22/11/2014

Le Projet NetBSD, en Français >> Mise à jour de NetBSD 5

Par : sadirux
Tags:
NetBSD
Release
Securité

Le projet NetBSD a mis à disposition les releases 5.1.5 et 5.2.3 de notre système préféré et inclus en particulier les correctifs de sécurités pour OpenSSL (SA2014-008, SA2014-005), vous n’avez plus d’excuse pour ne pas mettre à jour votre système.

Il est également important de noter que la sortie prochaine de NetBSD 7.0 marquera la fin du support de NetBSD 5.x


21/11/2014

Emile "iMil" Heitor 's home >> Enable iSCSI support in NetBSD domU

Par : iMil
Tags:
Blogroll
NetBSD
Xen
iSCSI

Dynamic module loading via modload has a couple of issues with a NetBSD domU kernel, so it is not possible to modload iscsi.kmod.
In order to enable in-kernel iSCSI support, you’ll have to add the following lines to your kernel configuration and rebuild it:

pseudo-device   iscsi

scsibus* at scsi?
sd* at scsibus? target ? lun ?

dmesg should show this line:

iscsi: attached.  major = 203

You’ll then be able to start iscsid and manage your targets using iscsictl.

The post Enable iSCSI support in NetBSD domU appeared first on Emile "iMil" Heitor 's home.


19/11/2014

GCU-Squad! >> deblock moi le filtre lappant encrypté

Par : gaston
Tags:
Article
Codaz

Un peu en vrac, mais au détour d’un post d’Andreas Gal (juste le CTO actuel de Mozilla) confirmant que VP8 et H264 seront mandatory dans l’implémentation de la spec WebRTC (vous savez, le skype-killer dans votre browser), on tombe sur un link touffu renvoyant vers énormément de détails techniques touffus sur le design de Daala, le codec vidéo de next-next-generation en train d’être implémenté par Mozilla et Xiph.org. Attention, mal de crane au détour des algos, mais y’a plein d’explications bien foutues sur les notions d’imagerie et de compression.

Rien à voir mais en bonus, sur le même blog on apprend que Mozilla, Akamai, Cisco, l’EFF, et Identrust se sont mis autour de la table pour porter le projet Let’s Encrypt, une nouvelle Certificate Authority visant a répandre l’usage de TLS chez madame Michu, et promettant beaucoup :

Free: Certificates will be offered at no cost.

Automatic: Certificates will be issued via a public and published API, allowing Web server software to automatically obtain new certificates at installation time and without manual intervention.

Independent: No piece of infrastructure this important should be controlled by a single company. ISRG, the parent entity of Let’s Encrypt, is governed by a board drawn from industry, academia, and nonprofits, ensuring that it will be operated in the public interest.

Open: Let’s Encrypt will be publishing its source code and protocols, as well as submitting the protocols for standardization so that server software as well as other CAs can take advantage of them.

Si en plus c’est accepté par défaut dans les navigateurs…. plus de détails techniques sur cette page.

Et parce que, quand même il faut envoyer du rêve..

$ sudo apt-get install lets-encrypt
$ lets-encrypt example.com

Vivement 2015!


17/11/2014

Another Home Page Blog >> Relai de spam, cela n'arrive qu'aux autres ?

Par : Nils
Tags:

Ça y est. Le jour que je redoutais est arrivé : après plus de 7 années sans problème majeur, Another Home Page a été victime de l'exploitation d'une faille de sécurité. Ou, en tous cas, c'est la première dont je me rend compte ce qui n'est guère rassurant. Est-ce parce que j'ai tardé à appliquer des mises à jour sur mon serveur ? Non, il s'agit en réalité d'une faille applicative présente sur l'un des sites que j'héberge. Pour être exact, il s'agit de l'exploitation d'une faille de Drupal. Le site n'a pas été mis à jour assez tôt, et mon infra s'est retrouvée relai de spam, bien malgré moi !

Comment m'en suis-je rendu compte ? Deux éléments m'y ont aidé : d'une part la réception d'un mail de la part d'une organisation anti-spam, Junk Email Filter. D'autre part, certaines adresses mail de destination étant invalides, j'ai reçu des réponses de type "mailer-daemon" incluant le contenu du mail en pièce jointe. D'autres éléments auraient mérité plus d'attention de ma part, comme par exemple le nombre de requêtes sur une page donnée, le nombre de mails envoyés par mon serveur de mail et surtout le nombre de mails bloqués pour cause de spam.

Par la suite, j'ai averti la personne responsable du site victime, qui s'est empressée de mettre à jour son site. Hélas, comme le mentionne Next INpact, cela ne suffit pas. Sans rentrer dans le détail, décision a été prise d'effacer tous les sites web tournant sous Drupal. Et maintenant, je n'ai plus qu'à me refaire une réputation auprès des services de filtrage anti-spam...

Je n'ai d'ailleurs pris conscience que tard de la quantité impressionnante de mails que le spammeur a envoyé via mon infrastructure. Au moment de l'écriture de ce billet, je termine tout juste de purger la file d'attente de mon serveur de mails...

Que retenir de cet évènement ?

- Plus que jamais, les mises à jour de sécurité au niveau OS ne sont pas suffisantes. Il est crucial de mettre aussi à jour les applications web ;

- il est important de surveiller correctement ses services, en effet, le volume de mails dans la file d'attente aurait dû me mettre la puce à l'oreille ;

- Enfin, ma gestion des sauvegardes mériterait quelques améliorations...


12/11/2014

Emile "iMil" Heitor 's home >> Migrating Debian Wheezy to LMDE

Par : iMil
Tags:
Blogroll
Debian
LMDE
Linux
Mint
wheezy

My “mediacenter”, a small x86 machine plugged to the living-room TV was a diskless (PXE/NFS root) Debian Wheezy until the past week end. After having tried Linux Mint on a laptop of mine and being impressed by its integration quality, I decided to migrate my mediacenter to LMDE.
I did not reinstalled the system, mainly because Mint does not support debootstrap, instead I followed a couple of HOWTOs I found on their forums: this one and this one.
Those HOWTOs gave the main matter to initiate the migration, but I’ve been bitten by a couple of dependencies issues. One mainly: udev; long story short, Wheezy is still build around udev 175, while Mint have switched to systemd-udev 204. The simple solution is to apt-get purge udev. Yes this is violent as it will wipe mostly everything from udev to anything X-related, but that’s a good way of mintizing the previous Wheezy packages.
After that, apt-get install mint-meta-debian-cinnamon mint-info-debian-cinnamon should do the trick and you’ll be able to use Mint’s beautiful environment: cinnamon.
Of course, depending on how much packages you’ve installed, the upgrade pain may vary.

The post Migrating Debian Wheezy to LMDE appeared first on Emile "iMil" Heitor 's home.


07/11/2014

GCU-Squad! >> df –libxo xml

Par : gaston
Tags:
Codaz
FreeBSD
JSON
html
xml

C’est passé un petit peu en dessous des radars, mais Juniper sponsorise un projet nommé libxo qui fournit une API d’écriture en TXT/HTML/JSON/XML.. jusqu’ici, rien de bien spécial, sauf qu’au détour d’un (loooong) thread sur freebsd-arch@ (avec évidemment la question “mais pourquoi pas YAML?”, mais aussi une adhésion pleine de phk@ qui rappelle qu’il avait eu l’idée le premier, et le rappel d’un GSOC sur le sujet) on se rend compte que cette librairie a été intégrée à FreeBSD, et qu’un travail est en cours pour convertir les utilitaires du système de base à cette API (pour l’instant uniquement df(1), w(1) et wc(1)).

Ce qui permet des choses comme (exemple tiré de la page de manuel) :

% wc --libxo xml,pretty,warn /etc/motd
<wc>
  <file>
    <filename>/etc/motd</filename>
    <lines>25</lines>
    <words>165</words>
    <characters>1140</characters>
  </file>
</wc>

Autant d’un certain côté c’est génial pour générer des sorties machine-readable (plutôt que de faire du w | sed | grep | awk) et ça va ravir toute une génération d’admins2.0^Wdevops^Wpuppetistes, mais je pense qu’un certain nombre d’admins unixiens barbus vont en recracher leur café sur leurs écrans. Et enfin, même si les changements à apporter pour utiliser cette API sont minimes (cf le diff pour w(1) dans le premier mail), le travail est colossal.

On saluera par contre la démarche de Juniper (pas nouvelle non plus) de reversement de code à la communauté.


03/11/2014

Emile "iMil" Heitor 's home >> Install NetBSD (or any PV-capable system) on IBM’s SoftLayer

Par : iMil
Tags:
Blogroll
Debian
IBM
NetBSD
PV
SoftLayer
Xen

At ${DAYWORK}, I happen to use IBM’s cloud: SoftLayer. It has all the
features you’d expect from such a platform, and can instantiate pretty much any
major GNU/Linux distribution you’d think of; but here’s the thing, we also use
NetBSD for some infrastructure services, and as you’d guess, there’s no
NetBSD support at all on SoftLayer.

I had to reverse some bits of their provisioning system to understand how to
achieve NetBSD installation, but most of all, automatic provisioning.

Virtualization system?

First thing was to discover what hypervisor and which mode is used, PV? PV-HVM?
HVM?

I must say their support was not really helpful, but hopefully a simple dmesg
gave pretty much all the informations:

[    0.000000]  Xen: 0000000000000000 - 00000000000a0000 (usable)
[    0.000000]  Xen: 00000000000a0000 - 0000000000100000 (reserved)
[    0.000000]  Xen: 0000000000100000 - 0000000040000000 (usable)

Ok, Xen it is…

[    0.000000] Booting paravirtualized kernel on Xen

Oh well, PV then. Quite amusing since the support told me they used HVM
pretty much everywhere.

From now on, it is possible to think on some directions to take, but one
question remains, are we able to boot on anything else than the distribution
kernel? By default, the Debian GNU/Linux distribution I use as my playground
has 2 partitions, one for /boot and another for /; messing up with
/boot/grub/menu.lst (yes they’re using grub 0.97) confirmed I was able to
boot on any kernel I like. So I tried to boot on
/boot/netbsd-INSTALL_XEN3_DOMU and guess what: it worked. I was able to boot
the kernel and install NetBSD on /dev/xbd0f (seen as /dev/xvda2 on
Linux), which was Debian‘s root filesystem.

Provisioning

Now to the fun part. While it is possible to install NetBSD “by hand” with the
previous procedure, I really wanted to have that system provisioned
automatically, just like the Linux systems are.

Watching all the names used during the provisioning process, I deduced there was
some kind of scripting phase once the virtual machine has been instantiated, so
I followed the white rabbit.
First, following jawa‘s idea (friend and colleague of mine), I installed
snoopy to a newly created virtual machine, then created an image template from
it, and instantiated it: and bingo, /var/log/auth.log showed there was a
/root/install.sh that was called right after boot up. So I wrote a basic
init-script in order to dump /root content before it is removed by the
provisioning system, re-imaged the VM, re-instantiated it, and from then, I had
my eyes on their provisioning scripts. Nothing fancy, some tune2fs stuff,
networking setup, and all the variables I needed to prepare NetBSD :)

Obviously, I needed to keep the Debian partition in order to bootstrap the
whole process, but I didn’t need those 25G for that, so I booted in rescue mode
and used resize2fs / fdisk to shrink that partition to 1G, more than enough.

I installed a basic, unconfigured NetBSD system on a newly created partition,
seen as /dev/xbd0g under NetBSD and /dev/xvda3 under Linux.
On the Debian partition, I wrote the following script:

# cat /etc/init.d/test
#!/bin/sh

[ ! -f /root/install.sh ] && exit 0
# backup original provisioning
tar zcvf /usr/local/root-dump.tgz /root
# install our new script
/bin/cp -f /usr/local/new_install.sh /root/install.sh

The new_install.sh script is a modified version of SL’s install.sh.
Basically, it has all the tune2fs stuff removed so NetBSD can mount the
ext2 partition without unsupported optional feature, and prepares all the
files needed by NetBSD on its first boot. I won’t paste SoftLayer’s parts as I
don’t know if this would break some terms of use:

# ...
# before this line are SL files sourcing

netbsd=/usr/local/netbsd

mkdir -p ${netbsd}

# generate an MD5 passwd for NetBSD
# YES I KNOW MD5 IS BAD, but it's the only common method between Linux and
# NetBSD, you'll have to change root password using the `passwd' afterwards
echo "root:${OS_PASSWORD}"|chpasswd -c MD5
grep ^root /etc/shadow|cut -f2 -d: >${netbsd}/rootpw
# change it back
echo "root:${OS_PASSWORD}"|chpasswd

echo "inet ${NETWORK_eth0_IP} netmask ${NETWORK_eth0_NETMASK} up" >${netbsd}/ifconfig.xennet0
echo "inet ${NETWORK_eth1_IP} netmask ${NETWORK_eth1_NETMASK} up" >${netbsd}/ifconfig.xennet1
echo ${NETWORK_eth1_GATEWAY} >${netbsd}/mygate
echo "net ${NETWORK_eth0_ROUTES} ${NETWORK_eth0_GATEWAY}" >${netbsd}/route.conf
echo "search whatever.com" >${netbsd}/resolv.conf
for n in ${NETWORK_NAMESERVERS}
do
    echo "nameserver ${n}" >>${netbsd}/resolv.conf
done

# more SL stuff continues
# ...

# boot on NetBSD next time
cp -f /boot/grub/menu.lst /boot/grub/menu.lst.orig
cp -f /boot/grub/menu.lst.NetBSD /boot/grub/menu.lst
# uncomment this line only when you're sure of your template
reboot

Now that we have all the needed informations dumped, we can create a NetBSD
init script
that will use them to configure itself at first boot:

# cat /etc/rc.d/firstboot
#!/bin/sh

# PROVIDE: firstboot
# REQUIRE: mountcritlocal
# BEFORE: network

[ ! -f /firstboot ] && exit 0

/bin/echo -n "SoftLayer provisionning from ext2 partition... "

othernb="/mnt/usr/local/netbsd"

/sbin/mount /dev/xbd0f /mnt

for file in ifconfig.xennet0 ifconfig.xennet1 mygate route.conf resolv.conf
do
    /bin/cp -f ${othernb}/${file} /etc/
done

/usr/sbin/usermod -p `/bin/cat ${othernb}/rootpw` root

/bin/sync
/sbin/umount /mnt

/bin/rm -f /firstboot

/bin/echo "done."

Of course it is needed to have a /firstboot file on the root of your NetBSD
template, simply touch it.
In order to manipulate the UFS2 partition from Linux, you can use
fuse-ufs2 as described on the previous post.

The post Install NetBSD (or any PV-capable system) on IBM’s SoftLayer appeared first on Emile "iMil" Heitor 's home.


03/11/2014

GCU-Squad! >> CPU vs CPI

Par : pinpin
Tags:
Irc
brendangregg
cpu
perf

Brendan Gregg le dit mieux que moi : “When you see high CPU usage, you may be forgiven for believing that your CPUs must be furiously executing software [...]“. Aguicheur, non ? Et comme en plus il base son exemple sur une machine FreeBSD, je ne vois pas ce qui va vous retenir de lire l’article…

http://www.brendangregg.com/blog/2014-10-31/cpi-flame-graphs.html proposé par Seb sur #GCU@freenode


03/11/2014

GCU-Squad! >> Mongo or not mongo ?

Par : pinpin
Tags:
Irc
diaspora
mongo
mysql
nosql
social
sql

Sous un titre trompeur, il s’agit plutot d’identifier les cas où il est très souhaitable de ne pas utiliser un “document store”. C’est complet, bien écrit, et les commentaires sont intéressants : do it now !

http://www.sarahmei.com/blog/2013/11/11/why-you-should-never-use-mongodb/ proposé par Seb sur #GCU@freenode


02/11/2014

GCU-Squad! >> Pruitt Igoe

Par : gaston
Tags:
5.6
Article
OpenBSD
release

Derrière ce nom cryptique se cache une métaphore.. ainsi la construction de l’Operating System next-génération-qui-fait-son-bonhomme-de-chemin-tranquillement se poursuit, quand d’autres courent à leur destruction (suivez mon regard).

Aujourd’hui donc est disponible OpenBSD 5.6, avec son thème graphique & lyrique basé sur Apocalypse Now.

La grande nouveauté est l’apparition de LibreSSL, le fork d’OpenSSL. Enormément de commits ont eu lieu pour simplifier, sécuriser et améliorer cette librairie cruciale pour la confidentialité de nos échanges.

Les sets contenant la configuration dans /etc ont été remaniés, et les exemples sont maintenant pour la plupart dans /etc/examples/.

IPv6 est désactivé par défaut sur toutes les interfaces (pas d’IP link-local), comme IPv4 – il faut l’activer explicitement, ca évite les surprises.

Un serveur httpd(8) basique écrit à partir du code de relayd(8) est disponible en tech preview. Il remplacera nginx dans le basesystem en 5.7, son code étant maintenant considéré trop complexe.

OpenSMTPD remplace sendmail comme serveur de mail par défaut.

Un peu de nettoyage dans l’arbre… Kerberos (trop complexe), le support bluetooth (non maintenu), ALTQ (remplacé par HFSC), Apache(remplacé par nginx/httpd), ppp(8), pppoe(8) (utilisez pppd(8)), lynx(1), uucpd(8) et les TCP Wrappers ont été supprimés.

Beaucoup de ciphers/MAC obsolètes/insécures ont été désactivées par défaut dans OpenSSH. Ne vous étonnez pas de ne plus arriver à vous connecter depuis un vieux OpenSSH 4…

Cette nouvelle version peut être commandée sur OpenBSD store (uk), ou récupérée sur un des miroirs le plus proche de chez vous tel que ftp.fr.