To content | To menu | To search


Sunday 17 August 2014

installation de Debian wheezy sur un Dlink DNS-320

By n on Sunday 17 August 2014, 14:02

J'utilise avec grand bonheur une debian chrootée sur mon NAS. Jusqu'à maintenant j’étais bloqué sur la version squeeze, à cause du noyau fourni (2.6.22), incompatible avec la version d'udev utilisée par la nouvelle distribution.

Jusqu'à maintenant, car dlink propose depuis tout récemment une mise à jour de son firmware incluant un noyau 2.6.31 ouvrant la voie à la modernité.

Parmi les grandes nouveautés de ce firmware, une connectivité ipv6 native...désactivée par défaut (!)

Il faut donc l'activer manuellement:

# sysctl net.ipv6.conf.egiga0.disable_ipv6=0

Maintenant le double effet kiss-kool de l'ipv6: n'étant plus protégée par le NAT, l'interface d'admin se retrouve à poil sur le net, car je n'ai pas de firewall devant le NAS (il est relié au reste du réseau via la freebox).

Pour éviter ça, l'astuce consiste à faire squatter les ports ouverts par le lighttpd natif par un autre serveur web, à modifier les ports utilisés, à désactiver le support ivp6 (qui lui, est activé par défaut...), et enfin à rendre le fichier immutable pour qu'il ne soit pas écrasé régulièrement par le NAS:

# sed -i s/80/8888/g /mnt/root/etc/lighttpd/lighttpd.conf
# chattr +i /mnt/root/etc/lighttpd/lighttpd.conf

Ensuite il ne reste plus qu'à lancer un signal (kill) à lighttpd pour qu'il s’arrête. Le NAS le relancera automatiquement, avec les paramètres définis dans /mnt/root/etc/lighttpd/lighttpd.conf. Magique.

Ne pas oublier, évidemment, d'ajouter les commandes ci-dessus au fichier boot/linuxrc pour que les modifications soient effectives après redémarrage.

Quand à la mise à jour vers wheezy proprement dite, pas grand chose de particulier: aptitude semble à éviter sur le coup (calcul de dépendances pendant des plombes), préférer apt-get qui lui lancera la mise à jour de suite:

# sed -i s/squeeze/wheezy/g /etc/apt/sources.list
# apt-get upgrade
# apt-get dist-upgrade

Dernier truc pas glop, le nouveau noyau m’empêche de faire fonctionner le module tun pré-compilé pour le noyau 2.6.22, et un module compilé par mes soins provoque un kernel panic au démarrage d'openvpn. À suivre, donc.

Billets connexes

one comment

Saturday 2 August 2014

et j'ai screené, screené-é...

By n on Saturday 2 August 2014, 02:57

J'ai pris l'habitude de travailler sur mes serveurs en lançant un screen sur une machine, puis en ouvrant différentes fenêtres pour chaque session ssh sur les jails de la machine, ce qui me permet de naviguer aisément d'une jail à l'autre. Problème, il faut tout refaire après un reboot.

La solution consiste donc à scripter: on crée une nouvelle session détachée (appelée ici default), on la renomme avec le nom de la machine, puis on crée de nouvelles fenêtres à l'intérieur (commande screen), en les renommant à chaque fois avec le nom de la VM visée. Enfin, on s'attache à la session créée sur la première fenêtre:

#!/usr/local/bin/zsh

window=0
session="default"

if screen -list | grep -q "$session"
then
   echo "Error: session \"$session\" already exists; please kill it first."
   echo "type \"screen -X -S $session quit\" to do so."
   exit 1
fi


screen -d -m -S $session
screen -S $session -p $window -X exec printf "\033k%s\033\\" `hostname -s`

for server in server1 server2 server3
do
   let window++
   screen -S $session -X screen ssh $server
   screen -S $session -p $window -X exec printf "\033k%s\033\\" $server
done

screen -r $session -p 0

On notera la syntaxe toujours limpide des commandes "à échappement" pour renommer une fenêtre, trouvées sur cette page.

no comments

Thursday 31 July 2014

proso-dis-moi-tout !

By n on Thursday 31 July 2014, 01:20

J'ai mis en place un serveur Jabber, Prosody. Pour ceux qui comme moi veulent se la jouer hipsters et ont un accès IPv6, cela peut poser quelques problèmes, comme évoqué dans ce thread (une obscure histoire de résolution DNS, où Prosody demande une adresse IPv6 et si il n'y en a pas, considère qu'il n'y a pas d'adresse...du tout).

Seul hic, la solution proposée (indiquer manuellement les adresse d'écoutes) ne fonctionne pas...

La seule solution pas trop chiante (pour pas avoir à régler le problème manuellement en telnet à chaque redémarrage) est d'ajouter les lignes suivantes au script d'init de prosody:

( echo ">hosts['domain1.tld'].modules.s2s.route_to_new_session.s2sout.try_connect.has_ipv4=true" ; \
  echo ">hosts['domain2.tld'].modules.s2s.route_to_new_session.s2sout.try_connect.has_ipv4=true" ; \
sleep 1 ) | telnet localhost 5582

Bien entendu il faut que mod_admin_telnet soit activé.

Il est possible que se problème soit lié à ma configuration, car elle est proche du thread cité plus haut (jail freebsd avec un alias sur lo1).

Si vous avez plus simple/élégant (j'avoue que la solution ci-dessus est plutôt crade), je suis preneur.

Billets connexes

no comments

Sunday 13 April 2014

Inside my SSL I wait and heartbleed

By n on Sunday 13 April 2014, 12:41

BlNJfcnCYAADPM4.jpg

Je suppose que comme moi vous n'avez pas pu échapper au vent de panique qui a soufflé sur l'ensemble du web à propos de la faille "heartbleed". Du coup j'ai fait quelques tests qui, si ils m'ont rassuré sur le fait que la Tourmentine n'était pas vulnérable, m'ont interpellé au niveau sécurité, encore aux normes de 2006: clé de 1024 bits, signature MD5 (!), SSLv2 (!!), TLS 1.0 Max... Bref, il était temps de rafraîchir tout ça, histoire de ne pas rendre la vie trop facile aux grandes oreilles de la NSA.

Les services sécurisés de la Tourmentine sont donc protégés depuis hier par un tout nouveau certificat; au lieu d'un truc auto-signé tout sale, le certificat en question est maintenant signé par ma propre autorité de certification, que vous pouvez télécharger ici si vous ne voulez pas avoir d'alerte de sécurité.

Cela ne concerne pour l'instant que les adresses en "https://", mais les services mail devraient suivre sous peu. En attendant, vous pouvez obtenir un minimum de confidentialité sur toutes les adresses gérées par ce serveur, en ajoutant le fameux "https://" au début de celles-ci.

no comments

Friday 14 February 2014

Le riz à sushi au micro-ondes

By n on Friday 14 February 2014, 21:22

Aujourd'hui atelier cuisine: Comme j'ai pas trouvé de recette claire pour faire cuire le riz vinaigré à la punk au micro-onde, je la pose ici.

Il vous faut donc un saladier, une assiette, du riz rond, du vinaigre de riz, du sucre et du sel (ou du sushi-su tout prêt). Pour les proportions, vous pouvez vous aider de la très utile Calculatrice à Sushi. Pour ma part je fais en général 3 rouleaux de maki par personne, soit environ 100g de riz et 15cl d'eau (oui j'en met un peu plus qu'indiqué par la calculatrice).

Rincer le riz à l'eau froide dans une passoire jusqu'à ce que l'eau soit claire, laisser reposer. Ensuite le verser dans un saladier, ajouter l'eau, couvrir avec une assiette.

Mettre au micro-ondes, 10mn environ. À titre indicatif j'ai un four de 800W, je règle à puissance maxi pendant 2 minutes puis à mi-puissance pendant 8mn. Pas certain que ce soit vraiment nécessaire.

À la sortie du four normalement le riz a absorbé toute l'eau. Garder le couvercle encore 10mn.

Si besoin pendant ce temps préparer le sushi-su: pour la même quantité de riz, grosso-merdo, compter deux cuillères à soupe de vinaigre, deux cuillères à café de sucre et une pincée de sel. Mélanger jusqu'à dissolution complète du sucre (vous pouvez passer le tout au micro-onde quelques secondes pour accélérer le processus).

Enlever l'assiette, "casser" le riz aggloméré avec une spatule, ajouter le sushi-su, bien mélanger en coupant le riz et en le soulevant avec la spatule, de façon à le refroidir en même temps sans l'écraser. 

Résultat: un riz bien cuit et bien collant prêt à être roulé dans les règles de l'art \o/

Billets connexes

no comments

Wednesday 12 February 2014

Le coup de la demi-panne

By n on Wednesday 12 February 2014, 18:10

Vrai-fausse suite du billet précédent: depuis le milieu de l'après-midi, la connexion IPv6 entre chez moi et mes serveurs est coupée. Cela n'est pas trop gênant pour les services principaux depuis qu'ils sont en full-IPv4 (sic), mais il se peut qu'il y ait des effets de bord. La connexion fonctionne de chez moi (Free) vers Google, de mes serveurs (OVH) vers Google, mais pas entre Free et OVH...va comprendre...

Pour l'instant je me bat à grand coups de traceroute6 pour voir d'où vient le problème. Pas d'indices sur le bugtracker d'OVH. Je mettrai ce billet à jour au fur et à mesure de l'avancement du problème.

Edit 13/02: Retour à la normale ce matin, sans aucune explication...circulez y'a rien à voir...vive le low-cost ;)

no comments

Saturday 7 December 2013

Faut pas prendre des v6 pour des lanternes

By n on Saturday 7 December 2013, 00:15

IPv6, c'est sympa, c'est prometteur, mais c'est comme toute bonne technologie qui n'arrive pas à trouver son public: tout le monde s'en fout.

Résultat, un accès IPv6 par terre toute la nuit chez Free (ça n'a concerné qu'une poignée d'utilisateurs apparemment), et, depuis un temps indéterminé (je n'ai pas de monitoring externe) et une cause non-moins indéterminée, une panne du tunnel HE de la tourmentine.

Ça commence à faire beaucoup.

Je vais donc attendre sagement que les telcos s'y mettent sérieusement (après tout, tout le monde est censé s'y être mis depuis plus d'un an), et suivre le mouvement. En attendant, je supprime les liens failover en IPv6, puisque mon hébergeur adoré n'en propose pas; inutile de s'imposer un élément supplémentaire - le tunnel - et donc un élément susceptible de tomber en panne, juste pour la beauté de l'art. Les machines continueront, cependant, d'offrir leur connectivité IPv6 native, pour les accès en direct (pour les DNS, par exemple).

Si les problèmes chez Free continuent (ça arrive régulièrement), je vais même finir par désactiver mon accès IPv6 résidentiel...d'autant plus qu'il semble être la cause des lenteurs Youtube !

Billets connexes

one comment

Thursday 5 December 2013

tu aimes les absterges ?

By n on Thursday 5 December 2013, 05:46

Quand on aime pas trop filer ses données perso, il peut être pratique de virer toutes les conneries qu'on a posté sur les réseaux sociaux, le grand méchant Facebook en tête. Il y a deux méthodes: à la mano (va mourir avec 5 ans d'usage quotidien et des milliers de posts), ou via un script.

Concernant Facebook justement, il existe plusieurs scripts sur userscripts.org, mais le seul vraiment efficace que j'ai pu trouver est Absperge. Il ajoute un un lien supplémentaire dans la barre de menu, qui permet de tout wiper tranquillement. Attention, c'est assez gourmand en ressources. 

Depuis mon mur est propre comme un sous neuf, plus aucun tag de keupon dessus !

no comments

Tuesday 3 December 2013

Y'a plus d'saisons.

By n on Tuesday 3 December 2013, 19:42

Petit rafraîchissement automnal pour la Tourmentine, qui gagne avec le thème Fallseason des habits qui changeront automatiquement chaque saison. Ce thème va devenir, au moins provisoirement, celui par défaut.

Il va rejoindre le thème Lynx Browser (Ax0r P0w3R, yeah), ajouté récemment, dans la liste que vous pouvez choisir dans le menu ci-contre.

Vala, fin de la minute kawaï ;-)

no comments

Wednesday 27 November 2013

Je cuisine, Vol. 3

By n on Wednesday 27 November 2013, 19:35

Aujourd'hui, suite de mes aventures expérimento-culinaires: faire des gougères. Étant bourguignon d'origine, je me devais d'avoir au moins une spécialité de mon país à savoir-faire, c'était ça ou le bœuf bourguignon, et j'ai jamais été très fan de ce dernier.

Donc voila, on se moque pas SVP:

gougeres.jpg

La pâte était un peu juste, je ne l'ai sans doute pas laissé "sécher" suffisamment longtemps. Et comme on peut le voir, j'ai encore de gros progrès à faire sur le moulage. Et mettre un peu de fromage dessus aussi.

Billets connexes

no comments

- page 15 of 30 -