Le blog de Michauko

Aujourd’hui, mon fiston a 5 ans…

michauko — Mon, 17 Nov 2008 21:18:11 +0000

Je me demande comment il jouera aux FPS - oui bah �a va, c’est tout ce qui me vient � l’esprit. Pour l’instant, il fait ses r�flexes sur Burnout (et poissonrouge.com aussi, je suis pas [qu']un bourrin)… prometteur d’ailleurs sur Burnout.

Et quand je vois �a : http://www.nofrag.com/2008/nov/17/30079/, j’ai peur pour son avenir… de gamer. Je me dis qu’il n’aura plus moyen de se gratter les couill… en jouant aux FPS sans se faire p�ter une grenade sur les pieds ? Tu d�capsules ta binouse en pleine LAN-�-la-webcam et boum, une ‘nade sur les pieds, �quipe d�cim�e. Tu farfouilles dans le tas de Haribo, hop, “defuse” ta bombe enclench�e par erreur. Tu te grattes le menton ? boum auto head-shot. Tu te grattes la jambe en pleine course ? d�rapage au frein � main. Tu veux soigner ton co�quipier ? plante lui une seringue dans le bid’

Ca promet l’avenir technologique…
fiouuu, je suis fatigu� moi

Le copier-coller et ses surprises

michauko — Wed, 05 Nov 2008 16:49:57 +0000

Noir[, jeune], pr�sident des US et c’est pas un film !

michauko — Wed, 05 Nov 2008 08:53:20 +0000

Pour une fois, c’est pas dans un film ou une s�rie.

JFK avait raison, il aura fallu 40 ans.
Pourvu qu’il ne se fasse pas buter.

Et bon courage � lui.

Gros disque (> 400 Go ?) et limitations

michauko — Mon, 03 Nov 2008 15:58:22 +0000

Moi qui croyait n’�tre embett� que sous Windows par ces histoires de limitations de taille de fichiers, de disques, de partitions etc, je viens de m’en prendre une en pleine t�te : formatter une grappe RAID5 de 6*500 Go (SATA), volume utile 2.5 To.
Je n’avais pas trop fait attention � l’installation de la Debian, mais j’ai loup� une question cruciale par m�connaissance : le type de table de partition.

Tout cela est expliqu� et difficile � suivre sur wikipedia. Moi j’en retiendrai juste le r�sultat pratique.

Eviter le probl�me � l’installation…

Au tout premier acc�s au disque “virtuel” ainsi cr��, je me souviens que le programme d’installation m’a demand� �a :

Ca n’arrive que sur des disques jamais initialis�s (comme des grappes RAID) ou des disques virtuels. Peut-�tre aussi des disques sortis d’usine sans aucun pr�-traitement, je ne sais pas.
Par d�faut, c’�tait GPT. J’ai pas trop r�fl�chi, j’ai mis msdos car j’avais d�j� eu ce cas (sur un disque virtuel de petite taille, type machine VirtualBox pour faire joujou). En fait, la proposition par d�faut doit �tre la bonne. Car impossible de formatter au del� de 300 Go ensuite (pourquoi 300 ?)
Si comme moi, vous avez r�t� cette �tape, voici ci-dessous comment corriger.

…ou le corriger apr�s coup

FDISK ne dit trop rien � la cr�ation des partitions, masi il cr�e une partition de moindre taille.
CFDISK est � peine plus bavard. En l’utilisant en console (et non pas � distance), j’ai vu passer des messages d’erreur, notamment :

Very big device. Trying to use READ CAPACITY(16)

De l�, Google m’a expliqu� le probl�me et il a fallu le rectifier en changeant ce type de table de partitions. Vous pourrez alors adresser tout l’espace physique de votre disque et le formatter.

Corrigez en utilisant l’outil PARTED :

[root@toto: ~]$ parted /dev/sdb
GNU Parted 1.7.1
Using /dev/sdb
Welcome to GNU Parted! Type ‘help’ to view a list of commands.
(parted) mklabel gpt
(parted) mkpart
Partition name? []? MON_GROS_HD
File system type? [ext2]? ext3
Start? 0
End? -1
(parted) p

Disk /dev/sdb: 2500GB
Sector size (logical/physical): 512B/512B
Partition Table: gpt

Number Start End Size File system Name Flags
1 17.4kB 2500GB 2500GB MON_GROS_HD

(parted) quit
[root@toto: ~]$ fdisk -l /dev/sdb

Disk /dev/sdb: 2499.9 GB, 2499946741760 bytes
255 heads, 63 sectors/track, 303934 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System
/dev/sdb1 1 267350 2147483647+ ee EFI GPT

[root@toto: ~]$ mkfs.ext3 /dev/sdb1
mke2fs 1.40-WIP (14-Nov-2006)
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
305184768 inodes, 610338551 blocks
30516927 blocks (5.00%) reserved for the super user
First data block=0
Maximum filesystem blocks=4294967296
18627 block groups
32768 blocks per group, 32768 fragments per group
16384 inodes per group
Superblock backups stored on blocks:
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,
4096000, 7962624, 11239424, 20480000, 23887872, 71663616, 78675968,
102400000, 214990848, 512000000, 550731776

Writing inode tables: done
Creating journal (32768 blocks): done
Writing superblocks and filesystem accounting information: done

This filesystem will be automatically checked every 35 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.

Et voil� le travail.

Au fait : ext3 semble �tre limit� � 8 To. S’il y a quelques ann�es 8 To paraissaient �tre une limite lointaine, actuellement, c’est moins �vident. Il faudra alors passer en XFS ou ReiserFS (OK, j’�vite les blagues de mauvais go�t)

Falling back to PORT instead of PASV mode

michauko — Tue, 14 Oct 2008 13:30:08 +0000

Raaah, je me trainais ce truc l� depuis longtemps ; pourtant je sais parfaitement que le FTP est un de ces protocoles un peu pourris vis-�-vis des firewalls (et proxies), mais j’avais jamais rien fait pour m’arranger la situation.
Bref, l’occasion de faire un rappel - je passe la th�orie car je donnerais dans l’� peu pr�s, mais j’explique l’aspect pratique pour r�gler le probl�me titre de cet article.

Lorsque vous avez des probl�mes de mode passif, actif etc en FTP, pensez � ceci.
Si quelqu’un veut poster en commentaire la th�orie expliquant le probl�me, n’h�sitez pas. Il me semble me rappeler des histoires de trames FTP contenant les IP �mettrices et donc n�cessit� d’avoir des modules de masquerading particulier pour bien g�rer le FTP… un vague r�sidu de cours de r�seau

La configuration

J’ai un serveur avec :

un FTP - restreints � certaines IP, rappelez-vous que FTP n’est pas du tout s�r (mot de passe en clair) et qu’il vaut mieux privil�gier SFTP (du FTP par dessus SSH),

un shorewall ouvrant les ports 20 et 21

Bref que du bonheur en apparence.

Le probl�me

Malgr� �a, je gal�re toujours d’un client FTP � l’autre. Le dernier en date : ncftp pour des �changes depuis un LAN vers ce serveur public. Ca se traduit par un cafouilli g�n�ral dans les modes passifs etc.
Et un message d’erreur que pour une fois, j’ai relu lentement et me suis rappel� le coup du NAT sp�cifique FTP :

Falling back to PORT instead of PASV mode

En soit, je me foutais de savoir comment le client FTP �tablissait sa connexion, car dans tous les cas �a marchait, �a restait s�curis� dans la limite de ce que je demandais, mais c’�tait surtout que la compl�tion de nom, style cd rep TAB-TAB-TAB mettait 20 secondes � r�pondre le temps de passer en mode “PORT” justement. Soit environ 19,8 secondes de trop.

Comment on le r�gle ?

On pense � activer le NAT sp�cifique au protocole FTP, dans netfilter. Pour ce faire, par exemple via l’outil modconf (ou sudo modconf chez Ubuntu) afin d’activer ces 2 modules :
./kernel/net/netfilter/nf_conntrack_ftp.ko
./kernel/net/ipv4/netfilter/nf_nat_ftp.ko

Point besoin de rebooter, rien.
Voil�, un protocole FTP mieux g�r� par firewall netfilter sur votre serveur.

Excusez-moi pour l”� peu pr�s technique concernant cet article. FTP �a me gave, c’est un sac d’ennuis ce truc. Mais c’est pratique.

Priver son Wordpress : LDAP, acc�s membres uniquement…

michauko — Thu, 09 Oct 2008 15:09:07 +0000

Wordpress est un outil de blog (un CMS diront certains) que je trouve assez sympa. Son premier but est de pouvoir publier facilement un blog, c�est-�-dire publier du contenu. Il n�est cependant pas trop pr�vu pour publier du contenu � acc�s restreint.

Dans les derni�res versions, on voit des options pour prot�ger par mot de passe un article (ou une page). Mais �a s�arr�te l�, mais �a peut suffire dans bien des cas.
J�avais besoin de monter un site rapidement avec quelques pages statiques et des news, facilement �ditables. Wordpress convenait donc, mais dans un contexte entreprise, il fallait priver l�int�gralit� de l�acc�s.
En cherchant un peu, on trouve donc 2 plug-ins parfaits pour �a.
Voici ce retour d�exp�rience : installer Wordpress avec authentification LDAP et contenu compl�tement priv� (members-only).

Installation

Je suis parti sur une version SVN (la 2.6.2) car elle permet d�utiliser des plug-ins r�cents, qui ne fonctionnent pas pour ma version �stable� Debian (2.0.x). J’ai donc tout fait � la main, je vous r�sume ceci.

Pr�paration de la base MySQL

En console mysql, vous taperez par exemple :

CREATE DATABASE wordpress;
CREATE USER �wpadmin�@’localhost� IDENTIFIED BY �mon_passwd�;
GRANT ALL ON wordpress.* TO �wpadmin�@’localhost�;

Ceci vous cr�e la base vide et un utilisateur d�administration.

Installation et configuration de l�application

Je sch�matise, c�t� OS et t�l�chargement de l�application :

mkdir /srv/www/wordpress
cd /srv/www/wordpress
svn co http://svn.automattic.com/wordpress/trunk/

Vous �diterez alors votre fichier /srv/www/wordpress/trunk/wp-config.php pour y renseigner au moins les champs suivants :

define(�DB_NAME�, �wordpress�);
define(�DB_USER�, �wpadmin�);
define(�DB_PASSWORD�, �mon_passwd�);
define(�DB_HOST�, �localhost�);

Vous ajouterez la conf Apache qui va bien (VirtualHost ou non), avec au moins ceci :

< Directory> # sans l’espace
Options FollowSymLinks
AllowOverride Limit Options FileInfo
DirectoryIndex index.php
< /Directory> # sans l’espace

Du classique, je ne d�taille pas trop, je me concentre sur Wordpress, pas Apache2.

Lancement de l’installeur

Ensuite, vous irez sur http://votre_site/votre_blog/wp-admin/install.php pour lancer l’installation en 2/3 clics.
Vous voil� avec un wordpress tout vide et op�rationnel.
Je passe sur le tour du propri�taire, j’encha�ne directement sur le choix et l’installation des plug-ins qui vont bien.

Les plug-in LDAP

Il y en a plusieurs, plus ou moins suivi, plus ou moins compatibles avec votre version de Wordpress. J’ai trouv� sur le site notamment celui-ci (wpDirAuth) compatible avec plein de LDAP, notamment OpenLDAP.
Apr�s 2 heures de gal�re, on apprend que la version officielle sur ce site (1.2) n’est pas compatible avec Wordpress 2.6+.
Vous utiliserez donc la version 1.3 disponible ici.
L’installation est classique, en gros :

cd /srv/www/wordpress/trunk/wp-content/plugins
wget http://www.royal.wednet.edu/~ayearout/wpDirAuth-1.3.zip
unzip wpDirAuth-1.3.zip

Puis activation du plugin dans l’interface d’administration de WordPress. Classique. Son param�trage ressemble � ceci, tr�s complet :

Plug-in �members-only�

Enfin, ce plug-in permet de faire en sorte qu’il faille �tre connect� pour acc�der au moindre contenu. Par d�faut, vous �tes donc redirig� vers la page d’authentification.

Et voil� le travail

Debian, �a sent la release…

michauko — Thu, 09 Oct 2008 07:18:19 +0000

Tiens, on dirait que �a acc�l�re… mes mails ce matin :

Bon, va falloir que je remette � jour ma doc, moi…

Pense-b�te pour migrer “sympa”, l’outil de mailing-lists

michauko — Fri, 03 Oct 2008 14:45:45 +0000

Salut,

J’ai eu � d�placer l’outil sympa - tr�s bien pour g�rer des mailings-lists avec mod�ration - d’un serveur � un autre.
L’outil �tait sur le backend de mail, avec la conf apache de sympa, la base de donn�es de sympa et �videmment les binaires (le package sympa).
Le but �tait de d�placer la partie binaire, apache et base de donn�es ; en conservant les bo�tes mails et alias sur le backend de d�part.

Je vous livre un petit retour d’exp�rience car c’est un poil plus compliqu� que de d�placer une application LAMP classique.
Je partais d’une version Debian/stable, donc package sympa 5.2.3-1.2+etch1 et la cible �tait la m�me.

Je consid�re que vous avez d�j� un Apache2 et MySQL sur la machine cible - et une machine cible capable de relayer des mails (recevoir et envoyer) sur postfix

La migration classique

La base reste la m�me :
1) Sur la machine cible, installez l’application - m�me version �videmment, packag�e.
2) Reprenez (� la main ou en �crasant) la conf /etc/apache2/conf.d/sympa d’un serveur � l’autre
3) Reprenez ou adaptez /etc/sympa
4) Exportez/importez la base de donn�es “sympa”, comme une brute, par exemple :

machine_depart:$> mysqldump -u votre_user_qui_va_bien -p -B sympa > migr_sympa.sql
puis
machine_cible:$> mysql -u user -p < migr_sympa.sql

5) Assurez-vous d’avoir les bons identifiants de login de l’application sympa dans les tables “mysql” de Mysql (= les tables du sch�ma mysql. Pig� ? il doit y avoir notamment une ligne dans la table mysql.user concernant le User sympa) :

use mysql ; SELECT * from user where User = ’sympa’;

La partie sp�cifique “sympa”

Ce qui est ci-dessus est ce que vous auriez � faire avec une appli LAMP typique qui stocke tout en base.
Manque de chance, sympa - au moins dans la version 5.2 (actuellement 5.4 dispo, pas essay�) - stocke tout un tas d’informations dans /var/lib/sympa, /usr/lib/sympa etc. Sans compter les alias mails qui permettent de transmettre les mails aux processus de gestion de sympa.
Donc il vous reste � faire :

La redirection des alias mail

Normalement, sur votre serveur de d�part, vous devriez avoir tout un tas d’alias de mail dans /etc/aliases, genre :

sympa: “| /usr/lib/sympa/bin/queue sympa”
listmaster: “| /usr/lib/sympa/bin/queue listmaster”
sympa-request: postmaster
sympa-owner: postmaster
maliste1: “| /usr/lib/sympa/bin/queue maliste1″
maliste1-request: “| /usr/lib/sympa/bin/queue maliste1-request”
maliste1-owner: “| /usr/lib/sympa/bin/bouncequeue maliste1″
maliste2…..

Il faut reprendre cette configuration telle quelle sur la machine cible et s’assurer sur la premi�re - qui reste la machine de backend de mail (mon MX en gros), donc celle qui re�oit le mail - qu’elle sache faire suivre tout �a � la machine cible qui est devenue celle qui g�re sympa.
Donc dans la machine de d�part, vous trafiquerez tout de la sorte :

sympa: “sympa@machinecible.com”
listmaster: “listmaster@machinecible.com”
sympa-request: postmaster (j’ai laiss� tel quel, c’est un choix)
sympa-owner: postmaster (j’ai laiss� tel quel, c’est un choix)
maliste1: “maliste1@machinecible.com”
maliste1-request: “maliste1-request@machinecible.com”
maliste1-owner: “maliste1-owner@machinecible.com”
maliste2…..

A la recherche du bordel �parpill� partout

Ensuite, je m’�tais arr�t� l� - ahahah, erreur.
Sur l’interface web (la nouvelle), je ne voyais plus mes listes. La raison est que “sympa” stocke les listes, les archives etc hors de la base, dans des r�pertoires comme /usr/lib/sympa et /var/lib/sympa.
Donc, il faut reprendre tout �a sur la machine cible (des b�tes “tar” avec conservation des permissions suffisent).
Finalement, j’ai opt� pour un joli :

dpkg -L sympa | less

De l�, je suis pass� dans tous les r�pertoires nomm�s (sauf les doc, le “man” etc - faut pas pousser) et je me suis assur� qu’il n’y ait pas de diff�rence - attention � certains droits en setuid/setgid au nom de “sympa:sympa”.

Ensuite, vous envoyez la pur�e aupr�s de vos utilisateurs pour leur indiquer que le syst�me est � nouveau dispo, sur une liste mod�r�e tant qu’� faire, afin de bien faire tous les tests.
Si rien n’arrive, c’est pas grave, vous avez rat� un truc.
Si vous recevez la demande de mod�ration, c’est que �a semble bien parti

Le nettoyage

Lorsque vous ferez le DROP DATABASE sympa sur l’ancienne machine et le aptitude purge sympa, �a vous confirmera ce que je vous racontais sur le stockage des archives, des listes etc :

Mixer les releases Debian, sans trop de risque

michauko — Tue, 23 Sep 2008 15:10:41 +0000

Salut,

Il arrive qu’on ait besoin d’une application en “testing” sur un serveur en “stable”. Par exemple OCSInventory-NG. Il y a la bonne et la mauvaise m�thode pour faire �a.

La mauvaise m�thode (rapide, mais naze sur le long terme)

La m�thode bourrin consiste � ajouter momentan�ment les lignes qui vont bien dans /etc/apt/sources.list, faire un apt-get update, l’installer et enlever les d�p�ts ensuite.
Ca marche mais on ne profite pas des mises � jour qui peuvent �tre importantes. Je dis �a car ensuite il vaut mieux enlever ces lignes qui risquent de vous faire migrer une partie de vos applis de “stable” � “testing” (si des fois vous �tes aveugles lors de votre “upgrade” r�gulier).
A ce propos, il ne faut pas oublier d’ajouter les lignes concernant le d�p�t de s�curit�.
Exemple, j’ajoute les lignes “lenny” pour donner �a :

deb ftp://ftp2.fr.debian.org/debian/ etch main contrib non-free
deb ftp://ftp2.fr.debian.org/debian/ lenny main contrib non-free

deb http://security.debian.org/ etch/updates main contrib non-free
deb http://security.debian.org/ lenny/updates main contrib non-free

La bonne m�thode (presque aussi rapide)

La m�thode propre consiste � garder tout le temps les lignes concernant les 2 (4) d�p�ts, mais � indiquer � APT le niveau de release que l’on veut conserver par d�faut. Pour ce faire, cr�er un fichier du genre 00release dans /etc/apt/apt.conf.d/. Exemple :

# cat /etc/apt/apt.conf.d/00Release
APT::Default-Release “stable”;

Soyez prudent les 2/3 premi�res fois o� vous mettrez � jour vos d�p�ts + upgrade. Histoire d’�tre s�r.

Le bug qui en d�coule

Souvent, l’effet de bord sera �a � votre prochain “apt-get update” :

Fetched 14.6MB in 50s (292kB/s)
Reading package lists… Error!
E: Dynamic MMap ran out of room
E: Error occurred while processing tkdiff (NewVersion1)
E: Problem with MergeList /var/lib/apt/lists/debian_debian_dists_lenny_main_binary-amd64_Packages
E: The package lists or status file could not be parsed or opened.
E: Couldn’t rebuild package cache

La correction sera d’augmenter un buffer quelconque pour APT, en ajoutant/adaptant, g�n�ralement dans /etc/apt/apt.conf.d/70debconf la ligne suivante :

APT::Cache-Limit 15728640; // 15 MB

Afin de repousser un peu la limite.

Voil�, c’est tout pour cette petite astuce n�anmoins bien pratique.

Bip, < tab >, bip, < tab >, bip, < tab >, bip……

michauko — Mon, 22 Sep 2008 19:44:59 +0000

Pense-b�te tout con mais �a fait tellement de bien : pour couper les p#*_”~s de bips de votre shell ou de n’importe quelle fen�tre - je parle sous Ubuntu, allez dans Syst�me -> Pr�f�rences -> Sons puis onglet “Bip syst�me” et d�sactiver le truc qui va bien.

Je ne sais pas comment j’ai fait pour tenir si longtemps avec cette horreur.

(et avec modconf, vous pourrez virer une bonne fois le module pcspkr (”PC Speaker”), section kernerls/drivers/input/misc - yarglaaaaa)

Microsoft eOpen : toujours aussi merdique…

michauko — Thu, 18 Sep 2008 08:49:34 +0000

Comme �a m’arrive 2/3 fois par an, je vais sur eOpen r�cup�rer des licences en masse de logiciels MS d�ment achet�s (et maintenant pour t�l�charger les CD car ils ne sont plus fournis).
(Pour ceux qui ne connaissent pas, eOpen est le service pour g�rer tout �a)

Et comme � chaque fois, il faut :
- un clic toutes les 5 minutes tellement �a rame
- s’apercevoir que sous Firefox c’est un peu moisi ; donc recommencer la proc�dure sous IE
- valider 10 �tapes pour dire “oui je sais c’est sensible, c’est priv�, non je ne piraterai pas, oui l�chez-moi”
- enfin voir son nouveau contrat apparaitre (ouf)
- cliquer sur le bouton pour voir les num�ros de licences
- revenir le lendemain et recommencer car il y a 24 heures de d�lai entre l’ajout et l’affichage des infos du contrat
- se dire qu’en attendant, autant lancer le t�l�chargement des CD, ce sera toujours �a de pris
- et une fois qu’on approche de ce Saint Graal, on obtient � chaque fois, sans mentir, ceci :

Bon, finalement, je retenterai demain… faut pas �tre press�…

Bloquer Hamachi au niveau shorewall et squid

michauko — Wed, 17 Sep 2008 16:11:50 +0000

Sympa Hamachi, j’en parlais dans un pr�c�dent billet pour l’aspect “je joue en r�seau avec mes potes”.

=> Aujourd’hui, j’en parle pour bloquer cette saloperie d’outil qui peut apporter de gros ennuis au boulot

Pour rappel, c’est un VPN “zero-conf” qui permet � l’utilisateur nullissime en informatique (c’est-�-dire que vous n’avez rien besoin de conna�tre en info pour installer/utiliser ce truc) d’installer un VPN pour atteindre ses copains au boulot ou son PC chez lui. Au-del� de �a, �a peut rapidement se transformer en une passerelle entre un r�seau bien sale (celui de l’utilisateur lambda chez lui, nul en informatique je le rappelle) et votre entreprise. D’o� probl�mes. D’o� envie de donner des baffes.

Voici comment le bloquer (du moins maintenant il ne passe plus � mon boulot et pourtant il essaye - donc je dois avoir fait le tour de la question), tant au niveau shorewall - si l’acc�s Internet est direct - qu’au niveau squid si vos utilisateurs *doivent* passer par le proxy pour atteindre Internet.

Analyse � 2 balles du comportement de hamachi pour mieux le bloquer

Au d�part, installez hamachi pour tester. Ca devrait se connecter sans probl�me. Je pense qu’il va chercher la conf proxy dans les param�tres de IE.
C’est typiquement le genre d’outils qui a pr�vu tout un tas de modes de connexions genre :
- essayer tout un tas de ports standards
- avoir plein de noms de machines pour atteindre le serveur par plusieurs chemins

MAIS, comme c’est un outil avec un point central (le serveur chez eux pour s’authentifier - puisque �a a une vocation commerciale, payante, tout �a), on peut � un moment donn� rep�rer tous les serveurs centraux et les bloquer. C’est pas comme pour des protocoles d�centralis�s type peer-to-peer.
Bon apr�s, s’ils changent leurs noms ou IP tout le temps, �a peut devenir p�nible.

Une fois connect�, allez voir vos logs squid, vous devriez voir tout un tas de requ�tes du style :

1221661590.889 350758 votre.ip.sur.lan TCP_MISS/200 3734 CONNECT ssl-24.hamachi.cc:443 - DIRECT/74.201.74.26 -

De l�, avec quelques commandes hosts, genre :

for i in `seq -f ‘%02g’ 1 40`
do
host ssl-$i.hamachi.cc
done

Ainsi que :

for i in `seq 1 255`
do
host 74.201.74.$i
done

Ce qui donne :

…
103.74.201.74.in-addr.arpa domain name pointer ns3.3amlabs.com.
104.74.201.74.in-addr.arpa domain name pointer www02-09.logmein.com.
105.74.201.74.in-addr.arpa domain name pointer www02-09.logmein.com.
106.74.201.74.in-addr.arpa domain name pointer www02-09.logmein.com.
…

Vous verrez qu’en gros, la plage IP 74.201.74.0/24 est � eux et qu’avec 4/5 noms de domaines g�n�riques, vous pourrez tout bloquer.

Blocage niveau shorewall

En consid�rant que votre shorewall fonctionne bien, vous pouvez soit blacklister dans le fichier /etc/shorewall/blacklist (si vous avez bien activ� l’option “blacklist” dans le fichier /etc/shorewall/interfaces), soit faire une r�gle dans /etc/shorewall/rules.
Dans “blacklist”, ajoutez la ligne :

74.201.74.0/24

Ou, dans “rules”, ajoutez :

DROP lan net:74.201.74.0/24 all

Relancez shorewall via /etc/init.d/shorewall reload

Blocage niveau Squid

Allez dans le fichier /etc/squid/squid.conf et � l’endroit o� sont d�finies des “ACL”, ajoutez celles-ci - c’est un exemple � adapter.

acl tout_mon_lan src 172.16.0.0/255.255.0.0
acl vilain_hamachi dstdomain .hamachi.cc .logmeinhamachi.com .logmein.com .3amlabs.com logmeinrescue.com logmeinrescue-enterprise.com
http_access deny tout_mon_lan vilain_hamachi

(le tout sur 3 lignes uniquement)

Ici je me base sur les noms de domaines, pas les IP. C’est un choix motiv� par le fait que le client hamachi semble tenter des noms de machines, pas des IP. A voir si l’�diteur fait �voluer �a dans le temps.
Et pensez � recharger squid : /etc/init.d/squid reload

Validez que �a ne marche plus

Retestez la connexion � Hamachi. Vous devriez le voir s’exciter dans les logs squid sur quelques ssl-xx.hamachi.cc pris au hasard puis plus rien :

1221666080.309 0 votre.ip.sur.lelan TCP_DENIED/403 1441 CONNECT ssl-14.hamachi.cc:443 - NONE/- text/html
1221666199.615 0 votre.ip.sur.lelan TCP_DENIED/403 1441 CONNECT ssl-15.hamachi.cc:443 - NONE/- text/html
1221666283.816 5 votre.ip.sur.lelan TCP_DENIED/403 1441 CONNECT ssl-13.hamachi.cc:443 - NONE/- text/html

En images, �a reste sur �a :

Wordpress Debian : attention �a bug

michauko — Wed, 10 Sep 2008 14:01:14 +0000

En Debian Lenny, wordpress est pass� en 2.5.1 (2.5.1-6 pr�cisemment). Il y avait un warning � l’upgrade (l’occasion de rappeler l’existence du paquet “apt-listbugs” qui vous indique les bugs en cours sur un paquet que vous tentez d’installer/upgrader) qui annon�ait que tout �tait p�t� en 2.5.1 sur “Sid” (unstable).
Etant en “Lenny” (testing), j’y suis all� confiant, r�sultat, je tombe sur ce bug et un blog inutilisable, en gros.

Manque de bol, j’ai regard� trop vite la version dispo en Sid. Aussi une 2.5.1, mais la -7, j’avais pas vu. Elle corrige le truc. Donc si vous �tes dans le m�me cas, ajoutez les sources “sid” dans votre “apt” et faites un “aptitude install wordpress”. Supprimez les listes “sid/unstable” ensuite.

Et pour rebondir sur le post pr�c�dent de Cedynamix, incitant � passer en 2.6.2 au plus vite pour raison de s�curit�, vous �tes marron si vous en restez au packaging Debian, toutes versions confondues.

Google/Chrome, admettons. Et l’OS c’est pour quand ?

michauko — Tue, 02 Sep 2008 19:59:34 +0000

Comme l’a tr�s bien r�sum� Mr Mozilla Europe (Tristant Nitot) sur son blog, Google a tout int�r�t � sortir son navigateur.

En r�sum� pour �tre plus libre et cr�atif dans ses services (et mieux dominer le monde ? les 2 fondateurs ont quand m�me parfois des id�es �tranges (si je ne me suis pas tromp� de r�f�rence, je ne sais plus))

D’autant que vu les abonn�s aux diff�rents services Google (gmail etc), ils n’auront aucun mal � le faire r�pandre, contrairement � Firefox o� il faut quand m�me chercher un peu pour l’installer (je parle des utilisateurs lambda proche du 0 en manipulation de souris - ils sont nombreux).
L�, n’importe quel utilisateur du moindre service Google pourra s�rement installer “Chrome” en un clic qui sera inmanquable sur l’interface dudit service… vous ne croyez pas ?

Bon, moi ce qui me taraude, c’est pas le navigateur, c’est l’OS. C’est pour quand ?
Qu’ils �crivent un OS depuis rien, j’en doute. C’est quand m�me couillu, surtout pour arriver � maturit� (si la maturit� d’un OS existe :). Par contre, partir d’un Linux et construire une distrib innovante, ils en ont les moyens, j’en suis s�r.
Je vois le plan d’ici : � l’install, premi�re �tape, tu donnes (ou cr�es) ton ID gmail et de l�, �a r�cup�re tout ton environnement OS li� � ta personne : tes applis, tes param�trages, ton fond d’�cran. Bref, tout ce que Google pourrait stocker comme ils aiment le faire.
Ca me parait r�aliste :
- prendre un linux
- un syst�me de package simple et et transparent (� la Ubuntu “ajout/suppression”) avec des applis bien senties (c’est beau d’avoir beaucoup de choix mais d�routant pour le commun des mortels � qui IE/media player suffisent puisqu’ils sont fournis)
- un look joli sans trop en faire
- �videmment un clic direct vers les services Google
Avec �a tu couvres beaucoup d’utilisateurs standards (type web/mail/mp3/msn).

Alors, votre avis ? l’OS, il viendra ? sous quelle forme ?

Orange Business Everywhere : pour les costards-cravates avant tout…

michauko — Wed, 06 Aug 2008 17:16:13 +0000

La loose…. pour d�panner � distance pendant mes cong�s (sympa le mec non ?), j’ai install� cet acc�s 3G-edge-++-gprs-truc-machin de chez Orange. G�nial, je teste avant de quitter le bureau, c’est mieux. Lancement d’une connexion SSH….. timeout…

Deux/trois tests plus tard, je vois le plan : ok pour les ports standards de bureautik-man � la plage (lire ses mails, naviguer sur Internet) mais le reste….. zob.
En gros, j’ai pu voir vite fait que �a passait pour les ports 80, 443, 465, 993 et 1194. Le reste j’ai pas cherch�. A tous les coups, le 25, 143, 110 doivent passer aussi. Sans compter la miriade de saloperies de ports r�seaux d’un Exchange / Active Dir. Ca doit marcher aussi, sinon comment faire pour vite vite reprendre sa propale depuis son transat ?

Alors bon, le VPN passe, donc c’est bon me direz-vous. Justement pas. S’il s’agit de d�panner le VPN ou si vous avez mis des restrictions sur le VPN (histoire que le VPN ne soit pas n�cessairement une �norme porte ouverte dans l’entreprise), �a vous fait une belle jambe que le VPN fonctionne.

Conclusions :
1) Oblig� de se taper des SSH sur port 443, des tunnels � gogo lorsque le VPN est trop restrictif…
2) Tu parles d’un acc�s web, tu peux m�me pas faire ce que tu veux. Pourtant, d�s lors que le port 25 est ouvert, si la motivation principale est comme d’hab d’endiguer le spam des zombies etc, franchement, le mal est fait. Ca sert � rien de bloquer le reste.
3) Ou alors j’ai rat� une conf quelque part pour ouvrir le port 22 ? je doute

C’est mes yeux ou c’est vraiment de l’acc�s restreint ce genre de connexion ?

Enfin, bient�t en vacances, c’est d�j� �a…

XUbuntu “persistante” sur USB (MAJ concernant Hardy Heron)

michauko — Tue, 05 Aug 2008 17:17:10 +0000

Pour donner suite � mon pr�c�dent article sur le sujet, voici une mise � jour depuis la sortie de Ubuntu 8.04.1.
L’article pr�c�dent donne quelques informations suppl�mentaires, n’h�sitez pas � aller voir.

Cet article donne simplement la proc�dure � suivre depuis un poste Linux pour cr�er un XUbuntu “persistant” sur USB. Si le mot “persistant” ne vous dit rien, il s’agit d’avoir un Live OS sur USB qui se souvient des modifications (fichiers cr��s/modifi�s), des applications install�es etc. Bref, un OS vivant et… persistant.
Le principe ? une partition qui est l’image du CD Live OS, l’autre qui est un “espace de stockage” des modifications, une sorte de “/” qui va grossir avec le temps (et vos modifications).

Ce qui m’a donn� envie d’en remettre une couche est le fait que sur mon PC principal, la Ubuntu 7.10 donnait un affichage pourri sous X et sur quelques portables, X ne se chargeait pas du tout.
Pour mon PC principal, Ubuntu 8 a r�gl� le probl�me. Pour les portables, je verrai plus tard.
Enfin, tenter un upgrade de Ubuntu 7 � 8 ne me para�t pas �tre une bonne id�e : en effet, dans le cadre d’un OS persistant, il y a certes la partie variable, mais aussi toute ce qui est immuable, tout ce qui concerne le boot. J’ai pas os� “upgrader” la distrib. Surtout que c’est plus une solution de d�pannage, pas vraiment pour embarquer un r�el OS peaufin� aux petits soins, sinon bonjour les probl�mes de drivers graphiques par exemple…..

Assez parl�, voici la manip, brutale :

1) Prenez une clef USB d’au moins 1 Go, plut�t une rapide

2) Cr�ez 2 partitions, l’une de 600 Mo (suffisant pour un XUbuntu dont l’ISO fait 540 Mo), type FAT16 (code 6 sous fdisk), l’autre du reste de la clef, type Linux (que vous formatterez en “ext2″, n’allez pas me mettre de la journalisation sur une clef USB ! O_o). La deuxi�me partition doit imp�rativement s’appeler “casper-rw” - c’est comme �a que la partition persistante sera identifi�e.
Ne pas oublier : rendez bootable la premi�re partition !

3) Formattez les comme suit :

mkfs.vfat -F 16 -n ubuntu841 /dev/sdX1

(remplacez X) et :

mkfs.ext2 -b 4096 -L casper-rw /dev/sdX2

(remplacez X aussi).

Si vous n’avez pas l’application “mkfs.vfat”, installez le paquet “dosfstools”.

4) Copier ensuite le contenu de l’ISO de la mouture d’Ubuntu qui vous convient (XUbuntu, Ubuntu etc) � la racine de la premi�re partition. Je recommande XUbuntu afin d’�tre “l�ger” sur tout type de PC.

5) Recopier le contenu de /isolinux � la racine de la clef.

6) Recopier /casper/vmlinuz � la racine de la clef.

7) Remplacez /casper/initrd.gz par celui fourni ici.

8 ) Copiez le fichier syslinux.cfg trouv� ici � la racine de votre clef.

9) Utilisez un “syslinux” r�cent (ici, version 3.71) si celui de votre distrib date un peu (qui a dit Debian Etch ?) pour rendre bootable la clef :

syslinux -sf /dev/sdX1

(remplacez X)

D�montez votre clef bien proprement, �videmment, et tentez votre chance. Ca devrait booter
Par d�faut, vous bootez en mode persistant en tapant “persist”.

Amusez-vous bien.

La doc d’origine, en anglais et qui n’explique absolument rien est l�. Certes j’ai �t� assez rapide aussi, mais mon pr�c�dent article devrait vous fournir des explications compl�mentaires sur le concept de clefs persistantes si vous n’avez rien compris.

squirrelmail, beurk => IlohaMail, mieux

michauko — Fri, 18 Jul 2008 14:51:09 +0000

P’tite intro

J’utilise Squirrelmail comme client webmail pour les comptes en IMAP. C’est parfaitement fonctionnel, mais aussi tr�s moche.
On peut certes changer le look si on adore le CSS, ou en trouver d’autres sur le web (mais �a se cantonne � changer la palette de couleur), ou enfin, pour 100/150 � on peut en payer un super-jouli avec des fleurs bleues dans les coins, au look de MS-LookOut.

Il y aussi Horde/IMP, tr�s utilis� et complet. Et Roundcube, qui monte : tr�s tr�s joli (en AJAX-qui-t�che) mais pas encore 100% fonctionnel (bal IMAP partag�es KO par exemple).

Sinon il y a aussi IlohaMail. C’est moins moche (sans �tre beau) et aussi simple � installer.
Par contre, le d�veloppement semble bien arr�t� (depuis 2006). Sur une debian testing, on est en 0.8.6-rc3sid l� o� la .0.8.6 est officiellement sortie et la 0.9 en beta depuis 2 ans. Pas un message depuis 2 ans sur le blog.
Si vous �tes toujours en train de lire, c’est que cette vieillerie ne vous fait pas peur ; �a tombe bien vu que l’IMAP a pas du �voluer des masses depuis longtemps.
Comme Squirrelmail, les “th�mes” sont en options, voire rares, voire moches, voire payants….
Bon je critique, mais pour le prix, j’en suis content.

Allez, mise en place de la chose (au besoin, la mise en place de squirrelmail est d�crite dans ma doc Debian qu’il-faut-que-je-mette-�-jour-un-de-ces-quatre).

Pr�-requis

Id�alement, un serveur IMAP pour acc�der � vos bo�tes aux lettres, le PHP, un Apache2 et optionnellement une base de donn�es (ex: MySQL). Regardez ma doc si vous n’avez rien de tout �a, sauf une grosse envie de monter une Debian.

Installation

Ca commence sur un air connu :

root@linux:~# sudo aptitude install ilohamail
Lecture des listes de paquets… Fait
Construction de l’arbre des d�pendances
Lecture des informations d’�tat… Fait
Lecture de l’information d’�tat �tendu
Initialisation de l’�tat des paquets… Fait
Lecture des descriptions de t�ches… Fait
Les NOUVEAUX paquets suivants vont �tre install�s�:
aspell{a} aspell-en{a} dictionaries-common{a} ilohamail libaspell15{a}
0 paquets mis � jour, 5 nouvellement install�s, 0 � enlever et 4 non mis � jour.
Il est n�cessaire de t�l�charger 1550ko/1799ko d’archives. Apr�s d�paquetage, 8889ko seront utilis�s.
Voulez-vous continuer�? [Y/n/?]

Ensuite, vous aurez 2 questions :

Si votre installation Apache2 n’est pas trop en ruine, alors �a fera ce qu’il faut tout seul.

La deuxi�me question - je n’ai pas gard� la photo - vous demande quel alias utiliser pour acc�der � l’application, par d�faut “/IlohaMail”. Ca se change plus tard.

Utilisation

Normalement, moyennant un rechargement Apache, vous devriez avoir l’application qui fonctionne en allant sur votre http://votre.serveur/IlohaMail/ :

A la premi�re connexion, il y a un param�trage des pr�f�rences. On peut choisir quel est le r�pertoire d’envoi et de poubelle, �a peut �tre bien :

Param�trage un peu plus avanc�

Dans /etc/apache2/conf.d/ilohamail, vous pourrez corriger l’alias si mal choisi, exemple :

Alias /mail /usr/share/IlohaMail/source

Options +FollowSymLinks
DirectoryIndex index.php
AllowOverride None
order allow,deny
allow from all

Dans /etc/IlohaMail, il y a plusieurs fichiers sympa. Tous les fichiers sont comment�s, pratique pour comprendre les param�tres.

/etc/IlohaMail/conf.php

$backend="DB" au lieu de “FS” si vous voulez stocker les donn�es en base de donn�es plut�t qu’en fichiers. Dans ce cas, il faudra aller dans le fichier db_conf.php pour finir la conf base de donn�es (je ne l’ai pas fait).
Notez ceux l� :
$AUTH_MODE["imap"] pour les m�thodes d’authentification
$SMTP_SERVER d�faut � localhost $MAX_SESSION_TIME $DISABLE_CALENDAR $DISABLE_BOOKMARKS


/etc/IlohaMail/login.php
$default_host = "localhost" par exemple, �a �vitera de demander � l’utilisateur un nom de machine

Comprenez aussi par l� que IlohaMail, comme beaucoup de “webmail” configurables, peut aller lire vos messages IMAP d’un autre serveur. Si votre webmail IMAP au boulot ne vous pla�t pas, par exemple.

Vous pouvez aussi masquer la zone de saisie du serveur et ainsi �viter qu’on puisse utiliser ce webmail pour lire les messages d’un autre serveur.

$hide_host = 1;

$hide_protocol = 1;

$hide_rootdir = 1;

$hide_lang = 0;

$default_lang = "fr/" au lieu de "eng/"

$SSL_ENABLED = true; si vous en avez besoin
/etc/IlohaMail/login_title.inc
L�, vous pourrez changer le message d’accueil du webmail en bidouillant un code HTML ultra-basique.
The End
Et voil�, c’est bon.

Notez que les modifs des fichiers PHP ne n�cessitent pas de rechargement d’Apache puisque ces fichiers sont lus � chaque utilisation.
Bon mail



Plus besoin de cr�er un compte pour poster des commentaires
michauko — Fri, 11 Jul 2008 14:09:23 +0000
Voil�,

Suite � 2/3 remarques, j’ai ouvert les commentaires � tous, sans compte. Je dois juste mod�rer le premier.

J’avais peur de passer mon temps � virer des spams, mais le plug-in anti-spam de Wordpress semble bien remplir son office.
Commenter bien, �vitez de nourrir les trolls.



Mon NAS est libre, et �volutif (ipkg)
michauko — Fri, 11 Jul 2008 12:32:26 +0000
Hop,
Oh le beau NAS !
J’ai coupl� une PS3 � un NAS QNAP TS-209. Ce NAS tourne sous un Linux minimaliste (architecture ARM) h�bergeant plein de services (lisez la fiche �a ira plus vite), notamment TwonkyMedia pour mettre � disposition en DLNA les contenus multim�dias de ce NAS. Il y a �videmment un serveur SSH, FTP etc. Bref, tout ce qu’il faut pour bien g�rer son contenu � distance et dans n’importe quelle condition.
Mais �a manque de commandes int�gr�es
Il ne manquait que certains outils qu’on a potentiellement l’habitude d’utiliser sur un Linux (donc depuis le NAS). Me concernant c’�tait LFTP afin que mon NAS puisse aller chercher tout seul certaines ressources en FTP sur un serveur (bon bref, je vous passe les d�tails). En effet, quitte � ce qu’il soit tout le temps allum�, autant qu’il sache downloader. Notez que de base, il int�gre un wget, un client bittorrent administrable par le web etc….
Heureusement le fabricant est actif
R�cemment, il y a eu un update de firmware permettant d’installer QPKG et donnant acc�s � un d�p�t de paquets pour cette architecture, le tout gr�ce � la commande “ipkg” dont la syntaxe ressemble � du “apt-get”.

On peut donc maintenant installer les commandes screen et ncftp. Par exemple. LFTP ne passe pas pour des probl�mes de versions de libc. Plut�t qu’une �norme prise de t�te et un NAS potentiellement HS, j’ai opt� pour NCFTP au lieu de LFTP. Libre � vous de gal�rer si vous voulez.

Notez que le paquet QPKG s’installe sur la partition de donn�es principale (exemple chez moi : /share/MD0_DATA/optware/), pas sur les partoches syst�mes standard. Donc vous pouvez imaginer installer plein de paquets, il y aura de la place, tant que vous en avez sur votre partition principale.
Installation et utilisation de QPKG
Malheureusement, il ne suffit pas de mettre le nouveau firmware pour obtenir “ipkg”, il faut mettre le nouveau firmware puis installer un paquet “optware” suppl�mentaire.

Voici donc comment installer QPKG (optware et ipkg) afin de pouvoir taper des commandes magiques comme :
ipkg install screen

ipkg install ncftp
J’ai presque l’impression d’�tre sous Debian, ouaiiiiiiiis  
Mise � jour du firmware
Rapidement, vu que c’est archi-classique, d�brouillez-vous. Le firmware est sur le site officiel.
Installez QPKG
Depuis l’interface d’admin de votre NAS (http://votre.ip:8080/) :

La premi�re fois, vous ne trouverez pas le module QPKG, il faut cliquer sur le bouton “Get QPKG”, vous suivez le lien, vous downloadez le paquet sur votre PC puis le chargez dans l’interface. A la fin, vous l’activez, �a ressemble donc � �a :


Ensuite, balancez la pur�e avec ipkg
Voici ce que donne l’installation de screen et lftp :
[/share/MD0_DATA/optware/opt/bin] # ./ipkg install screen

Installing screen (4.0.3-2) to root…

Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/screen_4.0.3-2_arm.ipk

Installing termcap (1.3.1-2) to root…

Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/termcap_1.3.1-2_arm.ipk

Configuring screen

chown: unknown group name: root

Configuring termcap

Successfully terminated.

[/share/MD0_DATA/optware/opt/bin] # ./ipkg install lftp

Installing lftp (3.7.3-1) to root…

Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/lftp_3.7.3-1_arm.ipk

Installing ncurses (5.6-3) to root…

Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/ncurses_5.6-3_arm.ipk

Installing expat (2.0.1-1) to root…

Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/expat_2.0.1-1_arm.ipk

Installing libstdc++ (6.0.3-6) to root…

Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/libstdc++_6.0.3-6_arm.ipk

Configuring expat

Configuring lftp

Configuring libstdc++

Configuring ncurses

//opt/lib/ipkg/info/ncurses.postinst: line 2: update-alternatives: command not found

postinst script returned status 127

ERROR: ncurses.postinst returned 127

Successfully terminated.

[/share/MD0_DATA/optware/opt/bin] # 
La fin ne sent pas tr�s bon. Ca se passe mieux avec NCFTP. J’ai pas cherch� plus loin.

Ah oui, j’oubliais, il me semble que ipkg n’est pas le PATH au d�but. Comme je devais le rebooter, je l’ai fait. Depuis je peux taper ipkg depuis n’importe o�. C’�tait peut-�tre simplement mon shell ouvert qui datait d’avant l’installation de QPKG, donc PATH KO. Enfin ref, relogguez-vous ou rebootez, au choix.

Amusez-vous bien.
Le mot de la fin 
Si vous h�sitiez entre tel ou tel NAS, franchement celui-l�, il est cool. Si vous avez des questions sur son fonctionnement, demandez toujours.

A+



Google ouvre le code de Google Browser Sync
michauko — Thu, 10 Jul 2008 13:50:42 +0000
Vu sur The Inquirer (fr), Google ouvre le code de cet outil qu’ils ne maintiennent plus, et qui ne marche pas avec Firefox 3 notamment.
Il y a eu plusieurs articles sur planet-libre � ce sujet. Actuellement, on a :

- Weave (de Mozilla) qui merdouille pas mal et marche quand il veut, malgr� ces temps-ci plein de nouvelles release (ils doivent toucher au but)

- le Google Brower Sync qui ne marche plus en firefox 3
=> Donc, rien de bien concret pour synchroniser ses mots de passe, historique (et donc contenu de la “awesome bar” de Firefox 3). Je ne parle pas des bookmarks, vous avez Foxmarks si seuls les bookmarks vous int�ressent.
Esp�rons un mieux avec cette ouverture de code.
A suivre