11.03.08

Gros disque (> 400 Go ?) et limitations

Posted in Debian, Ubuntu, planet-libre.org at 5:58 pm by michauko

Moi qui croyait n’être embetté que sous Windows par ces histoires de limitations de taille de fichiers, de disques, de partitions etc, je viens de m’en prendre une en pleine tête : formatter une grappe RAID5 de 6*500 Go (SATA), volume utile 2.5 To.
Je n’avais pas trop fait attention à l’installation de la Debian, mais j’ai loupé une question cruciale par méconnaissance : le type de table de partition.

Tout cela est expliqué et difficile à suivre sur wikipedia. Moi j’en retiendrai juste le résultat pratique.

Eviter le problème à l’installation…

Au tout premier accès au disque “virtuel” ainsi créé, je me souviens que le programme d’installation m’a demandé ça :

Ca n’arrive que sur des disques jamais initialisés (comme des grappes RAID) ou des disques virtuels. Peut-être aussi des disques sortis d’usine sans aucun pré-traitement, je ne sais pas.
Par défaut, c’était GPT. J’ai pas trop réfléchi, j’ai mis msdos car j’avais déjà eu ce cas (sur un disque virtuel de petite taille, type machine VirtualBox pour faire joujou). En fait, la proposition par défaut doit être la bonne. Car impossible de formatter au delà de 300 Go ensuite (pourquoi 300 ?)
Si comme moi, vous avez râté cette étape, voici ci-dessous comment corriger.

…ou le corriger après coup

FDISK ne dit trop rien à la création des partitions, masi il crée une partition de moindre taille.
CFDISK est à peine plus bavard. En l’utilisant en console (et non pas à distance), j’ai vu passer des messages d’erreur, notamment :

Very big device. Trying to use READ CAPACITY(16)

De là, Google m’a expliqué le problème et il a fallu le rectifier en changeant ce type de table de partitions. Vous pourrez alors adresser tout l’espace physique de votre disque et le formatter.

Corrigez en utilisant l’outil PARTED :

[root@toto: ~]$ parted /dev/sdb
GNU Parted 1.7.1
Using /dev/sdb
Welcome to GNU Parted! Type ‘help’ to view a list of commands.
(parted) mklabel gpt
(parted) mkpart
Partition name? []? MON_GROS_HD
File system type? [ext2]? ext3
Start? 0
End? -1
(parted) p

Disk /dev/sdb: 2500GB
Sector size (logical/physical): 512B/512B
Partition Table: gpt

Number Start End Size File system Name Flags
1 17.4kB 2500GB 2500GB MON_GROS_HD

(parted) quit
[root@toto: ~]$ fdisk -l /dev/sdb

Disk /dev/sdb: 2499.9 GB, 2499946741760 bytes
255 heads, 63 sectors/track, 303934 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System
/dev/sdb1 1 267350 2147483647+ ee EFI GPT

[root@toto: ~]$ mkfs.ext3 /dev/sdb1
mke2fs 1.40-WIP (14-Nov-2006)
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
305184768 inodes, 610338551 blocks
30516927 blocks (5.00%) reserved for the super user
First data block=0
Maximum filesystem blocks=4294967296
18627 block groups
32768 blocks per group, 32768 fragments per group
16384 inodes per group
Superblock backups stored on blocks:
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,
4096000, 7962624, 11239424, 20480000, 23887872, 71663616, 78675968,
102400000, 214990848, 512000000, 550731776

Writing inode tables: done
Creating journal (32768 blocks): done
Writing superblocks and filesystem accounting information: done

This filesystem will be automatically checked every 35 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.

Et voilà le travail.

Au fait : ext3 semble être limité à 8 To. S’il y a quelques années 8 To paraissaient être une limite lointaine, actuellement, c’est moins évident. Il faudra alors passer en XFS ou ReiserFS (OK, j’évite les blagues de mauvais goût)

Permalink Comments

10.14.08

Falling back to PORT instead of PASV mode

Posted in Debian, Ubuntu, planet-libre.org at 3:30 pm by michauko

Raaah, je me trainais ce truc là depuis longtemps ; pourtant je sais parfaitement que le FTP est un de ces protocoles un peu pourris vis-à-vis des firewalls (et proxies), mais j’avais jamais rien fait pour m’arranger la situation.
Bref, l’occasion de faire un rappel - je passe la théorie car je donnerais dans l’à peu près, mais j’explique l’aspect pratique pour régler le problème titre de cet article.

Lorsque vous avez des problèmes de mode passif, actif etc en FTP, pensez à ceci.
Si quelqu’un veut poster en commentaire la théorie expliquant le problème, n’hésitez pas. Il me semble me rappeler des histoires de trames FTP contenant les IP émettrices et donc nécessité d’avoir des modules de masquerading particulier pour bien gérer le FTP… un vague résidu de cours de réseau

La configuration

J’ai un serveur avec :

un FTP - restreints à certaines IP, rappelez-vous que FTP n’est pas du tout sûr (mot de passe en clair) et qu’il vaut mieux privilégier SFTP (du FTP par dessus SSH),

un shorewall ouvrant les ports 20 et 21

Bref que du bonheur en apparence.

Le problème

Malgré ça, je galère toujours d’un client FTP à l’autre. Le dernier en date : ncftp pour des échanges depuis un LAN vers ce serveur public. Ca se traduit par un cafouilli général dans les modes passifs etc.
Et un message d’erreur que pour une fois, j’ai relu lentement et me suis rappelé le coup du NAT spécifique FTP :

Falling back to PORT instead of PASV mode

En soit, je me foutais de savoir comment le client FTP établissait sa connexion, car dans tous les cas ça marchait, ça restait sécurisé dans la limite de ce que je demandais, mais c’était surtout que la complétion de nom, style cd rep TAB-TAB-TAB mettait 20 secondes à répondre le temps de passer en mode “PORT” justement. Soit environ 19,8 secondes de trop.

Comment on le règle ?

On pense à activer le NAT spécifique au protocole FTP, dans netfilter. Pour ce faire, par exemple via l’outil modconf (ou sudo modconf chez Ubuntu) afin d’activer ces 2 modules :
./kernel/net/netfilter/nf_conntrack_ftp.ko
./kernel/net/ipv4/netfilter/nf_nat_ftp.ko

Point besoin de rebooter, rien.
Voilà, un protocole FTP mieux géré par firewall netfilter sur votre serveur.

Excusez-moi pour l”à peu près technique concernant cet article. FTP ça me gave, c’est un sac d’ennuis ce truc. Mais c’est pratique.

Permalink 6 Comments

09.22.08

Bip, < tab >, bip, < tab >, bip, < tab >, bip……

Posted in Coup de coeur, Ubuntu at 9:44 pm by michauko

Pense-bête tout con mais ça fait tellement de bien : pour couper les p#*_”~s de bips de votre shell ou de n’importe quelle fenêtre - je parle sous Ubuntu, allez dans Système -> Préférences -> Sons puis onglet “Bip système” et désactiver le truc qui va bien.

Je ne sais pas comment j’ai fait pour tenir si longtemps avec cette horreur.

(et avec modconf, vous pourrez virer une bonne fois le module pcspkr (”PC Speaker”), section kernerls/drivers/input/misc - yarglaaaaa)

Permalink 2 Comments

09.17.08

Bloquer Hamachi au niveau shorewall et squid

Posted in Debian, Ubuntu, planet-libre.org at 6:11 pm by michauko

Sympa Hamachi, j’en parlais dans un précédent billet pour l’aspect “je joue en réseau avec mes potes”.

=> Aujourd’hui, j’en parle pour bloquer cette saloperie d’outil qui peut apporter de gros ennuis au boulot

Pour rappel, c’est un VPN “zero-conf” qui permet à l’utilisateur nullissime en informatique (c’est-à-dire que vous n’avez rien besoin de connaître en info pour installer/utiliser ce truc) d’installer un VPN pour atteindre ses copains au boulot ou son PC chez lui. Au-delà de ça, ça peut rapidement se transformer en une passerelle entre un réseau bien sale (celui de l’utilisateur lambda chez lui, nul en informatique je le rappelle) et votre entreprise. D’où problèmes. D’où envie de donner des baffes.

Voici comment le bloquer (du moins maintenant il ne passe plus à mon boulot et pourtant il essaye - donc je dois avoir fait le tour de la question), tant au niveau shorewall - si l’accès Internet est direct - qu’au niveau squid si vos utilisateurs *doivent* passer par le proxy pour atteindre Internet.

Analyse à 2 balles du comportement de hamachi pour mieux le bloquer

Au départ, installez hamachi pour tester. Ca devrait se connecter sans problème. Je pense qu’il va chercher la conf proxy dans les paramètres de IE.
C’est typiquement le genre d’outils qui a prévu tout un tas de modes de connexions genre :
- essayer tout un tas de ports standards
- avoir plein de noms de machines pour atteindre le serveur par plusieurs chemins

MAIS, comme c’est un outil avec un point central (le serveur chez eux pour s’authentifier - puisque ça a une vocation commerciale, payante, tout ça), on peut à un moment donné repérer tous les serveurs centraux et les bloquer. C’est pas comme pour des protocoles décentralisés type peer-to-peer.
Bon après, s’ils changent leurs noms ou IP tout le temps, ça peut devenir pénible.

Une fois connecté, allez voir vos logs squid, vous devriez voir tout un tas de requêtes du style :

1221661590.889 350758 votre.ip.sur.lan TCP_MISS/200 3734 CONNECT ssl-24.hamachi.cc:443 - DIRECT/74.201.74.26 -

De là, avec quelques commandes hosts, genre :

for i in `seq -f ‘%02g’ 1 40`
do
host ssl-$i.hamachi.cc
done

Ainsi que :

for i in `seq 1 255`
do
host 74.201.74.$i
done

Ce qui donne :

…
103.74.201.74.in-addr.arpa domain name pointer ns3.3amlabs.com.
104.74.201.74.in-addr.arpa domain name pointer www02-09.logmein.com.
105.74.201.74.in-addr.arpa domain name pointer www02-09.logmein.com.
106.74.201.74.in-addr.arpa domain name pointer www02-09.logmein.com.
…

Vous verrez qu’en gros, la plage IP 74.201.74.0/24 est à eux et qu’avec 4/5 noms de domaines génériques, vous pourrez tout bloquer.

Blocage niveau shorewall

En considérant que votre shorewall fonctionne bien, vous pouvez soit blacklister dans le fichier /etc/shorewall/blacklist (si vous avez bien activé l’option “blacklist” dans le fichier /etc/shorewall/interfaces), soit faire une règle dans /etc/shorewall/rules.
Dans “blacklist”, ajoutez la ligne :

74.201.74.0/24

Ou, dans “rules”, ajoutez :

DROP lan net:74.201.74.0/24 all

Relancez shorewall via /etc/init.d/shorewall reload

Blocage niveau Squid

Allez dans le fichier /etc/squid/squid.conf et à l’endroit où sont définies des “ACL”, ajoutez celles-ci - c’est un exemple à adapter.

acl tout_mon_lan src 172.16.0.0/255.255.0.0
acl vilain_hamachi dstdomain .hamachi.cc .logmeinhamachi.com .logmein.com .3amlabs.com logmeinrescue.com logmeinrescue-enterprise.com
http_access deny tout_mon_lan vilain_hamachi

(le tout sur 3 lignes uniquement)

Ici je me base sur les noms de domaines, pas les IP. C’est un choix motivé par le fait que le client hamachi semble tenter des noms de machines, pas des IP. A voir si l’éditeur fait évoluer ça dans le temps.
Et pensez à recharger squid : /etc/init.d/squid reload

Validez que ça ne marche plus

Retestez la connexion à Hamachi. Vous devriez le voir s’exciter dans les logs squid sur quelques ssl-xx.hamachi.cc pris au hasard puis plus rien :

1221666080.309 0 votre.ip.sur.lelan TCP_DENIED/403 1441 CONNECT ssl-14.hamachi.cc:443 - NONE/- text/html
1221666199.615 0 votre.ip.sur.lelan TCP_DENIED/403 1441 CONNECT ssl-15.hamachi.cc:443 - NONE/- text/html
1221666283.816 5 votre.ip.sur.lelan TCP_DENIED/403 1441 CONNECT ssl-13.hamachi.cc:443 - NONE/- text/html

En images, ça reste sur ça :

Permalink 5 Comments

08.05.08

XUbuntu “persistante” sur USB (MAJ concernant Hardy Heron)

Posted in Ubuntu, planet-libre.org at 7:17 pm by michauko

Pour donner suite à mon précédent article sur le sujet, voici une mise à jour depuis la sortie de Ubuntu 8.04.1.
L’article précédent donne quelques informations supplémentaires, n’hésitez pas à aller voir.

Cet article donne simplement la procédure à suivre depuis un poste Linux pour créer un XUbuntu “persistant” sur USB. Si le mot “persistant” ne vous dit rien, il s’agit d’avoir un Live OS sur USB qui se souvient des modifications (fichiers créés/modifiés), des applications installées etc. Bref, un OS vivant et… persistant.
Le principe ? une partition qui est l’image du CD Live OS, l’autre qui est un “espace de stockage” des modifications, une sorte de “/” qui va grossir avec le temps (et vos modifications).

Ce qui m’a donné envie d’en remettre une couche est le fait que sur mon PC principal, la Ubuntu 7.10 donnait un affichage pourri sous X et sur quelques portables, X ne se chargeait pas du tout.
Pour mon PC principal, Ubuntu 8 a réglé le problème. Pour les portables, je verrai plus tard.
Enfin, tenter un upgrade de Ubuntu 7 à 8 ne me paraît pas être une bonne idée : en effet, dans le cadre d’un OS persistant, il y a certes la partie variable, mais aussi toute ce qui est immuable, tout ce qui concerne le boot. J’ai pas osé “upgrader” la distrib. Surtout que c’est plus une solution de dépannage, pas vraiment pour embarquer un réel OS peaufiné aux petits soins, sinon bonjour les problèmes de drivers graphiques par exemple…..

Assez parlé, voici la manip, brutale :

1) Prenez une clef USB d’au moins 1 Go, plutôt une rapide

2) Créez 2 partitions, l’une de 600 Mo (suffisant pour un XUbuntu dont l’ISO fait 540 Mo), type FAT16 (code 6 sous fdisk), l’autre du reste de la clef, type Linux (que vous formatterez en “ext2″, n’allez pas me mettre de la journalisation sur une clef USB ! O_o). La deuxième partition doit impérativement s’appeler “casper-rw” - c’est comme ça que la partition persistante sera identifiée.
Ne pas oublier : rendez bootable la première partition !

3) Formattez les comme suit :

mkfs.vfat -F 16 -n ubuntu841 /dev/sdX1

(remplacez X) et :

mkfs.ext2 -b 4096 -L casper-rw /dev/sdX2

(remplacez X aussi).

Si vous n’avez pas l’application “mkfs.vfat”, installez le paquet “dosfstools”.

4) Copier ensuite le contenu de l’ISO de la mouture d’Ubuntu qui vous convient (XUbuntu, Ubuntu etc) à la racine de la première partition. Je recommande XUbuntu afin d’être “léger” sur tout type de PC.

5) Recopier le contenu de /isolinux à la racine de la clef.

6) Recopier /casper/vmlinuz à la racine de la clef.

7) Remplacez /casper/initrd.gz par celui fourni ici.

8 ) Copiez le fichier syslinux.cfg trouvé ici à la racine de votre clef.

9) Utilisez un “syslinux” récent (ici, version 3.71) si celui de votre distrib date un peu (qui a dit Debian Etch ?) pour rendre bootable la clef :

syslinux -sf /dev/sdX1

(remplacez X)

Démontez votre clef bien proprement, évidemment, et tentez votre chance. Ca devrait booter
Par défaut, vous bootez en mode persistant en tapant “persist”.

Amusez-vous bien.

La doc d’origine, en anglais et qui n’explique absolument rien est là. Certes j’ai été assez rapide aussi, mais mon précédent article devrait vous fournir des explications complémentaires sur le concept de clefs persistantes si vous n’avez rien compris.

Permalink 2 Comments

07.18.08

squirrelmail, beurk => IlohaMail, mieux

Posted in Debian, Ubuntu, planet-libre.org at 4:51 pm by michauko

P’tite intro

J’utilise Squirrelmail comme client webmail pour les comptes en IMAP. C’est parfaitement fonctionnel, mais aussi très moche.
On peut certes changer le look si on adore le CSS, ou en trouver d’autres sur le web (mais ça se cantonne à changer la palette de couleur), ou enfin, pour 100/150 € on peut en payer un super-jouli avec des fleurs bleues dans les coins, au look de MS-LookOut.

Il y aussi Horde/IMP, très utilisé et complet. Et Roundcube, qui monte : très très joli (en AJAX-qui-tâche) mais pas encore 100% fonctionnel (bal IMAP partagées KO par exemple).

Sinon il y a aussi IlohaMail. C’est moins moche (sans être beau) et aussi simple à installer.
Par contre, le développement semble bien arrêté (depuis 2006). Sur une debian testing, on est en 0.8.6-rc3sid là où la .0.8.6 est officiellement sortie et la 0.9 en beta depuis 2 ans. Pas un message depuis 2 ans sur le blog.
Si vous êtes toujours en train de lire, c’est que cette vieillerie ne vous fait pas peur ; ça tombe bien vu que l’IMAP a pas du évoluer des masses depuis longtemps.
Comme Squirrelmail, les “thèmes” sont en options, voire rares, voire moches, voire payants….
Bon je critique, mais pour le prix, j’en suis content.

Allez, mise en place de la chose (au besoin, la mise en place de squirrelmail est décrite dans ma doc Debian qu’il-faut-que-je-mette-à-jour-un-de-ces-quatre).

Pré-requis

Idéalement, un serveur IMAP pour accéder à vos boîtes aux lettres, le PHP, un Apache2 et optionnellement une base de données (ex: MySQL). Regardez ma doc si vous n’avez rien de tout ça, sauf une grosse envie de monter une Debian.

Installation

Ca commence sur un air connu :

root@linux:~# sudo aptitude install ilohamail
Lecture des listes de paquets… Fait
Construction de l’arbre des dépendances
Lecture des informations d’état… Fait
Lecture de l’information d’état étendu
Initialisation de l’état des paquets… Fait
Lecture des descriptions de tâches… Fait
Les NOUVEAUX paquets suivants vont être installés :
aspell{a} aspell-en{a} dictionaries-common{a} ilohamail libaspell15{a}
0 paquets mis à jour, 5 nouvellement installés, 0 à enlever et 4 non mis à jour.
Il est nécessaire de télécharger 1550ko/1799ko d’archives. Après dépaquetage, 8889ko seront utilisés.
Voulez-vous continuer ? [Y/n/?]

Ensuite, vous aurez 2 questions :

Si votre installation Apache2 n’est pas trop en ruine, alors ça fera ce qu’il faut tout seul.

La deuxième question - je n’ai pas gardé la photo - vous demande quel alias utiliser pour accéder à l’application, par défaut “/IlohaMail”. Ca se change plus tard.

Utilisation

Normalement, moyennant un rechargement Apache, vous devriez avoir l’application qui fonctionne en allant sur votre http://votre.serveur/IlohaMail/ :

A la première connexion, il y a un paramétrage des préférences. On peut choisir quel est le répertoire d’envoi et de poubelle, ça peut être bien :

Paramétrage un peu plus avancé

Dans /etc/apache2/conf.d/ilohamail, vous pourrez corriger l’alias si mal choisi, exemple :

Alias /mail /usr/share/IlohaMail/source

Options +FollowSymLinks
DirectoryIndex index.php
AllowOverride None
order allow,deny
allow from all

Dans /etc/IlohaMail, il y a plusieurs fichiers sympa. Tous les fichiers sont commentés, pratique pour comprendre les paramètres.

/etc/IlohaMail/conf.php

$backend="DB" au lieu de “FS” si vous voulez stocker les données en base de données plutôt qu’en fichiers. Dans ce cas, il faudra aller dans le fichier db_conf.php pour finir la conf base de données (je ne l’ai pas fait).
Notez ceux là :
$AUTH_MODE["imap"] pour les méthodes d’authentification
$SMTP_SERVER défaut à localhost
$MAX_SESSION_TIME
$DISABLE_CALENDAR
$DISABLE_BOOKMARKS

/etc/IlohaMail/login.php

$default_host = "localhost" par exemple, ça évitera de demander à l’utilisateur un nom de machine
Comprenez aussi par là que IlohaMail, comme beaucoup de “webmail” configurables, peut aller lire vos messages IMAP d’un autre serveur. Si votre webmail IMAP au boulot ne vous plaît pas, par exemple.
Vous pouvez aussi masquer la zone de saisie du serveur et ainsi éviter qu’on puisse utiliser ce webmail pour lire les messages d’un autre serveur.
$hide_host = 1;
$hide_protocol = 1;
$hide_rootdir = 1;
$hide_lang = 0;
$default_lang = "fr/" au lieu de "eng/"
$SSL_ENABLED = true; si vous en avez besoin

/etc/IlohaMail/login_title.inc

Là, vous pourrez changer le message d’accueil du webmail en bidouillant un code HTML ultra-basique.

The End

Et voilà, c’est bon.
Notez que les modifs des fichiers PHP ne nécessitent pas de rechargement d’Apache puisque ces fichiers sont lus à chaque utilisation.

Bon mail

Permalink 5 Comments