Tourmentine

To content | To menu | To search


Monday 9 April 2018

Faut pas prendre des v6 pour des lanternes (4)

Donc j’apprends par l’immense Pierre Col que mes serveurs n’ont pas été coupés à cause d’un bug du client DHCPv6, mais d’une limite débile mise en place par les admins d’Online.

Excellent article en tout cas qui résume bien ce que je pense de cette techno, à savoir que tout le monde s’en fout et qu’il ne sert à rien de s’y mettre, au contraire, comme on peut le voir on prends des risques en le faisant...

Update: les bons petits soldats d’Iliad sont montés au créneau, c’est pas eux c’est les autres, la limite n’est pas si sévère que ça...ils ont sans doute leurs raisons. En attendant ils bloquent des serveurs sans chercher à comprendre, et ça, c’est quand même très moyen.

Billets connexes

Thursday 29 March 2018

J'ai pas le temps là

ntp.org.png

mais pourquoi ?

Après une idylle sans nuages de près de six mois, pool.ntp.org a décidé de me faire des misères en torturant mon score depuis début mars. Heureusement, celui-ci reste au dessus de 10 et mes serveurs continuent donc de faire partie du pool.

Il semble que cela vienne surtout d’un problème de réseau, en effet la seule et unique station de monitoring au monde se trouve à Los Angeles California, ce qui est un peu faible pour un projet de cette envergure mais passons. Et Il y aurait un "petit" problème de tuyaux entre les US et l’Europe, indiqué par quelqu’un de ntp.org, provoquant la chute du sacro-saint score, mes serveurs n’étant plus accessibles depuis LA. Espérons que ça se règle rapidement...

 

Billets connexes

Tuesday 27 March 2018

J'aime, j'aime mes yeux

Axelle Redshift aime vos yeux

J’aime pas trop faire la morale, mais visiblement beaucoup de gens se plaignent que les écrans leurs niquent les yeux, et effectivement, c’est un problème.

J’ai moi-même été victime de ces saloperies. J’ai commencé assez jeune — huit ou neuf ans — et ça n’a pas loupé, la myopie m’a rattrapé dès douze ou treize ans. Il faut dire qu’à l’époque les écrans cathodiques et leur canon à électrons étaient la norme, ce qui n’a pas aidé.

En bon informaticien qui passe environ dix-huit heures par jour devant un écran, il a fallu rapidement trouver des solutions. La disparition des écrans cathodiques au début du nouveau millénaire a déjà été une première étape.

Malheureusement les écrans LCD peuvent également être nocifs, j’en vois qui déconseillent l’usage de la tablette ou du téléphone au profit des liseuses, pourquoi pas, moi perso je lis sur mon téléphone de crevard depuis des années sans aucun soucis. Mais forcément les constructeurs poussent la luminosité à fond par défaut, ça flatte l’œil, mais à la longue ça fatigue. Commencez déjà par baisser cette merde, hormis en plein soleil ça n’a aucun intérêt et c’est dangereux.

Pour rester sur les téléphones / Tablettes un reproche récurrent est la lumière bleue qui empêche de s’endormir sereinement, là encore il y a des solutions, Android propose Night Shift pour des fins de soirées qui chantent. Et sur ordi il y a le très efficace Redshift (j’aurais pu vous conseiller f.lux qui a sa petite célébrité, néanmoins en bon adepte du libre je ne vous conseillerai pas ce shareware, je reste persuadé qu’il vaut mieux payer pour du service que pour du logiciel). Et quand on a goûté à ce genre d’outil, croyez-moi, difficile de revenir en arrière. Le seul truc un peu relou c’est quand on utilise son ordi pour regarder de la vidéo, il faut penser à le désactiver sous peine de voir ladite vidéo avec un filtre sépia du plus bel effet :p

Thursday 22 March 2018

bis repetita

doigts.jpg

bobo ;-(

Donc, deux fois en trois mois. Voila ce qui arrive quand on a deux mains gauches et dorénavant deux doigts en moins.

J’en tire les conclusions en me retirant de l’usage du couteau à pain.

Billets connexes

AnSerge le Mytho

Comme je le disais précédemment Ansible c’est bien mais c’est lent, la première solution est d’activer le pipeline SSH mais ça n’aide au final pas beaucoup.

Heureusement Da Linux French Page a.k.a LinuxFR a lancé un service de partage de liens, et parmi ces liens il y en a un qui traite du projet Mitogen, qui promet de diviser le temps de traitement par quatre.

Ce n’est pas encore production-ready, mais ça fait le job, pour ma part ça a divisé le temps par trois ce qui n’est déjà pas si mal :)

Billets connexes

Sunday 18 March 2018

Avant j'étais sans Ansible. Mais ça, c'était avant, han.

J’utilise SaltStack avec bonheur depuis quelques années déjà, mais il faut reconnaître que l’outil n’est pas des plus véloces, ni des plus légers.

Comme la RAM est chère sur les serveurs de la Tourmentine, je me suis mis en quête d’une alternative. Ansible a tout de suite été un candidat très favorable car il n’a besoin d’aucun daemon pour tourner, et utilise une bonne vieille connexion SSH pour ce connecter aux machines, à la manière de Fabric. De plus, les états Saltstack s’adaptent très facilement en playbooks Ansibles.

Alors oui vous pourrez objecter que ça oblige à ouvrir des accès SSH par clé sans mot de passe (!) sans doute en root aussi parce que sinon on peut rien faire (!!), mais je vous répondrais que 1) on peut toujours cloisonner un minimum via sudo et surtout 2), l’utilisant pour contrôler des jails FreeBSD, je peux de toute façon intervenir directement dans leur système de fichier via l’hôte :)

Niveau conso j’économise tout de même une dizaine de minions et deux masters...ça swap moins. Par contre ça reste lent. Mais un peu moins que Salt et pour deux fois moins de mémoire utilisée, d’après ce document.

Billets connexes

Thursday 15 March 2018

Les cartes sauvages de Allons Chiffrer !

Vous l’avez lu un peu partout sur Internet ces deux derniers jours, il est enfin là: le tout nouveau protocole ACMEv2 de Let’s Encrypt! et surtout sa killer-feature tant attendue: le support des wildcards. Et la Tourmentine en a déjà \o/

Ça n’a l’air de rien comme ça, mais c’est le genre de truc qui simplifie énormément une infra avec pas mal de domaines et surtout de sous domaines, et puis sans être forcément un adepte de la sécurité par l’obscurité, cela permet également de ne pas rendre la tâche trop facile aux petits curieux.

J’ai au passage utilisé un client alternatif, acme.sh qui comme son nom l’indique est codé en shell (oui il y a des furieux) car le client officiel ne semble pas encore supporter le nouveau protocole alors qu’acme.sh lui le supporte depuis le début de la beta, il y a 3 mois. Au final le plus long aura été de mettre en place les mises à jour dynamiques de DNS nécessaires au nouveau protocole, plus long que la configuration et le déploiement du certificat lui-même en fait.

Avec les dernières blagues que se sont fait Trustico et Digicert, ça devrait finir de clouer le cercueil des escrocs du SSL commercial :)

Monday 29 January 2018

Indigestion de mauvais jambon

Ça fait pas mal de temps que je me prend du spam sur des adresses de mes domaines qui n’existent pas, ce qui provoque en retour l’envoi de mailer-daemons, souvent renvoyés à des adresses qui n’existent pas, provoquant encore l’envoi d’autres mailer-daemons...c’est sans fin.

Bref pour stopper la course à l’échalote j’ai transformé le serveur mail de la Tourmentine en trou noir: tout ce qui arrive sur une boite inconnue est directement transféré dans la boite à spam, en plus c’est bon pour mon filtre bayésien. Par contre, forcément plus de gentil daemon pour vous dire que l’adresse n’existe pas, il faudra apprendre à l’écrire correctement (ou mieux, utiliser un carnet d’adresses)

Billets connexes

Saturday 27 January 2018

Ça, c'est fait.

Pas encore vraiment en prod, mais si tout se passe bien, ça ne saurait tarder \o/

Billets connexes

Big Brother 3.0 is watching you

Non je ne parle pas d’Icinga 3 qui n’est pas (encore) sorti, par contre l’équipe Nagios a sorti la version 3 de son agent NRPE il y a (déjà) un an et demi, et FreeBSD de son coté a remplacé le port nrpe2 par nrpe3 le premier janvier de cette année.

Ça ne m’aurait pas dérangé plus que ça si la compatibilité SSL n’avait pas sauté au passage, en effet depuis la version 3 l’agent utilise des vrais certificats, et impossible d’interroger la sonde avec check_nrpe pour cause de "Could not complete SSL handshake".

J’aurais bien basculé sur NCPA qui est cross-platform et toujours en version 2.x mais pas de bol, il n’existe pas pour *BSD :(

Bref la seule solution à court terme est de désactiver l’usage du SSL pour la sonde en question (heureusement que tout est en réseau privé...), ce qui se fait en ajoutant la ligne:

ssl_client_certs=0

dans le fichier npe.cfg.

Évidemment ça ne suffit pas, ce serait trop simple, il faut également lancer le démon avec l’argument "--no-ssl". Et comme le port FreeBSD ne permet pas de passer des paramètres au démon, il faut le faire à-la-sale directement dans le script de démarrage:

command_args="-c ${nrpe3_configfile} -d --no-ssl"

Ledit script se trouvant sous FreeBSD dans /usr/local/etc/rc.d/nrpe3.

Prochaine étape: migrer la douzaine de sondes restantes pour pouvoir réactiver le SSL :(

Billets connexes

Sunday 21 January 2018

Clouclou c'est nlous !

Après avoir parcouru cette petite comparaison Owncloud/Nexcloud trouvée par le toujours excellent Jan-Piet Mens, qu’il en soit remercié, je me suis enfin décidé à migrer à l’arrache vers le prochain nuage, le bien nommé Nextcloud.

Autant les anciennes mises à jour d’Owncloud m’ont donné quelques sueurs froides, autant la migration Owncloud->Nextcloud c’est passé parfaitement. Elle s’est résumé à la commande suivante:

php occ upgrade

Et quelques minutes plus tard mon nuage personnel était de nouveau en ligne, passant de Owncloud 10.0.4.4 à Nextcloud 12.0.4. Pas de grands changements à première vue, à part que l’interface à l’air nettement plus réactive \o/

Saturday 30 December 2017

Du sang et des larmes

IMG_20171228_203150.jpg

Accident

Période étrange que cette fin d’année 2017: Le Crémant n’est pas le seul à avoir coulé, le sang aussi (le mien mais pas seulement, mais bon la première règle est de ne pas en parler), les larmes également et même si ce ne sont pas les miennes, ça fait quand même bien chier.

Fêtes plutôt calmes, voir trop, ambiance fin de règne voir fin du monde, étrange vous dis-je.

Vivement 2018 !

Billets connexes

Wednesday 29 November 2017

Faut pas prendre des v6 pour des lanternes (3)

Hier-midi au taf, alors que je traverse un journée particulièrement merdique, j’ai la désagréable surprise de voir mon serveur principal bloqué chez Online, pour cause de "Flood sortant"...J’ai le choix entre contacter le support ou raquer 20€ pour réactiver le port réseau de la machine. Comme je suis un crevard (et qu’il est hors de question que je paye une quelconque amende alors que je n’ai rien fait), j’ouvre un ticket.

Dix minutes plus tard on m’indique la raison: "Flood DHCPv6 from MAC 00:07:cb:xx:xx:xx"

Après avoir bien galéré pour accéder au serveur et attendu des plombes les réponses du support, alors que je n’avais pas vraiment que ça a faire, j’ai fini par récupérer un truc à peu près fonctionnel...près de quatre heures plus tard (plus deux pour remettre la machine vraiment en état quand j’ai enfin eu le temps)

Tout ça, à cause de l’IPv6. Encore une emmerde, encore une coupure, à cause de l’IPv6.

Donc moi fervent supporter de cette techno du futur que personne n’utilise et dont tout le monde se fout, je jette l’éponge. Et en même temps je n’ai pas le choix, au premier toussotement de mon DHCP je risque de me refaire couper le réseau...Ça va que tel un volcan, ça n’arrive pas très souvent: c’est la première fois en près d’un an et demi. Donc entre un client officiel potentiellement bugué et une daube qui n’est même pas dispo nativement sous FreeBSD, autant ne rien prendre du tout.

Oui je suis de mauvaise foi mais mettre en place un truc pour la beauté de l’art, OK, se faire emmerder à cause de ça, moins.

J’ai donc viré tout support IPv6 et si vous voulez vraiment savoir comment ça c’est passé, c’est simple, c’était juste super chiant: il ne suffit pas de virer le service DHCPv6, il faut également empêcher les appli d’écouter en IPv6. Dans le cas contraire, la plupart des softs genre nginx, postfix ou dovecot ne se lancent tout simplement pas (php-fpm et mariadb, eux, vont bien, merci). Sans compter le tunnel IPSec qui c’est mis en rideau le lendemain, un des nœuds ne pouvant plus contacter l’autre en IPv6. Car oui, j’ai une autre machine sur laquelle j’ai pu basculer en attendant. Et elle utilise (encore) de l’IPv6...J’espère avoir le temps de m’en occuper avant qu’il lui arrive le même genre de blagues :-/

La cerise sur le gâteau étant la belle gamelle que je me suis prise au passage sur mon score du pool NTP, le failover n’a pas super bien marché là dessus.

Et pas vraiment merci à mon Super Hébergeur d’avoir coupé le trafic à la rache sans prévenir, à cause d’un service imposé par lui (chez OVH au moins, pas besoin de DHCP pour avoir une IPv6, on les monte à la main en respectant le range fourni, et ça marche très bien). Mais bon après tout c’est du low-cost, il faut pas se plaindre.

Billets connexes

Sunday 19 November 2017

Still down with da Fox

Aujourd’hui le moment tant redouté est arrivé: le gestionnaire de paquets de ma distrib’ m’a proposé la mise à jour oh combien dangereuse de Firefox 57, celle qui casse la compatibilité des extensions existantes (et signe l’arrêt de mort de pas mal d’entre elles) au profit des webextensions.

Je regardais déjà fébrilement le calendrier de releases de Firefox ESR, m’apprêtais à faire un switch brutal sur Pale Moon...

...et puis la mozillapocalypse n’a pas eu lieu: La New add-on bar a finalement été remplacée par la barre personnelle, et Shaarli par un bookmarklet. Bon, NoScript est un peu à la bourre et ColorfulTabs fait n’importe quoi, mais pour l’instant tout roule. Et en effet, c’est faaaaaast \o/

 

Update du lendemain: NoScript n’étant toujours pas là, je lui ai trouvé un remplacement en la personne de No-Script Suite Lite qui a l’avantage de bloquer encore plus de trucs (styles, images, objets, media). Et puis un truc qui ne m’a pas manqué au début mais qui pourrit bien le quotidien: l’absence de bouton pour vider la barre d’url, bien pratique quand on est sous linux et qu’on a quelque chose dans le presse-papier à coller dedans, qui était fourni par les extensions Konquefox et Neo Diggler, deux extensions qui n’ont malheureusement pas survécu au changement de format (enfin pour Neo Diggler c’est en cours, mais "ça ne sera pas prêt pour Firefox 57" (sic)). Si quelqu’un a une idée...

J’ai également l’impression que la conso mémoire a nettement diminué, on verra à la longue si le vieux panda n’a pas de fuites ;)

Billets connexes

Monday 30 October 2017

Le facteur sonne toujours deux fois

J’ai changé dernièrement de téléphone, et pour ne pas avoir à me faire chier à ré-importer une par une mes clés Google Authenticator permettant l’authentification à deux facteurs, j’ai fait comme d’habitude: j’ai rooté le téléphone et j’ai restauré un backup Titanium.

J’aurais du prendre un peu plus mon temps, ça m’aurait évité de me couper l’herbe sous le pied et surtout les mises à jour qui vont avec, bref.

Car après avoir suivi ce tuto, non seulement on peut récupérer les clés directement dans un backup TWRP (ou Titanium, ça marche aussi et il n’y a pas à fouiller dans une archive de 6 Go), mais nul besoin d’être root pour les réimporter: il suffit d’indiquer ladite clé à la création de l’entrée dans Google Authenticator.

La beauté de la chose c’est que ça ne se limite pas à l’outil de Google, on peut également en profiter dans le confort de son navigateur préféré. Comme indiqué sur la page de l’extension les clés ne sont pas chiffrées, à ne pas laisser traîner n’importe où donc...même si elles sont de toute façon stockées en clair dans la base de données de Google Authenticator :p

En tout cas j’en ai profité pour sauvegarder toutes ces clés bien au chaud dans mon KeePass, ça peut toujours servir.

Saturday 28 October 2017

Le CD est mort, tu sais (2)

IMG_20171028_120536.jpg

c’est FAT !

Si vous suivez un peu l’actualité vous savez sans doute que l’immense Fats Domino nous a quitté cette semaine, un pionner du Rock’n’roll, à une époque où être américain et noir n’était pas facile-facile. C’est aussi pour moi celui qui m’aura fait découvrir le Rythm and blues (rien à voir avec le R’n’B les jeunes), via la série de magazines des éditions Atlas, "Les génies du Blues", qui s’accompagnaient d’un CD pour découvrir l’artiste.

Pris d’une nostalgie soudaine, j’ai voulu ré-écouter le disque en question, mais en le convertissant d’abord en MP3 car on est en 2017 et pas en 1992. L’occasion de découvrir que l’outil qui m’a servi longtemps pour ce genre de tâche, GRip, n’était plus maintenu, en tout cas sur ma distrib (j’ai envie de dire, RIP GRIP). Je me suis donc rabattu sur K3b, qui si il est surtout connu comme la référence de la gravure sur CD sous Linux, fonctionne aussi très bien pour le "rip", CDDB inclus !

Le CD et Fats Domino, reposez-en paix, je vous aime toujours :)

Billets connexes

Tuesday 3 October 2017

AngryUp

Ce midi, je décide de me faire un Curry Vert. Comme je prends à emporter et que l’attente dure à chaque fois des plombes, je fait un truc dingue: je cherche à commander avant.

Je me rends donc sur le site du restaurant, et il y a un service pour ça: HungryUp.

Il faut créer un compte (pourquoi pas) avec adresse e-mail et numéro de téléphone, on peut ajouter des tickets restaurant (TR) et un moyen de paiement...là j’aurais du tiquer (resto)

Je passe donc commande dans la joie, aucune info sur le paiement de la commande, sur une éventuelle prise en compte de mes TR (qui ne sont pas dématérialisés), seulement un message qui me demande "de ne pas être en retard" (sic)

Au restaurant personne ne sait comment doit se régler la commande, on me conseille même...de ne plus utiliser ce service pour commander (!)

Retour au taf, je retourne sur le site dans le but de supprimer mon compte. Mais après avoir fait trois fois le tour des options, impossible de trouver comment faire. Heureusement il y a "Cyprien" en bas à gauche de l’écran qui est prêt à répondre à mes questions.

bonjour, je souhaite supprimer mon compte
Bonjour,
Pas de soucis. Afin que nous procédions à la suppression de votre compte, vous pouvez envoyer un mail concernant cette demande avec un justificatif d’identité en pièce jointe (par mesure de sécurité) à l’adresse ******

Et donc pour pouvoir fermer un compte (option courante sur pas mal de sites), il faut prouver qu’on est bien la bonne personne, et pour cela envoyer un justificatif alors qu’on discute par chat en étant connecté avec ledit compte.

J’ai donc décliné, et si j’ai pu supprimer mes informations bancaires je n’ai pu modifier ou supprimer ni mon adresse e-mail ni mon numéro de téléphone. Tant pis, ça fera un compte zombie de plus sur l’internet.

Saturday 9 September 2017

reservoir.ntp.dogs

 

Suite au livetweet de Pierre Beyssac sur l’installation d’un serveur NTP et son intégration à pool.ntp.org, je me suis enfin décidé à franchir le pas et à faire de même.

Le serveur est donc accessible directement sur ntp.tourmentine.com, et si tout se passe bien également sur pool.ntp.org :)

Et petite question au NTP Pool Project: "Why am I Mr. muphzf8v45ijczgwwew?" pas moyen de trouver comment changer son nom d’utilisateur, étrange...

Billets connexes

Saturday 2 September 2017

Nagstamon is watching you

Pour faire suite au précédent billet, il s’avère que les CGI d’Icinga 1 fonctionnent parfaitement avec Icinga 2, tout du moins pour continuer à faire fonctionner mon fidèle Nagios Checker...

...pendant environ une semaine, car le passage à Firefox 55.0 a signé l’arrêt de mort de ce plugin ;-(

Je me suis alors tourné vers Nagstamon, soft "inspiré par Nagios Checker, sans une fenêtre Firefox tout le temps ouverte". Il gère plusieurs serveurs et peut fonctionner en tant que widget sur le bureau, en plein écran ou — mon préféré — en icône dans la zone de notification. Et cerise sur le gâteau, ils supporte non seulement Nagios/Icinga 1, mais aussi Centreon (rappelez-moi d’écrire un billet sur cette bouse), Icingaweb2, Op5, Zabbix et bien d’autres !

La version disponible sur ma distrib’ (Arch Linux, baby) ne fonctionnait pas bien, comme je suis un cramé j’utilise donc directement le dépôt git... si vous voulez faire pareil il vous faudra au préalable installer le paquet community/python-requests-kerberos.

Billets connexes

Tuesday 15 August 2017

Big Brother 2.0 is watching you

La Tourmentine dispose d’un système de surveillance ultra-moderne à base d’Icinga, qui ne sert que très peu car ça ne plante jamais voyons. Pour configurer celui-ci, comme j’ai passé l’âge d’éditer des fichiers à la main j’ai opté pour l’outil NConf, plus maintenu depuis des années, mais "qui fait le job".

Enfin, qui faisait.

L’autre jour en voulant ajouter un service, la conf ne se déployait plus. En lançant le script de déploiement (en Perl, quelle idée pour une appli PHP...), je me prends un:

[ Initializing NConf perl-API (library version 0.3, written by A. Gargiulo) ]
[ Copyright (c) 2006 - 2012 Sunrise Communications AG, Zurich, Switzerland ]

Can't use a hash as a reference at [...]/nconf/bin/lib/NConf/ExportNagios.pm line 1274.
Compilation failed in require at bin/generate_config.pl line 51.
BEGIN failed--compilation aborted at bin/generate_config.pl line 51.

Sans doute du à la dernière mise à jour de Perl... n’étant pas masochiste je n’ai pas cherché plus loin, ou plutôt j’ai cherché une solution de remplacement pour me débarrasser de NConf (et puis du Perl en moins, ça n’a pas de prix)

J’utilise Zabbix au taf depuis quelques années déjà, mais après l’avoir installé j’ai finalement été découragé par la centaine de services à migrer, et pour la plupart à réécrire :-/

Je me suis alors tourné vers Icinga2 et son ami Icinga2-module-director (qui est un peu buggé mais bon), qui, hormis le fait qu’ils utilisent une base de données, ont l’immense avantage de gérer les fameuses sondes NRPE sur lesquelles reposent 80% de services :-)

La seule ombre au tableau étant que je risque de faire une croix sur les outils utilisant les CGI d’Icinga 1.x genre Nagios Checker/iMoin/NagStaMon, mais il est parait-il possible de câbler lesdits CGI sur la version 2. À voir quand tout sera migré. 

En bonus, l’astuce du professionnel: Si vous êtes sous *BSD et que vous souhaitez personnaliser l’expéditeur des notifications par mail, installez heirloom-mailx et remplacez:

MAILBIN="mail"

par:

MAILBIN="/usr/local/bin/mailx"

dans scripts/mail-service-notification.sh et scripts/mail-host-notification.sh

Billets connexes

- page 1 of 22