Derniers articles

Serveur ftp avec vsftpd : S�curit�. (2)

Fri, 18 Jun 2010 04:10:51 +0200

Nous venons de voir comment mettre en oeuvre de fa�on s�curis� un serveur ftp avec vsftpd/pam/xinetd, nous allons voir maintenant, afin de nous s�curiser un peu plus, comment crypter ces �changes ftp avec OpenSSL.

OpenSSL c'est quoi ? Et bien c'est une boite � outils comme dit sur le Wikip�dia, des biblioth�ques ainsi que des commandes en ligne, et avec ces outils, nous allons pouvoir crypter nos �changes, c'est le m�me principe que lorsque vous achetez un produit quelconque sur le web, g�n�ralement, au moment de banquer vous devez signer un certificat de s�curit� un peu obscur, puis vous passez en mode "s�curis�" (https), a partir de la, les donn�es qui transitent entre vous et le "site" (num�ro de carte bancaire, coordonn�es etc...) sont crypt�es. C'est le r�sultat d'Openssl coupl� au serveur Apache, nous, nous allons le coupler � Vsftpd, le principe restera le m�me mise � part que ce sera le protocole ftp qui sera crypt� (ftps)et non http.

Ah oui, cette histoire de certificat...En quoi cela ajoute t'il une s�curit� ?? Normalement, on se cr�er un certificat avec nos coordonn�es, mail, le domaine du site..., puis on le soumet � un organisme de v�rification qui certifiera de notre identit� en signant notre certif, comme �a, le client qui va voir notre beau certificat constatera que machin l'a v�rifi� et il pourra donc le signer et ainsi avoir une confiance aveugle, ou presque.

c'est super mais �a coute beaucoup de sous de faire signer son certificat par les gens qui vont bien... Alors comme c'est la crise, on va s'auto-certifier nos certificat, on va les signer nous m�me !

Commen�ons !

Nous repartons sur la configuration du premier article, donc notre serveur ftp est d�j� fonctionnel, il ne reste plus qu'� installer OpenSSL, g�n�rer les certificats, avertir vsftpd du changement et enfin, configurer le client ftp pour qu'il soit sur le protocole ftps pour pouvoir se connecter.
Code BASH :

apt-get install openssl

Sera n�cessaire mais il est tr�s probable qu'il soit d�j� install�. Le fait qu'il soit install� ne veut pas dire qu'il ne reste qu'a ajouter deux ou trois choses. On va commencer par cr�er un r�pertoire qui contiendra deux sous r�pertoires, un pour la base de donn�es des certificats que nous signerons (priv�), un autre pour les demande et ceux que l'on g�n�rera (newcerts).
Code BASH :

mkdir /etc/CA     # CA pour Certificat d'Autorit�.
cd CA
mkdir priv� newcerts

Jusque l� rien de transcendant, cr�ons la base de donn�es qui accueillera les futurs certificats que nous signerons :
Code BASH :

echo '01' > serial
touch index.txt

Maintenant, nous allons cr�er un fichier de configuration sp�cifique que nous agr�menterons au fur et � mesure du courant. Pour le moment, on y met que �a :
Code BASH :

nano /etc/CA/openssl.cnf
 
# OpenSSL configuration file. 
# 
 
# Establish working directory. 
dir = . 
 
 
[Req] 
 default_bits = 1024 # Taille des touches 
 key.pem default_keyfile = # nom de cl�s g�n�r�es 
 default_md = md5 message # algorithme de 
 string_mask = # nombstr permis caract�res 
 distinguished_name = req_distinguished_name 
 
 ] Req_distinguished_name [ 
 # Nom de la variable de cha�ne rapide 
 #---------------------- --------------------------- ------- 
 0.organizationName = Nom organisation (entreprise) 
 organizationalUnitName = Unit� organisation Nom (d�partement, division) 
 emailAddress = Adresse Email 
 emailAddress_max = 40 
 Nom Localit� localityName = (ville, district) 
 stateOrProvinceName = nom �tat ou la province (nom complet) 
 Nom Pays countryName = (2 letter code) 
 countryName_min = 2 
 countryName_max = 2 
 commonName = Nom commun (nom h�te, IP, ou votre nom) 
 commonName_max = 64 
 
 # Les valeurs par d�faut pour ce qui pr�c�de, par souci de coh�rence et moins de frappe. 
 # Nom de la variable Valeur 
 #------------------------------ ------------------- ----------- 
 0.organizationName_default = La Soci�t� �chantillon 
 localityName_default = Metropolis 
 stateOrProvinceName_default = New York 
 countryName_default = US 
 
 [V3_ca] 
 basicConstraints = CA: TRUE 
 subjectKeyIdentifier = hash 
 authorityKeyIdentifier = keyid: toujours, l'�metteur: toujours

Voila tout ce qu'il faut pr�ciser pour commencer, ce fichier est modulaire, diff�rentes sections peuvent le composer, et certaine section peuvent avoir besoin d'autres sections... Chaque section commence par un nom entre crochets, ici cest : REQ.
Dans ce fichier, il n'a que la section concernant les coordonn�es propre a la demande d'un certificat qui soit l� mais nous pouvons des maintenant cr�er notre certificat racine et se l'auto-signer avec cette commande :
Code BASH :

openssl req -new -x509 -extensions v3_ca -keyout private/cakey.pem -out cacert.pem -days 650 -config ./openssl.cnf

Je vous invite a lire la page de man d'OpenSSL pour plus d'infos, ici, on passe une requ�te pour avoir un nouveau certificat signable, il devrait placer la certificat d'autorit� dans le r�pertoire courant (/etc/CA si on est d�j� dedans), celui ci sera valable 650 jours, et la cl� priv�e qui va avec dans private, et il devra faire tout �a en fonction de la configuration pr�sente dans son fichier de conf.

Dors et d�j�, avec notre nouveau certificat d'autorit� racine (cacert.pem), nous pouvons cr�er n'importe quel nombre de "sous" certificats pour diff�rentes applications (https, fpts, simap...). Il faut maintenant cr�er l'invitation � signer notre certificat, on va rajouter des param�tres au fichier de conf :
Code BASH :

 req_extensions = v3_req

A placer en dessous de la ligne
distinguished_name = req_distinguished_name
Ensuite, � la fin du fichier rajouter ceci :
Code BASH :

 [V3_req] 
 basicConstraints = CA: FALSE 
 subjectKeyIdentifier = hash

cr�ons cet invitation :
Code BASH :

openssl req -new -nodes -out req.pem -config ./openssl.cnf

Ce processus cr�e deux fichiers, une cl� priv� key.pem et l'invitation � signer qui va avec req.pem, qu'il serait pr�f�rable de renommer si on utilise SSL sur plusieurs services.

On a notre certificat d'autorit� racine, on a notre invitation a signer, certifions nous en nous signant alors ! Une derniere fois, on �dite le fichier de conf pour lui rajouter les choses qui vont bien, a savoir la ou il trouvera la base de donn�es, ou est la cl� priv�e... Ajoutons ces quelques ligne avant la section req :
Code BASH :

[ ca ] 
default_ca = CA_default 
 
[ CA_default ] 
serial = $dir/serial 
database = $dir/index.txt 
new_certs_dir = $dir/newcerts 
certificate = $dir/cacert.pem 
private_key = $dir/private/cakey.pem 
default_days = 365 
default_md = md5 
preserve = no 
email_in_dn = no 
nameopt = default_ca 
certopt = default_ca 
policy = policy_match 
 
[ policy_match ] 
countryName = match 
stateOrProvinceName = match 
organizationName = match 
organizationalUnitName = optional 
commonName = supplied 
emailAddress = optional

Maintenant signons le !!!
Code BASH :

openssl ca -out cert.pem -config ./openssl.cnf -infiles req.pem

Nous venons de cr�er deux nouveau fichiers, notre certificat sign� (enfin) et une copie de celui ci dans newcerts. Ce certificat comporte deux version, une cod�e, une humainement compr�hensible, enlevons cette derni�re pour plus de s�curit� :
Code BASH :

mv cert.pem tmp.pem 
openssl x509 -in tmp.pem -out cert.pem

L'installation du certificat et de sa cl� d�pend de l'application de destination, pour vsftpd, on va fusionner ces deux derniers :
Code BASH :

cat key.pem cert.pem >key-cert.pem

Pour finir, expliquons � vsftpd qu'il doit g�rer le SSL et que les logins/passwords ainsi que tout le transite ftp, devront �tre crypt�s, et ou se trouve le certificat et la cl� SSL.
Code BASH :

nano /etc/vsftpd.conf
 
listen=NO
anonymous_enable=NO
local_enable=YES
virtual_use_local_privs=YES
write_enable=YES
connect_from_port_20=YES
pam_service_name=vsftpd
guest_enable=YES
guest_username=www-data
user_sub_token=/var/www/$USER
local_root=/var/www/$USER
chroot_local_user=YES
hide_ids=YES
xferlog_enable=YES
user_config_dir=/etc/vsftpd/vsftpd_user_conf
 
# Pour le SSL
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=NO
force_local_logins_ssl=YES
 
ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES
rsa_cert_file=/etc/CA/key-cert.pem

Voili voilou, on relance vsftpd et l'affaire et dans le sac. A noter que tout les clients ftp ne g�re pas forc�ment le ftps ou ftpes Pour moi cela a fonctionn� avec FileZilla en mode ftpes

Serveur ftp avec vsftpd : S�curit�. (1)

Fri, 18 Jun 2010 04:08:47 +0200

ici nous allons voir bri�vement comment, avec VSFTP, on peut se cr�er un "syst�me d'h�bergement", un peu comme ce que pourrait nous offrir un h�bergeur comme PHPNux, mais l'on pourrait tr�s bien y trouver quelques utilisations internes en entreprise.

Il s'agit l� de monter un serveur web pour consulter des documents, et ftp pour les manipuler. Comme ce n'est pas encore la foire au dindons, il ne faut pas que n'importe qui puisse faire n'importe quoi donc nous allons faire appel � un syst�me d'authentification pour s�curiser un peu tout cela.

Bon, l'id�e est lanc�e, il faut la mettre en oeuvre, partons sur une Debian Lenny comme syst�me, celle du Raid 1 par exemple, pour m�moire et pour celles et ceux qui n'auraient pas lu l'article en question, il s'agit d'un serveur �quip� d'un syst�me Debian Lenny, mont� sur un RAID 1 gr�ce � mdma, le tout dans VirtualBox, cette VM est vue comme une machine physique sur mon r�seau local. Nous choisirons Apache et consorts pour assurer la partie web, bien sur Vsftpd pour la partie ftp et Pam pour s'occuper de l'authentification.

Commen�ons !

On peut installer l'ensemble des composants en m�me temps, cependant, limitons nous � la partie web pour le moment, et installonsle serveur Apache 2 ainsi que quelques outils qui pourraient �tre n�cessaires :
Code BASH :

apt-get install apache2 mysql-server php5 php5 mysql phpmyadmin

Nous venons d'installer le serveur web, un serveur de bases de donn�es ainsi qu'un langage web tr�s r�pandu en deux secondes !

Il y a tr�s peu de configuration a faire pour obtenir une page accessible depuis le r�seau, cela se situe principalement au niveau du serveur Apache qu'il faut regarder un peu, c'est tr�s facile de voir son fichier de configuration sans les commentaires et c'est bien plus rapide d'y voir quelque chose !
Code BASH :

cat /etc/apache2/apache2.conf | egrep -v '#' | less

Cela nous � donn� un aper�u de ce qu'il y a dans ce fichier :
Cach�:
il faut l'�diter maintenant pour modifier quelques param�tres en prenant soin d'en garder une copie de sauvegarde avant.
Code BASH :

cp /etc/apache2/apache2.conf /etc/apache2/apache2.conf-origine
nano /etc/apache2/apache2.conf

Juste au dessus de la directive ServerRoot, rajouter la suivante :
Code BASH :

ServerName 192.168.1.141:80

Cette directive indique � apache sur quelle adresse et port il doit s'identifier lui m�me. 192.167.1.141 est l'adresse de la machine virtuelle, 80 le port d'�coute par d�faut.
Apr�s �a, on va faire en sorte qu'Apache n'envoie pas trop de d�tail sur qui il est ! Cela se passe dans le fichier security. Dans ce fichier, on peut d�finir la quantit� d'infos qu'Apache envoie � son sujet (syst�me sur lequel il tourne par exemple).
Code BASH :

nano /etc/apache2/conf.d/security

Ici, on va d'abord se rendre � la ligne ou se situe la directive ServerTokens, on peut attribuer plusieurs niveaux � celle ci :

Full
OS
Minimal
Minor
Major
Prod

Chacunes d�signent un niveau d'info envoy�es, ici je choisis Prod, pour ne rien envoyer, j'ajoute :
Code BASH :

ServerTokens Prod

Ensuite, pour ne pas envoyer le nom du serveur en lui m�me, juste en dessous, passons la directive serverSignature sur off
Code BASH :

ServerSignature Off

On reload la configuration dans le serveur pour prendre en compte imm�diatement ces changements :
Code BASH :

/etc/init.d/apache2 reload

Voila pour la partie web !
Notre serveur est correctement configur� et pr�t � accueillir de simples fichiers html statiques � afficher ou une structure de site dynamique gr�ce au serveur de bases de donn�es et � PHPMyadmin pour administrer celles ci.

On peut maintenant s'occuper de la partie ftp/authentification, qui sera le "gros morceau" du howto puisque nous allons �tre beaucoup plus exigeant que dans un pr�c�dent article ou j'expliquais la mise en place de VSFTPD dans une conf basique; Ici, l'utilisateur anonyme sera bannit !

Nous allons installer le serveur ftp de fa�on � ce que seule une personne identifi�e puisse s'y connecter, mais aussi de fa�on � ce que le serveur ne soit pas constamment en �coute, mais se r�veille seulement lors d'un appel. Nous ferons aussi en sorte que le dossier de l'utilisateur soit la racine du (ou des si plusieurs users) site(s) web.

Tout cela est possible gr�ce au trio Vsftpd/pam/xinetd. Vsftpd pour le serveur ftp donc, Pam, qui signifie Pluggable Authentication Modules offre un syst�me d'authentification simple et tr�s s�curis�, gr�ce � lui, nos utilisateurs seront list�s dans un fichier bien sp�cifique accompagn� de leurs mots de passes respectifs crypt�s. Enfin xinetd s'occupera de mettre le serveur ftp en �coute quand un utilisateur se sera authentifi� avec succ�s, puis d'inverser cet �tat dans le cas contraire, ainsi le serveur ne reste pas constamment en �coute et rajoute un petit plus en s�curit�.

Alors, pour r�aliser tout cela, il nous faut installer vsftpd, xinetd, apache2-utils et la libpam-pwdfile si elle n'est pas pr�sente.
Code BASH :

apt-get install vsftpd xinetd apache2-utils libpam-pwdfile

On reviendra sur le pourquoi du apache2-utils...
Observons la configuration par d�faut de vsftpd :
Code BASH :

cat /etc/vsftpd.conf | egrep -v '#'

On peux voir que la configuration ne correspond pas vraiment a ce que l'on cherche !
Code BASH :

listen=YES
anonymous_enable=NO
local_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem

Il faut changer quelque param�tres, en enlever et en rajouter de sorte qu'� la fin, il ne doit rester que cela :
Code BASH :

#Le serveur n'�coute pas en continue.
listen=NO 
#Pas de connections anonymes.
anonymous_enable=NO 
#Connections des logins locaux accept�es
local_enable=YES 
#Les users hors syst�me poss�dent les m�mes privil�ges que les locaux
virtual_use_local_privs=YES 
#On autorise les manipulations de fichiers via ftp. Au choix.
write_enable=YES 
#On autorise les connections sur le port 20.
connect_from_port_20=YES 
#Nom du service d�clar� dans la configuration Pam.
pam_service_name=vsftpd 
#On autorise les connections invit�es afin de les "convertir" vers une nouvelle identit�.
guest_enable=YES 
#Puisque c'est pour manipuler du contenu web, www-data et l identit� qui convient.
guest_username=www-data 
#Permet de cr�er des r�pertoires personnels � la vol�e en fonction du contenu de guest_username.
#Si l utilisateur est www-data, son r�pertoire devrait �tre /var/www/homes/$USER.
 #Ainsi chaque guest aura son r�pertoire perso dans /var/www/ .
user_sub_token=$USER
#Sera la racine du serveur ftp
local_root=/var/www/$user
#On emprisonne les processus utilisateurs
chroot_local_user=YES
#Cette option permet d'afficher TOUS les fichiers sous l identit� ftp:ftp.
#Permet �galement de masquer le nom du serveur. 
hide_ids=YES
#On conserve une trace de toute connections ou tentative.
xferlog_enable=YES
#On d�termine ou seront les fichier de configuration de chaque utilisateur virtuel.
user_config_dir=/etc/vsftpd/vsftpd_user_conf

J'esp�re que mes commentaires sont suffisamment clair et explicite.

Passons � l'authentification, on a pr�venu vsftp que les utilisateurs passeraient voir Pam pour s'authentifier avant de rentrer, parce que Pam, elle est chouette, elle s'occupe d'authentifier tout un tas de services et gens si on lui demande gentiment, il n'y a qu'� voir dans /etc/pam.d/ pour s'en rendre compte... En installant vsftpd, on a install� une configuration Pam par d�faut (comprise dans le paquet). Celle ci se base sur le fichier ftpusers et l'existence d'un vrai user, avec un shell distant... Et c'est moche !

On � install� tout � l'heure le paquet apache2-utils, et bien celui ci permet de g�n�rer des fichier passwd pour les serveurs web, mais cela fonctione aussi sur le ftp, c'est un fichier de ce type qui va h�berger l'identit� de nos utilisateurs sous la forme login mot-de-passe. Donc nous allons cr�er un fichier vsftpd.passwd qui va contenir un utilisateur "test" mot de passe "test".
Code BASH :

htpasswd -b -c /etc/vsftpd.passwd test test

Voil� notre premier utilisateur guest cr��, construisons lui son r�pertoire personnel dans /var/www, celui ci s'appelera test, forc�ment.
Pour cr�er d'autres utilisateurs, la commande sera la suivante :
htpasswd /etc/vsftpd.passwd utilisateur
Le mot de passe du nouvel utilisateur sera demand�. A noter que ces utilisateurs sont "virtuels", ils sont ext�rieur au syst�me et qu'il faudra leurs cr�er un home correspondant dans /var/www.

Maintenant, il nous faut cr�er un fichier de configuration pour cet utilisateur test, un fichier qui va le restreindre un peu et qui se nommera test lui aussi, on le cr�� dans /etc/vsftpd/vsftpd_user_conf/ et on y place �a dedans :

Code BASH :

nano /etc/vsftpd/vsftpd_user_conf/test
 
anon_world_readable_only=NO
local_root=/var/www/test
write_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

L�, on le restreint dans son seul et unique r�pertoire, il ne peut pas voir le reste du monde mais il peut cependant faire "ce qu'il lui plait" dedans.

Nous allons maintenant renseigner le fichier de configuration de vsftpd dans /etc/pam.d/ et changer les deux lignes en dessous de # Standart behaviour for ftpd(8).
Code BASH :

# Standart behaviour for ftpd(8)
auth         required       pam_pwdfile.so pwdfile=/etc/vsftpd.passwd
account   required       pam_permit.so

Ici on a indiqu� que Pam trouverait les cartes d'identit�s des utilisateurs autoris�s dans le fichier vsftpd.passwd g�n�r� pr�c�demment, on lui dit aussi que la biblioth�que pam_pwdfile.so lui permettrait de d�chiffrer les passwords et qu'ainsi elle pourra ouvrir le compte utilisateur avec la cl� pam_permit.so
La fin approche, il ne reste plus qu'a indiquer au super serveur xinetd qu'il doit r�veiller vsftpd en cas de demande, pour cela, il suffit d'ajouter un fichier vsftpd dans /etc/xinetd.d/ et qui d�crira les conditions du service.
Code BASH :

nano /etc/xinetd.d/vsftpd
 
# Conditions pour le r�veil du ftp
service ftp
{
disable                  = no
socket_type          = stream
wait                        = no
user                        = root
server                     = /usr/sbin/vsftpd
per_source            = 5
instances               = 200
only_from              = 192.168.1.0/24
banner_fail            = /etc/vsftpd.busy_banner
log_on_success += PID HOST DURATION
log_on_failure    += HOST
}

D�taillons un peut toutes ces options :

disable : Active ou non le service demand�.
socket_type : on d�termine le type de binaire qui traitera le flux.
wait : D�termine si xinetd pourra g�rer plusieurs connections.
user : Identit� sous laquelle le service s'ex�cutera.
server : Chemin vers l'ex�cutable.
per_source : D�termine le nombre max de connections simultan�es par adresse source.
instances : La m�me qu'au dessus, mais pour toutes les sources.
only_from : D�termine qui peut �tre une source.
banner_fail : Texte renvoy� si le serveur ne r�pond pas.
log_on_success : Permet de sp�cifier les infos qui seront inscrite dans les journaux
log_on_failure : La m�me qu'au dessus, mais pour les �checs de connections.

Voi�, a partir d'ici, il suffit de relancer tous les services concern�s pour que tout soit fonctionnel. Par la suite, notre utilisateur "test" pourra uploader ces fichiers sur son espace web via ftp, ceux ci seront visible imm�diatement via un navigateur internet !

Tout ceci est bien chouette et un peu plus s�curis� que la normale, mais les �changes ftp sur le r�seau ne le sont pas tellement, pour rem�dier � cela, nous allons mettre en place SSL afin de chiffrer toutes ces transactions.... Je vous montrerai cela dans la deuxi�me partie de cet article.

Le RAID facile sous linux...

Fri, 18 Jun 2010 04:05:23 +0200

Vous disposez d'un petit serveur � la maison, confectionn� avec du vieux matos r�cup�r� de ci de l�, et configur� aux petits oignons par vos soins...

L'ennuie, c'est que ce vieux matos a souvent une f�cheuse tendance � r�clamer son d�part � la retraite, son disque dur fatigue pr�tend t'il... Mais crise oblige, l'heure n'est pas encore venue, et il va falloir bosser encore un peu ! Fort heureusement, dans le monde magique Linux, il existe des solutions pour rem�dier � ce probl�me, et il y en a de tr�s simple !

Nous allons aider le serveur en lui adjoignant un deuxi�me disque dur afin de seconder le premier, l'aider, le remplacer au besoin...
Beaucoup de technique de Scout sont dispo pour faire cela, plus ou moins on�reuse... mais c'est la crise ! Et par chance, il se trouve que je dispose d'un second vieux disque planqu� derri�re des fagots... Et mon ami le manchot me dit � l'oreille :

Et si tu utilisai ce deuxi�me disque pour basculer le serveur sur un RAID ??!!

Je ne vais pas faire de cours sur le RAID et ces diff�rents modes, il y a suffisamment de doc sur le nain Ternet. Nous choisirons ici le RAID 1, �galement appel� Mirroring ou disques en miroir, gr�ce � ce mode, les donn�es sont �crites de mani�re identique sur chaque disque qui compose la grappe, que se soit en RAID mat�riel, pseudo mat�riel ou logiciel.
Cela nous apportera que des bonnes choses, en voici un pitch :

S�curit� des donn�es accrue.
si l'un de mes deux disques tombe, le contr�leur le d�sactive et l'autre prends le relai de fa�on transparente pour l'utilisateur. Une fois le disque d�fectueux remplac�, le contr�leur reconstruira les donn�es sur le nouveau disque � l'aide de celui qui est toujours en fonction.
Souplesse de fonctionnement.
Les acc�s en lecture du syst�me se font sur le disque le plus facilement accessible � ce moment l� et les �critures de fa�on simultan�s, ainsi n'importe quel disque soit interchangeable n'importe quand (dixit Wikip�dia).

Nous suivront l'exemple didactique d'un article que j'ai lu sur le Linux Mag qui traite du sujet, et dont je reproduit une grande partie des manips ici.

Passons aux choses s�rieuses !

Notre vieux serveur est une vielle machine � l'age respectable et dont la config est la suivante :

CPU AMD Athlon 1800 XP (1,33 Ghz)
1,5 Go de m�moire RAM
1er disque dur : 6 Go sata
2�me disque dur : 6 Go sata
Syst�me Debian Lenny

La solution que nous allons mettre en place notre RAID 1 est la plus simple qui soit, comme je l'ai dis plus haut, c'est la crise, j'ai donc opt� pour un contr�leur RAID logiciel, c'est � dire qu'il sera g�r� par le syst�me d'exploitation du serveur (Ubuntu Gnu/Linux en l'occurrence) et non par un contr�leur d�dier (sur une carte) bien trop couteux.

Faisons un petit �tat des lieux et des manipulations avant toutes choses :

1 => La config des disques avant le RAID

Code TEXT :

disque 1 /dev/sda (disque d'origine)
Partitions : 
/dev/sda1 mont�e sur /
/dev/sda2 mont�e sur /boot
/dev/sda3 partition de swap
 
disque 2 /dev/sdb (disque que l'on va ajouter)
Partitions : 
Vierge

2 => Les manipulations

A : Partitionnement du second disque
B : Installation du contr�leur RAID
C : Configuration du second disque et int�gration dans la grappe nouvellement cr��e.
D : Configuration et int�gration du premier disque dans la grappe

�tat des lieux de sortie :

Config des disques avec le RAID 1 :

Code TEXT :

"disque" RAID mont� sur /dev/md
Partitions : 
/dev/md0 mont� sur /
/dev/md1 mont� sur /boot
/dev/md2 partition de swap

A : Partitionnement du second disque
pour se faire, nous utiliserons sfdisk, celui ci nous permet de partitionner le second disque a l'identique du premier gr�ce � une simple commande !
La voici pour notre cas pr�sent :
Code BASH :

sfdisk - d /dev/sda | sfdisk /dev/sdb

Il se peut que le terminal ronchonne un peu mais cela n'est pas important, nous pouvons v�rifier la sortie de cette commande en faisant un fdisk -l et ainsi voir que notre deuxi�me disque est bien partitionn�.

B : Installation du contr�leur RAID
Ce contr�leur sera MDADM, il est int�ressant car il va nous permettre de construire notre grappe RAID 1 avec seulement un disque dur, gr�ce � l'option missing...

Code BASH :

apt-get install mdadm

puis nous chargeons le module raid1

Code BASH :

modprobe raid1

Nous pouvons maintenant cr�er notre grappe en utilisant uniquement un seul disque (/dev/sdb) !! Et ce, gr�ce � l'option missing de mdadm.
Commen�ons :
Code BASH :

 
mdadm --create /dev/md0 --level=1 --raid-disks=2 missing /dev/sdb1
mdadm --create /dev/md1 --level=1 --raid-disks=2 missing /dev/sdb2
mdadm --create /dev/md2 --level=1 --raid-disks=2 missing /dev/sdb3

Nous pouvons v�rifier que notre grappe est bien cr��e en faisant un simple cat /proc/mdstat

Cr�ons ensuite les syst�mes de fichiers du RAID, ceux ci doivent �tre identique � ceux correspondant sur /dev/sda, ici c'est du ext3, l'autre partition est une partition de swap.

Code BASH :

 
mkfs.ext3 /dev/md0
mkfs.ext3 /dev/md1
mkswap /dev/md2

Pour activer notre grappe, il faut maintenant renseigner le fichier de conf du contr�leur raid (mdadm), en prenant soin de conserver une copie d'origine, non seulement par s�curit�, mais aussi parce qu'il nous sera utile par la suite...

Code BASH :

cp /etc/mdadm/mdadm.conf /etc/mdadm/mdadm.conf-origine

Pour nous simplifier encore plus la vie, il y a une commande magique (glan�e sur la revue Linux Magazine, comme beaucoup de cet article)

Code BASH :

mdadm --examine --scan >> /etc/mdadm/mdadm.conf

Voil� ! Notre RAID 1 unijambiste est maintenant mont� !

Continuons, il faut d�sormais copier les donn�es de /dev/sda sur notre RAID bancale (celui ci ne comprend que /dev/sdb pour le moment). Pour cela, nous allons monter une partie du RAID dans un dossier afin d'y copier notre futur syst�me de fichier racine.

Code BASH :

 
mkdir /mnt/md0
mount /dev/md0 /mnt/md0
mkdir /mnt/md1
mount /dev/md1 /mnt/md1

Puis copions tout le syst�me :

Code BASH :

 
cp -dpRx / /mnt/md1
cd /boot
cp -dpRx . /mnt/md0/boot

D�taillons ces options (man cp) :

-d : Pour copier les liens symboliques en tant que tels.
-p : Pour conserver les attributs des fichiers (propri�taire, groupe etc...).
-R : Pour copier r�cursivement les r�pertoires.
-x : Interdit de changer de syst�me de fichier en cours de copie, c'est pour cela qu'il faut relancer l'op�ration.

Pr�parons maintenant la futur fstab de notre grappe ! Il faut l'�diter dans /mnt/md0 et remplacer les entr�es sda par les entr�es md correspondantes de sorte d'obtenir quelque chose comme �a (pour notre config � nous bien sur) :

Code BASH :

 
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    defaults        0       0
/dev/md1           /                           ext3       relatime,errors=remount-ro 0       1
/dev/md0		/boot			ext3	defauts
/dev/md2		none			swap	sw
/dev/scd0       /media/cdrom0   udf,iso9660 user,noauto,exec,utf8 0       0

Apr�s tout cela, il faut pr�venir l'ami Grub que quelque chose � changer, il faut lui ajouter une entr�e suppl�mentaire pour pouvoir booter sur le Raid... En �ditant son menu avec �a, il devrait nous entendre :
Code BASH :

vi /boot/grub/menu.lst

Premi�rement, on lui dit qu'avec la commande fallback 1 plac�e juste en desous du param�tre defaut 0, si le boot sur le Raid ne fonctionne pas, il tentera de booter sur l'autre entr�e par d�faut, soit l'entr�e "d'origine".

Deuxi�mement, rajoutons le noyau du Raid qui se trouve sur /dev/md1. Il suffit de recopier le premier bloc de kernel juste en dessous de celui ci, en changeant seulement l'adresse du kernel root, cela doit donner quelque chose comme �a :

on met jour de l'image initiale initramfs
Code BASH :

update-initramfs -u

pour finir en installant grub sur notre second disque, qui sera notre Raid unijambiste apr�s le prochain reboot, si tout se passe bien...
Code BASH :

grub
grub> root (hd1,0)
grub> setup (hd1)
grub> quit

Voili voilou, � partir de l�, on peut red�marrer et booter sur notre raid si tout va bien ! ....Et en choisissant la bonne entr�e aussi...
Code BASH :

shutdown now -r

Le boot sur le Raid c'est bien pass�, vous avez pu voir la grappe prendre la main en se peuplant avec seulement un disque !

Apr�s s'�tre logu�, on peut voir que nous somme bien sur le Raid en v�rifiant :
Code BASH :

mount
/dev/md1   on   /    type    ext3    (rw,realtime,errors=remount -ro)
/dev/md0   on   /boot   type   ext3   (rw)

Il ne reste d�sormais plus qu'� int�grer le premier disque dur (celui qui commence � ce faire un peu vieux) dans la grappe, ainsi elle sera compl�te et pleinement op�rationnelle.
Pour bien faire les choses, il faut d�clarer toutes les partitions du disque en Linux raid Autodetect (fd) avec la commande fdisk, option t pour changer le type, puis fd pour linux raid autodetect, et il faut le faire pour chaque partitions.
Cela prend tr�s peu de temps et apr�s avoir fait �a, on peut basculer le disque dur ( pour m�moire, on partait de lui au d�but ! ) dans la grappe.
Code BASH :

mdadm --add /dev/md0 /dev/sda1
mdadm --add /dev/md1 /dev/sda2
mdadm --add /dev/md2 /dev/sda3

A partir de ce moment l�, mdadm commence a synchroniser /dev/sda a l'identique de /dev/sdb puisque tout deux forment /dev/md et l'on peut voir cette synchronisation tout simplement en tapant ceci :
Code BASH :

tail -f /proc/mdstat

Enfin nous allons remettre le fichier de conf de mdadm � z�ro, puis nous le r�initialisera avec nos nous param�tres.
Code BASH :

cp /etc/mdadm/mdadm.conf-origine /etc/mdadm/mdadm.conf
mdadm --examine --scan >> /etc/mdadm/mdadm.conf

Voila, nous venons de basculer notre serveur sur un RAID 1 en toute s�curit� !
Si l'on veut gagner encore un poil plus de s�cu sur le boot, on peut modifier grub pour qu'il nous affiche chacun des principaux noyaux sur chacun des disques et syst�mes de fichier.
Code BASH :

 
title       Debian GNU/linux, RAID kernel 2.6.26-2-686 1er_disque
root      (hd0,0)
kernel   /vmlinuz-2.6.26-2-686 root=/dev/md1   ro   quiet
initrd    /initrd.img-2.6.26-2.686
 
title       Debian GNU/linux, RAID kernel 2.6.26-2-686
root      (hd1,0)
kernel   /vmlinuz-2.6.26-2-686 root=/dev/md1   ro   quiet
initrd    /initrd.img-2.6.26-2.686
 
title       Debian GNU/linux, kernel 2.6.26-2-686 1er_disque
root      (hd0,0)
kernel   /vmlinuz-2.6.26-2-686 root=/dev/sda2   ro   quiet
initrd    /initrd.img-2.6.26-2.686
 
title       Debian GNU/linux, kernel 2.6.26-2-686
root      (hd1,0)
kernel   /vmlinuz-2.6.26-2-686 root=/dev/sdb2   ro   quiet
initrd    /initrd.img-2.6.26-2.686

Remise � jour d'initramfs :
Code BASH :

update-initramfs -u

The end.

Sources :

linux Magazine (un tr�s bon article de Cedric Pellerin)
Linux France
Manuel de cp
manuel de mdadm

Monitoring syst�me avec conky...

Tue, 04 Aug 2009 14:52:01 +0200

Conky est un petit programme permettant de surveiller les constantes de son syst�me, ainsi que d'autres choses plus ou moins futiles....

Sur cet article, je ne parlerai et ne prendrai comme exemple que ma configuration personnel, si vous d�sirez en savoir plus sur ces autres fonctions, je vous invite � consulter les sources qui seront indiqu�es en bas de cette page...

Pr�cisions

Les fichiers de configurations pr�sent�s ici tournent sur une Ubuntu 9.04 ainsi que sur une Debian Etch.

Pour ma part, je me contente de surveiller que quelques constantes de mon cpu, de mon disque, des processus ainsi que du r�seau.

Voici mon fichier de configuration :
Code BBCODE :

background        no
update_interval        1.0
double_buffer        yes
use_xft            yes
override_utf8_locale
xftfont            Sans:size=8
xftalpha        0.8

own_window        yes
own_window_transparent    yes
own_window_type        override
own_window_hints    undecorated,below,sticky,skip_taskbar,skip_pager
#on_bottom        yes

minimum_size        280 5
maximum_width    220
draw_shades        no
draw_outline        no
draw_borders        no
draw_graph_borders    yes
stippled_borders    0
border_margin        3
border_width        0

default_color        black
default_shade_color    black
default_outline_color    black
color1        807d7d
color2        b8c0cb
color3         FC8820

alignment middle_right
gap_x            20
gap_y            40

no_buffers        yes

TEXT


${font Ozone:style=Bold:size=10}
${alignr}$color SYSTEME
$stippled_hr${font Sans:style=Bold:pixelsize=8}
${alignc}${color1}$nodename - $sysname $kernel on $machine
${alignc}${color1}CPU : $color AMD 1800+
${alignc}${color1}Fr�quence : $color ${freq_g} GHz
${alignc}${color1}CPU Utilis� :$color $cpu%
${color1}${cpugraph FFFFFF 000000}

${alignc}${color1}Uptime:$color $uptime ${color1}- Load:$color $loadavg
${alignc}${color1}M�moire RAM :$mem/$memmax - $memperc% 

${alignc}${color1}M�moire 
${alignc}${color1}RAM : $color$mem / $memmax 
$memperc % ${color2}${membar}

${alignc}${color1}Utilisation du SWAP : $color$swap / $swapmax 
$swapperc % ${color2}${swapbar}


${color black}Processus:$alignc Memory:$alignr Cpu Used
${color #e49c16}${top name 1} $alignc ${top mem 1}${color black}$alignr${top cpu 1}
${color #e49c16}${top name 2} $alignc ${top mem 2}${color black}$alignr${top cpu 2}
${color #e49c16}${top name 3} $alignc ${top mem 3}${color black}$alignr${top cpu 3}
${color #e49c16}${top name 4} $alignc ${top mem 4}${color black}$alignr${top cpu 4}
${color #e49c16}${top name 5} $alignc ${top mem 5}${color black}$alignr${top cpu 5}
${color #e49c16}${top name 6} $alignc ${top mem 6}${color black}$alignr${top cpu 6}
${color #e49c16}${top name 7} $alignc ${top mem 7}${color black}$alignr${top cpu 7}
${color #e49c16}${top name 8} $alignc ${top mem 8}${color black}$alignr${top cpu 8}
${color #e49c16}${top name 9} $alignc ${top mem 9}${color black}$alignr${top cpu 9}


${font Ozone:style=Bold:size=10}
${alignr}$color HDD
$stippled_hr${font Sans:style=Bold:pixelsize=8}

${color1}Linux  : $color${fs_used /} / ${fs_size /}
     $color${fs_used_perc /}% ${color2}${fs_bar /}


${font Ozone:style=Bold:size=10}
${alignr}$color RESEAU
$stippled_hr${font Sans:style=Bold:pixelsize=8}
${alignc}${color1}IP Distante : $color${execi 60 wget -O - [url=http://ip.tupeux.com]http://ip.tupeux.com[/url] | tail}

${color1}Ethernet : $color${addr eth0}
${color1}Download : $color${downspeed eth0} kiB/s ${alignr}${color1}Upload : $color${upspeed eth0} kiB/s
${color1}Total : $color${totaldown eth0} ${alignr}${color1}Total : $color${totalup eth0}

Ici, quelques param�tres sont important, notamment pour l'int�gration au bureau, � noter que je n'utilise pas le gestionnaire Compiz, mon chipset graphique ne me le permet pas.

Voici ce qu'il faut bien v�rifier :
Code :




own_window        yes    # On dit � Conky de ne pas se mettre sur le bureau mais dans une fen�tre propre

 own_window_type   override  # type de fen�tre "maison" (le type desktop convient si on n'a pas d'ombre)

 own_window_hints  undecorated,below,sticky,skip_taskbar,skip_pager # d�finition du type

Ces d�tails sont tr�s importants

J'utilise ensuite un deuxieme fichier de config, un peu fioriture, juste pour m'afficher la date, l'heure, le jour...
Code :


background        no

update_interval        1.0

double_buffer        yes



use_xft            yes

override_utf8_locale

xftfont            LCD:size=8

xftalpha        0.8



own_window        yes

own_window_transparent    yes

own_window_type        override

own_window_hints    undecorated,below,sticky,skip_taskbar,skip_pager

#on_bottom        yes



minimum_size        280 5

maximum_width 247

draw_shades        no

draw_outline        no

draw_borders        no

draw_graph_borders    yes

stippled_borders    0

border_margin        3

border_width        0



default_color        black

default_shade_color    black

default_outline_color    black

color1        5B8DCF

color2        8BAEE8

color3         858585



alignment bottom_middle

gap_x            0

gap_y            60



no_buffers        yes

own_window_hints undecorated,below,sticky,skip_taskbar,skip_pager



TEXT

$color${font Ozone:style=Normal:size=16}${alignc}.: $color${time %H:%M:%S}$color :.

${font sans:size=10}${alignc}.: $color${time %A %d %B %Y}$color :.

Puis enfin un dernier m'affichant l'utilisateur connect� (des fois que j'oublie qui je suis ! ) ainsi que le temps d'uptime et la version du kernel..
Code :


background        no

update_interval        1.0

double_buffer        yes



use_xft            yes

override_utf8_locale

xftfont            Sans:size=8

xftalpha        0.8



own_window        yes

own_window_transparent    yes

own_window_type        override

own_window_hints undecorated,below,sticky,skip_taskbar,skip_pager

on_bottom        yes



minimum_size        1280 5

maximum_width 300

draw_shades        no

draw_outline        no

draw_borders        no

draw_graph_borders    yes

stippled_borders    0

border_margin        3

border_width        0



default_color        black

default_shade_color    black

default_outline_color    black

color1        807d7d

color2        b8c0cb

color3         FC8820



alignment top_middle

gap_x            0

gap_y            40



no_buffers        yes



TEXT

${font Sans:style=Bold:pixelsize=10}${color1}L'utilisateur$color ${exec whoami} ${color1}est connect� depuis $color $uptime

${alignc}${color1}Kernel : $color$kernel

Quelques autres param�tres important, pour le placement des diff�rents conky sur le bureau :
Code :




alignment top_middle

gap_x            0

gap_y            40

Inutile d'apporter des pr�cisions ? Si ?

gap_x => Pour le placement horizontal (en pixel)
gap_y => " " " verticale (en pixel)
alignment_middle => Pour center, mais se pourrait �tre left ou right !

Pour tester vos conky, vous pouvez ouvrir une invite de commande en tapant sur "alt+f2", ainsi, conky sera lanc� en arriere plan mais s'affichera tout de m�me, pour le tuer, un simple "killall conky" dans une console suffit !

Afin d'automatiser le lancement au debut de chaque session, je vous propose le petit script suivant :

Code :


#!/bin/bash

sleep 15;

conky -c .conkyrc1 & conky -c .conkyrc2 & conky -c .conkyrc

Il ne vous reste plus qu'a lui donner les droit d'execution (sudo chmod 755) et le placer dans la liste des programmes a lancer au d�marrage !

Un petit screenshot histoire de montrer a quoi resemble les conkys avec ces config :

Sources :

Le site du projet Conky
La doc sur Ubuntu

HADOPI : Riposte inégale....

Thu, 26 Feb 2009 14:47:01 +0100

Je fais ici l'écho de cet appel, afin qu'un maximum de monde puisse voir cela, et agir !!

Parce que peut être qu'un jour, c'est Tekniko.fr qui sera blacklisté....

Citation:

APPEL HADOPI : «black-out» du Net français
Soumis par pi le 25 février, 2009 - 02:06.

Paris, le 25 février - Devant le ridicule d'un gouvernement qui s'entête à vouloir déconnecter du Net des familles entières sans preuves valables ni procès, la Quadrature appelle les citoyens épris de liberté à procéder au « black-out » de leurs sites, blogs, profils, avatars, etc. Comme en Nouvelle-Zélande, seul pays avec la France où la « riposte graduée » devait être imposée par la loi, pour finalement être repoussée : pour protester contre cette loi imbécile et sa « liste blanche » de sites autorisés, le Net français doit agir et se draper de noir.

La Nouvelle-Zélande était à ce jour le seul autre pays à part la France où devait être votée une loi aussi stupide que la « riposte graduée » voulue par N. Sarkozy, défendue par C. Albanel dans la loi HADOPI, et bientôt votée à l'Assemblée nationale. Elle vient d'être repoussée grâce à une mobilisation massive, durant laquelle le web néo-zélandais a procédé à son « black-out » volontaire.

« C'est un signal fort qui illustre la bêtise et la dangerosité de cette loi. La "riposte graduée" fera condamner des innocents, sans preuve valable et sans procès. Elle ne fera pas gagner un centime de plus aux artistes et ne changera rien aux problèmes stratégiques et structurels à l'origine de la crise que traversent les industries qui la demandent. » déclare Jérémie Zimmermann, porte-parole de La Quadrature du Net.« Pour aller au bout de cette logique répressive, le gouvernement a déclaré qu'il imposerait de filtrer tous les accès wi-fi publics à une "liste blanche"1 de sites autorisés. Cela n'a pas de sens. Il faut réagir en montrant l'immensité de ce web décidé à ne pas devenir définitivement noir. »

La Quadrature invite tous ses soutiens, individus et collectifs, à :

* Peindre leurs sites, blogs, profils, courriers, commentaires ou avatars de la couleur noire du « black-out », au besoin en utilisant les images mises à leur disposition2.
* Afficher un message expliquant les motivations de cette protestation contre une loi absurde, inapplicable et dangereuse qui met en péril le web français, l'innovation, et les libertés fondamentales3.
* Faire un lien vers le « tableau de bord HADOPI »4 de La Quadrature du Net.
* Contacter son député5 pour lui annoncer que l'on a procédé au « black-out » de son espace sur le Net pour protester contre la loi « Création et Internet », lui transmettre le dossier de La Quadrature6 et lui demander ce qu'il en pense.
* Inviter ses proches et ses contacts à faire de même.

« Cet appel est un hommage rendu aux citoyens néo-zélandais qui ont pu faire entendre la raison à leur gouvernement. Il s'agit d'un remix, d'une réappropriation d'une idée qui, comme la culture, n'existe que pour être partagée. Ce sont ceux qui traitent leurs clients de " pirates " et les députés qui votent leurs lois qu'il faudrait déconnecter !»7

« Le Net s'est fait pour et par ses utilisateurs. Quelques entreprises archaïques et les politiciens qui tentent de le contrôler n'ont toujours pas compris comment fonctionnait le Net. Tous ensemble nous sommes infiniment plus intelligents et puissants qu'eux et devons le leur montrer, agir pour protéger nos libertés et l'architecture ouverte du réseau. » conclut Zimmermann, légèrement courroucé.

Voici quelques liens :

Pour les bannières et autres gif => http://www.laquadrature.net/fr/HADOPI-blackout-images-bandeaux-boutons-bannieres

Le tableau de bord HADOPI => http://www.laquadrature.net/HADOPI

Le dossier de la Quadrature => http://www.laquadrature.net/files/LaQuadratureduNet-Riposte-Graduee_reponse-inefficace-inapplicable-dangereuse-a-un-faux-probleme.pdf

CurlftpFs => Son FTP en local !

Mon, 19 Jan 2009 17:50:01 +0100

Depuis longtemps, je rame pour le transfert de mes fichiers locaux vers mon h�bergeur, l'heure �t� venue de trouver un autre moyen pour ce faire, histoire de simplifier les choses !

Le but du jeux �tant de remplacer mon traditionnel client ftp (gftp) par quelque chose de beaucoup plus simple, monter ce ftp distant comme un simple dossier dans mon r�pertoire personnel...

Gr�ce a Curlftpfs, tout cela devient possible, et en plus, avec une facilit� d�concertante ! Celui ci utilise le module Fuse (Filesystem in USErspace) qui permet la cr�ation de syst�me de fichier dans l'espace utilisteur

Voici la configuration pour l'exercice :

Un laptop sous Ubuntu Intrepid Ibex (32bit), qui se nommera laptop dans le reste de l'article)

Un serveur ftp distant bien sur, que j'appellerai mon-ftp.fr, et partant du principe qu'il n'est pas publique, login+mdp seront n�cessaires, ceux ci seront : utilisateur=util, mdp=furtif

Commen�ons par installer Curlftpfs (celui ci est dans les d�p�ts)

Code :


laptop@laptop:~$ sudo apt-get install curlftpfs

Ensuite, cr�ons le point de montage dans notre r�pertoire personnel, celui ci s'appellera ftp-local

Code :


laptop@laptop:~$ mkdir  ftp-local

Voila, le plus gros du boulot est fait, voyons maintenant la syntaxe � utiliser pour monter ce ftp dans notre dossier local avec Curlftpfs

Code :




curlftpfs ftp:// adresse-du-serveur-ftp point-de-montage -o option(s) � utiliser

L'option que nous devons utiliser �tant donn� que mon ftp n'est pas publique est l'option user, pour plus d'information sur la foultitude d'options disponible, faites un petit man curlftpfs dans votre console.
Voici comment utiliser l'option user

Code :


user=mon-login-ftp:mon-mot-de-passe-ftp

Au finale, et pour le cas pr�sent, la commande sera la suivante :

Code :


laptop@laptop:~$ curlftpfs ftp : //mon-ftp.fr ftp-local -o user=util:furtif

*Sans les espaces entre [url=ftp://adresse-du-serveur*]ftp://adresse-du-serveur*[/url]

Et voila, le ftp est d�sormais mont� dans ftp-local et je peux y travailler comme s'il s'agissait d'un dossier quelconque !
mon point de montage se trouvant dans mon r�pertoire perso, aucun droit particulier m'est n�cessaire

Pour d�monter le ftp, il suffit simplement de taper dans une console :

Code :


laptop@laptop:~$ sudo  fusermount -u ftp-local

Et voila !

Pour �viter de taper son mot de passe en clair dans la console, il suffit d'�diter, ou de cr�er, un fichier netrc, celui ci contiendra les infos n�cessaire � la connexion ftp (adresse ftp, login+mdp), ce fichier doit se trouver dans le r�pertoire utilisateur et il doit bien �videment �tre cach�.

En avant !

Code :


laptop@laptop:~$ vi  ~/.netrc

Ce fichier se renseigne de la mani�re suivante :

Code :


machine ftp.mon-serveur.com login USERNAME password PASSWORD

Dans mon cas cela donnera :

Code :




machine ftp.mon-ftp.fr login util password furtif

Il faut restreindre l'acc�s a ce fichier :

Code :




laptop@laptop:~$ sudo chmod 0600 ~/.netrc

Maintenant, il n'est plus n�cessaire d'ajouter l'option user � notre ligne de commande, il suffira simplement de dire :

Code :


laptop@laptop:~$ curlftpfs ftp : //mon-ftp.fr ftp-local

*Sans les espaces entre [url=ftp://adresse-du-serveur*]ftp://adresse-du-serveur*[/url]

Avec �a, je peux maintenant monter mon ftp dans mon r�pertoire perso comme s'il �tait vraiment dedans !

On peut m�me ajouter un petit script pour automatiser �a !

Code :


#!/bin/bash

# Script de montage de dossier ftp avec curlftpfs et fuse.

# A utiliser avec Nautilus, ou en ligne de commande :

# ./mount_ftp ~/dossier_de_montage



#Variables � modifier au besoin

$FTP=ftp://mon-ftp.fr

$LOCAL=/home/util/ftp-local



gksudo -p -m "FTP" | curlftpfs $FTP $LOCAL

zenity --info --text="Cliquez sur valider pour d�monter"

fusermount -u $LOCAL

*Sans les espaces entre [url=ftp://adresse-du-serveur*]ftp://adresse-du-serveur*[/url]

Une webradio qui sent bon l'elektro !

Mon, 01 Dec 2008 19:07:01 +0100

Allez vous imprégner de la bonne parole de Bordeaux en écoutant Youkounkoun-radio !!

Vous y trouverez différents styles de son ainsi que quelques très bon mix

YOUKOUNKOUN-RADIO | YOUKOUNKOUN-ELECTRO | YOUKOUNKOUN-ROCK

Voici le panel de flux actuel :

Live : http://youkounkoun-radio.com/youkounkoun-radio.m3u
Electro : http://youkounkoun-radio.com/youkounkoun-radio_electro.m3u
Rock : http://youkounkoun-radio.com/youkounkoun-radio_rock.m3u

Chiffrer un r�pertoire avec encfs...

Sun, 09 Nov 2008 16:09:01 +0100

Gr�ce a l'application ENCFS, vous allez pouvoir chiffrer toutes les donn�es que vous voulez ! Le principe est simple, il y a deux r�pertoires, un en clair et un chiffr�, on fait ce que l'on veut dans le clair et des lors qu'on le ferme, toutes ces donn�es sont chiffr�es et enferm�es dans le r�pertoire chiffr�, simple non ??

Les applications n�cessaire � la r�alisation de ce projet sont les suivantes :

* Encfs

* Fuse-utils

* Module-assistant

Pour ce billet, j'ai fait mes test avec une Dapper version serveur, le nom de machine est virtual, et l'utilisateur virtual, les dossiers seront les suivant :

* Dossier en clair : libre

* Dossier chiffr� : .prison

Commen�ons par installer ce qu'il faut, a savoir encfs et fuse-utils :

Code :


virtual@virtual-desktop:~$ sudo apt-get install encfs fuse-utils

quelques librairies seront install�es en plus de ces deux paquets. Il faut ensuite rajouter le module fuse au fichier modules, qui se trouve dans le r�pertoire /etc (pour les incultes !), afin que celui ci soit pris en compte au d�marrage, deux mani�res, soit on �dite ce fichier manuellement, soit on le rajoute via une simple ligne de commande, �tant feignant � la base, j'opte pour la deuxi�me solution !

Code :


virtual@virtual-desktop:~$ sudo sh -c "echo fuse >> /etc/modules"

ceci fait, on charge le module a l'aide de modprobe :

Code :


virtual@virtual-desktop:~$ sudo modprobe fuse

Jusqu'ici tout vas bien, collons nous dans le groupe de fuse, histoire de ne pas �tre un inconnue a ces yeux !

Code :


virtual@virtual-desktop:~$ sudo adduser virtual fuse

V�rifions que c'est bon :

Code :


virtual@virtual-desktop:~$ grep "fuse" "/etc/group"

fuse:x:113:virtual

Pour le 113, cela peut varier, ne vous inqui�tez pas si ce n'est pas identique !
Bon, on viens de d�grossir la base, pour v�rifier que nous sommes bien connu du groupe fuse, la commande "groups" dans un terminal pourra nous le confirmer. Passons au plus int�ressant, la cr�ation des r�pertoires !!!
Je rappel que le r�pertoire clair se nomme "libre" et que celui qui sera chiffr� s' appel ".prison, nous allons utiliser la commande encfs, qui ne n�cessite pas de privil�ge root, et qui, demande des chemins complets derri�re elle.
cr�ons ces r�pertoire dans le home :
Code :




virtual@virtual-desktop:~$ encfs /home/virtual/.prison /home/virtual/libre

Une foultitude de petites questions s'en suivent, est ce qu'il faut cr�er ces r�pertoire qui n'existe pas encore ? oui, choisir une option (ou un mode) moi je le laisse vide pour avoir un mode normal

Code :


virtual@virtual-desktop:~$ encfs /home/virtual/.prison /home/virtual/libre

Le r�pertoire "/home/virtual/.prison/" n'existe pas. Faut-il le cr�er ? (y/n) y

Le r�pertoire "/home/virtual/libre" n'existe pas. Faut-il le cr�er ? (y/n) y

Cr�ation du nouveau volume encrypt�.

Veuillez choisir l'une des options suivantes :

 entrez "x" pour le mode de configuration expert,

 entrez "p" pour le mode parano�aque pr�configur�,

 toute autre entr�e ou une ligne vide s�lectionnera le mode normal.







Configuration normale s�lectionn�e.



Configuration termin�e. Le syst�me de fichier � cr�er a les propri�t�s suivantes :

Chiffrement de syst�me de fichiers "ssl/blowfish", version 2:1:1

Encodage de fichier "nameio/block", version 3:0:1

Taille de cl� : 160 bits

Taille de bloc : 512 octets

Chaque fichier contient un en-t�te de 8 octets avec des donn�es IV uniques.

Noms de fichier encod�s � l'aide du mode de cha�nage IV.

Ensuite, entrer le mot de passe qui permettra de d�verrouiller ces r�pertoires, il peut �tre diff�rent du mot de passe de session, et c'est m�me mieux, si l'on veut pousser sur la s�curit� !

Vous devez entrer un mot de passe pour votre syst�me de fichiers.
Vous devez vous en souvenir, car il n'existe aucun m�canisme de r�cup�ration.
Toutefois, le mot de passe peut �tre chang� plus tard � l'aide d'encfsctl.

Code :


Nouveau mot de passe :

V�rifier le mot de passe :

On peut v�rifier que ces r�pertoires sont bien monter avec un petit "cat" :

Code :


virtual@virtual-desktop:~$ cat /proc/mounts

rootfs / rootfs rw 0 0

none /sys sysfs rw 0 0

none /proc proc rw,nodiratime 0 0

udev /dev tmpfs rw 0 0

/dev/hda1 / ext3 rw,data=ordered 0 0

/dev/hda1 /dev/.static/dev ext3 rw,data=ordered 0 0

tmpfs /var/run tmpfs rw 0 0

tmpfs /var/lock tmpfs rw 0 0

tmpfs /lib/modules/2.6.15-51-386/volatile tmpfs rw 0 0

devpts /dev/pts devpts rw 0 0

tmpfs /dev/shm tmpfs rw 0 0

tmpfs /var/run tmpfs rw 0 0

tmpfs /var/lock tmpfs rw 0 0

encfs /home/virtual/libre fuse rw,nosuid,nodev,user_id=1000,group_id=1000,default_permissions 0 0

Heyyy, que vois-je a la fin ?? pas de soucis, c'est mont� !

Bon bah �a y est, il n'y a plus qu'a s'en servir ! Pour cela, il y a deux modes : on et off
En gros, on monte ces r�pertoire pour y travailler, y placer ces donn�es, et on les d�monte une fois finit, ce qui vas automatiquement chiffrer les donn�es du r�pertoire libre dans le r�pertoire .prison. C'est simplement une histoire de mount...ou plut�t de fusermount !
On monte avec encfs et on d�monte avec fusermount (fusermount ne sera pas un inconnu pour celles et ceux qui on lu mon billet sur sshfs...).
Pour monter ces r�pertoire, on vas utiliser la m�me commande que pour les cr�er, sauf que cette fois, la commande vas monter et pas cr�er, c'est simple !
Code :




virtual@virtual-desktop:~$ encfs /home/virtual/.prison /home/virtual/libre

Hop, is good, c'est mont�....Et non !!! mis�re que se passe t'il ?? tout all� si bien ! Et pourtant sa me renvoi �a dans la console :

Code :


fusermount: failed to access mountpoint /home/virtual/libre: Permission denied

Erreur de fuse. Probl�mes courants :

 - module noyau fuse non install� (faites "modprobe fuse")

 - options invalides -- voir le message d'utilisation

en fait, il s'agit du module fuse qui n'est pas vraiment bien charg�, c'est la que module-assistant intervient pour corriger cela, installons le et lan�ons le !

Code :


virtual@virtual-desktop:~$ sudo apt-get install module-assistant

Pour le lancer, il suffit de l'appeler dans la console, ensuite vient un �cran avec toutes une s�rie de choix, il faut les faire dans l'ordre suivant :
Code :


PREPARE  Configurer le syst�me pour compiler des modules

SELECT   S�lectionner le module ou le paquet source � traiter

[*] fuse               Filesystem in USErspace

BUILD   Compiler les paquets de modules pour le noyau actif

INSTALL Installer les paquets pour le noyau actif 

EXIT     Quitter le programme

Et voili voilou ! A partir de la, vous pouvez monter vos r�pertoires avec cette commande :

++Sous Ubuntu 8.04 Hardy, cette op�ration n'est pas n�cessaire, relancez seulement la sessions++

Code :


virtual@virtual-desktop:~$ encfs /home/virtual/.prison /home/virtual/libre

Et pour les d�monter, comme ceci :

Code :


virtual@virtual-desktop:~$ fusermount -u /home/virtual/libre/

Et c'est a ce moment la que les donn�es que vous avez plac�s dans le r�pertoire libre seront chiffr�es dans le r�pertoire .prison !
Pour ce qui est d'automatiser �a, c'est tr�s simple, vous pouvez cr�er deux commandes, le premi�re s'appellera decrypt (pour monter et ouvrir les r�pertoires) et la deuxi�me encrypt pour refermer et d�monter le tout.
Cr�ons ces commandes, qui se trouverons avec les autres dans le r�pertoire /usr/bin :

Code :


virtual@virtual-desktop:~$ sudo vi /usr/bin/decrypt

A l'int�rieur de ce fichier, collez le texte suivant :

Code :


#!/bin/sh

encfs /home/virtual/.prison/ /home/virtual/libre/

Puis la deuxi�me :

Code :


virtual@virtual-desktop:~$ sudo vi /usr/bin/encrypt

M�me ch�timent :

Code :


#!/bin/sh

fusermount -u /home/virtual/libre

Donnons les droits qui vont bien a ces commandes :

Code :


virtual@virtual-desktop:~$ sudo chown virtual /usr/bin/decrypt /usr/bin/encrypt

virtual@virtual-desktop:~$ chmod 755 /usr/bin/encrypt /usr/bin/decrypt

Voila, maintenant il suffit de taper "decrypt" dans la console pour avoir acc�s a ces donn�es en clair, puis de fermer avec la commande "encrypt".
Je vous laisse imaginer ce que l'on pourrait faire de cette application en milieu professionnel ou certaines donn�es doivent rester confidentiel...

ATTENTION : Souvenez vous bien du mot de passe attribu� a ces dossier car il n'existe pas de proc�dure pour les r�cup�rer en cas de perte !

Voici un petit script qui vous permettra de monter/d�monter vos donn�es tr�s simplement et de mani�re graphique, il vous faudra juste modifier les variables et l'enregistrer dans le dossier /home/utilisateur/.gnome2/nautilus-scripts

Code :




#!/bin/bash

# Script de montage de dossier crypt� avec encfs et fuse.

# A utiliser avec Nautilus, ou en ligne de commande :

# ./mount_enc ~/dossier_de_montage



# Variables � modifier : repertoire contenant les fichiers non crypt�s et crypt�s

OPENFOLDER=/home/virtual/libre

CRYPTEDFOLDER=/home/virtual/.prison





gksudo -p -m "Top Secret" | encfs  $CRYPTEDFOLDER $OPENFOLDER 

zenity --info --text="Cliquez sur valider pour d�monter"

fusermount -u $OPENFOLDER

Une fois enregistr�, pensez a lui donner les droit d'ex�cution (chmod 755), il sera d�sormais accessible via un clic droit sur le mulot, rien n'emp�che m�me de se cr�er un lanceur perso.

SOURCES :

* Ce tuto sur Ubuntu-fr, dont je me suis plus que largement inspir�...

* Le site Encfs

Ici, vous pouvez laisser vos impressions sur les mix en téléchargement.

Festivités

Dans cette section, vous trouverez des "reportages" sur nos soirées.

Playlists

Comme son nom l'indique, vous trouverez ici quelques playlists, il faut être membre pour y accéder.

<<<===|===>>>

Catégorie Linux

Cette catégorie regroupe des tutoriels pour Linux Ubuntu (chiffrage répertoire, mise en place d'une webradio...)

<<<===|===>>>

Catégorie Coté perso

Des truc que j'ai vécu.

<<<===|===>>>

Livre d'Or

Pour laisser des commentaires sur le site en général.

<<<===|===>>>

Galerie

Retrouvez les albums photos liés à certains articles.

<<<===|===>>>

Téléchargements

Dans cette section se trouve nos mix a prendre.

<<<===|===>>>

Liens

Les liens vers nos Myspace respectif, ainsi que d'autres pour des webzines, forum et autre...

Mox aka Funny Dead Things

Wed, 15 Oct 2008 18:46:52 +0200

**Mox aka Funny Dead Things**

**Nasci Pati Mori EP**

Out now on Juno download and Beatdigital...

*Click on Artwork for download*

Derniers articles

Serveur ftp avec vsftpd : S�curit�. (2)

Serveur ftp avec vsftpd : S�curit�. (1)

Le RAID facile sous linux...

Monitoring syst�me avec conky...

HADOPI : Riposte inégale....

CurlftpFs => Son FTP en local !

Une webradio qui sent bon l'elektro !

Chiffrer un r�pertoire avec encfs...

Plan du site

**Mox aka Funny Dead Things**

Mox aka Funny Dead Things