Les pieds dans le code

Depuis ce week-end, il y a quelque soucis sur la Bricabox…

Le ping réponds, mais les sites et le ssh non. Une surcharge ? Ca m’étonnerais. Des attaques ? Pas plus que d’habitude, quoique, une bonne série de tentative d’accès en brut force.

Je ne sais pas si cela vous a géné, moi pas trop :-). Cependant, je vais tacher d’être vigilant ces prochain jour, et étudier la possibilité de changer de serveur web (aujourd’hui Lighttpd, passé à Nginx ou l’Apache Chrooté d’OpenBSD), ou bien changer de serveur d’application (passer de mongrel à Thin, ebb ou carrement ModRails (avec Apache)).

Je vous tiendrais au courant si je trouve un quelque chose d’interessant.

Le week-end fut long. Et j’ai du faire des consessions pour que tout ce petit monde revienne en ligne.

La principale modification du serveur c’est un passage à OpenBSD 4.2 avec un changement de partage du disque. /var et /home font maintenant la même taille, et /var va accueillir la partie publique enligne du serveur.

Par contre, je pensais passer à Apache+FastCGI en environnement chroot(2) mais apache a vraiment un système de configuration un peut trop vieux et compliqué à mon gout…

Retour donc pour le moment à ce bon lighttpd et un cluster de mongrel. Je pense que mongrel va finir par sauter pour laissé place à FastCGI (a voir) histoire de faciliter le chrootage de l’ensemble (plus facile de chrooté quand la communication se fait via des sockets que tcp je pense… à voir).

Voilà, pour le moment, c’est tout, vous pouvez retourner à une activitée normale.

Un petit screenshot au coeur de l’action, avec un petit uname(1) qui nous montre un bel OpenBSD 4.2 tout frais le tout avec mon archlinux clickaconvi comme on dit :)

Maintenant que la nouvelle version d’"OpenBSD":http://www.openbsd.org est sortie, la bricabox va migrer. Mais non, finalement. Histoire de préparer l’arrivée de nouveaux services pour les colocataires (Zifro et sont eternel teaser: Zlab.fr Jean-mi et ces vaches) et de permettre une modification de l’environnement (passage prévu de lighttpd+mongrel à l’apacheChrootéD’OpenBSD + fastCGI), la bricabox va être re-installée.

Du coup, l’interruption de service pourrais être longue. Elle commencera quand nous aurons fait nos backup, et se terminera… Et bien vous verrez bien :)

D’ici là, soyez sage (oui j’ai remarqué qu’il y avait pas mal de spam en ce moment :-/)

On pourrais parler ici de gandi un fournisseur “éthique” de nom de domaine… Mais je souhaite vous parler d’une découverte faite hier.

On le sait, certaine personnes/société achète un paquet de nom de domaine s’approchant du leur, histoire de pallier aux erreurs de frappe, aux fautes d’orthographes, et toujours amené le surfeur sur la bonne vague. En général, ces noms de domaines alternatifs nous redirige sur le site principal, où bien pointe directement sur le dit site.

Mais je n’avais jamais vu un site annoncé l’erreur, tout simplement. J’aime beaucoup comment alsacreations a géré le cas de figure de l’oublie du s à alsacreations.

Encore une belle utilisation des possibilités infinies du web et de ces outils :-)

Sans vouloir faire de mauvais jeux de mots, on peut dire que ça tombe à pique !

Ce blog, ainsi que celui de lacomte by Jean-mi et le teaser infernal j’ai nommé zlab.fr tourne par le biais d’un frontal Lighttpd et d’un cluster de serveur d’application Mongrel. Lighttpd plutôt qu’apache car j’ai été séduit par la facilité de lecture et de confection du/des fichiers de configuration.

Mais voilà, cette petites phrase m’a fait réfléchir:

I’m sad to say that I have to recommend people not use lighttpd anymore. The author hasn’t updated the mod_proxy plugin and isn’t providing too much support for the bugs it has. If you’re running lighttpd and you constantly see 500 errors that are never recovered, then you should switch to Apache or another web server that can handle properly balancing backends.

(source sur le site de mongrel)

Du coup j’ai pendant un temps pensé à revenir sur Apache. Mais en découvrant lighttpd je m’étais rendu compte que d’autre serveur existait derrière Apache et IIS. Il était temps de creuser la question.

Et là, ces dernier temps l’un d’entre eux sort du lot, un serveur web d’origine Russe: ngnix [engine x]. Et ma fois, coté fichier de configuration c’est aussi clair que lighttpd, et apparemment c’est bien performant comme on l’aime.

Du coup, observation des paquets OpenBSD… pas de ngnix… Regardage du coté des ports OpenBSD rien non plus :-(.

Alors une option:compile et construction de paquet maison ? hmmm. Même pas le temps de réfléchir à la question que voilà qu’une news tombe comme ça, un dimanche en plus, chez les morts-vivants: New Ports of the Week #36 (September 2) et PAF ! dans la liste voilà ti pas un ports ngnix tout beau qui débarque.

C’est parfait. Le temps de faire quelque test et réglage, on vas voir si ça vaut le coup de changer.

En ps, pour les fan de TetriNet, un ports pour le serveur TetriNetX viens de voir le jour également.

Que ferait on aujourd’hui sans ces kilomètes de cable RJ45, ces Dorsales. Hein ? Et sans ce bon vieu (à l’échelle de l’informatique) protocole HTTP ? Déjà vous ne seriez pas ici, et moi non plus (sur ce blog bien sur).

Comme l’informatique bouge vite, avance rapidement, les premier documents fourni par ce protocole réseau au format textes on laissé leurs placent aux documents au format ouvert HTML.

Mais depuis quelque temps le web dynamique nous gratifi d’_application en ligne_. On a même maintenant un Web 2.0 et tout ça que c’est beau ça brille avec Ajax.

Alors je ne sais pas si je suis le seul, mais dans toutes ces applications so web 2 et même les autres, plus simple (_so web 1.0 ?) sont basé, pour la plupart, sur des outils opensource. A priori.

• en serveur web: 56% d’apache, 1,2% de lighttpd
• en base de données: 15% mysql, 4% postgresql, 12,8% firebird (attention c’est global, pas uniquement web ici)
• en langage de script: pas de chiffres, j’ai pas trouvé mais on le sait, PHP, Python, Ruby, Java

Alors c’est bien beau tout ça, ça donne l’impression d’être du coté clair de la force. Soit. Mais est-ce que les sources de toutes ces applications web sont disponible ? Où est le code source de flickr ? Où sont les sources des plateforme de blog divers et varié (je ne parle pas des moteur de blog genre Typo mais plutôt des plateforme genre overblog et autres typepad) ?

Alors livrer un contenu en Creative Common c’est une chose, mais fournir les sources permettrais de ce placer réellement du bon coté de la force. Promis si je fait une modif de Typo je fournirais les sources. De toute façon la license nous y oblige dans la pluspart des cas. Mais qui le fait réellement ?

Pour remédier à cela, la FSF (FSF-France) planche sur une nouvelle license, dérivé de la GNU GPL v3, j’ai nomé la GNU Affedro GPL v3

Et pour finir, un petit extrait du pourquoi la réalisation de cette license est important:

A secondary benefit of defending all users’ freedom is that improvements made in alternate versions of the program, if they receive widespread use, become available for other developers to incorporate. Many developers of free software are heartened and encouraged by the resulting cooperation. However, in the case of software used on network servers, this result may fail to come about. The GNU General Public License permits making a modified version and letting the public access it on a server without ever releasing its source code to the public.

The GNU Affero General Public License is designed specifically to ensure that, in such cases, the modified source code becomes available to the community. It requires the operator of a network server to provide the source code of the modified version running there to the users of that server. Therefore, public use of a modified version, on a publicly accessible server, gives the public access to the source code of the modified version.

Alors messieurs du web 2.0.1_p35 merci d’arreter de proner les valeurs du libre sans les suivre.

Bon d’un autre coté c’est peut-être moi qui n’est rien compris et qui me croyais dans le monde de oui oui où tout le monde il est beau, tout le monde il est gentil, et tout le monde fait du libre… C’est bien mon genre ça…

Finalement l’envie de bloguer me reprend. Après divers aventures je vais essayer de faire un résumé de ce qu’il c’est passé ces deux dernier mois regarde la date du dernier billet affiché Ouch ! le 4 mars, oui c’est bien ça, même plus de deux mois.

• J’ai changé de boulot (je suis maintenant chez un petit éditeur de la région)
• La poumibox est devenue la bricabox et a maintenant son nom de domaine: www.bricabox.info. Elle héberge toujours le blog de Jean-mi lacomte et le teaser qui n’en fini plus de Zifro avec son zlab.fr. D’ailleurs, y’a quelque éléments dont je reparlerais par rapport à cette box ;-)
• La bricabox toujours, esst enfin passé à la version 4.1 d’openbsd qui apporte sont lot d’évolution. A noté l’exellent thème (pas trop dur de faire mieux que puffyx de la version 4.0): Puffy baba and the 40 vendors en référence aux éternels vendeurs de cartes et autres périphériques qui ne fournissent pas les spécifications matérielles permettant d’implémenter un pilote libre pour leur utilisation :(
• Nous avons aménagé la pièce qui nous servais de débaras pour y installer un bureau, un vrai :-)
• On a commencé à s’habituer doucement à la région (et à découvrir des coins sympa dont je reparlerais surement ici.
• Et j’en oublie surement (en 2 mois il s’en apsse des choses !) mais c’est déjà pas mal.

A bientôt surement, et désolé pour les quelques personnes (s’il y’en a) qui avait l’habitude de passer par ici de l’absence sans trop d’explication. J’ai eu un coup de démotivation pour ce blog…

Juste pour prévenir de petites modifications dans la sidebar:

• Le logo de l’APRIL fait son apparition, si vous ne connaissez pas encore, allez y faire un tour ;-)


• 
  Le lien art point désormé sur art.typouype.org en remplacement de l’ancien photos.typouype.org. C’est plus généraliste, c’est mieux pour moi qui ne suis ni graphiste, ni photographe.

• Le lien zone.typouype.org à été remplacé par bac à sable pointant sur sandbox.typouype.org parce que j’en avais envie :-p

Bon il faut encore que je remplace les divers liens des anciens billets, mais vous pouvez remprendre une activité normal :)

Accéder à un serveur, avant ça se faisait par telnet. Maintenant Telnet est utilisé pour tester les connexions d’un serveur HTTP ou SMTP (ou autres) mais surement pas pour faire de l’administration de machine, car telnet est simple, basique et transmet en clair toute les instruction tapé, y compris les mots de passe.

Pour un accès plus sécurisé, l’administration de serveur (ou la simple connexion) s’effectue par le biais d’SSH. SSH est un protocole de communication, OpenSSH (voir aussi le site officiel OpenSSH.org) est un ensemble d’outil libre permettant l’utilisation de ce protocole.

Bon on arrête là les liens vers wikipedia :p Le but c’est donc de ce connecté de manière sécurisé à une machine distante. Pour cela, la machine distante doit avoir un “serveur” (ou démon) ssh qui écoute sur un port (par défaut: le 22). La commande en question:

ssh login@machine

et oui, tout simplement aller voir la man page ssh(1) pour en savoir plus.

Ensuite il faut saisir un mot de passe. Quand c’est une fois de temps à autre, ça peut aller. Quand cela vous arrive souvent taper tout le temps des mot de passe peut devenir pénible. On peut y remédier simplement. Tout d’abord, il faut se créer une clé. La commande ssh-keygen(1) nous permet de créé une clé privée et une clé publique chiffré en utilisant soit un type RSA soit DSA (arf, encore des lien wikipédia :-p ). Prenons DSA qui apparement est plus sécurisé (je ne suis pas un expert en sécurité, si quelqu’un peut me confirmé ça ?)

yafra@yeti:~$ ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/yafra/.ssh/id_dsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/yafra/.ssh/id_dsa.
Your public key has been saved in /home/yafra/.ssh/id_dsa.pub.
The key fingerprint is:
90:56:9d:14:00:96:a1:73:dc:d1:ca:ef:09:fd:28:e6 yafra@yeti
yafra@yeti:~$

En plus de préciser l’endroit où l’on souhaite placer les clefs, on peut préciser une phrase qui servira de confirmation de clef. Cette commande va donc créer une clé publique et une privée dans le répertoire .ssh (dans mon cas). On retrouve un fichier id_dsa pour la clé privée et un id_dsa.pub pour la clé publique.

Bien, maintenant on va ajouter la clé publique sur les serveur que l’on veux pouvoir contacter sans saisir de mot de passe. On vas utiliser la commande scp(1) pour ça.

scp .ssh/id_dsa.pub monlogin@monserveur:.ssh/

On place notre clé publique dans le repertoire .ssh de notre utilisateur sur le serveur cible. Ensuite il faut se placer sur le serveur en question pour effectuer l’ajout de la clé dans la liste des cléfs autorisés:

ssh monlogin@monserveur
cat .ssh/id_dsa.pub >> .ssh/authorized_keys

Et voilà, le tour est joué. On peut maintenant se connecter en ssh sur cette machine en tapant simplement:

ssh monlogin@monserveur

Et sans avoir à taper de mot de passe. La seul condition est d’avoir la clé privé correspondante placé dans le repertoire .ssh (ou autre en fonction de la configuration du client ssh, mais c’est une autres histoire).

Ca faisait longtemps que j’avais pas posté. Faut dire qu’en se moment jesuis pas mal pris… tiens je vais d’ailleurs faire un petit top un de ces jours, dès que j’ai retouché quelque photos pour mettre avec :).

Pour ce qui est de ce billet, c’est pas bien compliqué, c’est des infos qu’on peut trouver sur pas mal de site, mais je pense que ça ne tueras personne que l’info soit disponible un peu plus :) et puis ça me fait plaisir de parler d’OpenSSH et de SSH en général, je m’en sert quotidiennement. Désolé pour ceux qui eventuellement ne comprendrais rien à tout ça (hein Terckan ;-) ).

En préparation d’un migration à la version 4.0 du système du poisson lune, je vais appliquer les patchs de sécurité de la 3.9, histoire d’être le plus à jour possible et effectuer une migration douce.

Il se peut que le service de ce blog et de celui de la comte soit perturbé. Désolé pour la gène occassionée.

Depuis le temps que je doit faire ça… Ce qui est bête c’est que ce n’est pas grand chose, mais que ça prend du temps. Du temps de téléchargement (surtout au début pour récupérer les sources) et du temps de compilation. Mais maintenant que je suis dans une vrai société qui fait de la vrai informatique, j’ai un accès ssh à mon serveur et je peut tranquillement lancer un téléchargement, une compile, sans nuire à mon travail :)

Continue reading...