Tourmentine

To content | To menu | To search


Tuesday 6 November 2018

1000 jours

cookieclicker-2018-11-06_22-34.png
C’est ce qui s’appelle ne pas avoir de vie

 

Voila donc mille jours que Cookie Clicker m’accompagne, de façon plus ou moins intensive, mais toujours régulière. Si vous ne connaissiez pas ce jeu ne me remerciez pas, il suffit d’y goûter pour savoir ce que fait une drogue dure. Il fait partie de ces fameux idle-games, à mi-chemin entre le Tamagotchi et le jeu vidéo, qui n’ont pas l’air de prendre de temps au premier abord (quelques minutes par ci par là), mais qui finissent par en prendre énormément.

Avant ce jeu j’avais pas mal joué à Candy Box 2, qui est d’ailleurs la source d’inspiration de l’auteur de Cookie Clicker 🙂

Saturday 13 October 2018

Aux chiottes !

Suite à ce lien trouvé sur le Journal du Hacker, j’ai décidé de migrer la forge comme tout le monde de Gogs vers Gitea. En effet, hormis une interface en français qui fait zizir, ce soft permet beaucoup plus de choses.

La migration par contre n’a pas été une partie de plaisir, Gitea ne fournissant pas de binaires pour l’OS du bien, il a fallu hacker les ports (portdowngrade a refusé de s’installer...) pour récupérer les versions 1.0.2 puis 1.4.0, pour finir sur la dernière version. Il a également fallu modifier les hooks git pour les adapter à Gitea et régénérer une nouvelle clé OTP.

Gogs est mort, vive Gitea ! Allez pour fêter ça, une tasse de thé 🍵

Billets connexes

Tuesday 9 October 2018

Revenge of DoH

Comme ça fait longtemps que j’ai pas cassé mes DNS, j’ai ajouté le dernier truc à la mode, a.k.a le DNS-over-HTTPS, en utilisant le fantastique doh-proxy.

Le DNS-over-TLS quant à lui n’est pas encore dispo, mais ça ne saurait tarder.

Ce ne sont pas des résolveurs publics, et de toute façon les résolveurs publics sont à éviter, préférez-leur un bon vieux Unbound !

NB: celui ou celle qui aura trouvé la référence du titre gagnera une partie de casse-briques :)

Billets connexes

Sunday 7 October 2018

My views on DNS

Il y a des fois où on vit des moments de grosse lose, comme hier par exemple où je me suis rendu compte que ns2.tourmentine.com, mon second serveur de nom, fournissait des zones privées à tout le monde :-(

Résumé: ça fait des années que je gère des DNS, j’en ai bouffé au boulot comme pas possible, et j’ai réussi à me planter comme un bleu sur le mix entre vues et réplication master/slave et surtout à ne pas m’en apercevoir (comme dirait l’autre, tester c’est douter). J’utilise donc les vues de BIND, qui permettent de donner des IP différentes pour un même enregistrement suivant le réseau où l’on est (IP publiques de l’extérieur, IP privées depuis le réseau local), c’est pratique mais un peu risqué comme idée.

En effet, la réplication utilise les mêmes vues, et mon second serveur de nom étant dans le même réseau local que le premier, il répliquait les zones de la vue interne...et donc les IP privées (!)

Je m’en vais donc faire comme ce qui se fait partout ailleurs, c’est à dire un domaine privé pour les IP privées, et abandonner les vues trop casse-gueules. Si le domaine et donc le site n’est plus accessible, c’est que je me serai planté quelque part :-) Un petit workaround à résolu le problème en attendant, mais ce sera plus propre comme ça.

Billets connexes

Monday 20 August 2018

Y'a comme un lézard

Ils font vraiment chier chez Mozilla.

Déjà au moment de Firefox 57 il y a eu de la casse, c’était paraît-il pour le mieux, n’empêche ça n’a rien changé aux fuites de mémoire et ça a en plus signé l’arrêt de morts de plusieurs plugins qui me manquent encore aujourd’hui.

Et voila que dernièrement c’est au tour de Thunderbird de bien bien foutre le bordel, ça commence par un Lightning aux fraises, impossible de télécharger une nouvelle version sur leur site...je finis par apprendre qu’il est maintenant intégré à Thunderbird (j’ai un petit peu du mal avec le concept d’add-on intégré par défaut, mais bon), et qu’il faut faire une manip tordue pour le faire fonctionner de nouveau.

Un petit coup de redémarrage pour récupérer Lightning...et me rendre compte que ça a pété FireTray au passage, extension qui me permet d’un coup d’oeil de savoir si j’ai des mails ou pas. Il faut croire que tous les devs se sont barrés chez gmail, car aucune extension permettant de faire ce genre de choses n’est compatible avec la version 60, et qu’une fonction aussi basique ne vaut pas le coup d’être implémentée nativement...enfin si, c’est en discussion depuis 2003.

C’est pas comme si ils manquaient de moyens, d’après une vidéo que j’ai raté à Pas Sage en Seine cette année et retrouvé via Papy Formation. Il faut croire qu’on ne peux pas à la fois payer des avocats et des locaux en plein Paris avec dorures et s’occuper des utilisateurs.

En attendant faute de mieux j’utilise alltray qui me permet de minimiser Thunderbird dans la barre des tâches, même si on perd le nombre de mails non-lus au passage...ça devient fatiguant.

Thursday 19 July 2018

J'ai pas le temps là (2)

Après des mois d’agonie, s’en sera bientôt fini de l’intégration de la tourmentine au NTP Pool Project. Il sera officiellement débranché le 31 juillet 2018 (R.I.P), mais le service ntp.tourmentine.com fonctionnant lui parfaitement bien, restera en ligne.

Billets connexes

Friday 11 May 2018

Le graph c'est la vie

ntp-pool-score_20180509171533_20180510171533(1).png
mon toujours très fluctuant score ntp

 

La métrologie est assurée sur la tourmentine par Collectd, solution qui a l’avantage d’être beaucoup plus légère qu’un Munin à base de perl par exemple. Ça ne marche pas trop mal mais il faut avouer que niveau rapports c’est un peu la misère, le front-end le moins pourri que j’avais trouvé jusqu’à maintenant était Collectd Graph Panel, qui "fait le job", même si la personnalisation est plutôt...minimale, et que les graphs sont gérés par le vieillissant rrdtool, c’est vous dire si c’est moche.

Après avoir essayé l’usine à gaz Grafana (c’est con, Icinga peut s’interfacer avec, mais quelle plaie à installer...), j’ai fini par me rabattre deux ans après tout le monde sur facette.

facette, c’est un peu comme gogs ou gitea: un équivalent en Go (faut aimer) beaucoup plus léger que le concurrent d’en face (à savoir GitLab pour les deux précédents), il permet d’avoir quelque chose de moderne et joli à peu de frais. Et magie du code compilé, c’est super rapide \o/

Monday 7 May 2018

On va en boite ?

J’utilise un NAS QNap avec bonheur depuis quelques années, solution qui permet non seulement de stocker de nombreux films de vacances, mais aussi de faire joujou avec des machines virtuelles et autres conteneurs, entre autres Docker et LXC.

Un conteneur LXC est d’ailleurs la solution idéale pour avoir un accès shell pour pouvoir gérer le NAS et ne plus dépendre de l’interface web.

Malheureusement un bug très gênant faisait qu’il ne démarrait pas automatiquement au boot du NAS. Il était pourtant bien configuré avec "démarrage automatique", et le démarrage manuel se déroulait sans aucune erreur...

Après environ soixante-douze reboots, j’ai fini par trouvé d’où cela venait: utilisant OpenVPN il me fallait un device /dev/net/tun, que j’ai créé via les commandes magiques dans le fichier de configuration de mon conteneur LXC:

lxc.mount.entry = /dev/net dev/net none bind,create=dir
lxc.mount.entry = /dev/net/tun dev/net/tun none bind,create=file 0 0
lxc.cgroup.devices.allow = c 10:200 rwm

Il semblerait que le nœud du problème soit lié aux montages bind, qui décidément ne sont vraiment plus ce qu’ils étaient (j’ai eu également de gros problèmes avec eux au taf sous CentOS7). J’ai donc abandonné cette voie et j’ai plutôt opté pour une autre méthode, créer le périphérique tun directement dans le conteneur. Et comme il ne survit évidemment pas au reboot, j’ai donc créé le script /usr/local/bin/mkdevtun.sh suivant:

#!/bin/sh

mkdir /dev/net
mknod /dev/net/tun c 10 200
chmod 0666 /dev/net/tun

que j’ai fait appeler par systemd:

[Unit]
Description=Make /dev/net/tun device for openvpn
After=tlp-init.service
Before=openvpn.service

[Service]
Type=oneshot
RemainAfterExit=no
ExecStart=/usr/local/bin/mkdevtun.sh

[Install]
WantedBy=multi-user.target

Et hop, un conteneur qui se lance maintenant correctement, et avec OpenVPN \o/

Monday 9 April 2018

Faut pas prendre des v6 pour des lanternes (4)

Donc j’apprends par l’immense Pierre Col que mes serveurs n’ont pas été coupés à cause d’un bug du client DHCPv6, mais d’une limite débile mise en place par les admins d’Online.

Excellent article en tout cas qui résume bien ce que je pense de cette techno, à savoir que tout le monde s’en fout et qu’il ne sert à rien de s’y mettre, au contraire, comme on peut le voir on prends des risques en le faisant...

Update: les bons petits soldats d’Iliad sont montés au créneau, c’est pas eux c’est les autres, la limite n’est pas si sévère que ça...ils ont sans doute leurs raisons. En attendant ils bloquent des serveurs sans chercher à comprendre, et ça, c’est quand même très moyen.

Billets connexes

Thursday 29 March 2018

J'ai pas le temps là

ntp.org.png

mais pourquoi ?

Après une idylle sans nuages de près de six mois, pool.ntp.org a décidé de me faire des misères en torturant mon score depuis début mars. Heureusement, celui-ci reste au dessus de 10 et mes serveurs continuent donc de faire partie du pool.

Il semble que cela vienne surtout d’un problème de réseau, en effet la seule et unique station de monitoring au monde se trouve à Los Angeles California, ce qui est un peu faible pour un projet de cette envergure mais passons. Et Il y aurait un "petit" problème de tuyaux entre les US et l’Europe, indiqué par quelqu’un de ntp.org, provoquant la chute du sacro-saint score, mes serveurs n’étant plus accessibles depuis LA. Espérons que ça se règle rapidement...

 

Billets connexes

Tuesday 27 March 2018

J'aime, j'aime mes yeux

Axelle Redshift aime vos yeux

J’aime pas trop faire la morale, mais visiblement beaucoup de gens se plaignent que les écrans leurs niquent les yeux, et effectivement, c’est un problème.

J’ai moi-même été victime de ces saloperies. J’ai commencé assez jeune — huit ou neuf ans — et ça n’a pas loupé, la myopie m’a rattrapé dès douze ou treize ans. Il faut dire qu’à l’époque les écrans cathodiques et leur canon à électrons étaient la norme, ce qui n’a pas aidé.

En bon informaticien qui passe environ dix-huit heures par jour devant un écran, il a fallu rapidement trouver des solutions. La disparition des écrans cathodiques au début du nouveau millénaire a déjà été une première étape.

Malheureusement les écrans LCD peuvent également être nocifs, j’en vois qui déconseillent l’usage de la tablette ou du téléphone au profit des liseuses, pourquoi pas, moi perso je lis sur mon téléphone de crevard depuis des années sans aucun soucis. Mais forcément les constructeurs poussent la luminosité à fond par défaut, ça flatte l’œil, mais à la longue ça fatigue. Commencez déjà par baisser cette merde, hormis en plein soleil ça n’a aucun intérêt et c’est dangereux.

Pour rester sur les téléphones / Tablettes un reproche récurrent est la lumière bleue qui empêche de s’endormir sereinement, là encore il y a des solutions, Android propose Night Shift pour des fins de soirées qui chantent. Et sur ordi il y a le très efficace Redshift (j’aurais pu vous conseiller f.lux qui a sa petite célébrité, néanmoins en bon adepte du libre je ne vous conseillerai pas ce shareware, je reste persuadé qu’il vaut mieux payer pour du service que pour du logiciel). Et quand on a goûté à ce genre d’outil, croyez-moi, difficile de revenir en arrière. Le seul truc un peu relou c’est quand on utilise son ordi pour regarder de la vidéo, il faut penser à le désactiver sous peine de voir ladite vidéo avec un filtre sépia du plus bel effet :p

Thursday 22 March 2018

bis repetita

doigts.jpg

bobo ;-(

Donc, deux fois en trois mois. Voila ce qui arrive quand on a deux mains gauches et dorénavant deux doigts en moins.

J’en tire les conclusions en me retirant de l’usage du couteau à pain.

Billets connexes

AnSerge le Mytho

Comme je le disais précédemment Ansible c’est bien mais c’est lent, la première solution est d’activer le pipeline SSH mais ça n’aide au final pas beaucoup.

Heureusement Da Linux French Page a.k.a LinuxFR a lancé un service de partage de liens, et parmi ces liens il y en a un qui traite du projet Mitogen, qui promet de diviser le temps de traitement par quatre.

Ce n’est pas encore production-ready, mais ça fait le job, pour ma part ça a divisé le temps par trois ce qui n’est déjà pas si mal :)

Billets connexes

Sunday 18 March 2018

Avant j'étais sans Ansible. Mais ça, c'était avant, han.

J’utilise SaltStack avec bonheur depuis quelques années déjà, mais il faut reconnaître que l’outil n’est pas des plus véloces, ni des plus légers.

Comme la RAM est chère sur les serveurs de la Tourmentine, je me suis mis en quête d’une alternative. Ansible a tout de suite été un candidat très favorable car il n’a besoin d’aucun daemon pour tourner, et utilise une bonne vieille connexion SSH pour ce connecter aux machines, à la manière de Fabric. De plus, les états Saltstack s’adaptent très facilement en playbooks Ansibles.

Alors oui vous pourrez objecter que ça oblige à ouvrir des accès SSH par clé sans mot de passe (!) sans doute en root aussi parce que sinon on peut rien faire (!!), mais je vous répondrais que 1) on peut toujours cloisonner un minimum via sudo et surtout 2), l’utilisant pour contrôler des jails FreeBSD, je peux de toute façon intervenir directement dans leur système de fichier via l’hôte :)

Niveau conso j’économise tout de même une dizaine de minions et deux masters...ça swap moins. Par contre ça reste lent. Mais un peu moins que Salt et pour deux fois moins de mémoire utilisée, d’après ce document.

Billets connexes

Thursday 15 March 2018

Les cartes sauvages de Allons Chiffrer !

Vous l’avez lu un peu partout sur Internet ces deux derniers jours, il est enfin là: le tout nouveau protocole ACMEv2 de Let’s Encrypt! et surtout sa killer-feature tant attendue: le support des wildcards. Et la Tourmentine en a déjà \o/

Ça n’a l’air de rien comme ça, mais c’est le genre de truc qui simplifie énormément une infra avec pas mal de domaines et surtout de sous domaines, et puis sans être forcément un adepte de la sécurité par l’obscurité, cela permet également de ne pas rendre la tâche trop facile aux petits curieux.

J’ai au passage utilisé un client alternatif, acme.sh qui comme son nom l’indique est codé en shell (oui il y a des furieux) car le client officiel ne semble pas encore supporter le nouveau protocole alors qu’acme.sh lui le supporte depuis le début de la beta, il y a 3 mois. Au final le plus long aura été de mettre en place les mises à jour dynamiques de DNS nécessaires au nouveau protocole, plus long que la configuration et le déploiement du certificat lui-même en fait.

Avec les dernières blagues que se sont fait Trustico et Digicert, ça devrait finir de clouer le cercueil des escrocs du SSL commercial :)

Monday 29 January 2018

Indigestion de mauvais jambon

Ça fait pas mal de temps que je me prend du spam sur des adresses de mes domaines qui n’existent pas, ce qui provoque en retour l’envoi de mailer-daemons, souvent renvoyés à des adresses qui n’existent pas, provoquant encore l’envoi d’autres mailer-daemons...c’est sans fin.

Bref pour stopper la course à l’échalote j’ai transformé le serveur mail de la Tourmentine en trou noir: tout ce qui arrive sur une boite inconnue est directement transféré dans la boite à spam, en plus c’est bon pour mon filtre bayésien. Par contre, forcément plus de gentil daemon pour vous dire que l’adresse n’existe pas, il faudra apprendre à l’écrire correctement (ou mieux, utiliser un carnet d’adresses)

Billets connexes

Saturday 27 January 2018

Ça, c'est fait.

Pas encore vraiment en prod, mais si tout se passe bien, ça ne saurait tarder \o/

Billets connexes

Big Brother 3.0 is watching you

Non je ne parle pas d’Icinga 3 qui n’est pas (encore) sorti, par contre l’équipe Nagios a sorti la version 3 de son agent NRPE il y a (déjà) un an et demi, et FreeBSD de son coté a remplacé le port nrpe2 par nrpe3 le premier janvier de cette année.

Ça ne m’aurait pas dérangé plus que ça si la compatibilité SSL n’avait pas sauté au passage, en effet depuis la version 3 l’agent utilise des vrais certificats, et impossible d’interroger la sonde avec check_nrpe pour cause de "Could not complete SSL handshake".

J’aurais bien basculé sur NCPA qui est cross-platform et toujours en version 2.x mais pas de bol, il n’existe pas pour *BSD :(

Bref la seule solution à court terme est de désactiver l’usage du SSL pour la sonde en question (heureusement que tout est en réseau privé...), ce qui se fait en ajoutant la ligne:

ssl_client_certs=0

dans le fichier npe.cfg.

Évidemment ça ne suffit pas, ce serait trop simple, il faut également lancer le démon avec l’argument "--no-ssl". Et comme le port FreeBSD ne permet pas de passer des paramètres au démon, il faut le faire à-la-sale directement dans le script de démarrage:

command_args="-c ${nrpe3_configfile} -d --no-ssl"

Ledit script se trouvant sous FreeBSD dans /usr/local/etc/rc.d/nrpe3.

Prochaine étape: migrer la douzaine de sondes restantes pour pouvoir réactiver le SSL :(

Billets connexes

Sunday 21 January 2018

Clouclou c'est nlous !

Après avoir parcouru cette petite comparaison Owncloud/Nexcloud trouvée par le toujours excellent Jan-Piet Mens, qu’il en soit remercié, je me suis enfin décidé à migrer à l’arrache vers le prochain nuage, le bien nommé Nextcloud.

Autant les anciennes mises à jour d’Owncloud m’ont donné quelques sueurs froides, autant la migration Owncloud->Nextcloud c’est passé parfaitement. Elle s’est résumé à la commande suivante:

php occ upgrade

Et quelques minutes plus tard mon nuage personnel était de nouveau en ligne, passant de Owncloud 10.0.4.4 à Nextcloud 12.0.4. Pas de grands changements à première vue, à part que l’interface à l’air nettement plus réactive \o/

Saturday 30 December 2017

Du sang et des larmes

IMG_20171228_203150.jpg

Accident

Période étrange que cette fin d’année 2017: Le Crémant n’est pas le seul à avoir coulé, le sang aussi (le mien mais pas seulement, mais bon la première règle est de ne pas en parler), les larmes également et même si ce ne sont pas les miennes, ça fait quand même bien chier.

Fêtes plutôt calmes, voir trop, ambiance fin de règne voir fin du monde, étrange vous dis-je.

Vivement 2018 !

Billets connexes

- page 1 of 22