» Catégorie : General

Debian / Grub2 et UUID encore des choix judicieux !

Il était une fois, Debian qui se basait sur grub pour booter.

C'étais assez génial car on pouvais facilement, spécifier :

  • Des valeur par défaut de kernel, comme "elevator=deadline"
  • Utiliser root=LABEL=ROOT

Bref le bonheur.

La avec les derniers kernels (2.6.32, sur les backports de la Lenny), on a un joli message : "bla, bla on passe sur des UUID parce cay mieux toussa".

Très sympa... Mais c'est une immense connerie car, imaginons la chose suivante :

[root@xen-3 vm]# cp master xen-test-2.img 
[root@xen-3 vm]# xm create /etc/xen/xen-test-2.cfg 
Using config file "/etc/xen/xen-test-2.cfg".
Started domain xen-test-2 (id=10)

Le truc très peu utilisé hein ?

Bon comme vous le savez les UUID sont UNIQUE par machine (disques, contrôleurs, etc...) bref le truc super pratique dans la virtualisation....

Donc en gros... Si vous faites du cloud, les UUID = DTC car vos belles images ne servent a rien.

Aller encore un truc pour la route... Grub2 ne gère pas les LABELs, enfin en tous cas sur... Debian/Squeeze...

Linux, on vas vous faire aimer l'Opensource...

3D Secure ... ?

CB... Comme les cartes de crédits deviennent de plus en plus sécure, les banques ont inventé l'option (sic) qui s'appelle 3D Secure...

Déjà qu'il deviens de plus en plus pénible d'avoir des organismes tel que Fia-Net qui vous demande presque une analyse ADN ou un extrait de casier judiciaire pour pouvoir payer une somme pas trop élevée (j'ai eu le coup avec eux pour 300€ !) sur un site marchant... 3D Secure deviens de pire en pire.

Car pour commander avec ça il faut :

  1. Une carte bleue ou master card (bon tant qu'ils font pas chier avec l'Amex... on a encore la paix)
  2. Connaitre son numéro de compte bancaire
  3. Ne pas être bourré et connaître sa date de naissance
  4. Avoir son mot de passe 3D Secure en stock
  5. Avoir un téléphone portable ou fixe a coté de toi (très bien quand on est dans un cybercafé a l'étranger et qu'on a pas de portable...)
  6. Etre patient...

Voir le site du LCL qui donne ces informations...

Ce qui est étonnant c'est que ... Certains de ces paramètres sont semi public...

  1. Numéro de compte bancaire : en général pas trop mais avec RIB et autres, il est souvent trouvable...
  2. Date de naissance : bon... joker, quand on a son CV en ligne, CQFD
  3. Numéro de tél portable : idem

Bref des trucs plutôt léger comme méthode de sécu...

Il faut aussi prier bien fort, car si on a téléphone portable à l'étranger le truc de la banque arrive a envoyer des SMS en moins de 3 jours... sinon les sessions web -> DTC....

Bref... On va revenir aux chèques si ça continue comme ça :)

Dommage, les CB c'étais un bon plan pour éviter de se casser les mains a faire des pages d'écriture... Mais le système est tellement faillible... que on mets de cadenas (pleins !) sur une porte en carton pour éviter de rentrer (merci Gaël pour cette jolie analogie...)

Roselyne, on vous a bien dit que la pandémie était ... finie ?

Ah Bon ? Ah Bon ?

Non ? Bah il faut s'informer et ne plus envoyer les bons de vaccination hein ?

Tiens le mien est arrivé hier... (imprimé le 12/01/2010) et celui de ma femme ce matin (imprimé le 14/01/2010).

Bravo ! pour la gestion exemplaire de cette soit disant pandémie... avec... un coût sur nos impôts extra ordinaire !

Migration DC1.2 -> 2.1

Bon... Puisque j'ai migré les fronteaux Kazar de PHP4 à PHP5... j'en ai profité pour upgrader Dotclear a la version 2.1.

J'ai un peu perdu quelques images, mais ma Timecapsule vas m'aider... :p

MAJ hop corrigé :)

Traffic shapping avec OpenBSD PF, ALTQ et OpenBGPd

Introduction

L'idée de ce projet vient du fait que mon Assciation Héberge un mirroir officiel des signatures de Clamav (http://clamav.kazar.net/), ce qui engendre des consommations réseau astronomiques.

Ayant mon AS, quelques full-view BGP et aussi... un point de peering avec le Panap (en autres), j'ai eu l'idée de faire du shapping intelligent afin de ne pas pénaliser les peering locaux et limiter les dégats en terme de facture pour le transit internationnal.

Logiciels nécessaires et utilisés

    Un OS supportant :
  • OpenBSD PF
  • Altq intégré dans PF
  • OpenBSD OpenBGPd : Dans ce cas il y a soit OpenBSD, soit FreeBSD 6.1+ (6.2 conseillé, le support de ALTQ avec PF n'existe pas sur FreeBSD 5.x).
    Il vous faut aussi :
  • PF
  • OpenBGPd
    et le plus important
  • Un routeur faisant du BGP avec les bonnes routes qui sont a locales (eg celles qui viennent d'un peering local). Ce routeur peut être software ou hardware, le principal c'est qu'il fasse du BGP.
Ne pas oublier aussi de savoir quel type de traffic vous allez shapper et limiter ... Ici ca sera du http sur une ip précise.

Préparation de PF

Configurez votre firewall PF comme d'usage, par exemple ma conf est :

ext_if="fxp1"   # Interface externe avec les ip publiques (jails,  etc...)
		# Cette interface a plusieurs IP : xxx.xxx.xxx.150 (main,
                 #                                  xxx.xxx.xxx.9  (mirroir clamav a shapper)
int_if="fxp0"   # Interface interne

# Table des ip d'admin de clamav
table <sshclamav> { 10.0.1.1, 192.168.0.0/27 }
# Table des IP prioritaires qui seront écrasées par openbgpd
table <bgp> { 172.31.0.0/24, 10.0.1.1 }

# Options: tune the behavior of pf, default values are given.
set timeout { interval 10, frag 30 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 10000, frags 5000 }
set loginterface fxp1
set optimization normal
set block-policy drop
set require-order yes
set fingerprints "/etc/pf.os"

set skip on fxp0
set skip on lo0

# Normalization: reassemble fragments and resolve or reduce traffic  
ambiguities.
scrub in all

## QUEUES - ALTQ rules
## J'ai que 100Mbps... :)
altq on $ext_if cbq bandwidth 100Mb queue { q_def, q_pri, q_misc,  q_web, q_dns, q_smtp }
queue q_def bandwidth 25Mb priority 1 cbq(borrow default red ecn)
queue q_misc bandwidth 5Mb priority 0 cbq(red ecn)
queue q_web bandwidth 40Mb priority 4 cbq(borrow)
queue q_dns bandwidth 3Mb priority 5 cbq(borrow)
queue q_smtp bandwidth 2Mb priority 6 cbq(borrow)
queue q_pri bandwidth 25Mb priority 7 cbq(borrow)

# Filtering: the implicit first two rules are
pass in all
pass out all

# block all incoming packets but allow ssh, pass all outgoing tcp and  
udp
# connections and keep state, logging blocked packets.
block in log on $ext_if all
# SSH admin de la babasse
pass  in  on $ext_if proto tcp from any to $ext_if port 2202 keep  
state queue q_pri

# SMTP
pass  in  on $ext_if proto tcp from any to $ext_if port 25 keep state  
queue q_smtp

# LDAP Services
pass  in  on $ext_if proto tcp from 172.31.0.0/27 to $ext_if port 389  
keep state queue q_pri

# MySQL Services
pass  in  on $ext_if proto tcp from 172.31.0.0/27 to $ext_if port  3306 keep state queue q_pri

# DNS cache
pass  in  on $ext_if proto { tcp, udp } from any to xxx.xxx.xxx.160  port 53 keep  state queue q_dns

# ICEcast
pass  in  on $ext_if proto tcp from any to xxx.xxx.xxx.150 port 80  keep state queue q_web
pass  in  on $ext_if proto tcp from any to xxx.xxx.xxx.150 port 8000  keep state queue q_web
pass  out on $ext_if proto tcp from xxx.xxx.xxx.150 port 80 to any  keep state queue q_web

# ping
pass  in  on $ext_if proto icmp from any to $ext_if

# SSH pour clamav (prioritaire et pas shappé)
pass in  on $ext_if proto tcp from <sshclamav> to xxx.xxx.xxx.9 port  22 keep state queue q_pri

# Queue mirroir Clamav
# On passe en "quick" ce qui est prioritaire :)
pass in  quick on $ext_if proto tcp from <bgp> to xxx.xxx.xxx.9 port  80 keep state queue q_web
pass out quick on $ext_if proto tcp from xxx.xxx.xxx.9 port 80 to  <bgp> keep state queue q_web
# Et le reste est dans la bonne queue qui va bien :p
pass in  on $ext_if proto tcp from any to xxx.xxx.xxx.9 port 80 keep  state queue q_misc
pass out on $ext_if proto tcp from xxx.xxx.xxx.9 port 80 to any keep  state queue q_misc

# Last rule
pass  out on $ext_if proto { tcp, udp, icmp } all keep state

Préparation de openbgpd

La conf est assez simple :

AS 65530

holdtime 180
holdtime min 3
fib-update no
listen on xxx.xxx.xxx.150


neighbor xxx.xxx.xxx.xxx {
         descr "routeurs"
         announce none
         remote-as 35189
}


# Ne pas accepter une route par défaut sinon le shapping sert a rien
deny quick from any prefix 0.0.0.0/0

# Garder que des subnet propres... par > 24.
# le routeur "routeurs" devra évidement annoncer les ip locales... sinon
# le shapping sera valable pour vous aussi.
allow from any prefixlen 8 - 24

# On balance vers PF
allow from any set pftable "bgp"

Lancement du bordel :)

D'abord lancer PF (attention au shoot in the foot), et voir que le service tourne...

Un pfctl -t bgp -T show permettra de voir les bonnes ips que vous avez mis par défaut.

Après un lancement de openbgpd (/usr/local/etc/rc.d/openbgpd start) permettra de voir si vous avez monté la session bgp correctement ou pas...
# bgpctl s
Neighbor             AS    MsgRcvd    MsgSent    OutQ  Up/Down  State/PrefixRcvd
routeurs             35189      15666       9783     0 6d19h02m   1514
Pour voir les routes annoncées a notre altq :
# bgpctl sh ip bgp

flags: * = Valid, > = Selected, I = via IBGP, A = Announced
origin: i = IGP, e = EGP, ? = Incomplete

flags destination         gateway          lpref   med aspath origin
*>    62.4.16.0/21        xxx.xxx.xxx.xxx    100     0 35189 13193 i
*>    62.8.0.0/19         xxx.xxx.xxx.xxx    100     0 35189 15557  3305 3305 i
....
permet de donner un exemple concret de routes whitelistées :) Après un pfctl -t bgp -T show doit vous donner la même chose...

Comment tester ?

Simple : balancer du traffic.

Problèmes connus :

Un /etc/rc.d/pfctl reload; vide la table bgp. Un bgpctl nei routeurs clear la recharge :)

En production...

Et bien ça fait 3 mois que je gère le mirroir de clamav avec cette méthode, ce m'as permis de calmer la facture de transit tout en permettant un traffic soutenus lors que l'équipe de clamav mets a jours ses signature et génére beaucoup de traffic.

Exemple la dernière mise a jour de main.cvd a généré sur cette machine plus 70Mbps de traffic en continu pendant 5 à 6 heures, avec moins de 5% CPU système utilisé sur PIII 1GHz avec 512Mo de RAM et plus de 1000 / 2000 FD connectés en moyenne.... Le serveur web est un thttpd .... :)

OpenBGP ne consomme pas trop de mémoire (moins de 128Mo suffisent pour les 200K routes actuelles) :

# bgpctl show rib memory
RDE memory statistics
       1515 IPv4 network entries using 48480B of memory
       3029 prefix entries using 96928B of memory
       2054 BGP path attribute entries using 156104B of memory
        471 BGP AS-PATH attribute entries using 13523B of memory,
            and holding 2054 references
         37 BGP attributes entries using 888B of memory
            and holding 277 references
         36 BGP attributes using 216B of memory
RIB using 316139B of memory

J'utilise aussi cette méthode pour shapper la bande passante du mirroir ftp.oav.net :)

Avec un peu de pfstat on peut voir les utilisations de différentes queues :


Contrib

Pour les patches, les erreurs de frappes, et du peering pour Kazar, écrivez moi sur les commentaires :)

License

Ce document est sous double license : GPL et Offrez moi un biere(tm) :)

Mais ? Je rêve ? Des moustiques a Paris au mois de Janvier ????

A mort les moustiques ! Il y a quelques semaines, j'ai ouvert vers 22h ou 23h une fenêtre afin d'aérer un peu.... Bref rien de plus que 10 minutes d'une fenêtre ouverte avec la lumière dans la pièce.

Rien de spécial, mais ce qui m'as fait halluciner c'est d'entre un moustique en plein mois de Janvier a Paris... Qui commencais a nous piquer ma chérie et moi...

Déjà que nous sommes depuis plus de deux ans obligés de mettre plein d'anti-moustiques a partir du mois d'avril jusqu'a mi novembre pour avoir un peu la paix, mais la en plein Janvier, faut pas abuser.

Qui donc s'amuse a élever des moustiques à coté de la Place Cambrone a Paris ? Ou c'est le réchauffement climatique.... alors dans ce cas la... il faut que j'installe des moustiquaires et une clim..... :/

Code vs Culture

En tombant par hazard sur une conférence de Lawrence Lessig sur les problèmes de nos nouveaux médias, logiciels et artistes vis a vis de leur profession, des licenses et de la loi. Il est clair nous sommes bien au milieu d'un changement de fonctionnement de notre société basé pour l'instant via du broadcasting au lieu des échanges entre êtres humains comme auparavant.

Bref 1 heure 20 à voir et a analyser : Code vs Culture (200Mo) (mirroré chez Kazar, ou le lien d'origine).

A plus et bonne année !

Ridicule :)

J'avoues que depuis quelques temps, les spams avec un image se fesait de plus en plus nombreux.
Au début, on pouvais les confondre facilement comme par exemple :

Image donc lisible, totablement compréhensible, voir même assez bien faite pour qu'on puisse se tromper avec un vrai mail...
Des parades sont arrivées.... et les spammeurs ont essayé de se protéger... En rendant les images "cassées" par des truchements a la noix et comme les logiciels de mail sont "intelligents" (sic ?), on peux quand même voir le spam.
Des gens ont eu l'idée de mettre en place des OCR afin d'analyser le contenu de l'image et faire des techniques standard sur les mots générés sur l'image pour évaluer si le contenu est du spam ou pas...
Les spammeurs ont décidés qu'on pouvais contourner ces techniques en mettant du "bruit" autours de l'image... Et ca donne :

Et la ca frise le ridicule.... Honnêtement, est-ce qu'on arrive a lire ce qui est marqué ? non... alors arrêtez de faire perdre du temps a nos machines....

Hey spammers read this !!!

I just wanted to say hello to the spammers that is constantly adding comments and notes to anything I write in this blog. Don't waste your time, and add your bloody comments about nasty websites and whatever somewhere else.
/Xavier

Fusion Alcatel - Lucent

Tiens je viens de remarquer que Alcatel a racheter Lucent... en tant qu'opérateur de réseau, je trouve ca dangereux....

La dernière fois que Alcatel a racheté quelque chose c'étais un gros frabriquant de switch réseau...

Je me rappelle qu'à l'époque je faisais de la recherche et veille techno pour CW...

J'avais appellé Alcatel :
Moi > "Bonjour, je voudrait avoir un reponsable commercial pour les switches ethernet Whatever que vous avez rachetté récement"
Hotesse > "Un PABX ?"
Moi > "Non un switch RESEAU"
Elle > "C'est un PABX / Central téléphonique"
Moi > "Non c'est du réseau pas de téléphonie"
Elle > "Oui mais on fait que de la téléphonie"
Moi > "Votre site dis le contraire"
Elle > "Ah bon ?"
(trop merci les boulets)
Moi > "Bon vous avez quelqu'un qui connaisse touts le produits que vous vendez"
Elle > "Dites moi ce que vous voulez ?"
Moi > "Des switches Ethernet.... je vous l'ais dis dès le début...."
Elle > "Des standards téléphonique.... ? non ?"
Moi > "Laissez tomber... je vais continuer avec des Foundry et Cisco, au moins les américains savent ce qu'ils vendent eux"...

Bref... au bout de 5 appels en 2 semaines aucun moyen de trouver des gens comptant pour acheter du matos francais...

Au revoir Lucent... and "Good luck"... Je pense qu'un fois de plus on va voir disparaître des fabriquants de matériel qui avais du vrai support....

Enfin, sauf surprises..... :p

Dépendance énergetique.... :p

Sur ce lien on parle d'une coupure électrique de Los Angeles aujourd'hui.

Travaillant dans le domaines des ordinateurs, les problèmes d'électricité sont, pour moi, une evidence, mais il me semble que c'est pas le cas partout.
En effet, dans cet article, on voit parfaitement que une bonne partie de LA a été sérieuxement paralysée par l'absence d'électricité et que de nombreux accidents sont survenus a cause de systèmes qui n'ont pas de sécurité en cas de coupure électrique.

Je parlais dans un de mes articles précédent, que notre société est dépendante au niveaux pétrole, mais je pense qu'au point de vue électrique la dépendance est encore plus forte et beaucoup plus difficile a gérer.

Tous les objets qui nous entoure même les plus simples dépende d'une energie : électrique, chimique, ...

Est-ce le point faible notre société ?

Plus de pétrole ?

Bah tiens ça recommence on reparle de crise pétrolière.

Loin de là de dire que c'est quelque chose de faux et illusoire, mais il faut quand même remarquer que nous avons été prévenus depuis quelques années que celà allais nous tomber sur la tête.
En effet, quand je regarde sur mon bureau, je vois que :

  • Le clavier sur lequel je tape ces mots est composé de plastique (donc de pétrole)
  • L'écran LCD que j'utilise est composé de plastique...
  • Les téléphones qui sont à coté de moi sont aussi composé de platique
  • L'ordinateur que j'utilise a pas mal de platique autours pour faire "beau"
  • Le bureau en vrai bois (ça existe !!!) a une couche de vernis laquée, qui vient de la chimie pétrolière...
  • Le gobelet à café est, évidement, en plastique (pour une fois qu'il n'est pas en polystèrene expansé)...
  • ...
Bref quand on fait le tour de sa vie quotidienne on voit que le pétrole est utilisé dans 80% des produits qu'on utilise.

C'est grave

Nous sommes dans une soit disans civilisation de consommation. Mais on se rends pas compte que le pétrole est utilisé pour tout et rien.

Surtout RIEN d'ailleurs. Parce que vu le nombre d'objets jetés fait en pétrole qui sont pas aussi recyclabe d'ailleurs qu'on veux bien le dire....
Tout ce qui est jetable (boissons gazeuses par exemple pour ne pas citer de noms...) qui osent utiliser des bouteilles non consignée comparé a ce qu'il se passe en Allemagne, des blisters ou autres trucs jetable est le symbole du pétrole jeté et pas recyclé qui ne pourras plus jamais être utilisé dans le futur. Sans compter que la pollution engendrée avec cet immence gachis commence a être assez importante..

Autre trucs :
La signalisation routière... surtout à Paris me semble un peu aussi n'importe quoi. En effet, il y a toujours un ou deux feu de signalisation séparés de ... 10m ... Est-ce obligatoire ce genre de délires alors qu'on sait parfaitement que le démarrage d'une voiture est non seulement plus poluante, mais aussi plus consomatrice. Sans compter la consomation électrique de ce genre de chose qui ne fait rien pour diminuer la dépendance énergétique et aussi augmenter nos impôts locaux...
A mon avis, vaux mieux un bon stop qu'un feu car lorsqu'il n'y a pas beaucoup de circulation, la consommation et le bruit engendré sera moindre. Sans compter évidement la consomation électrique car un panneau de signalisation ne comsomme pas d'électricité.

L'isolation des maisons (et apparts)

Il fait trop chaud l'été et trop froid l'hivers... trop sombre aussi des fois....
Toujours les problèmes de conception... En effet, si on utilisais la surface visible des tois pour :

  • Mettre des panneaux solaires pour alimenter en électricé les maisons
  • Mettre des chauffe eaux solaires pour faire de l'eau chaude ou moins froide
  • Isoler mieux les apparts avec des matériaux autre que les parpaings qui sont consommateur et en eau et en énergie
  • ...
On aurais sûrment moins d'énergie perdue pour rien. Ne me dites pas que c'est pas faisable a Paris, car il y a des maisons a Londres qui produisent trop d'energie toute seules. A un tel point que le surplux est renvoyé a l'électricité locale.

En conclusion:
A nos élus (sic...) qui sont toujours en train de penser aux prochaines élections qu'au besoins et problèmes de notre pays, il serait temps de bouger et de faire des actions avant que le pays soit en failitte complète, ce qui a l'air de tendre vers...

A bon entendeur...

Vigil Micrate ?

Bah tiens... Après les attentats de Londre (cf : cet article) il a été décidé de mettre en place le plan rouge de Vigipirate.
Si ce n'est l'effet rassurant de ce plan, a quoi sert-il ?
Est-ce que les superbes barrières anti parking vas empêcher des gens qui auront des idées a la con et stupide de faire leur conneries ? Non ! Ca les ralentiras sûrement, mais les empêcher pas du tout...
Est-ce que l'interdiction de survoler des espace aérien empêchera des personnes qui voudront se croire tout permis de faire la même chose qu'a NYC ? Non ! Mais on (c'est à dire l'état) serat prévenu avant que celà arrive...
Alors a quoi ça sert ?
  • A aider la population a se sentir protégée
  • A faire comprendre aux méchants qu'ils sont surveillés
  • A controler arbitrairement n'importe qui pour n'importe quel raisons
  • A casser les pieds des honnêtes citoyens qui peuvent plus passer là où ils veulent par peur qu'un idiot décide de faire un attentat
  • A réduire les libertées de chacun sous de faux pretextes de sécurité...

Alors, allons nous céder aux pressions et faire reculer la démocratie????
Je pense que c'est déjà le cas .... Et depuis longtemps....
Il y a deux lois fourre-tout qui s'appellent : la LCEN et celle (dont je me souviens plus) qui parle de la sécurité quotidienne....
La première, je la connais bien... Elle porte préjudice, à mon avis, sur la liberté quotidienne de chaque internautes... En effet, elle oblige TOUS les ISP a enregistrer les entêtes de vos mails.... Ca sert à rien, car les gens malhonnêtes ne seront pas assez stupide d'utiliser un mail en @monisp.com pour échanger des choses "illégales..."...
Bref... Big Brother is watching you... Allez voir ou lire 1984, vous comprendrez mieux...

Optimiste ou pessimiste ?

Ze 404
Des fois on trouve des perles... Genre la page 404 (page non trouvée suivante...)...

Le périf = concentré de pollution ?

Selon un article du Figaro, le périférique serait un concentré de pollution.

Pas une nouvelle en soit. Enfin en ce qui me concerne :)

En effet, je suis depuis un an et demi dans des bureaux à coté de la porte de Saint Ouen (situé a 50m du périf avec une superbe vue dessus). Et en un an j'ai remarqué que le nombre de maladies a la con, souvent respiratoire d'ailleurs, avait augmenté.

On va faire comme les pub : avant, maxi un gros mal de gorge par an sauf cas exceptionnel. Après (c'est a dire cette année) entre 4 et 5 crèves sans compter les mal de tête (je consomme en doliprane) et les mal de gorge qui trainnent pendant des semaines...

Bref, vivement que ça cesse... Bon pour moi, après le 15 mai je devrai être libéré donc je me retrouverais dans des bureaux a la campagne donc nettement plus sain.

Par contre la direction de ma boite actuelle se demande pourquoi il y a plus de congés maladie dans ces bureaux que d'autres... mais bon on ne vois pas la poutre dans son oeil, mais la paille qui se trouve dans celle du voisin... :)

Enfin !

J'ai enfin reçu le courier que la Poste devait m'envoyer Samedi (comme quoi la rapidité n'est pas synonyme de la Poste).

Tout ça pour dire que je vais changer de Job... Cool non ? Fini la soit disant nouvelle économie.

Rox ;)

Finalement j'ai installé un blog.

Phénomène de mode ou autre, j'ai fini par installer un blog... Reste maintenant a le remplir....