez aimé ce post...

1. Lancer votre dual-booting Windows dans une VirtualBox
2. Sikuli : programmez avec des screenshots
3. Faire planter le Weechat de votre correspondant