Mais au fait, c’est quoi un initram ?

Un initram est un fichier contenant un mini système sur lequel boot le kernel.
Son utilisation la plus commune est de servir d’étape pour lancer le vrai système, c’est ce cas que nous verrons.

Étapes d’un boot typique avec initram

• La machine démarre.
• Le BIOS se lance, lit sa conf, et passe la main au boot-loader Grub présent sur le MBR.
• Grub lit sa conf, copie en RAM le kernel et l’initram puis passe la main au kernel.
• Le kernel s’initialise, détecte le hardware puis passe la main à l’initram.
• L’initram fait son boulot et passe la main au vrai système, par exemple Gentoo.
• Gentoo s’initialise et vous demande de vous logger.

Dans quel cas l’utiliser ?

Si le système est directement accessible par le kernel, un initram ne sert à rien, le kernel y arrivera tout seul.
En revanche si le système n’est pas directement accessible (raid, cryptage, lvm, etc), alors il faut un initram pour y accéder.

Autopsie d’un initram

Un fichier d’initram n’est en fait qu’une archive cpio. cpio étant un format similaire à tar, mais plus basique.
Dans cette archive on retrouve une arborescence de fichier similaire à celle d’un système classique (/dev, /etc, /bin, /lib, etc)
Il doit aussi y avoir le fichier init à la racine de l’arborescence, c’est à ce fichier que le kernel passe la main et c’est presque toujours un script shell.
On ne laisse évidemment dans cette arborescence que le strict nécessaire si bien qu’il ne reste souvent que /bin, /init et un ou deux autres dossiers.
On peux également compresser ce fichier avec gzip, bzip2 ou xz si le kernel le supporte.

Voila pour un rappel de la technologie.

Initram vs initrd

On confond souvent les deux car ils servent à la même chose mais l’initrd est en fait le grand-père de l’initram.
L’initrd est un fichier de taille fixe, formaté en ext2, copié en RAM et monté comme un disque dur.
Alors que l’initram est une archive cpio dont le contenu est copié dans du tmpfs, (taille dynamique, pas besoin de formater).

Bref l’initrd est à l’initram ce que le Tam-tam est à Internet: un ancêtre archaïque.

Construire son initram

Pour éviter de rester vague, prenons un exemple concret: une Gentoo sur une partition cryptée avec dm-crypt, le tout sur Raid 1 software.
En bonus, et pour le même prix, on rajoutera un mode rescue.

Il va nous falloir les ingrédients suivant:

• Un shell pour exécuter le script /init
• Un moyen de remplir /dev pour avoir /dev/sda1, etc
• L’exécutable mdadm pour monter le Raid
• L’exécutable cryptsetup pour décrypter
• Un moyen de passer le clavier en français pour taper le mot de passe
• Un moyen de passer en mode rescue
• Un script /init pour orchestrer tout ça

On mettra tout ces ingrédients dans un dossier appelé DOSSIER et on verra plus tard comment transformer ce dossier en initram.

Shell: Busybox

Busybox est une sorte de couteau suisse qui fournit les commandes de base (sh, cd, ls, rm, mount, …), tout cela contenu dans un seul petit exécutable. Il contient bien évidement un shell.

Il existe deux méthodes pour accéder aux commandes de Busybox:

• l’appel direct$ busybox ls -la /etc
• le lien symbolique$ ln -s busybox /bin/ls
$ ls -la /etc

On ajoute Busybox à notre initram:

$ cd DOSSIER
$ mkdir bin
$ cp `which busybox` bin/
$ ln -s busybox bin/sh


Busybox est disponible sur toutes les distribution et, sauf exception, est toujours compilé en static.
Vous pouvez vérifier avec la commande:
$ file `which busybox`
/bin/busybox: ELF 64-bit LSB executable, x86-64, statically linked

Si il est dynamically linked alors il faut soit se débrouiller pour avoir une version statically linked, soit inclure dans l’initram (dans /lib) les librairies dont il a besoin (utiliser la commande ldd pour avoir la liste).
Cela est valable pour tout exécutables que vous ajoutez à votre initram.

/dev: Busybox

La encore, busybox a ce qu’il faut: mdev, un mini udev.
mdev marche différemment de udev qui pour rappel est un service qui tourne en permanence.
mdev à l’inverse est à lancer quand on en a besoin, et on en a besoin de deux façon:

• pour remplir /dev avec tout ce qu’a trouvé le kernel jusque là$ mdev -s
• pour que /dev soit mis à jour chaque fois que le kernel trouve un nouveau périphériqueln -s busybox /bin/mdev
echo '/bin/mdev' > /proc/sys/kernel/hotplug

On utilisera mdev dans le script /init.

mdadm et cryptsetup

Pour vous faciliter la tache il vaut mieux les avoir en static sinon il faut inclure les librairies avec.

On ajoute mdadm et cryptsetup à notre initram:

$ cp `which mdadm` bin/
$ cp `which cryptsetup` bin/


On les utilisera dans le script /init

Clavier Français: Busybox

Décidément ce Busybox fait tout !
En fait il ne sait pas vraiment configurer le clavier en français mais il sait sauver la configuration actuelle dans un fichier.

On crée le fichier avec:

$ cd DOSSIER
$ mkdir etc
$ busybox dumpkmap > etc/kmap-fr

Évidement il faut que le clavier soit déjà correctement configuré pour que cette opération ait un sens.
On peux ensuite charger le fichier avec loadkmap, mais nous verrons cela dans le script /init.

Rescue

On a donc maintenant un shell, le clavier peut etre configuré, on a mdadm et cryptsetup, en plus de ça busybox est plein d’outils divers (ip, lspci, wget, ps, etc, …). tapez busybox pour voir la liste.
Il y a donc tout ce qu’il faut pour un rescue, autant en profiter.
Le mode rescue sera tout simplement de lancer un shell pour donner la main à l’utilisateur.

On pourra y arrivera de deux manières:

• le script /init rencontre une erreur et lance un shell.
• On rajoute “rescue” aux paramètres du kernel et on configure le script /init pour qu’il lance un shell dans ce cas.

On vera tout ca dans le script /init.

Pour info, rajouter un paramètre au kernel peux se faire directement depuis Grub:

• attendez de voir grub
• appuyez sur une touche pour arrêter le compte à rebour
• appuyez sur e, comme edit, vous verez alors plusieurs lignes, dont celle commencant par kernel
• appuyez a nouveau sur e et ajoutez rescue à la fin de cette ligne
• appuyez sur escape pour sortir du mode edition
• appuyez sur b, comme boot, pour booter

La modification n’est pas permanente.

Script /init

Le gros morceau, c’est lui qui fait le boulot.

#!/bin/sh

# et on passe la main au vrai système
exec switch_root /newroot /sbin/init ${CMDLINE}


Générer l’initam

Ultra simple:

$ cd DOSSIER
$ find . | cpio --quiet -o -H newc | gzip --best > /boot/mon_initram

Vous pouvez évidement utiliser bzip2 ou xz pour compresser, assurez vous juste que votre kernel le supporte.

Et voila, votre initram est terminé.
Il n’y a plus qu’à booter dessus, à vous les kernel panic !

Si vous avez aimé ce post...

1. Mise en place d’un système de backup avec Rsnapshot
2. La nouvelle mode Geek : avoir son domaine .42
3. S’authentifier avec une clé USB

Avec un peu d’astuce c’est tout à fait possible, grâce au mode d’accès disque “raw”. Voici comment j’ai réussi à lancer mon Windows physique à l’intérieur d’une VirtualBox.

Préparation

Je présuppose que vous avez déjà une installation dual-boot fonctionnelle. Dans votre environnement Linux, installez VirtualBox ainsi que l’utilitaire mbr :
# apt-get install virtualbox mbr
Si vous souhaitez lancer cette machine virtuelle en tant qu’utilisateur, nous devons ajouter l’user aux groupes nécessaires :
# gpasswd -a tito vboxusers
# gpasswd -a tito disk
Finalement, essayez de retrouver votre CD d’installation de Windows.

Création du disque virtuel

Pour permettre à VirtualBox de lancer Windows, nous devons créer un disque virtuel bootable. Pour cela on crée un Master Boot Record. Il faut d’abord identifier où se trouve votre Windows. Le mien, comme beaucoup d’installations constructeur de nos jours, tient en deux partitions : la boot sur /dev/sda1 et le système sur /dev/sda2. Je suppose que vous saurez aisément situer le vôtre.
$ mkdir Virtual7 && cd Virtual7
$ install-mbr -e12 --force ./vm.mbr
Remarquez l’option -e12 qui signifie “partitions 1 et 2″, modifiez selon votre système!

Nous créons maintenant le disque virtuel :
$ VBoxManage internalcommands createrawvmdk -filename ./win7.vmdk -rawdisk /dev/sda -partitions 1,2 -mbr ./vm.mbr -relative
À nouveau, modifiez les arguments rawdisk et partitions selon votre système.

Création de la VirtualBox

Vous pouvez maintenant lancer l’interface graphique de VirtualBox et créer une nouvelle machine virtuelle. Lorsque l’assistant demande le disque dur virtuel, allez chercher le fichier Virtual7/win7.vmdk.

Réparer Windows

Si vous essayez de lancer la machine virtuelle maintenant, Windows vous gratifiera d’une jolie erreur vous demandant de démarrer sur le CD d’installation pour réparation. C’est tout à fait normal!

Après avoir monté votre CD d’installation Windows dans VirtualBox, bootez à partir de celui-ci. Choisissez vos options linguistiques et cliquez sur “Réparer l’installation”. La machine virtuelle va redémarrer sous votre Windows!

Problèmes divers

• Dans certains cas, la configuration par défaut de VirtualBox ne permet pas de démarrer Windows 7, ni même son CD de réparation! (Erreur 0xc0000225) Pour régler le problème, dans la configuration de la machine virtuelle cochez “Activer les IO-APIC” sous l’onglet Système.
• Étrangement, la réparation du démarrage de Windows a modifié le comportement vis-à-vis de GRUB. J’ai donc modifié mon /boot/grub/grub.conf pour que Windows démarre depuis (hd0,1) plutôt que (hd0,0).
• Même s’il sont bien pratique en milieu virtualisé, les additions client (guest addons) de VirtualBox font planter Windows lorsqu’il est lancé physiquement. Ne les installez donc pas.

En savoir plus

• Taming Windows 7 in a VM
• VirtualBox raw host hard disk from a guest
• Erreur 0xc0000225

Si vous avez aimé ce post...

1. Faille critique dans tous les noyaux Linux
2. Keymap Linux sous Windows
3. OpenVZ : virtualisation légère, performante et amusante

Les mails sans rangement c’est immangeable, ceci est une petite recette d’assaisonnement

Centraliser mes mails m’apporte plusieurs choses :

- Faciliter le filtrage.
- Faciliter le rangement dans différents dossiers.
- Effectuer un backup de tous mes comptes IMAP/POP.
- Faire apprendre à mon antispam mes différents réglages.

Cette recette ne couvre pas l’installation de Apache + php + MySQL
Nous supposons ici que vous savez faire ce type d’installation.

Cette recette ne couvre pas non plus l’utilisation de mutt (je mettrai tout de même en ligne ma configuration).
En effet, l’utilisation de mutt mérite un article à lui seul !

Postulat1 : Les mails seront stockés dans cette recette ici : /home/utilisateur/.maildir
Postulat2 : Nous supposons que vous avez plusieurs comptes email à rapatrier.
Postulat3 : Nous supposons que vous disposez d’une machine GNU/Linux sous Gentoo et/ou Debian pour effectuer ce howto.
Postulat4 : Nous supposons que vous stockez vos mails dans le format Maildir ! (se reporter au Howto Sur la conversion mbox => maildir en cas de soucis) Allez lire : http://geekfault.org/2010/04/09/maildir-mbox-la-migration/

Résultat une fois que la recette est en place

Logiciels nécessaires pour “MailFiltrés”

Remplir la casserole

Pour trier le manger dans la casserole nous devons tout d’abord la remplir !

Pour effectuer ce howto il nous faut tout d’abord des emails.
Il va donc nous falloir configurer fetchmail.
Attention ne pas lancer fetchmail de suite ! Sinon vous risquez de rapatrier les emails sans même les faire passer dans la moulinette avant de les déposer dans les bons compartiments de la casserole !

Récupérer les ingrédients et les mettre dans la casserole

* Gentoo

USE="ssl" emerge -av net-mail/fetchmail


* Debian

apt-get install fetchmail


* .fetchmailrc


## les mails mondomaine.info
poll pop.geekmx.org
protocol pop3
username bragon@mondomaine.info
password ""
#mda '/usr/bin/procmail -d %T' ### petit commentaire pour vous faire voir comment faire pour faire passer vos mails dans la moulinette procmail avant de les donner à manger à dovecot !!
mda "/usr/libexec/dovecot/deliver"
is 'bragon' here ### Nom de l'utilisateur local pour déposer les mails.
keep ### Laisses mes mails sur l'imap distant ! Mechant !

Filtrer / Découper les ingrédients Juste avant la casserole


emerge -av =net-mail/dovecot-1.2.6

ou

apt-get install dovecot # Je crois que de base dans Debian dovecot est compilé avec sieve.


* Flag de compilation nécéssaire pour dovecot : “berkdb bzip2 ipv6 maildir managesieve mysql pam sieve ssl zlib -caps -cydir -dbox -doc -kerberos -ldap -mbox -postgres -sqlite -suid -vpopmail”

Via ces directives de compilation dovecot supporte maintenant les fichiers de filtrage “.sieve”
Il vous suffit de déposer n’importe quel fichier sieve dans /home/utilisateur/sieve pour que dovecot utilise vos filtres.

Voici un exemple de syntaxe : tamereenshortsurunCISCO7603.sieve


# rule:[cron]
elsif anyof (header :contains "Subject" "root@gn",
header :contains "From" "root@astaroth",
header :contains "From" "bragon@tobold",
header :contains "From" "root@aec-ri.com",
header :contains "From" "root@mail.geekmx.org",
header :contains "From" "root@bender")
{
fileinto "cron";
}


Second exemple de syntaxe : tonpapaesttellementvieuxque….sieve


# rule:[SYSADMIN ML]
elsif anyof (header :contains "From" "sysadmin@domaine.net",
header :contains "Subject" "Liste Franophone Administrateur systeme")
{
fileinto "boulot.sysadmin";
redirect "smartphone[at]bragon[point]info"; ## Mettre ici une adresse mail valide
}
# rule:[Debian Security Advertise]
elsif anyof (header :contains "Subject" "[SECURITY][DSA")
{
fileinto "boulot.dsa";
}


Virer les ingrédients moisis en les mettant dans un compartiment de la casserole


emerge -av =mail-filter/spamassassin-3.2.5-r2


* Flag de compilation nécessaire pour spamassassin : "berkdb ipv6 mysql ssl -doc -ldap -postgres -qmail -sqlite -tools"

* Voir les configurations de spamd ci-après.

Renvoyer certains ingrédients au cuisinier


emerge -av =mail-mta/postfix-2.6.5


* Flag de compilation nécessaire pour postfix : "dovecot-sasl ipv6 mysql pam ssl -cdb -hardened -ldap -mbox -nis -postgres -sasl (-selinux) -vda"

* Voir le fichier de configuration main.cf ci-après.

Le postfix me sert uniquement pour transférer certaines régles sieve vers une autre adresse mail.
Cette adresse mail est popé via mon smartphone.
Ainsi je reçois N'importe ou Certains mails qui "matchent" une régle de filtrage spécifique !

Le postfix peut me servir également à faire réply dans l'interface roundcube ou mutt . (mais je l'utilise rarement car ce postfix n'a ni domainkeys ni spf pour mes domaines pro / geeknode / gmail) Et le mail bien que délivré arrivera dans la boite à spam du correspondant fréquemment.

Ce postfix n'est là que pour dépanner, et pour transférer mes mails super important via mon smartphone.

Faire mijoter à feu doux !

Placer ce crontab pour l'utilisateur qui va devoir récupérer les mails.


crontab -e
*/10 * * * * /usr/bin/fetchmail > /dev/null 2>&1


Les mails vont donc être récupérés toutes les dix minutes, et directement déposés dans le MDA ( Mail Délivery Agent).
Le MDA de ma configuration fetchmail étant dovecot, et dovecot lisant tous mes filtres, cela devrait bien se passer

Présentation sur un joli plat du résultat.

La configuration de dovecot aka "Le déversoir"


base_dir = /var/run/dovecot/
protocols = imap managesieve ## Je suppose que vous n'avez pas besoin de pop pour votre interface centralisé.
shutdown_clients = yes
disable_plaintext_auth = no
ssl = no ## ce howto ne couvre pas la sécurité de l'imap

Configuration de .muttrc aka le rouleau à patisserie

Placer ce fichier .muttrc à la racine du répertoire utilisateur :

Configuration de postfix aka "Le renvoyeur"


queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = //usr/lib/postfix
data_directory = /var/lib/postfix
mail_owner = postfix
myhostname = tobold.mondomaine.info
mydomain = tobold.mondomaine.info
myorigin = $myhostname

Configuration SpamAssassin/MySQL

* Afin de générer un bon local.cf utilisez : http://www.yrex.com/spam/spamconfig.php

* Insérer dans une base MySQL

CREATE TABLE userpref (
username varchar(100) NOT NULL default '',
preference varchar(50) NOT NULL default '',
value varchar(100) NOT NULL default '',
prefid int(11) NOT NULL auto_increment,
PRIMARY KEY (prefid),
KEY username (username)
);
CREATE TABLE bayes_expire (
id int(11) NOT NULL default '0',
runtime int(11) NOT NULL default '0',
KEY bayes_expire_idx1 (id)
) TYPE=MyISAM;

* secret.cf

* local.cf


# SpamAssassin config file for version 3.x
# NOTE: NOT COMPATIBLE WITH VERSIONS 2.5 or 2.6
# See http://www.yrex.com/spam/spamconfig25.php for earlier versions
# Generated by http://www.yrex.com/spam/spamconfig.php (version 1.50)

# Mail using locales used in these country codes will not be marked
# as being possibly spam in a foreign language.
#ok_locales en fr


Ajouter les clous de girofles dans RoundCube

http://www.tehinterweb.co.uk/roundcube/#pisieverules

Il vous faut installer les plugins ManageSieve et ReportasJunk
Suivez la documentation officielle, elle s'en sortira mieux que moi afin de vous expliquer tout cela.

• http://www.tehinterweb.co.uk/roundcube/plugins/sieverules.README.txt
• http://www.tehinterweb.co.uk/roundcube/plugins/sauserprefs.README.txt
• http://www.tehinterweb.co.uk/roundcube/plugins/markasjunk2.README.txt

Laissez refroidir

Voilà c'est prêt !

Awesome non ?

Si vous avez aimé ce post...

1. Maildir mbox – La migration
2. EeeGW : Créer soi-même une passerelle réseau
3. Mise en place d’un système de backup avec Rsnapshot

Traditionellement, les serveurs UNIX utilisent mbox pour stocker les mails. Pour mbox, chaque dossier de votre boîte mail (Reçu, Envoyés, Archive, Corbeille, etc) est representé par un fichier, ou tout les mails sont enregistrés à la suite, séparés par une ligne vide.

Ce format, très simple à utiliser, pose de nombreux problèmes. Premièrement, on ne peut pas faire d’accès parallèles, même sur des mails différents, puisque le fichier est le même (problème de verrou). Deuxièment, les serveurs POP/IMAP (comme Dovecot) ont souvent un support limité de mbox. Dovecot est obligé de placer un mail “interne” dans la boîte, pour garder l’arborescence et l’organisation des dossiers. Courier ne supporte pas mbox.

L’avantage principal de mbox, c’est le fait qu’il soit très répandu. Il est supporté par tout les MUA (mailutils/mail, bsd-mailx, mutt, emacs, Kmail, thunderbird, evolution). Mais les problèmes récurrents qu’il pose ont poussé le principal développeur de qmail a créer un nouveau format : Maildir.

Maildir

Avec Maildir, chaque mail est un fichier, et chaque dossier de la boîte mail, un répertoire. Attention, c’est un peu plus compliqué que ça. Les mails ne sont pas directement enregistrés dans boîte/mail :

• Le MDA enregistre le mail dans boîte/tmp/unique (“unique” est un nom de fichier unique généré a partir de données pseudo-aléatoires)
• Une fois que le mail est écrit, le MDA le déplace dans boîte/new/unique
• Le MUA le déplace dans boîte/cur/unique une fois qu’il voit qu’un nouveau message est arrivé dans boîte/new/

Pourquoi ? Ce comportement est utilisé pour éviter que le MUA voit un mail incomplet (car le MDA est encore en train de l’écrire), ce qui peut arriver si la machine est surchargée, si le Maildir est sur un serveur distant (NFS,FTP), voire même si le mail est gigantesque.

Maildir et procmail

Le but de cet article n’est pas d’expliquer comment configurer un MDA pour qu’il enregistre les mails en Maildir, mais malgré tout je fais une petite encartade pour les gens qui utilisent procmail. Le code suivant dans /etc/procmailrc permet de dire à procmail de mettre par défaut (cela peut donc être supplanté par une directive contraire dans le ~/.procmailrc) :
DEFAULT=$HOME/Maildir/
Aussi, si vous n’utilisez pas encore procmail je vous conseille d’y migrer rapidement :

• Plus besoin de toucher à la configuration du MTA pour changer les méthodes de livraison des mails
• Les utilisateurs peuvent écrire leurs propres règles pour leurs boîtes mails (pour avoir des boîtes séparées pour certains mails, par exemple)
• Si vous changez de MTA vous pouvez toujours garder la même configuration, à condition de dire à votre MTA d’utiliser procmail

Configuration de mutt

mutt gère très bien les Maildirs, mais il faut le configurer. Dans le .muttrc, rajoutez :

# pour dire à mutt de que mbox est un Maildir
set mbox_type=Maildir
# pour dire à mutt que les chemins relatifs (avec +) sont dans "~/Maildir/"
set folder="~/Maildir/"
# pour dire à mutt que les mails arrivent dans Maildir/
set spoolfile="~/Maildir/"
# les mails archivés (pas nouveau) seront envoyés dans +Mailbox
# (+ est remplacé par la variable folder).
set mbox="+Mailbox"

# ce code montre la puissance de mutt (inclure des scripts shell dans sa configuration)
# ouvrir tous les dossiers qu'il trouve dans ~/Maildir/
mailboxes ! + `\
for file in ~/Maildir/.*; do \
box=$(basename "$file"); \
if [ ! "$box" = '.' -a ! "$box" = '..' -a ! "$box" = '.customflags' \
-a ! "$box" = '.subscriptions' ]; then \
echo -n "\"+$box\" "; \
fi; \
done`

On note qu’il faut créer les boîtes mails dans ~/Maildir/, ainsi que le Maildir en lui-même (même si procmail peut le créer tout seul, et que si vous avez converti vos mbox il existe déjà). On va créer la boîtes “Mailbox” (utilisé par mutt avec set mbox=”+Mailbox”).

cd # on se place dans $HOME
mkdir Maildir # on crée Maildir (ça sera peut-être déjà fait)
cd Maildir
mkdir cur new tmp # on crée une arborescence Maildir
mkdir .Mailbox # on crée une nouvelle boite
cd .Mailbox
mkdir cur new tmp

On note que :

• La boîte principale, ou les mails entrants sont enregistrés par le MDA, est à la racine du Maildir
• Les sous-dossiers de la boîte, commencent tous par un .

Vous pouvez maintenant démarrer mutt, et exploiter votre mbox (pour naviguer dans les boîtes, utilisez “y”)

Migrer des boîtes mbox en Maildir

Pour migrer les mbox en Maildir, le script perfect_maildir.pl est parfait, et son usage est simple :
./perfect_maildir.pl path_to_Maildir/ < mbox

pam_mail.so et You have new mail

Vous avez peut-être déjà remarqué que quand vous vous ouvrez un shell, vous avez un beau message "You have new mail" qui indique de nouveaux mail dans /var/mail/$USER. Cet avertissement est geré par pam_mail.so, un module de PAM qui permet de faire ça. Si on utilise Maildir il est intéressant de dire à pam_mail.so d'aller vérifier les nouveaux mails dans le Maildir. Cette configuration se fait dans /etc/pam.d/ sous Debian et Gentoo. Tout d'abord éditer le fichier login, et trouver cette ligne :

session optional pam_mail.so standard

Remplacer par :

session optional pam_mail.so standard dir=~/Maildir

Je recommande d'effectuer aussi la manipulation pour le fichier "ssh".

Normalement PAM devra modifier la variable d'environnement MAIL à Maildir/, si par hasard ce comportement ne marche pas (en fonction de la configuration de PAM) il y a toujours moyen d'ajouter
MAIL=Maildir/
dans /etc/environment.

Faire fonctionner la commande "mail"

La commande mail est le moyen le plus simple de lire ses mails sous unix. Vous constaterez probablement que votre commande mail ne marche plus (même avec MAIL=Maildir/), car elle ne supporte pas Maildir. Mais il y a plusieurs versions de cette commande, la plus répandue étant celle de bsd (bsd-mailx avec Debian). Je vous conseille d'installer une autre version, appellée "heirloom-mailx" (sous Debian), voire "nail", qui supporte très bien les Maildir.

Liens relatifs

• Configurer Maildir et Dovecot
• man pam_mail
• la première spécification de Maildir (a changé depuis)

Ironiquement j'ai trouvé beaucoup de mes renseignements sur bugs.debian.org :

• libpam-modules: pam_mail doesn't set MAIL enviroment variable when .hushlogin exists.
• login.defs: QMAIL_DIR problems

Si vous avez aimé ce post...

1. Filtrer ses mails ! Un cauchemard !
2. Mise en place d’un système de backup avec Rsnapshot
3. Migration de Geekfault

OpenVZ est un système de virtualisation particulier. Il permet de faire tourner de multiples machines virtuelles partageant un seul kernel patché spécialement pour l’occasion. Cette techniques est donc limités à des machines (hôte ou invité) tournant sous linux. En contrepartie les performances sont particulièrement élevés. Il est également très aisé de modifier les particularités physiques des machines virtuelles sans les redémarrer. Cette technique est souvent employée chez les hébergeurs pour les offres « VPS ».

En pratique, c’est utile à des fins de sécurité. On essaie de mettre un seul serveur par VPS (serveur web sur un VPS, MySQL sur un autre, mail encore sur un autre …). Si l’un des serveurs possède une faille de sécurité, les autres serveurs ne pourront alors pas être impactés. Il y a également la facilité à backuper une machine virtuelle et donc au besoin de la dupliquer ou la déplacer. Cependant, on ne peut pas faire de migration à chaud comme certains de ses concurrents.

La création d’une machine ne prend guère plus d’une minute sur une machine correcte, ce qui permet de s’en servir comme d’un moyen de tester des logiciels sans encombrer votre distro. Qui plus est, le lancement d’une machine est quasi instantané, ce qui peut parfois sauver des manchots…

Installation de la bête

Le kernel

Cette partie dépend pas mal de la distro. J’aborderai ici la méthode pour Gentoo, à vous de l’adapter à votre distro.

On commence par installer les source du kernel patché qu’il faudra compiler :

USE="symlink" emerge -av openvz-sources


Il faut ensuite adapter la config du kernel :
Rendez-vous dans ///usr/src/linux//

Ensuite, lancez:

make menuconfig

Vérifiez que tout en haut il s’affiche bien le nom du kernel openvz : .config – Linux Kernel v2.6.27-openvz-briullov.1-r2 Configuration

Dans OpenVZ cochez tout (personnellement je préfère mettre en module le plus possible car je ne l’utilise pas tout le temps).
Puis allez dans Filesystems là vous aurez VPS Filesystems et Virtuozzo Disk Quota support, à ajouter également.

Maintenant enregistrez la config puis compilez votre tout nouveau kernel patché avant de faire une pause IRC :

make
make modules
make modules install


Mettez votre kernel au chaud et préparez le reboot :

cp /usr/src/linux/arch/x86/boot/bzImage /boot/kernel_vz


Ajoutez ces lignes en adaptant à votre cas dans /boot/grub/menu.lst :

title=Gentoo OpenVZ
root (hd0,0)
kernel /boot/kernel_vz root=/dev/sde1


Si vous avez suivit ces instructions sans virer ce qu’il y avait avant, vous ne devriez pas foirer votre machine : l’ancien kernel est toujours présent et le grub possède juste des lignes en plus. Donc maintenant faut tester avec un reboot en choisissant la nouvelle entrée du grub.

Si vous parvenez à reboot alors vous venez de faire le plus dur !
Un petit uname -r peut confirmer que vous tournez sur le noyau modifié.
Passons dès maintenant à la suite.

Les outils

OpenVZ se pilote avec la commande vzctl donc installons la :

emerge -av vzctl

Maintenant vous avez le kernel, les outils, il ne manque plus que les templates qui sont en faites les distros que vous pourrez monter en quelques secondes.
Vous pouvez les créer vous même mais généralement vous trouverez chaussure à votre pied sur le site officiel qui propose déjà une petite collection de templates pré-créés.

http://download.openvz.org/template/precreated/

Vous devrez les télécharger dans le dossier /vz/template/cache.

Prise en main du monstre

Ça y est : c’est tout bien installé et ça ne demande plus qu’à tourner.

/etc/init.d/vz start

Le script de démarrage fonctionne à merveille puisqu’il charge bien les modules (et les décharge en cas d’arrêt).
Pour faire en sorte de le lancer au démarrage de la machine :

rc-update add vz default


Création d’une machine

OpenVZ a pour objectif de faire tourner de nombreuses machines virtuelles simultanément. Elles sont numérotées (en commençant à 101). Ce numéro se nomme CTID. Imaginons que vous ayez un template debian-5.0-x86:

vzctl create $CTID$ --ostemplate debian-5.0-x86

Pendant quelques secondes ça mouline et vous pond une ptite Lenny des familles.

Configurons la pour qu’elle puisse rejoindre notre réseau :

vzctl set $CTID$ --hostname lennounette --ipadd a.b.c.d --nameserver a.b.c.d --diskspace 2G:3G --cpulimit 25 --save

Là je lui attribut un petit nom, une IP, un DNS, un quota de disque dur ainsi qu’un quota d’utilisation du processeur.

Bon c’est bien joli mais maintenant faut la faire tourner histoire de voir ce qu’on peut en tirer :

vzctl start $CTID$

Et bha voilà elle est là … « Up & Running ».

Entrer et interagir avec une machine

Pour aller utiliser une machine rien de plus simple :

vzctl enter $CTID$

Sachez également que les templates pré-créés sur le site officiel possèdent toute un serveur SSH qui tourne afin de vous faciliter la tâche.

Il est possible d’exécuter des commandes dans une machine sans y rentrer :

vzctl exec $CTID$ rm -rf /


Configurer un peu plus la bestiole

Il est possible de modifier la machine invitée pendant qu’elle tourne afin de lui ajouter de la ram, augmenter son quota d’espace disque ou bien restreindre son utilisation max de cpu. Pour cela vous devrez faire appel encore une fois à vzctl.

Modifier le bridage CPU

Il est donc possible de brider le pourcentage de processeur qu’une machine virtuelle peut utiliser afin d’éviter qu’une machine se goinfre et lèse le reste. Pour cela :

vzctl set $CTID$ --cpulimit 10 --save

En sachant que chaque processeur représente 100%, si vous possédez une machine quadcore, vous pouvez jouer de 0 à 400%.
Vous constaterez que la modification est prise en compte immédiatement.

Modifier le quota de disque dur

Attribuons plus d’espace à une machine :

vzctl set $CTID$ --disklimit 10G:12G --save


Modifier la quantité de RAM

C’est la commande la plus complexe :

vzctl set $CTID$ --vmguarpages $((512 * 512)) --save
vzctl set $CTID$ --privvmpages $((512 * 1024)) --save

Là on passe à 512 Mo de ram avec possibilité de monter en pic à 1024.

vzctl set $CTID$ --vmguarpages $((256 * 256)) --save
vzctl set $CTID$ --privvmpages $((256 * 512)) --save

Là on passe à 256 avec possibilité de monter en pic à 512.
Vous voyez le principe …

Les paramètres réseaux


vctl --set $CTID$ --ipadd a.b.c.d --hostname monhost --nameserver b.c.d.e --searchdomain mon_domaine --mac 00:11:22:33:44:55 --save

Le nom des paramètres est assez explicite.

Créer ou modifier le mot de passe d’un utilisateur

Il est possible de modifier le mot de passe d’un utilisateur (pratique en cas de boulette pour rester propre). Si l’utilisateur n’existe pas, il sera créé dans la foulée.

vzctl set $CTID$ --userpasswd login:motdepasse


Tout le reste

man vzctl

Lancer une machine au boot

Il faut avoir lancé OpenVZ au boot. Il faut ensuite :

vzctl set $CTID$ --onboot yes --save


Configurer un peu tout

Il est possible et plus pratique de modifier la configuration directement dans le fichier de conf de la machine dans le fichier /etc/vz/conf/$CTID$.conf

Manipulons le bouzin

Voici à peu près tout ce que l’on peut faire.

• Créer une machine avec create
• Démarrer une machine avec start
• Stopper une machine avec stop
• Rentrer dans une machine avec enter
• Supprimmer une machine avec destroy

Pour plus de commandes :

man vzctl

Oui mais après ?

Ça y est vous savez créer vos machines en moins de trois minutes et gérer leur ressources comme un héros des temps modernes. Mais que faire de ce petit monde ?
Comme expliqué plus haut la virtualisation à pour but de fiabiliser une infrastructure. On peut déplacer une machine virtuelle l’une machine physique à une autre, on isole les différents serveurs publiques afin de limiter l’impact des failles de sécurité …
Il vous faut donc expérimenter ces différentes tâches afin de pouvoir parer l’imprévu. Replancher la gestion de son petit script iptables pour adapter son réseau à ce nouveau fonctionnement.
Le chemin est tout tracé…

Si vous avez aimé ce post...

1. Lancer votre dual-booting Windows dans une VirtualBox
2. Maildir mbox – La migration
3. Faille critique dans tous les noyaux Linux

Python est devenu assez à la mode, pour le développement web, ces dernières années avec l’arrivée de frameworks web comme Django, Pylons et web.py. On le voit souvent utilisé sur apache2, avec mod_python, ou sur des serveurs Python dediés à ça (CherryPy, etc)

Je cherche depuis longtemps un moyen de faire du Python sur HTTP. J’ai mis pas mal de temps mais je pense avoir trouvé une configuration sympa.

Je vous propose ici d’essayer nginx, un serveur HTTP (entre autres), très performant et  beaucoup plus léger/rapide que apache2. Il est très efficace pour faire du reverse-proxy (c’est à dire être utilisé en frontal/load-balancer devant un serveur HTTP, et lui transmettre les requêtes en faisant du cache et le cas échéant du load-balancing).

La configuration de nginx est très simple, et la documentation est très complète : wiki.nginx.org. L’installation de nginx est facile, il est inclus dans la plupart des distributions actuelles, donc à vos emerge/apt-get.

apt-get install nginx

nginx ne gère pas le python nativement. Il y a plusieurs solutions cependant :

• Faire du proxy vers un serveur qui gère le python, comme apache2. On perd la majeure partie de l’intêret de nginx, cependant.
• Faire du FastCGI vers un serveur FastCGI. C’est la solution la plus fréquente, en utilisant fcgi.py ou flup
• Faire du WSGI. C’est un protocole de communication entre serveurs HTTP et applications Python. Solution aussi assez fréquente.
• Faire du proxy vers un serveur qui gère le python de manière native. C’est une solution moins fréquente mais très pratique.

Avant même de penser à choisir une des solutions ici présentes, il faut les comparer entre elles.

nginx => apache2 => python

L’ennui de cette solution c’est : apache2. Utiliser nginx pour forwarder à apache2 est presque inutile. Presque ? Oui, car on peut dire à nginx de garder les fichiers statiques pour lui. Cependant, le gain de cette méthode est assez minime, et ce n’est intéressant que pour faire du load balancing sur plusieurs apaches.

le FastCGI

FastCGI c’est une norme, pour faire traiter du contenu dynamique par une application externe. Donc le support du FastCGI tout seul est inutile, il faut aussi quelque chose pour gérer derrière.

J’ai testé flup, un framework Python léger. Le résultat : ça marche, méééé c’est lent. Je tournais autour de 35/50 requêtes par seconde, et l’utilisation en mémoire vive était phénoménale, 150 mégas pour 1000 requêtes. (bien sur ces chiffres n’auront de valeur que lorsqu’ils seront comparés aux autres).

FastCGI est sympa pour faire une configuration “vite”. C’est d’ailleurs la seule solution viable, à ma connaissance pour faire du PHP sur nginx, à part le proxy vers un autre serveur HTTP.

Bref, FastCGI ne m’a pas convaincu. Et mes tests avec les autres solutions m’ont donné raison. Toujours avec moi ? On passe au WSGI !

le WSGI

WSGI is the Web Server Gateway Interface. It is a specification for web servers and application servers to communicate with web applications (though it can also be used for more than that). It is a Python standard, described in detail in PEP 333.

le WSGI, c’est le standard pour le Web Python. Il n’y a qu’à consulter wsgi.org pour se rendre compte que c’est tout un monde. Il consiste en un ensemble de normes (nom de variables, par exemple) pour permettre au serveur d’exécuter  un fichier codé en Python.

Le standard pour le WSGI sur les serveurs HTTP grand public, c’est le mod_wsgi de apache2. Il a été porté sur nginx, mais c ‘est une #@!## infame, qui ne marche que sur les vieilles versions et qui n’a pas été mise à jour depuis bientôt 2 ans et demi (cf. hg.mperillo.ath.cx/nginx/mod_wsgi/). J’ai obtenu des performances d’environ 133 requêtes par seconde avec, ce qui est déjà mieux que FastCGI, pour ceux qui suivent . Par contre, dès que j’ai voulu avancer un peu avec (toucher à la configuration, et surtout, passer à une version supérieure de nginx), j’ai été confronté à ses limites (et aux #@!## de faute de frappe dans le code source)

D’autant plus que l’auteur de mod_wsgi pour apache2 et l’auteur de mod_wsgi pour nginx reconnaissent ses limitations, respectivement ici et ici. Le premier document est très intéressant pour comprendre un peu l’architecture de nginx et ses différences avec apache2. En effet, le mod_wsgi pour nginx a été codé à partir de celui pour apache2, et il subit les différences d’architecture entre apache2 et nginx.

Attention, je ne remet absolument pas à cause le WSGI ici, juste l’implémentation de mod_wsgi dans nginx.

Parce que justement, un projet super récent, c’est…. uWSGI ! uWSGI sert à combler le manque de support du WSGI dans nginx, en rajoutant un module, meilleur que mod_wsgi. Il nécessite donc de recompiler nginx. Il y a encore une autre solution, nommée gunicorn, qui ne nécessite pas de recompiler nginx. C’est un serveur HTTP minimal qui gère le WSGI nativement. uwsgi offre plus de fonctionalitées que gunicorn, mais gunicorn a l’air assez dynamique (dans le développement), et est plus facile à utiliser (pas de recompilation, support de Django natif). Au niveau des performances, je me suis amusé à faire cette comparaison :

Comparaison des performances entre uwsgi et gunicorn en fonction du niveau de parallélisme

On constate plusieurs choses :

• Les performances augmentent en utilisant 2 workers à la place d’un, mais au delà, le gain est ridicule, puis inexistant. Le nombre 2 est dépendant du nombre de coeurs de la machine, et le nombre de workers à utiliser ne sera pas le même sous un bi-socket octocore, bien évidemment. Les meilleures performances étaient obtenues en utilisant gunicorn+3workers.
• La différence est vraiment minime, gunicorn est en moyenne légèrement au dessus de uwsgi.
• Ces tests sont réalisés sur une application Django. Les performances augmentent en utilisant des frameworks plus légers comme web.py, bien évidemment.

uwsgi dispose de plus de fonctionalitées, comme par exemple une interface d’administration de serveur wsgi dans Django. Je vais ici expliquer l’installation et la configuration des deux solutions.

Ici je vais couvrir l’installation et la configuration de uwsgi et gunicorn avec Django et web.py, même si c’est bien sur adaptable avec d’autres frameworks supportant le wsgi (liste sur wsgi.org/wsgi/Frameworks).

Installation et configuration de uwsgi

Sous Debian :

1) Rajouter les dépots source, par exemple :

deb-src http://ftp.gr.debian.org/debian/ squeeze main contrib non-free

2) Télécharger la source

apt-get source nginx
tar -zxvf nginx_*.orig.tar.gz
cd nginx-*
tar -zxvf nginx_*.debian.tar.gz

2) Télécharger uwsgi

cd ..

tar -zxvf uwsgi-0.9.4.2.tar.gz

3) Modifier le paquet source de nginx pour y ajouter uwsgi. Il faut éditer le fichier nginx-*/debian/rules, trouver le bloc qui commence par ./configure et ou se trouvent toutes les options de compilation, et y ajouter

--add-module=$(CURDIR)/../uwsgi-0.9.4.2/nginx/

$(CURDIR)/../uwsgi-0.9.4.2/nginx/ est le chemin vers le dossier du module dans la source de uwsgi

4) maintenant, dans le dossier de la source de nginx, faites (pas besoin de root) :

dpkg-buildpackage

5) installer le .deb généré ainsi (en tant que root maintenant)

dpkg -i ../nginx-*.deb

6) Dernière étape : compiler uWSGI (le binaire en lui-même, qui va communiquer avec nginx par le biais du module)

cd ../uwsgi-0.9.4.2/ && make && make install && cp uwsgi_params /etc/nginx/

Cette dernière commande (le cp uwsgi_params…) sert à placer un fichier de configuration du module uwsgi exemple dans le repertoire de nginx.

Sous les autres distributions :

Il faut télécharger la source de nginx et de uwsgi, compiler nginx avec le module uwsgi (dans le répertoire nginx de la source de uwsgi), puis compiler uwsgi.

On a maintenant un serveur uWSGI et un nginx avec  le module uwsgi. Il va maintenant falloir dire à nginx de transférer les requêtes au serveur uWSGI, avec une commande uwsgi_pass. Par exemple, dans la section server d’un de vos vhost (/etc/nginx/sites-enabled/default, par exemple, sous Debian) :

location / {
include uwsgi_params;
uwsgi_pass unix:///tmp/uwsgi.sock;
}

Il faut ensuite créer une application WSGI, par exemple, pour le framework web.py :

import web

application = web.application(urls, globals()).wsgifunc()
applications = {'/': application }

Pour Django :

import django.core.handlers.wsgi
application = django.core.handlers.wsgi.WSGIHandler()
applications = {'/': application }

Nommez ce fichier wsgi.py et placez le dans le repertoire ou vous allez placer votre code (pour Django, dans le repertoire du projet, évidemment). Si vos nerfs n’ont pas encore lâché ici, allez prendre une petite pause de 5 minutes à titre préventif, et reprenez. Maintenant, on va démarrer un serveur uWSGI. Placez vous dans le répertoire de votre fichier wsgi.py, et faites :

uwsgi -s /tmp/uwsgi.sock -C -w wsgi -p2 -L

Explications : le -s indique ou placer le socket (ça pourrait aussi être une adresse au format hôte:port, pour un usage distant). Le -w wsgi indique de charger le fichier wsgi(.py), le -p2 indique de démarrer 2 processus, et le -L désactive l’envoi des requêtes à stdout (=>flood).

Si vous allez à l’adresse de votre serveur web, vous devriez voir votre application Python en face de vous ! Vous voilà en train d’utiliser nginx+uwsgi+python.

En annexe, je rappelle que uwsgi est aussi utilisable avec apache et lighttpd.

Aussi, dans le dossier source de uwsgi, vous trouverez des templates pour un module d’administration de Django, à installer dans le repertoire des templates de l’administration de Django (si, si).

Installation et configuration de gunicorn

gunicorn est carrèment plus facile à installer. Il est codé en python, donc pas de compilation, seulement un easy_install :

easy_install gunicorn

La configuration est tout aussi facile, il suffit de cela dans la configuration du vhost dans nginx :

location / {
proxy_pass http://unix:/tmp/gunicorn.sock
}

On démarre ensuite gunicorn. Pour Django, gunicorn dispose d’un support intégré, il vous suffit de vous placer dans le répertoire de votre projet, puis :

gunicorn_django -b unix:/tmp/gunicorn.sock --workers=2

Pour web.py, il faut créer un module :

import web

application = web.application(urls, globals()).wsgifunc()

Il faut ensuite démarrer le serveur Gunicorn. En étant dans le repertoire ou se trouve le module web.py (le fichier donc le code vient avant, là, au-dessus, oui), :

gunicorn -b unix:/tmp/gunicorn.sock --workers=2 wsgi

Je vous invite à consulter ce lien : gunicorn.org/tuning.html, pour vous permettre d’augmenter les performances de gunicorn.

Annexe

Fichiers statiques

location /admin-media {alias /usr/lib/pymodules/python2.5/django/contrib/admin/media;}

location /static {root /var/www/byteflow;}

Ces deux lignes, à rajouter après le “location /” avec uwsgi_pass ou proxy_pass (selon votre configuration) indiquent à nginx de traiter les fichiers statiques directement. Il faut bien évidemment adapter à votre configuration.

Munin

Vous pouvez trouver des plugins nginx pour munin ici. Je n’ai pas trouvé de plugin munin pour uwsgi/gunicorn, mais je pourrais peut-être en faire un si je trouve le temps.

Plusieurs serveurs

Si par hasard vous avez plusieurs serveurs gunicorn/uwsgi répartis sur plusieurs machines , vous pouvez les utiliser en déclarant une section

upstream nom {}

dans nginx, contenant les adresses des serveurs distant (hôte:port ou emplacement du socket) et en utilisant “nom” comme argument à uwsgi_pass et proxy_pass.

Conclusion

Ces deux architectures sont très pratiques pour faire tourner du python dans un serveur web, ici nginx. uwsgi dispose de plus de fonctionalités, mais la plupart (template d’admin Django, memory profiling) pourraient facilement être ajoutées à gunicorn, qui est beaucoup plus léger à installer/configurer/maintenir (2 commandes et 3 lignes de configuration dans nginx). J’ai les deux personellement sur mon serveur, j’ai eu à alterner entre les deux pour écrire cet article, et c’est pas bien dur, un daemon à arrêter, un autre à démarrer, et changer une ligne dans la configuration de nginx.

Liens

wsgi.org

gunicorn.org/

projects.unbit.it/uwsgi/

irc.freenode.org/#gunicorn

nginx.org/

djangoadvent.com/

www.django-fr.org/

www.djangoproject.com/

webpy.org/

Je tiens à remercier la communauté Geek{node|fault}, le chan irc #gunicorn, les développeurs de gunicorn qui sont très aimables, ainsi que Amandarn qui m’a aidé pour certains détails.

Si vous avez aimé ce post...

1. Devbox KVM+Libvirt perfect setup.
2. Maildir mbox – La migration
3. Filtrer ses mails ! Un cauchemard !

C’est un bug de type NULL Pointer Deference qui permet au pirate d’exécuter n’importe quel code au niveau du kernel et donc d’acquérir les droits root.

NULL Pointer

Dans le noyau Linux, chaque socket de connexion a une structure d’opérations associée (proto_ops) qui contient des pointeurs vers diverses opérations : accept, bind, shutdown, …

Si une des opérations n’est pas nécessaire à ce type de socket, le pointeur devrait tout de même être défini vers une fonction “inutile”. Mais évidemment tous les développeurs n’y pensent pas forcément et beaucoup de sockets laissent ces pointeurs non-initialisés (NULL).

Le problème, c’est que certaines fonctions du noyau Linux (sock_sendpage, par exemple) ne vérifient pas si ces pointeurs sont bien initialisés et exécutent le code “NULL”, c’est à dire un code à l’emplacement 0.

Un pirate n’a donc qu’à insérer son code dans l’emplacement 0 et faire en sorte que le kernel l’exécute. Puisque le kernel possède des droits absolus, il est très facile d’exploiter cette faille pour acquérir les droits de root (privilege escalation).

Des exploits déjà disponibles

Comme le précise Julien Tinnes, ce type de vulnérabilité est très facile à exploiter : « ça ne nous a pris que quelques minutes pour adapter un ancien exploit ». Et forcément il y en a déjà plusieurs qui circulent sur la toile.

Nous avons trouvé un exploit nommé wunderbar_emporium. Celui-ci exploite un bug dans pulseaudio et n’est donc pas dangereux pour la plupart des serveurs. (NB aux petits script kiddies ) Comme vous pouvez le voir dans le screenshot ci-dessus il fonctionne plutôt pas mal!

Bien sûr des exploits existent pour des failles dans d’autres protocoles, plus largement répandus que Pulseaudio.

Mais un patch aussi disponible

Très exactement 9 minutes après la publication de l’article sur le blog de Jean Tinnes, Linus Torvalds lui-même a mis en ligne le patch comblant cette faille en remplaçant la fonction sock->ops->sendpage par kernel_sendpage, fonction ne laissant pas passer ce genre d’erreurs.

Les kernels gérant mmap_min_addr peuvent aussi se prémunir de certains exploits en règlant cette variable à une valeur supérieure à 0 :
# echo 4096 > /proc/sys/vm/mmap_min_addr
Celle-ci empêche toute écriture dans la mémoire 0… Mais cette mesure de sécurité est toute neuve et contournable pour les kernels inférieurs à 2.6.30.2. Il est donc plus qu’impératif d’appliquer le patch kernel au plus vite.

La faille couvrant le plus grand nombre de kernels Linux

Couvrant tous les kernels publiés depuis 2001, que ce soit en version 2.4 ou 2.6, cette faille décroche la palme de la faille portant sur le plus grand nombre de releases stables du kernel Linux. Elle est potentiellement très dangereuse puisqu’un utilisateur lambda peut acquérir les droits de root!

Nous ne pouvons que vous conseiller d’appliquer le patch au plus vite. Les différentes distributions devraient d’ailleurs publier le kernel mis à jour dans les prochaines heures…. Enfin, espérons

En savoir plus

• L’article sur le blog de Jean Tinnes
• Le full disclosure par Tavis Ormandy
• Le patch correctif commité dans la branche stable par Linux Torvalds

Si vous avez aimé ce post...

1. Lancer votre dual-booting Windows dans une VirtualBox
2. Linux – Laptop – Ultimate Powersaving !
3. Chromium, le Google Chrome sous Linux sans émulation

J’ai donc resorti mes vieux scripts pour transformer mon laptop en routeur WiFi et ainsi partager ma connexion ethernet via le WiFi intégré.

Prérequis

Il vous faut bien entendu un ordinateur avec deux interfaces réseau. Je verrai ici comment configurer le partage en WiFi d’une connexion filiaire, mais toutes les combinaisons sont possibles.

Votre kernel doit être compilé avec les redirections IPv4:
Networking --->
Networking options --->
[ M ] Network packet filtering (replaces ipchains) --->
Core Netfilter Configuration --->
< M > Netfilter Xtables support
IP: Netfilter Configuration --->
< M > IP tables support (required for filtering/masq/NAT)
< M > Packet filtering

Activer les redirections NAT

Le laptop va jouer le rôle de routeur, ou plus exactement de NAT. Il accepte toutes les requêtes sur l’interface WiFi (wlan0) et les répète sur l’interface filiaire (eth0). L’hôtel aura l’impression qu’une seule machine génère toutes les requêtes, sur une seule IP.
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# sysctl -w net.ipv4.ip_forward=1

Interconnexion des différents ordinateurs

La solution la plus simple est la création d’un réseau WiFi Ad-Hoc. Créez-le sur le laptop qui joue le rôle de NAT en lui attribuant la première IP, 10.42.42.1 par exemple.

Connectez ensuite les autres ordinateurs sur ce réseau en faisant bien attention à spécifier l’IP du NAT comme adresse du routeur.

Et voilà, vous êtes prêt à surfer!

Faire de votre laptop un vrai routeur

Si vous n’aimez pas les réseaux Ad-Hoc et/ou préférez utiliser un vrai réseau WiFi managed, avec attribution d’IP par DHCP et tout le tralala, continuez la lecture à la page suivante.

Attention toutefois, la solution décrite sur cette première page fonctionne avec tous les ordinateurs qui supportent les réseaux Ad-Hoc, alors que transformer votre ordinateur en routeur nécessite une carte et un driver supportant le mode master.

Mode Master

Peu de combinaisons carte WiFi/driver permettent de passer en mode master. Le plus simple est d’essayer:
# iwconfig wlan0 mode master
Si la commande passe sans rien dire, c’est bon! Sinon, vous verrez une belle erreur du type
Error for wireless request "Set Mode" (8B06) :
SET failed on device wlan0 ; Invalid argument.

Avec les drivers MadWiFi, pour passer en mode master, il faut d’abord détruire l’interface:
# wlanconfig ath0 destroy
#wlanconfig ath0 create wlandev wifi0 wlanmode master

Sur mon laptop, la carte Intel interne n’accepte pas ce mode master. Je n’ai par contre aucun problème à l’utiliser avec une carte Atheros sur port PCMCIA, avec le driver madwifi.

Configuration WiFi

Après avoir passé votre carte en mode master, il faut faire une configuration standard du WiFi en ligne de commande. Choisissez un ESSID, un channel et même un cryptage si vous le souhaitez. Un cryptage WPA est envisageable, mais je me limiterai au simple exemple du WEP:
# iwconfig wlan0 essid Alpha channel 1 key s:MotDePasseWEP
# ifconfig wlan0 10.42.42.1 netmask 255.255.255.0 broadcast 10.42.42.255

Serveur DHCP

Il ne manque plus qu’à installer un serveur DHCP pour fournir une adresse IP à tous ceux qui essayent de se connecter sur votre “routeur”.

Installez dhcpcd et éditez sa configuration:
# nano /etc/dhcp/dhcpd.conf
default-lease-time 3600;
max-lease-time 7200;
option subnet-mask 255.255.255.0;
option broadcast-address 10.42.42.255;
option routers 10.42.42.1;
option domain-name-servers 208.67.222.222, 208.67.220.220;
ddns-update-style none;

subnet 10.42.42.0 netmask 255.255.255.0 {
range 10.42.42.10 10.42.42.100;
}

Et lancez le serveur DHCPD:
# /etc/init.d/dhcpd start

Attention, ce démon ne marchera que si vous avez déjà configuré votre carte WiFi sur l’IP 10.42.42.1. N’oubliez pas de lancer les commandes de NAT (voir page précédente).

Et voilà!

Tout ordinateur captant votre laptop sera maintenant capable de voir le réseau WiFi que vous avez créé et de s’y connecter exactement comme si c’était un simple routeur. Il aura alors accès à internet en toute transparence.

Si vous devez lancer ce routeur souvent, n’hésitez pas à créer un fichier bash

Si vous avez aimé ce post...

1. Linux – Laptop – Ultimate Powersaving !
2. Internet sur votre laptop via un iPhone
3. Retrouver un laptop volé

Mais comme la survie n’est pas suffisante, et qu’on veut tout de même passer de bonnes vacances, il faut aussi embarquer de quoi meubler les soirées: DVDs, livres, musique, laptop, Playstation…

Oh mon dieu, la Playstation ne rentre pas dans la valise !!

To Play or not to Play…Station !

Je sais que l’idée d’emporter sa Playstation en vacances semble farfelue, mais j’aimerais savoir combien d’entre-vous —possesseurs d’une console— peuvent affirmer que cette idée ne leur a jamais traversé l’esprit, et qu’ils n’ont pas eu de pincement au coeur en se disant que ce n’est pas très sérieux comme idée…

Pour l’avoir fait, je peux vous dire que cela comporte toute une série d’inconvénients, allant de la place perdue dans les bagages, aux complications de branchements aux téléviseurs trouvés sur place. Mais il n’y a rien à faire, la laisser derrière soi est toujours une épreuve.

Si comme moi vous considérez qu’aucun jeu PS2, PS3, Xbox, PC ou autre n’aura jamais le charme des jeux PSX ayant bercé votre enfance, et que votre console est une pièce de musée qui doit rester à l’abris de tout danger, j’ai peut-être la solution à vos tourments.

J’émule, tu émules, il émule, nous jouons !

La solution, vous l’aurez deviné, est d’émuler la console depuis son ordinateur.
Pour les néophytes, l’émulation est un procédé permettant de reproduire le comportement d’une plateforme, sur une autre plateforme ! Dans notre cas, faire en sorte que notre ordinateur se comporte come une Playstation. C’est bien moins compliqué que ça en a l’air, grâce à des applications appelées «émulateurs», qui sont prévues pour ça.

Contrairement à la légende urbaine qui dit qu’on ne peut pas jouer sur Gnu/Linux, ce système permet de jouer à des jeux GameBoy, Atari, MasterSystem, MegaDrive, Playstation et d’autres !
Même si cette multitude de consoles n’est pas l’object de cet arcicle, je vous recomande cette liste d’émulateurs de consoles très diverses, disponibles sous Gnu/Linux.

Après plusieurs dixaines d’heures de tests très agréables avec des jeux comme Final Fantasy VII, Metal Gear Solid ou encore Wip3out, mon choix s’est porté sur l’émulateur propriétaire pSX (dans le layman Roslin, pour Gentoo)
Il existe aussi un très bon émulateur libre nommé pcsx, mais il ne compile pas sur un système Gentoo x86_64 pour l’instant, et mes brefs tests sur ma machine Ubuntu ont révélé quelques points faibles et/ou disfonctinnements.

pSX est capable d’émuler à peu près tous les jeux sortis pour la Playstation (première du nom), est très flexible et facile d’emploi. Tout ce dont il a besoin pour fonctionner c’est un jeu, et un «bios» Playstation. Pour des raisons légales, ce fichier bios ne sera pas linké sur cet article, mais si vous possédez la console, vous pouvez et n’aurez aucun mal à trouver ce fichier sur internet.

Oui, je sais, ça m'a fait le même effet.

Le must du must : y jouer avec votre manette Dualshock.

Non, vous ne rêvez pas: c’est possible, grace à la magie de l’USB !
Il faudra par contre vous y prendre un peu à l’avance car ceci nécessite l’acquisition d’un adaptateur USB, qui coûte cependant rarement plus de 10€, et est extrêmement facile à trouver sur ebay.

Les avantages sont énormes : vous pourrez brancher jusqu’à quatre manettes Playstation, celles-ci sont parfaitement supportée par la plupart des émulateurs, et, comble de tout: la fonction Rumble (vibration) des manettes fonctionne comme un charme, vous permettant de retrouver toutes les sensations de vos jeux préférés, dans les oindres détails !

Réalisé sans trucages, ni Windows.

Sous Ubuntu, le noyau Linux est déjà compilé avec le support complet de ces manettes, il suffit donc de brancher la manette, et elle sera directement reconnue !
Sous Gentoo en revanche, il faudra s’assurer que votre noyeau comporte les éléments suivants :
Device Drivers --->
Input device support --->
{M} Support for memoryless force-feedback devices
Joystick interface
[*] HID Devices --->
USB Human Interface Device (full HID) support
Pantherlord devices support
[*] Pantherlord force feedback support
[*] USB support --->
PlayStation 2 Trance Vibrator driver support

Pour les jeux capricieux qui ne fonctionnent pas avec des manettes analog comme la DualShock (ex : FFVII), pSX permet de faire passer votre manette pour n’importe quelle autre manette PSX, et de faire la conversion, comme le fait votre vraie console, mais en mieux car vous pourrez même y brancher une manette PS2 ! (PS3 aussi mais je ne l’ai pas testé)
Il est bien évidemment envisageable de faire de même avec n’importe quel Joystick ou manette USB.

Conclusion

Voilà, votre laptop est désormais capable de remplir toutes les fonctions de votre Playstation, et vous êtes parés à partir en vacances avec vos jeux préférés, et votre manette de jeu préférée (probablement une des meilleures manettes de console jamais conçue!)
Votre console reste bien au chaud et à l’abri chez vous, et vous êtes prêts pour de longues nuits de nostalgie intense…

N’oubliez cependant pas de sortir un peu et de profiter de votre destination de voyage un minimum :p

Bonnes vacances à tous !

(et pour ceux qui pensent pouvoir résister à l’appel de leur vieil ami : FFVII, voici une petite vidéo qui devrait leur rappeller le contraire. Sans rancunes )

À l’attention des gentooistes en x86_64 !

La vie est dure quand on est en 64bits, et si pcsx refuse totalement de compiler pour le moment, pSX n’est pas beaucoup plus conciliant.

En effet, ce logiciel nécessite une série de bibliothèques 32bits absentes dans portage, et en l’absence de port 64bits, on ne peut malheureusement pas s’en passer…
La solution ? Elle ne va pas vous plaire: récupérer manuellement les fichiers chez un ami en 32bits, ou sur le site des ebuilds gentoo, voire des .deb ubuntu (ça reviens au même), puis les copier dans le répertoire /usr/lib32.

Pour vous éviter de refaire les manipulations répétitives que j’ai déjà faites, je vous ait créé un tarball contenant tous les fichiers nécessaires.
Pour ce faire, décompressez l’archive:
$ tar -xzvf pSX_lib32.tar.gz
Ensuite, copiez les fichiers en reproduisant pour chaque répertoire la maneuvre suivante :
$ cd _répertoire_
# cp * /usr/lib32
Une fois cela fait, pSX devrait fonctionner correctement

Liens Utiles

• Liste des émulateurs de diverses consoles, sous Gnu/Linux ( http://ubuntu-fr.org )
• pSX ( http://ubuntu-fr.org )
• pcsx ( http://ubuntu-fr.org )
• Site officiel de pSX ( http://psxemulator.gazaxian.com )
• Site officiel de pcsx ( http://pcsx.net )

Si vous avez aimé ce post...

1. Keymap Linux sous Windows
2. Chromium, le Google Chrome sous Linux sans émulation
3. Faille critique dans tous les noyaux Linux

Que diriez-vous d’un compromis parfait qui garantit de ne pas sacrifier une once de sécurité, tout en s’authentifiant simplement avec la touche enter et une clé USB ?

Oui, avec Linux, c’est possible !

su *enter* *mot de passe* … Ou Pas.

En réalité, il existe très peu de prétextes valables pour ne pas tapper son mot de passe. Les seuls cas qui se sont présentés à moi sont :

• Se rendre à une conférence informatique (type FOSDEM) où on sait très bien que beaucoup de curieux scrutent par réflexe votre écran, et que leur regard est —toujours par réflexe— dévié vers votre clavier lorsqu’ils lisent «password:» dans votre console.
• Se trouver dans une situation de stress face à un supérieur où, à l’heure de présenter un travail, s’y reprendre à 4 fois pour se logger ne fait pas très sérieux…
• Faire des études orientées vers l’informatique où on cottoie quotidiennement des individus pour qui «un mot de passe de 17 caractères» équivaut à «17 jours avant la blague la plusmoins drôle de votre vie» à raison d’une touche à mémoriser par jour…

Si je n’ait pas cité la «flemme», c’est tout simplement parceque celle-ci est l’ennemie de la sécurité, et ce depuis la nuit des temps.

1001 idées pour anéantir toute forme de sécurité

Des alternatives au traditionnel mot de passe, ça fait des années qu’on en cherche,voici un petit tour d’horizon des diverses possibilités.

• Pas de mot de passe (!) : Probablement l’extrême dans la facilité, mais aussi dans la stupidité. Ça équivaut à laisser sa voiture ouverte, clé sur le contact, moteur en marche, en tête de file à un feu rouge. Si je prend tout de même la peine de la citer, c’est que grâce à Windows, c’est la méthode d’authentification  la plus répandue à travers le monde.

Voilà, rions un grand coup, et poursuivons avec les mauvaises idées qui ont le mérite d’être sérieuses

• Sudo : Si cet outil peut parfois avoir son utilité, il n’est ici d’aucune aide. Si le mdp utilisateur est de la même longueur que celui du root, il n’y a aucun avantage, sinon, cela reviens simplement à raccourcir le mdp root. Ceci n’est rien d’autre qu’une réduction du niveau de sécurité du système.
• Empreinte Digitale : Si la biométrie m’a longtemps semblé être l’ultime solution à notre problème, il ressort aujourd’hui que la plupart de ces procédés sont facilement compromis. J’ai donc renoncé à laiser mon mot de passe root sur tout ce que je touche (littéralement.), surtout depuis qu’un certain taiwanais a perdu un doigt et une voiture la même journée…
• Reconnaissance Faciale : Le meilleur moyen de faire du moindre appareil photo votre pire ennemi…

Et c’est quand on pense avoir cherché partout qu’on s’apperçoit que la solution est bien plus simple…

Trouver clé à sa serrure

Après des décénies, des siècles d’existence et d’évolution, avec quoi ouvrez-vous votre porte d’entrée ? Une clé, évidemment. Alors pourquoi ne pas en faire de même pour votre ordinateur ?

Cela tombe bien, il existe un homonyme informatique qui est également un petit object, transportable dans une poche toujours avec soi, muni d’un identifiant unique et très difficilement falsifiable, qui en plus permet de stoquer des données : la clé USB.

Le principe est simple: le système enregistre le numéro d’identification de la clé USB et au moment de s’identifier, si il la trouve branchée sur votre systême, il lit quelques données cryptées qu’il y aura placé comme confirmation. Si tout est en ordre, il considère que vous avez prouvé votre identité, dans le cas contraire, il vous demande votre mot de passe.

su, enter, et c'est tout !

Ça fait maintenant plusieurs mois que ce procédé continue de faire ses preuves sur mon système, et que malgré toutes leurs tentatives aucun plaisantin n’est parvenu à obtenir/contourner mon mot de passe. (je ne compte pas la fois où je me suis imprudemment endormi à coté de mon laptop en laissant ma clé USB branchée…)

Et en cas de vol ? Don’t Panic, vous pouvez toujours accéder à votre système de façon traditionnelle, et modifier le seul fichier nécessaire à interdire l’authentification avec cette clé USB, enrayant toute initiative malveillante.

Une clé USB à brancher, appuyer sur enter. Aucune brèche dans la sécurité. Tous les objectifs sont atteints.

Installation : 2 min,  Configuration : 3 min, la Sécurité : ça n’a pas de prix.

Contrairement à la plupart de ce qui touche de près ou de loin à la sécurité, c’est très simple à mettre en place.

Tout d’abord, installez dans votre distribution préférée les packages relatifs à «Pam usb»

Sous Gentoo :
# echo "sys-auth/pam_usb" >> /etc/portage/package.keywords
# emerge sys-auth/pam_usb
Sous Ubuntu :
$ sudo apt-get libpam-usb pamusb-tools

Ajouter une Clé USB

Pour cela il vous suffit de lancer la commande suivante où “NomDeMaClé” représente le nom que vous voulez assigner à cette clé pour vous y retrouver.

# pamusb-conf --add-device=NomDeMaClé

Il vous affichera un résumé des données qu’il a récupéré de la clé USB détectée et vous demandera de confirmer qu’il s’agit bien de la clé à ajouter :
Please select the device you wish to add.
* Using " USB Flash Memory (0930_USB_Flash_Memory_07652723938-0:0)" (only option)

Save to /etc/pamusb.conf ?
[Y/n]y
Done.
Vous pouvez répéter cette opération avec autant de clés que vous voulez. Pour plus de sécurité, je vous conseille de n’en ajouter qu’une seule.

Ajouter un utilisateur

Il vous est très facilement possible de spécifier quels utilisateurs pourront s’identifier avec cette clé :
# pamusb-conf --add-user koolfy
pamusb vous proposera de confirmer à nouveau :
Which device would you like to use for authentication ?
* Using "NomDeMaClé" (only option)
User : koolfy
Device : NomDeMaClé
Save to /etc/pamusb.conf ?
[Y/n] y
Done.
Je vous conseille de vous contenter de votre user et de votre root.

Adapter l’authentification

Il faut maintenant que le module d’authentification du système ajoute l’authentification par USB comme «optionelle et suffisante», ce qui se fait en éditant le fichier /etc/pam.d/system-auth ( /etc/pam.d/common-auth sous Ubutu) et en lui rajoutant comme première ligne :
auth sufficient pam_usb.so

Et voilà ! C’est dans la poche.

Si vous voulez forcer l’authentification par USB, remplacez «sufficient» par «required» dans la ligne précédente.

Changer la serrure

En cas de perte ou de vol de votre clé, changer de serrure est aussi simple que d’effacer la section ainsi que ses références dans la section de /etc/pamusb.conf

Quelques conseils de survie

• Toujours savoir ou se trouve votre servi… euh, votre clé USB
• Ne jamais la confier à personne qui ne soit digne de confiance
• Ne jamais s’endormir à coté de votre laptop en laissant la clé USB branchée
• Si vous comptez vous saouler, toujours confier votre clé à une fille de confiance qui ignore tout de l’importance de la clé.

Si vous respectez ces quelques règles simples, vous devriez pouvoir dormir sur vos deux oreilles

Liens et références

• Site du projet PamUSB ( http://pamusb.org )
• Tutoriel Gentoo ( http://en.gentoo-wiki.com )
• Tutoriel Ubuntu ( http://doc.ubuntu-fr.org )

Si vous avez aimé ce post...

1. Mise en place d’un système de backup avec Rsnapshot
2. SSH sans mot de passe
3. Comment faire un Initram minimal avec mode rescue

Schéma de la solution à déployer

Avec rsnapshot il est possible de faire des backups locaux (une copie régulière d’un disque sur un autre) ou des backups distants (via une connexion SSH), soit les deux en même temps !

Principe de Rsnapshot

Basé sur SSH et rsync, rsnapshot est en fait une boite à outil. Pour ceux qui ne connaissent pas rsync, c’est un outil de synchronisation de fichiers libre et puissant qui ne copie que les différences entre deux backups, et non l’entièreté du système, pour économiser de la bande passante.

Rsnapshot est un logiciel qui tourne sur le serveur de backup. La machine qui se voit ainsi sauvegardée est totalement passive, il faut juste qu’elle ait un serveur SSH activé.

Quelques scripts rsync/ssh pourraient évidemment faire la même chose que rsnapshot, mais rsnapshot est fiable et sa configuration triviale, alors pourquoi s’en passer?

Installation

Première étape : Installez rsnapshot sur le serveur où seront stockés les backups. Je ne décris pas cette installation qui est triviale et propre à chaque distribution.

Deuxième étape : Permettez à ce serveur de se connecter automatiquement en SSH sur la machine à sauvegarder. Je vous renvoie vers l’article SSH sans mot de passe qui explique comment générer une paire de clés publique/privée afin de chiffrer la connexion SSH avec le protocole RSA.

Troisième étape (facultative) : Modifiez votre fichier /etc/hosts, qui permet d’utiliser des short-names dans la configuration de rsnapshot (c’est plus propre et plus joli).

Quatrième étape : Configurez rsnapshot dans /etc/rsnapshot.conf. Vous pouvez vous inspirer de cet exemple.

Lancer le backup

Vous êtes maintenant prêt pour votre premier backup! Lancez la commande suivante:
/usr/bin/rsnapshot -cv /etc/rsnapshot.conf daily

Si tout se passe bien, vous n’avez plus qu’à ajouter cette commande à votre crontab afin d’automatiser la procédure.

Problèmes connus

• La toute première connection ssh du serveur de backup vers la machine à backuper doit être établi manuellement.
• Le fichier rsnapshot.conf doit être réécrit en séparant les valeurs avec des tabulations. Si vous ne remplacez pas les espaces par des tabulations, rsnapshot ne fonctionnera pas.

Liens de référence

• Site du projet
• Exemple de configuration

Si vous avez aimé ce post...

1. Backup d’un compte Gmail
2. Comment faire un Initram minimal avec mode rescue
3. SSH sans mot de passe

Je n’ai pas trouvé de tutoriel clair et concis en français sur Google alors le voici.

Le principe

Cette astuce ne consiste pas à encoder votre mot de passe en clair quelque part sur votre poste client. Il est basé sur un échange de clés de cryptage RSA entre le serveur et le client.

Le cryptage RSA repose sur une paire de clés : une publique et une privée. Vous l’aurez compris, la clé privée reste sur votre ordinateur client et vous pouvez partager votre clé publique avec tous les serveurs sur lesquels vous souhaites vous authentifier.

Lors de chaque connexion, le serveur chiffre une chaine de caractères aléatoire avec la clé publique. Seule la clé privée est suffisante pour déchiffrer cette chaine de caractères et la transmettre au serveur (sans risque puisque les transmissions SSH sont elles-mêmes cryptées). C’est le principe de toutes les procédures d’authentification (GnuPG, BeID, cartes bancaires, …)

Générer les clés de cryptage

Il faut donc, sur le cient, générer les clés RSA qui lui permettront de signer. Il existe d’autres types de clés mais le RSA est simple et sécurisé.
$ ssh-keygen -t rsa

Une passphrase permet d’avoir un seul mot de passe pour toutes vos connexions SSH, même si le vrai mot de passe de connexion est différent sur chaque serveur. Si vous ne voulez pas utiliser de passphrase pour une connexion entièrement automatisée, tapez simplement enter.

Copier la clé publique sur le serveur

Il faut maintenant copier la clé publique générée sur le serveur SSH, pour qu’il puisse bien vérifier que c’est vous qui signez la demande de connexion. On le fait par un petit scp (copie de fichier sur SSH):
$ scp ~/.ssh/id_rsa.pub utilisateur@serveur:~/.ssh/authorized_keys

Et voilà! C’est tout! Vous pouvez maintenant vous connecter sur votre serveur SSH sans mot de passe:
ssh utilisateur@serveur

Exécuter une commande sur le SSH

Une dernière petite astuce, si vous souhaitez directement exécuter une commande sur le serveur SSH, utilisez le paramètre
-t. Par exemple, pour ouvrir votre screen IRC:
$ ssh utilisateur@serveur -t screen -x irc

Si vous avez aimé ce post...

1. Mise en place d’un système de backup avec Rsnapshot
2. Devenez miroir de Wikileaks sans risque (corrigé)
3. S’authentifier avec une clé USB

• Accéder au réseau local du serveur SSH
• Se balader sur internet avec l’IP du serveur SSH
• Contourner un firewall trop restrictif
• Sécuriser ses communications sur un réseau public douteux

Roidelapluie m’a aujourd’hui montré à quel point il était facile de créer un tunnel SSH remplissant ces fonctions.

Le serveur proxy

Prérequis : un accès utilisateur sur un serveur SSH. J’appellerai client l’ordinateur sur lequel vous êtes et serveur le serveur SSH.

L’idée générale est donc de faire tourner sur le client un serveur proxy relayant toutes les connexions vers le serveur. Cela se fait en une seule commande:
ssh -ND 9999 utilisateur@serveur
Une fois authentifié sur le serveur SSH, laissez l’invite de commande tourner. Vous avez désormais un serveur proxy SOCKS (compatible v4 et v5) tournant sur localhost:9999

Les applications clientes

Vous pouvez maintenant simplement régler votre système, votre navigateur ou toute autre application pour utiliser un serveur proxy SOCKS, uniquement SOCKS. Vous pouvez par exemple vérifier que ça a bien fonctionné pour Firefox en comparant votre IP avant et après.

Si le logiciel que vous souhaitez faire passer dans le tunnel ne supporte pas les proxys ou que vous voulez quelque chose de plus universel qu’un réglage logiciel au cas par cas, vous pouvez installer proxychains. Modifiez la dernière ligne de /etc/proxychains.conf pour qu’elle ressemble à ceci:
socks5 127.0.0.1 9999

Il suffit ensuite de lancer l’application en ajoutant proxychains avant la commande:
proxychains links2 "http://myip.dk"

Si vous avez aimé ce post...

1. Internet sur votre laptop via un iPhone
2. SSH sans mot de passe
3. Mise en place d’un système de backup avec Rsnapshot

Si pour vous comme pour moi, cette quête a duré des années, cherchant le parfait compromis entre configuration, maniabilité, esthétique, fonctionalité, consomation de ressources, et intégration au reste du système, et que votre player actuel vous semble encore n’être qu’un choix de résignation, Music Player Daemon pourrait être le miracle que vous n’espériez plus.

La théorie de l’éternelle lacune.

Dans cette quête, le premier choc est… l’éventail de choix disponible. Si dans un premier temps il semble rassurant de réaliser qu’on partage cette quête avec beaucoup de gens et que, par conséquent, il existe un très grand nombre de logiciels répondant chacun à des critères, et à des besoins très différents, on se heurte très vite à la théorie de l’éternelle lacune.

Celle-ci résulte de mes expériences personelles et tire sa signification du constat simple que quel que soit le media player testé, il semble toujours lui manquer un critère qui vous semble essentiel. Voici quelques exemples appliqués à mes exigeances et mes observations, libre à vous de ne pas partager ces avis. (Je précise que je me focalise ici sur les défauts de ces players, omettant leurs nombreuses qualités, n’étant pas pertinentes dans cet article.)

• Amarok : Lourd, trop de dépendances liées à KDE, interface quelque peu étrange, et vraiment, vraiment trop lourd.

• Banshee : Dépends de Mono (au delà des trolls, dans les faits, mono est responsable de beaucoup de comportements “étranges” de Banshee, et est tout sauf une base “saine” pour un media player léger et efficace.)

• Rhythmbox : Presque ce qu’il me fallait ! Mais à la longue l’absence de browsing par arborescence de fichiers pour établir des playlist est devenue pesante, ainsi que quelques reproches de confort qui me sont propres.

• Exaile : Pour peu que vos tags IDV3  ne soient pas Parfaitement réglés, établir une playlist à thème risque d’être particulièrement douloureux… (Dommage, tellement dommage.)

• Audacious : Malheureusement, son interface et ses fonctions ne correspondent plus exactement à une utilisation moderne et efficace des médias de nos jours… (ceci est bien sûr totalement subjectif)
• Aqualung : Très prometteur mais encore quelques problèmes à régler dans l’interface et la gestion des bilbiothèques de médias

• Mocp : S’amuse à me planter à la figure quand ça lui chante.

• (…)

Tout ceci m’a conduit à la conclusion suivante : un seul player ne répondra jamais à mes attentes.

La réponse : diviser pour mieux écouter

MPD offre une approche radicalement différente : décentraliser la lecture des médias hors du logiciel de lecture, et déléguer la gestion des médias à un démon (tâche tournant en toîle de fond).

Dans la pratique, cela signifie simplement que MPD n’est que le “moteur” de votre média player, et que l’application avec laquelle vous contrôlerez MPD s’y connectera par protocole TCP, comme à un serveur.

Il existe un nombre surprenant de plugins/add-ons de toutes sortes ajoutant le “support de MPD” à différentes d’applications, comme la plupart des Windows Managers, certains moniteurs système (gkrellm, etc) ainsi que des logiciels de messagerie instantanée (Amsn, Pidgin), vous perméttant de passer à la musique précédente/suivante, de faire pause ou de récupérer la musique écoutée et l’afficher.

Cette non-dépenance d’un client graphique permet également de se passer de serveur X, ainsi, à l’instar de MOCP, il vous sera possible de “Tuer” X ou de ne pas le lancer du tout, sans que cela n’affecte la lecture de vos médias préférés. Il est même possible d’installer MPD sur une machine distante et d’y accéder par internet/LAN.

MPD offre un moteur de lecture de vos médias solide et flexible répondant à vos attentes, quelle que soit l’interface graphique que vous lui associerez, vous serez rassuré que le confort graphique et l’interface seront les seules variables restantes, étant donné que les exigeances de type “légèreté, peu de dépendances, pas besoin de serveur X, bonne gestion de bibliothèques multimedia, intégration au système” seront toujours assurées de la même façon quel que soit le client.

Fini les dilemmes entre, par exemple, la puissance de rhythmbox/exaile/amarok et l’interface textuelle légère de MOCP ! Il suffisait d’y penser.

Les clients

Il existe un très grand nombre de clients MPD, cela s’explique probablement par le fait qu’il est beaucoup plus simple de créer une façade qu’un logiciel multimédia complet, ceci permettant à des “concepts” d’interface graphique de voir le jour quand la perspective de devoir recréer un logiciel multimedia à partir de zéro aurait découragé son auteur.

Parmi mes préférés, je citerais :

• Ncmpcpp : Parcequ’un lecteur multimedia en console, ça a toujours plus de charme. (et qu’il est monstrueusement puissant.)

• Emphasis : Un client utilisant la bilbiothèque graphique ETK (Enlightenment)

Pour être franc, ncmpcpp me convient tellement que j’ai n’ai pas été plus loin dans mes recherches (c’est dire.), mais je vous invite à vous rendre ici pour une liste impressionnante des clients MPD disponibles pour chaque environnement graphique.

La configuration

Elle se fait très simplement à partir du fichier /etc/mpd.conf très généreusement commenté, ci-joint un exemple de ma configuration:
######################## REQUIRED PATHS ########################
music_directory "/home/koolfy/Son"
playlist_directory "/home/koolfy/Son/mpd/playlist"
db_file "/home/koolfy/Son/mpd/database"
log_file "/home/koolfy/Son/mpd/mpd.log"
error_file "/home/koolfy/Son/mpd/mpd.error.log"
####################### OPTIONAL PATHS ########################
state_file "/home/koolfy/Son/mpd/state"
pid_file "/home/koolfy/Son/mpd/mpd.pid"
####################### DAEMON OPTIONS ########################
user "koolfy"
bind_to_address "localhost"
port "6600"
################################################################

Pour plus d’informations

• http://mpd.wikia.com/wiki/Music_Player_Daemon_Wiki
• http://fr.wikipedia.org/wiki/Music_Player_Daemon

Si vous avez aimé ce post...

1. S’authentifier avec une clé USB
2. Maildir mbox – La migration
3. Filtrer ses mails ! Un cauchemard !

Au programme:

• Mises à jour du Kernel (2.6.28), de Gnome (2.26) et de Xorg (1.6)
• Support de l’Ext4
• Démarrage plus rapide
• Nouveau style pour les notifications et les préférences

Voyons donc ce que ça donne

Mettre à jour

Comme toute mise à jour sous Ubuntu, c’est très simple. Il faut juste spécifier au gestionnaire de mises à jour qu’on veut bien qu’il nous prévienne de l’existence de versions Beta en l’appelant avec l’option -d :
update-manager -d
La mise à jour de tous mes paquets représentait 1200Mo à télécharger et a mis 1h30 à s’installer, en plus de l’heure nécessaire au téléchargement.

Mis à jour…

Aucune grosse modification ne saute aux yeux. Le SplashScreen du boot a été mis à jour, ainsi que les thèmes intégrés et j’ai remarqué quelques modifications dans les effets Compiz. En fait tout ça ressemble plutôt à une mise à jour mineure !

Les développeurs annonçaient un boot plus rapide… D’après mon chrono, il a pourtant été rallongé de 12 secondes entre le GRUB et l’affichage de Google.com! Y’a quelque chose qui m’échappe dans l’expression “plus rapide” je crois.

La grosse nouveauté visible c’est ces nouvelles bulles de notifications. Dans la vidéo de présentation ça a l’air cool mais à l’utilisation on se demande sérieusement pourquoi ils ont fait ça! Avant une bulle de notification était liée à son icône dans la traybar par une petite flèche…
Maintenant on recoit des notifications sans savoir d’où elles viennent. Pire, l’API de la librairie de notification n’a pas été respectée ! Si une action est associée à une bulle, “ouvrir la fenêtre de conversation” par exemple, on se mange un popup d’avertissement en plein milieu de l’écran qui attend validation.

J’ai pu remarquer une légère amélioration des problèmes d’entrée/sortie de veille (s2ram) que j’avait avec mon laptop en 8.04 et toutes les hotkeys de mon clavier sont maintenant reconnues.

Recommandation

Si vous êtes geeks en quête de péripétie aussi trépidantes que la mise à jour d’une Ubuntu, rien ne vous empêche de mettre à jour. Le système est stable et abouti. On tire aussi l’avantage des mises à jour permanentes (mon Firefox est déjà en 3.0.8 alors qu’elle n’est sortie qu’il y a quelques heures).

Sinon je ne vois aucune raison pour que vous tentiez déjà la mise à jour… Ce n’est pas plus rapide et il n’y a aucune nouvelle fonctionnalité impressionnante. Je me demande sérieusement ce qu’on fait les développeurs d’Ubuntu pendant 6 mois.

Si vous avez aimé ce post...

1. Redshift, ne vous abimez plus les yeux la nuit
2. Firmware modifié pour Linksys WAG200G
3. DenyHosts pour empêcher le bruteforce sur SSH