ZenTech

Dis tonton, pourquoi tu tousses?

hr — Tue, 13 Oct 2009 15:07:00 +0200

Etant actuellement dans un pays dont l'accès internet est assez largement filtré, je me suis demandé si openvpn ne pouvait pas me donner un coup de main. Et bien, c'est d'une simplicité enfantine de monter un tunnel en point à point avec clé statique.

Après installation du paquet openvpn (apt-get install openvpn) sur le serveur et le client à connecter, il faut générer une clé statique à partager entre ces deux machines.

openvpn --genkey --secret server_client.key

Il faut poser cette clé sur le serveur et le client, de préférence en utilisant un canal sécurisé, scp(1) est une solution, l'apprendre par coeur en est une autre::).

Ensuite, la configuration du serveur et du client est assez simple. On va considérer que le serveur a le nom de domaine vpn.server.org, que son ip dans le vpn sera 10.42.0.1 et le client aura pour ip 10.42.0.2.
Sur le serveur, dans le fichier /etc/openvpn/static_client.conf :

dev tun0
ifconfig 10.42.0.1 10.42.0.2 # configuration ip point à point
secret server_client.key

Sur le client, dans le fichier /etc/openvpn/static_server.conf :

remote vpn.server.org # l'ip ou le nom de domaine du serveur
dev tun0
ifconfig 10.42.0.2 10.42.0.1
secret server_client.key

Il est temps de lancer le tunnel (et oui déjà), sur le serveur :

server# openvpn /etc/openvpn/static_client.conf 
Tue Oct 13 08:50:50 2009 OpenVPN 2.1_rc11 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Tue Oct 13 08:50:50 2009 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue Oct 13 08:50:50 2009 /usr/sbin/openvpn-vulnkey -q server_client.key
Tue Oct 13 08:50:50 2009 TUN/TAP device tun0 opened
Tue Oct 13 08:50:50 2009 /sbin/ifconfig tun0 10.42.0.1 pointopoint 10.42.0.2 mtu 1500
Tue Oct 13 08:50:50 2009 UDPv4 link local (bound): [undef]:1194
Tue Oct 13 08:50:50 2009 UDPv4 link remote: [undef]

Sur le client :

client# openvpn /etc/openvpn/static_server.conf 
Tue Oct 13 14:51:50 2009 OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Tue Oct 13 14:51:50 2009 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue Oct 13 14:51:50 2009 /usr/sbin/openvpn-vulnkey -q server_client.key
Tue Oct 13 14:51:50 2009 TUN/TAP device tun0 opened
Tue Oct 13 14:51:50 2009 /sbin/ifconfig tun0 10.42.0.2 pointopoint 10.42.0.1 mtu 1500
Tue Oct 13 14:51:50 2009 UDPv4 link local (bound): [undef]:1194
Tue Oct 13 14:51:50 2009 UDPv4 link remote: vpn.server.org:1194
Tue Oct 13 14:52:01 2009 Peer Connection Initiated with vpn.server.org:1194
Tue Oct 13 14:52:02 2009 Initialization Sequence Completed

Les machines peuvent normalement se contacter, vérifions :

client$ ping -c2 10.42.0.1
PING 10.42.0.1 (10.42.0.1) 56(84) bytes of data.
64 bytes from 10.42.0.1: icmp_seq=1 ttl=64 time=324 ms
64 bytes from 10.42.0.1: icmp_seq=2 ttl=64 time=324 ms

--- 10.42.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1005ms
rtt min/avg/max/mdev = 324.583/324.775/324.968/0.601 ms

Des interfaces tunX sont créées :

client# ifconfig
[...]
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.42.0.2  P-t-P:10.42.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
[...]

Pour démarrer proprement les tunnels comme on le souhaite, il est utile d'aller jeter un oeil à la variable AUTOSTART du fichier /etc/default/openvpn. Sur le client par exemple, si on ne veut démarrer que le tunnel qui vient d'être configuré :

AUTOSTART="static_server"

Pour un démarrage directement par la ligne de commande, le script d'init accepte un nom de configuration :

client# /etc/init.d/openvpn start static_server

Il est important de bien prendre en considération les conflits de sous-réseau dans la topologie du tunnel pour éviter les problèmes de routage.

Prochaine étape, faire en sorte que tout le traffic passe par le tunnel (mode appelé "road-warrior").

Référence : le tutoriel officiel openvpn

Air lutins et mon précieux

hr — Mon, 28 Sep 2009 14:17:00 +0200

Je n'avais jamais eu à utiliser de connexion WEP depuis mon x61s et, aussi surprenant que cela puisse paraitre, ce n'est pas simple. La carte n'arrive tout simplement pas à s'associer à l'AP alors qu'en WPA je n'ai jamais eu un problème.

Concernant la configuration, c'est assez basique pour du WEP. Il suffit de mettre ce genre de lignes de configuration dans /etc/network/interfaces :

iface wlan0 inet dhcp
    wireless-essid <ssid>
    wireless-key s:<mdp>

Lorsque je lance un ifup wlan0 une erreur étrange apparait dans les logs noyau :

Sep 26 13:47:25 ewok kernel: [ 1482.296364] ADDRCONF(NETDEV_UP): wlan0: link is not ready

Après quelques recherches sur le net je n'ai rien trouvé, je donne une chance au wiki debian et __BAM__. Au final ce qui va fonctionner pour mon problème est de rajouter deux lignes à mon /etc/network/interfaces :

iface wlan0 inet dhcp
    pre-up ip link set wlan0 up
    wireless-essid <ssid>
    wireless-key s:<mdp>
    wireless-ap any

PS: je n'ai pas eu besoin d'installer le paquet firmware-iwlwifi pour que ça fonctionne.

Replacer un fichier dans une ancienne version avec SVN

hr — Thu, 25 Jun 2009 17:12:00 +0200

Comment faire quand certaines modification qui ont été validées (svn commit) ne tiennent pas la route pour différentes raisons (bug, performance, ...)? La solution consiste à replacer certains fichiers modifiés dans un état plus ancien pour retrouver la situation souhaitée. Pour ce faire, il faut identifier la révision cible, effacer les fichiers concernés et les remplacer par la version de la révision voulue.

A partir d'une copie de travail à jour, on vérifie la révision courante :

$ svn info
Path: .
URL: http://code/svn/t/test/trunk
Repository Root: http://code/svn/t/test
Repository UUID: 4d726b7c-4586-4a21-a23b-c1e54c03d712
Revision: 67
Node Kind: directory
Schedule: normal
Last Changed Author: hr
Last Changed Rev: 51
Last Changed Date: 2009-04-15 17:07:06 +0200 (Wed, 15 Apr 2009)
$ ls
conf  file.txt  script.sh

Dans cet exemple, je dois remettre file.txt dans un ancien état, je vais chercher dans les logs quelle révision correspond à la version que je cherche.

$ svn log file.txt
[...]
------------------------------------------------------------------------
r48 | hr | 2009-04-15 16:53:05 +0200 (Wed, 15 Apr 2009) | 1 line

* conflict test.
------------------------------------------------------------------------
r24 | hr | 2009-02-16 15:33:23 +0100 (Mon, 16 Feb 2009) | 1 line

* bugfix
------------------------------------------------------------------------
[...]

Dans mon cas, je prends la révision 48 comme révision cible.

Je dois maintenant remplacer le fichier file.txt courant par sa version r48

$ svn rm file.txt
D         file.txt
$ svn copy -r48 http://code/svn/t/test/trunk/file.txt ./file.txt
A         file.txt
$ svn status
R  +   file.txt

La commande svn status me donne plusieurs informations intéressantes. Le caractère 'R' signifie que je remplace le fichier en question; le caractère '+' m'indique que je fais une copie de l'historique avec celle du fichier.

ATTENTION: nous sommes bien avec une version de subversion etch (version 1.4.2 (r22196)), les versions plus récentes acceptent une syntaxe différente :

$ svn copy http://code/svn/t/test/trunk/file.txt@48 ./file.txt

Je vais maintenant publier cette modification au niveau du serveur avec un message de log clair.

$ svn ci -m "* reverting file.txt to r48." file.txt
Replacing      file.txt

Committed revision 68.
$ svn log file.txt
------------------------------------------------------------------------
r68 | hr | 2009-06-25 17:11:16 +0200 (Thu, 25 Jun 2009) | 1 line

* reverting file.txt to r48.
------------------------------------------------------------------------
r48 | hr | 2009-04-15 16:53:05 +0200 (Wed, 15 Apr 2009) | 1 line

* conflict test.
------------------------------------------------------------------------
[...]

Et voilà, l'historique a bien été copié et mon message de log est clair.

Pour remettre tout un projet dans un état ancien, svn merge est plus conseillé, ça fera peut-être l'objet d'un autre billet.

Le bouquetin intrépide encorne l'usb

hr — Sun, 08 Mar 2009 18:48:00 +0100

Ayant récemment installé une debian sur mon nouveau portable, je me suis demandé si la méthode fonctionnerait aussi bien avec la dernière version d'ubuntu (intrepid ibex). Et bien c'est juste la même chose ::)

J'ai utilisé les liens suivants pour les différents fichiers :

ftp://ftp.oleane.net/ubuntu/dists/intrepid/main/installer-i386/current/images/netboot/ubuntu-installer/i386/initrd.gz
ftp://ftp.oleane.net/ubuntu/dists/intrepid/main/installer-i386/current/images/netboot/ubuntu-installer/i386/linux
ftp://ftp.oleane.net/ubuntu-cd/intrepid/ubuntu-8.10-desktop-i386.iso

Et c'est parti, même pas besoin de modifier les points de montage en fin d'installation puisqu'ibex utilise les UUIDs de disque dans fstab et menu.lst.

Et tu as une carte de visite ?

hr — Wed, 04 Mar 2009 16:17:00 +0100

Aujourd'hui en passant le noyau d'une etch en "etchnhalf", je me suis retrouvé face à un problème lors du démarrage. Mon grub(8) ralait avec un message concernant une signature : Setup signature not found.. Impossible de faire démarrer la machine sur ce nouveau noyau.
A tout hasard, je me suis dit que reconstruire l'environnement de grub ne pouvait pas être un mal :

# grub-install /dev/sda
[...]
# update-grub
[...]

Et voilà, tout est rêglé, ce n'est pas très technique ou une solution de haut vol mais ça devrait pouvoir servir à google ::) ps: On peut lire ici plus de détails sur ce problème.

Car le debug = bien

hr — Thu, 19 Feb 2009 14:16:00 +0100

Parce que debian est aussi "very jihbed" il y a toujours un moyen plus ou moins simple pour régler les problèmes rencontrés. Aujourd'hui, je vous propose de procéder au débogage de l'installation d'un paquet debian avec apt-get(8). Quand on utilise apt-get(8), l'installation du paquet sur la machine est faite par dpkg(1). Il est possible de passer des options de débogage à dpkg(1), c'est ce principe que j'ai utilisé.

$ dpkg -Dh
dpkg option de débogage, --debug=<octal> ou -D<octal :
[...]
# apt-get install -o DPKg::options::="-D12" package
[...]
D000010: ensure_pathname_nonexisting `/var/lib/dpkg/tmp.ci'
[...]

A partir de là il suffit de personnaliser la valeur de débogue passé à dpkg sur la base des informations données par la commande "dpkg -Dh".

Air lutins in da wildz

hr — Mon, 16 Feb 2009 01:42:00 +0100

Après avoir réinstallé mon portable, il a fallu que je le connecte en WPA PSK/TKIP. Me souvenant de la complexité de wpa_supplicant.conf(5), je m'attendais à une tâche compliquée. Au moment de me lancer, je me rends compte que ce n'est pas le cas avec lenny. Non, vraiment pas le cas :

$ cat /etc/network/interfaces
[...]
auto wlan0
iface wlan0 inet dhcp
    wpa-ssid airlutin
    wpa-psk "I can haz moar teh internet"

# ifup wlan0

WOUAH, vraiment compliqué, tout n'est pas sujet à critique sur une debian, hein dzen.

Ho haï, I haz a shiny lappy

hr — Fri, 06 Feb 2009 13:29:00 +0100

Maintenant que j'ai décidé de me débarrasser de brokuntu, il faut que je réinstalle un système sur mon portable. Ayant toujours aimé debian, mon choix se porte sur une lenny (message à canonical : "Même leurs versions de dev sont stables!!!"). Sans lecteur cd, j'opte pour une installation via clé usb. Et c'est là que se pose un petit problème, impossible de faire démarrer la machine sur une clé usb, la machine s'arrête sur un "Boot Problem" qui ne laisse aucun doute sur le soucis... Je vous livre la solution que j'ai trouvée si, et seulement si, vous lisez la suite (*cliffanger*).

Il semble que certains BIOS récent aient de petits problèmes avec syslinux(1), je vais donc détailler ma méthode pour installer une lenny en netinst par une clé usb.

ATTENTION : les manipulations décrites vont détruire toutes les données sur la clé usb.

Il faut commencer par installer les paquets nécessaires à nos manipulations : syslinux et dosfstools.
Si vous ne connaissez pas le périphérique correspondant à votre clé usb, branchez là dans votre machine puis :

# dmesg |grep -A 3 -i usb

Cette commande devrait vous permettre de repérer une ligne du type :

[624258.956080] sd 4:0:0:0: [sdb] 2015231 512-byte hardware sectors (1032 MB)

Ma clé usb est donc reconnue en tant que /dev/sdb.

Je vais maintenant utiliser le script mkdiskimage pour initialiser ma clé usb comme un support zip. Ce script a besoin d'avoir des éléments (nombre de têtes et de secteurs) de la géométrie de la clé en question.

# fdisk -l /dev/sdb

Disk /dev/sdb: 1031 MB, 1031798272 bytes
32 heads, 62 sectors/track, 1015 cylinders
Units = cylinders of 1984 * 512 = 1015808 bytes
Disk identifier: 0xed9dc743
[...]
# mkdiskimage -4 /dev/sdb 0 32 62

Le script mkdiskimage peut mettre du temps à s'exécuter, une fois qu'il est terminé, la clé doit avoir une unique partition /dev/sdb4 en FAT16.

La clé usb est maintenant prête à accepter les fichiers qu'il faut pour la faire démarrer et lancer l'installation. On installe donc syslinux(1), le noyau, le système de fichier de démarrage en RAM et une image de disque d'installation.

# syslinux /dev/sdb4
# mount /dev/sdb4 /mnt/
# cd /mnt
# wget http://ftp2.fr.debian.org/debian/dists/lenny/main/installer-i386/current/images/netboot/debian-installer/i386/initrd.gz
[...]
# wget http://ftp2.fr.debian.org/debian/dists/lenny/main/installer-i386/current/images/netboot/debian-installer/i386/linux
[...]
# cat <<EOF >syslinux.cfg
> default linux
> append initrd=initrd.gz root=/dev/sdb4
> EOF
default linux
append initrd=initrd.gz root=/dev/sdb4
# wget ftp://ftp2.fr.debian.org/debian-cd/4.0_r6/i386/iso-cd/debian-40r6-etchnhalf-i386-netinst.iso
[...]
# cd && umount /mnt

Et voilà, la clé usb est maintenant prête à être utilisée pour installer la machine par le réseau. Il faut la connecter au portable, appuyer sur F12 pendant le démarrage et la sélectionner.

UPDATE: Attention, à la fin de l'installation, je vous déconseille de redémarrer tout de suite. La clé usb est détectée comme /dev/sda lors de mon installation et mon disque en tant que /dev/sdb. Un petit passage en console (alt+F2) doit permettre de modifier les points de montage dans fstab, crypttab si besoin et menu.lst :

# chroot /target
# vi /etc/fstab
[... remplacer sdb par sda ...]
# vi /etc/crypttab
[... remplacer sdb par sda ...]
# vi /boot/grub/menu.lst
[... remplacer (hd1,0) par (hd0,0) surtout pour la valeur groot= ...]

I CAN HAZ DEBIAN

PS: Bouletcorp :

Retour à la stabilité dans la bande de Gaza

hr — Fri, 06 Feb 2009 12:11:00 +0100

Effectivement, après avoir passé plus de quatre ans avec ubuntu (depuis la 4.10) dont trois ans sur mon portable, je rejoins le mouvement dégageuntu par lassitude. Après un très fort enthousiasme pour cette distribution qui mettait toutes les chapelles libres au même son, c'est déçu que je réinstalle le système de mon portable. Comment ne pas passer pour un con fini quand on pousse le système linux auprès de ses proches, que canonical semble avoir tout compris ("Linux for human beings") et que le son ne fonctionne même pas correctement de base. Donc merci ubuntu pour l'introduction de pulseaudio (moisiaudio dans les milieux autorisés) et continuez à introduire les toutes dernières fonctions bleading-edge-not-really-stable-but-shiny, je retourne à mes premières amours. C'est parti pour une bonne vieille debian et un xfce. Ce billet n'est absolument pas technique mais ce changement va provoquer de nouveaux billets sur l'installation de debian via une clé usb sur mon x61s entre autres.

Git et SVN sont sur un bateau

hr — Thu, 05 Feb 2009 16:50:00 +0100

La découverte de git (le site web a changé pour devenir un peu plus web2.l0l) me fait penser à la découverte de linux ou de python. A chaque fois que je lis une nouvelle page de man ou un manuel je découvre une fonction ou un comportement qui me laisse penser que cet outil est très bien conçu. Il est si bien conçu qu'il accepte même de dialoguer avec ses petits amis les plus répandus comme cvs ou svn.

Lorsqu'on doit travailler sur un projet dont le dépôt est en subversion, on n'a pas forcément envie de perdre ses petites habitudes avec git(1). Voici donc une méthode construite sur la base de la page de man (git-svn(1)) et divers documents sur le net. Je travaille dans un environnement debian etch donc certaines commandes git(1) pourront vous sembler étrange ou obsolète. Pour rappel sur une etch :

$ git --version
git version 1.4.4.4

Il faut installer les paquets git-core et git-svn pour pouvoir procéder à la suite.
Commençons par créer un environnement git propice à l'accueil d'un projet sous subversion puis importons ce projet.

$ git svn init http://svn.server/project/trunk project
$ cd project
$ git svn fetch

Le fetch peut prendre un certain temps avec un dépôt subversion distant et un grand nombre de révisions. Il est possible, dans ce cas, de ne récupérer que la dernière version ou un extrait entre deux révisions précisées :

$ git svn fetch -rREV[:REV]

Dans ce cas, l'historique sera incomplet.

Une fois l'historique subversion récupéré, un peu de nettoyage dans les objets git s'impose :

$ git repack -d

Les fichiers ne sont pas visibles sur le disque à cet instant, il y a deux alternatives pour les faire apparaitre. Soit mettre à jour les sources soit créer une branche :

$ git svn rebase
ou
$ git checkout -b dev

Je préfère personnellement la création de branche qui me semble plus en phase avec la façon dont git doit être utilisé.

A partir de là, c'est assez simple, il suffit de faire ses modifs, les publier à grand coups de git commit et les pousser vers le dépôt subversion grâce à git svn dcommit. La mise à jour de la copie locale à partir du serveur subversion se fait grâce à git svn rebase.

Malheureusement, la version de git de la etch ne permet pas simplement d'associer des branches git à des branches svn.

Références

git-svn(1)
http://kdevelop.org/mediawiki/index.php/KDevelop_4/Using_Git_for_Development
http://gitready.com/beginner/2009/02/04/converting-from-svn.html
http://google-opensource.blogspot.com/2008/05/develop-with-git-on-google-code-project.html

Il me faut un marabout

hr — Thu, 11 Dec 2008 15:03:00 +0100

Je viens de tomber sur un os et j'aurais besoin d'un envouteur. Je pense qu'on m'a grigrité et il va me falloir un checkout complet d'un amourologue pantenté.

J'aime bien faire le tour des options des nouveaux outils qu'on me met entre les mains, c'est ssh(1) (openssh) qui m'a appris à faire ça. Récemment c'est git(1) qui facilite la gestion de code, fait briller les dents dans le noir et permet de voir au ralenti comme dans matrix. Trève de babillages, voici mon fichier de configuration .gitconfig qui me semble être une bonne base :

# ~/.gitconfig
# Stefan "hr" Berder <hr@bonz.org>
# my commented git configuration file

# user informations
[user]
    # full name
    name = Stefan "hr" Berder
    # email address
    email = hr@bonz.org

# various command aliases
[alias]
    # create some common aliases used in cvs/svn
    co = checkout
    ci = commit
    d = diff
    rlog = log --pretty=format:\"%h %Cblue%cr%Creset %cn %Cgreen%s%Creset\"

# core configurations
[core]
    # file like .gitignore, I prefer to create a per project .gitignore
    #excludesfile = ~/.gitignore

# color configuration
[color]
    # color git-branch output
    branch = auto
    # color git-diff if possible
    diff = auto
    # color git-status output
    status = auto

# colors for branch command
[color "branch"]
    current = blue bold
    local = yellow
    remote = cyan
    # other refs
    #plain = 

# colors for diff command
[color "diff"]
    # informations on the diff (files, index)
    meta = yellow
    # hunk header
    frag = cyan
    # removed lines
    old = red bold
    # added lines
    new = green bold
    # highlighting whitespace errors
    whitespace = red bold

# colors for status command
[color "status"]
    header = blue
    added = green
    changed = red
    untracked = yellow

[status]
    relativePaths = true

Il faut noter que la couleur ne fonctionnera pas par défaut avec toutes les versions de git(1). L'utilisation des couleurs par défaut existe depuis la version 1.5. Avec une version plus ancienne il faut utiliser l'argument --color avec la commande diff ou log par exemple.

Weeeeeeeeeeeeeeeeeeeeeeeeee dans une boite

hr — Mon, 10 Nov 2008 01:41:00 +0100

Ayant besoin d'une petite machine consommant peu, je me suis tourné vers la EEE box. Seul problème rencontré, le magasin dans lequel j'ai acheté cette machine ne vend que la version windows. Petite marche à suivre pour faire passer ce formidable matériel sur un système plus compatible avec mes convictions.

Attention : je ne garderai pas le système windows, ce qui implique également la perte de l'Express Gate ASUS. Il faut donc désactiver cette option dans le bios Tools > Express Gate > Disabled. Sauver la modification avec la touche F10.

La méthode que j'utilise est longue mais a l'avantage de toujours fonctionner. Je présenterai peut-être ultérieurement une méthode plus courte utilisant un fichier boot.img.gz. Cette méthode m'a posé pas mal de problèmes, je présente donc une méthode plus sure.

Sur une clé USB formatée en vfat, il faut signaler la partition comme démarrable. Ça peut être fait grâce à fdisk(8), cfdisk(8) ou parted(8). La clé que j'utilise est vue en tant que /dev/sdb sur mon système.

 $ sudo fdisk -l /dev/sdb

Disk /dev/sdb: 1031 MB, 1031798272 bytes
32 heads, 62 sectors/track, 1015 cylinders
Units = cylinders of 1984 * 512 = 1015808 bytes
Disk identifier: 0x91f72d24

   Device Boot      Start         End      Blocks   Id  System
/dev/sdb1   *           1        1015     1006849   83  Linux

Pour que la clé agisse réellement comme un medium d'installation, il faut lui installer syslinux(1).

$ sudo syslinux /dev/sdb1

Pour assurer l'installation du système, mon choix se porte sur une ubuntu 8.10 (intrepid ibex) fraichement sortie. Pour éviter d'éventuels problèmes graphique, j'utilise la version alternative de l'installeur ubuntu.
Télécharger l'iso alternative : ftp://ftp.oleane.net/ubuntu-cd/8.10/ubuntu-8.10-alternate-i386.iso
Il faut récupérer certaines informations sur l'image, une fois montée en local, aucun problème. Le contenu du répertoire isolinux/ du cd d'installation est copié à la racine de la clé usb.

$ sudo mount -o loop ubuntu-8.10-alternate-i386.iso /mnt/
$ cp /mnt/isolinux/* /media/disk/
$ mv /media/disk/isolinux.cfg /media/disk/syslinux.cfg

On place ensuite sur la clé usb une image de noyau et un ramdisk pour l'installation dans un répertoire install/.

mkdir /media/disk/install
cd /media/disk/install
wget ftp://ftp.oleane.net/ubuntu/dists/intrepid/main/installer-i386/current/images/hd-media/initrd.gz
wget ftp://ftp.oleane.net/ubuntu/dists/intrepid/main/installer-i386/current/images/hd-media/vmlinuz

L'image d'installation doit également être placée sur la clé.

sudo umount /mnt/
cp ~/src/ubuntu-8.10-alternate-i386.iso /media/disk/

La clé est maintenant prête à être utilisée pour installer l'EEE box. Au démarrage, le disque utilisé pour le démarrage peut être choisi en appuyant sur F8 lors des tests POST du bios. En choisissant la clé USB, l'installation devrait se lancer.

Et voilà, cette petite bécane est installée. Attention toutefois, le wifi ne fonctionne pas nativement, le pilote ralink de cette carte n'est pas encore intégré au noyau à l'heure où j'ai testé ibex. J'ai dans l'idée de faire un paquet rt2860-source (probablement un portage du paquet debian qui existe en sid) pour palier ce problème.

Salut le petit soldat en plastique

hr — Mon, 03 Nov 2008 12:45:00 +0100

On dit au revoir à la sarge qui est passée la semaine dernière en archive.
Pour trouver les paquets de sarge, il faut donc maintenant se tourner vers : {http,ftp}://archive.debian.org/. Le miroir oleane a également été mis à jour, l'accès se fait par : {http|ftp}://ftp2.fr.debian.org/pub/debian-archive/.
Il ne reste donc plus que etch en stable, en attendant lenny qui devrait bientôt passer de testing en stable.

Vient du latin subvertere

hr — Wed, 22 Oct 2008 17:28:00 +0200

Lorsqu'on souhaite fournir un projet à la communauté, on doit se poser la question du gestionnaire de version. Il me semble indispensable d'utiliser un tel outil si d'autres personnes viennent à participer au projet. Je vous présente ici une solution rapide de serveur subversion avec accès svnserve sur une debian. Oui, ce post n'est pas drôle, on ne rigole pas avec les VCS, merde !

Il faut bien évidemment commencer par installer les outils nécessaire à l'utilisation de subversion.

# apt-get install subversion

J'ai choisis de créer un utilisateur système dédié aux opérations svn. Cet utilisateur est très subtilement appelé 'svn' et la racine des données subversion se trouve dans /var/lib/svn :

# addgroup --system svn
# adduser --system --disabled-login --ingroup svn --no-create-home --home /var/lib/svn --gecos "subversion" --shell /bin/false svn
# mkdir /var/lib/svn
# chown svn:svn /var/lib/svn
# chmod 755 /var/lib/svn

Le serveur d'accès est svnserve. Attention, c'est le choix le plus simple à mettre en place mais il souffre de sérieux handicaps par rapport aux alternatives. Je préfère limiter l'accès du serveur svn à un répertoire donné pour éviter d'éventuelles fuites.

$ grep svn /etc/services 
svn             3690/tcp        subversion      # Subversion protocol
svn             3690/udp        subversion
$ grep svn /etc/inetd.conf 
svn stream tcp nowait svn /usr/bin/svnserve svnserve -i -r /var/lib/svn
# /etc/init.d/openbsd-inetd restart

Maintenant que nous avons un serveur d'accès, il faut créer des données, c'est un peu le jeu ma pauv' Lucette. Un dépot pour un projet fictif appelé 'project' est un début.

# svnadmin create /var/lib/svn/project
# chown -R svn:svn /var/lib/svn/project

Dans le cas d'un dépôt ayant besoin d'un accès authentifié, il y a deux fichiers à modifier :
/var/lib/svn/project/conf/conf/svnserve.conf :

[general] 
password-db = passwd
realm = project

/var/lib/svn/project/conf/conf/passwd :

[users]
user = password

L'environnement est maintenant complètement disponible, on peut essayer de récupérer les sources du projet (vide) et y créer puis publier un fichier.

$ svn co svn://localhost/project
$ cd project
$ touch foo
$ svn add foo
$ svn ci -m 'test' foo
$ svn list
foo

Si tout se passe bien c'est gagné, sinon, il est utile de se pencher sur l'excellent livre O'Reilly traitant du sujet.

Attention, votre configuration svn est minimale et conviendra pour un petit serveur personnel. Dans le cas d'un projet plus important de gestion de code il faudra probablement se tourner vers un accès webdav grâce à apache (lighttpd ne le supporte pas encore !!) et un système d'authentification plus performant.

Bruce Schneier knows Alice and Bob's shared secret

hr — Mon, 13 Oct 2008 14:50:00 +0200

Comment faire lorsqu'on souhaite se constituer un petit espace très personnel sur une machine linux. Que faire quand on souhaite que cet espace soit conservé à l'abris des yeux indiscrets. Je vous propose une petite recette simple et efficace. Il suffit d'utiliser des ingrédients que vous trouverez dans votre cuisine !!

L'environnement système est une debian etch installée en 64bits sur une dedibox. Je vais utiliser le chiffrement de bloc avec LUKS utilisant dm-crypt. Nous ne chiffrerons pas la partition racine du système mais bien une partition de données.

Il faut tout d'abord vérifier qu'on a les outils nécessaires au chiffrement de partition.

# apt-get install cryptsetup dmsetup hashalot
[...]

Maintenant que les outils de base sont installés, on vérifie leur compatibilité avec l'utilisation qu'on souhaite en faire.

# cryptsetup --help
cryptsetup-luks 1.0.5
[...]
# dmsetup targets
zero             v1.0.0
mirror           v1.0.20
snapshot-origin  v1.6.0
snapshot         v1.6.0
crypt            v1.5.0
striped          v1.1.0
linear           v1.0.2
error            v1.0.1

# cat /proc/crypto | grep name
name         : aes
name         : sha256
name         : sha224
name         : sha1
name         : md5

la commande cryptsetup installée supporte bien LUKS et le noyau est capable de supporter le chiffrement.

Pour les architectures supportant le 64bit.

# modprobe aes-x86_64
# cat /proc/crypto
name         : aes
driver       : aes-asm
module       : aes_x86_64
priority     : 200
refcnt       : 1
type         : cipher
blocksize    : 16
min keysize  : 16
max keysize  : 32
[...]

Le module peut-être éventuellement ajouté au fichier /etc/modules.

Je dois maintenant créer la partition qui va être chiffrée et la déclarer au système grâce à partprobe.

# cfdisk /dev/sda
[...]
# apt-get install parted
[...]
# partprobe /dev/sda

Pour chiffrer une partition avec LUKS, il faut la "formater" avec cryptsetup et ensuite la déclarer au système "device mapper". Il est conseillé d'utiliser une phrase de mot de passe complexe.

# cryptsetup luksFormat /dev/sda8

WARNING!
========
This will overwrite data on /dev/sda8 irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.
# cryptsetup luksOpen /dev/sda8 data
Enter LUKS passphrase: 
key slot 0 unlocked.
Command successful.
# ls /dev/mapper/
control  data

C'est gagné, la partition est maintenant accessible grâce au chemin /dev/mapper/data.

Il faut formater la partition, ici j'utilise ext3.

# mkfs.ext3 -m 0 /dev/mapper/data

La partition peut maintenant être utilisée par le système.

Pour assurer le montage de la partition au démarrage, il faut la déclarer dans le fichier /etc/crypttab. Cette déclaration permet de faire l'ouverture LUKS et la déclaration à "dev mapper" en une opération. Ensuite /etc/fstab pourra prendre le relais.

# cat /etc/crypttab
# <target name> <source device>         <key file>      <options>
data    /dev/sda8       none            luks,timeout=1

Ps: Le titre vient des "Bruce Schneier facts".
Ps2: Le formatage de la partition peut également se faire avec un version plus longue de la commande cryptsetup :

# cryptsetup --verify-passphrase --verbose --hash=sha256 --cipher=aes-cbc-essiv:sha256 --key-size=256 luksFormat /dev/sda8
[...]

Et si je voulais devenir cuisinier moi aussi ?

hr — Mon, 13 Oct 2008 14:37:00 +0200

Si l'envie vous prenait de cuisiner sur votre système Debian, il y a un package à installer : build-essential. Ce paquet va, par dépendance, installer les outils principalement utilisés pour la compilation de sources comme un compilateur ou les librairies c standard.

Mais mon surnom c'est plus simple à écrire

hr — Wed, 08 Oct 2008 15:49:00 +0200

Si vous faites comme moi partie des gens qui ont un nick/login vraiment court (moins de quatre lettres en fait), vous avez été victime, vous aussi, des contraintes de la dedibox. En effet, le compte utilisateur doit faire entre quatre et vingt caractères. Mon login en fait deux ... maiiiiiiiis la situation n'est pas irrémédiable.

C'est finalement assez simple, mais globalement dangereux. Si une déconnexion survenait au cours de cette manipulation, le système pourrait devenir inaccessible pour ce compte utilisateur. J'ai l'habitude de ne pas donner d'accès ssh à mon utilisateur root, donc je m'autodétruis dans un nuage de fumée bleue.

On commence par passer root, ensuite il faut modifier les fichiers /etc/shadow, /etc/passwd et /etc/group. Dans les deux premiers fichiers, il suffit de modifier le login à changer en début de ligne. Il doit se trouver une fois dans chaque fichier. Par exemple :

# cat /etc/shadow
[...]
hrhr:$1$foobar$blihblahbloh:13923:0:99999:7:::
[...]
# cat /etc/passwd
[...]
hrhr:x:1000:1000:hrhr,,,:/home/hrhr:/bin/bash
[...]

Le fichier /etc/group contient aussi un certain nombre de références à ce login.

# grep hrhr /etc/group
dialout:x:20:hrhr
cdrom:x:24:hrhr
floppy:x:25:hrhr
audio:x:29:hrhr
video:x:44:hrhr
plugdev:x:46:hrhr
hrhr:x:1000:

Ensuite on s'occupe de déplacer le répertoire home de l'utilisateur. On commence par modifier le chemin du répertoire home dans /etc/passwd. Ensuite on déplace le répertoire pour refléter ces changements.

# mv /home/oldnick /home/newnick

Et voualaaaaaaaaaa. A la prochaine connexion, le nouvel utilisateur peut être utilisé.

Update: Personnellement, je fais les substitutions à grands coups de :%s/hrhr/hr/gc dans vim, ce qui me permet de faire plusieurs substitutions par ligne sur tout le fichier. Chaque substitution doit être confirmée.
On pourrait également utiliser sed :

sed -i.bak 's/hrhr/hr/g' /etc/group

Des lutins dans les airs sur le Golden Gate

hr — Sat, 20 Sep 2008 12:18:00 +0200

A l'occasion de l'ESWC 08 je me suis retrouvé avec un cisco aironet 1130ag à configurer sur les bras. Il a fallu que je mette rapidement une configuration simple en place. J'ai opté pour du WPA-PSK avec chiffrement TKIP, configuration classique. Petit tour de la bête et explications sur le matériel.

Matériel

La machine a une interface ethernet 100Mb/s et deux controleurs wifi (un controleur 802.1g et un controleur 802.1a). On peut créer jusqu'à 8 SSIDs par controleur wifi et un maximum de 8 VLANs dans la machine. Le point d'accès est administrable et a donc un port console série.

Connexion et démarrage de l'ap

Pour me connecter, j'ai utilisé un adaptateur usb/série, mon nouveau jouet n'ayant pas de port série. Pour obtenir une console série, rien de plus simple. Une fois l'adaptateur usb branché, on peut utiliser screen pour l'utiliser.

$ screen /dev/ttyUSB0
[...]
Cisco IOS Software, C1130 Software (C1130-K9W7-M), Version 12.3(4)JA, RELEASE SOFTWARE (fc2)
[...]

Pour commencer avec une configuration vierge, j'ai appuyé sur le bouton MODE avant de mettre l'ap sous tension. Du coup, le mot de passe est Cisco.

Configuration de base

Je commence par donner une ip fixe à l'interface d'administration (BVI aka. Bridge-group Virtual Interface)

ap>en
Password: 
ap#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
ap(config)#int bvi1
ap(config-if)#ip address 192.168.1.10 255.255.255.0
ap(config-if)#ip default-gateway 192.168.1.1

A partir de là, l'interface d'administration web est accessible. Je préfère continuer en console, l'interface web est lente et je ne suis jamais sûr de tout ce qui est fait quand je clique sur Apply.

Configuration WPA-PSK

Je vais créer un SSID aironet_wpa avec une clé partagée toto1234 sur l'interface qui fournit du 802.1g. Je fais aussi en sorte que le SSID soit annoncé.

ap(config)#interface Dot11Radio0
ap(config-if)#encryption mode ciphers tkip
ap(config-if)#ssid aironet_wpa
ap(config-if-ssid)#authentication open
ap(config-if-ssid)#authentication key-management wpa
ap(config-if-ssid)#wpa-psk ascii toto1234
ap(config-if-ssid)#guest-mode
ap(config-if-ssid)#no shut
ap(config-if)#
*Mar  1 01:26:17.628: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to reset
*Mar  1 01:26:17.649: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up
*Mar  1 01:26:18.649: %LINEPROTO-5-UPDOWN: Line protocol on Interface Dot11Radio0, changed state to up

Ne pas oublier de sauvegarder la configuration en l'état.

ap(config-if)#end
ap#write
Building configuration...
[OK]

Association et administration

Lorsque je sélectionne cet SSID dans mon ubuntu et que je m'y associe, le aironet me prévient en console.

*Mar  1 01:27:56.496: %DOT11-6-ASSOC: Interface Dot11Radio0, Station   000f.ea91.xxxx Associated KEY_MGMT[WPA PSK]

Il est possible d'obtenir des informations sur ce client associé.

ap#sh dot11 associations 000f.ea91.xxxx
Address           : 000f.ea91.41a1     Name             : NONE
IP Address        : 192.168.1.107      Interface        : Dot11Radio 0
Device            : unknown            Software Version : NONE 
CCX Version       : NONE

State             : Assoc              Parent           : self               
SSID              : aironet_wpa        VLAN             : 0
Hops to Infra     : 1                  Association Id   : 12
Clients Associated: 0                  Repeaters associated: 0
Tunnel Address    : 0.0.0.0
Key Mgmt type     : WPA PSK            Encryption       : TKIP
Current Rate      : 54.0               Capability       : WMM ShortHdr ShortSlot
Supported Rates   : 1.0 2.0 5.5 11.0 6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0
Signal Strength   : -29  dBm           Connected for    : 178 seconds
Signal Quality    : N/A                Activity Timeout : 3 seconds
Power-save        : Off                Last Activity    : 56 seconds ago

Packets Input     : 47                 Packets Output   : 10        
Bytes Input       : 5612               Bytes Output     : 1651      
Duplicates Rcvd   : 0                  Data Retries     : 0         
Decrypt Failed    : 0                  RTS Retries      : 0         
MIC Failed        : 0                  MIC Missing      : 0         
Packets Redirected: 0                  Redirect Filtered: 0

P.S.: Un carambar à celui qui comprendra la référence du titre.

Aaaaaaaaaaaaaaaaï love americaaaaaaaaaaaaaaaa

hr — Sun, 14 Sep 2008 07:41:00 +0200

Je viens de m'acheter un X61s aux US. Problème de taille, le clavier qwerty ne me permet pas de lancer mon 'poï' habituel. L'utilisation d'une touche compose devrait rêgler ce problème. Très simple sur une ubuntu, Système > Préférences > Clavier, Options d'agencement et la flèche Position de la touche Compose. Personnellement, j'ai choisi la touche windows de gauche qui ne me sert à rien. Après ça, les caractères accentués et autres sont accessible par une combinaison de touches. En appuyant sur la touche Compose, appuyer sur la touche de l'accent puis la touche du caractère. Par exemple, <touche compose> + ' + e donnera "é" ou <touche compose> + , + c donnera "ç". Une liste de différentes sequences est disponible sur wikipedia.

On ne comprend pas ce que tu veux dire mon vieux

hr — Wed, 30 Jul 2008 15:06:00 +0200

C'est con de se retrouver avec des cartes RAID sympathiques que l'on doit pouvoir administrer en web sans arriver à y accéder. Pourquoi j'ai besoin de faire du http ? Tout simplement parce qu'avec la version du firmware installée (1.42) la mise à jour est impossible via DOS ou la CLI.

Tout semble être correctement configuré dans l'interface de la carte. Dans le menu de la carte : Ethernet Configuration > Local IP Address > 192.168.1.100 et ça devrait rouler. On remarque au passage l'absence totale de configuration de masque de sous-réseau ou de passerelle par défaut. Petite subtilité, si vous voulez utiliser la configuration en ip statique, il faut absolument passer le champ DHCP Function à Disabled. Ca peut sembler évident dit comme ça, mais je viens de perdre pas mal de temps pensant que le dhcp ne fonctionnait qu'en état d'origine avec l'ip à 0.0.0.0.