Libres et eXperts du Libre

Obama, l'Open Source et Microsoft

Sébastien Carrillo — Fri, 23 Jan 2009 09:30:00 -0500

On ne peut pas vraiment échapper aux nouvelles concernant l'arrivée récente d'un président hors norme aux États-Unis. Hier, plusieurs articles ont attiré mon attention:

D'abord, celui du blogue de Matt Asay (Cnet) à propos de l'ouverture de la nouvelle administration au logiciel Open Source. L'appel à l'expertise démontre clairement que le nouveau président est conscient au moins de l'avantage du logiciel libre en terme de coût, et sans aucun doute également a-t-il compris (il est juriste de formation) l'ensemble des autres avantages liés aux formats ouverts.

Le président qui s'était démarqué dans sa campagne par l'utilisation d'outils du Web 2.0 pour se faire mousser a également fait modifier le site de la maison blanche pendant son discours. Aussi, le fichier "robots.txt" a changé est devenu ouvert...

On peut donc espérer un changement radical de l'approche gouvernementale américaine (espérons que le vent soufflera également chez nous), et je pense que ce n'est pas un hasard si Microsoft a annoncé hier la mise à pied de 5000 personnes. Ne doit-on pas y voir là un signal à la nouvelle administration?

Spécifications LG LDU-1900D / Innomtek LDU19DEMCF11

Jérome Oufella — Thu, 08 Jan 2009 11:18:00 -0500

Suite de l'article Libérer le LDU-1900D. Inclut les spécifications du protocole de contrôle du modem.

Activating the modem circuit

The modem initially introduces itself as an USB storage device, containing the proprietary drivers set. One must send a special activation code on the bus in order to have the device reconnect itself as a true communications device.

Description: SCHG message
Destination VID/PID : 0x1004/0x1000
Endpoint : 0x08
Message : 55534243988d54870000000000000aff554d53434847000000000000000000

After sending that message the devices disconnects then reconnects itself as VID/PID 0x1004/0x6107 (in the case of the LG model).

Handling the device at the operating system level

MacOSX

You will need a custom userland application that generates the SCHG message described above. Probably a codeless kext too, to avoid the usb storage device being captured by OSX. That being done, the device will be handled by MacOSX's usb serial driver.

Linux

One can use the usb_modeswitch utility to send the initial SCHG message described above. The device introduces itself as a CDC ACM communications device but using this driver will not work. The device can be handled using the usbserial.ko kernel module, but beware : the default usbserial driver (at the moment) has a communication speed limit of about 60kBps. This is why we use the option.ko kernel module, which enhances the communication speed of the usbserial driver. Here is how we can initialize the option.ko kernel module and use it with that modem :

#!/bin/sh
# This action must be performed upon connect using a udev rule
modprobe option
echo "0x1004 0x6107" > /sys/bus/usb-serial/drivers/option1/new_id

Here's the udev rule in case you need it :

# /etc/udev/rules.d/45-lgevdorevausbmomdem
SUBSYSTEM=="usb", SYSFS{idVendor}=="1004", SYSFS{idProduct}=="1000", RUN+="/usr/sbin/usb_modeswitch -v 0x1004 -p 0x1000 -m 0x08 -M 55534243c83244ff0000000000000aff554d53434847000000000000000000"
SUBSYSTEM=="usb", SYSFS{idVendor}=="1004", SYSFS{idProduct}=="6107", RUN+="/path/to/the/script/above"

This being done, the driver instantiates serveral /dev/ttyUSB interfaces when the modem is connected. Each tty is hooked to an interface described in the modem. We will only be considering the following interfaces :

/dev/ttyUSB1 : Modem communications interface (endpoint 0x82/0x02)
/dev/ttyUSB3 : Diagnostics/setup interface (endpoint 0x84/0x04)

A debian/ubuntu package is available at http://tinyurl.com/9tndzk .

Commands available on the diag/setup interface

The modem has a proprietary AT command set available on the diag/setup interface hooked to endpoints 0x84/0x04. The following commands and results have been identified :

Description: Show device info
Command: AT$GMINFO?
Sample response: 
$GMINFO: INNOMTEK,LDU-1900D,ICEBOX30010,LDU19DEMCF11

Description: Show internal phone number
Command: AT$PHONENUM?
Sample response: $PHONENUM:0000000000

Description: Get PRL identifier
Command: AT$GETPRLID=1
Sample response: $GETPRLID:1,3

Description: Not available
Command: AT$RSSILVLURC=1

Description: Get RSSI level?
Command: AT$RSSILVL?
Sample response: $RSSILVL:7

Description: Not available
Command: AT$CURNAM?
Sample response: $CURNAM:1

Description: Not available
Command: AT$MTCNT?
Sample response: $MTCNT:0

Description: Not available
Command: AT$GETROAMIND?
Sample response: $GETROAMIND:0

Description: Get modem lock code
Command: AT$LOCKCODE?
Sample response: $LOCKCODE:0000

Description: Not available
Command: AT$CAD?
Sample response: $CAD:1

Description: Show available networks
Command: AT$AVAILNET?
Sample response: $AVAILNET:4

Description: Show network date
Command: AT$SYSTIME?
Sample response: $SYSTIME:20090107040833WED

Description: Show RF mode (hybrid/1x/evdo)
Command: AT$HYBRIDMODE?
Sample response: $HYBRIDMODE:0
Useful Values: 0(Hybrid), 1(1X)

Description: Enable hybrid RF mode
Command: AT$HYBRIDMODE=0

Description: Enable 1X RF mode
Command: AT$HYBRIDMODE=1

The same interface also publishes information messages. They are useful to display informations in a user applet :

Description: Connected to network #
Sample Message: $CONNET:4

Description: End of packet session
Message: $PKTEND

Description: Available network #
Sample message: $UAVAILNET:4

ATI on the modem comm interface

Issuing an ATI on the interface hooked to endpoint 0x82/0x02 produces the following output :

Manufacturer: INNOMTEK
Model: 119
Revision: LDU19DEMCF11  1  [Oct 13 2008 11:48:40]
ESN: 0x114CXXXX
+GCAP: +CIS707-A, CIS-856, +MS, +ES, +DS, +FCLASS

Connect sequence

In this case one must use the endpoint 0x82/0x02 interface (ttyUSB1 on Linux using the option.ko serial driver). The following AT command script is known to work :

AT
ATE0V1&D2&C1S0=0
ATS0=0
ATS7=60
ATDT#777

Comprendre le libre par l'image

Sébastien Carrillo — Tue, 30 Dec 2008 17:20:00 -0500

Vous avez lu mon manifeste mais vous ne voyez toujours pas l'intérêt d'utiliser le logiciel libre dans votre entreprise? Nos amis de chez Framablog on traduit un texte originalement écrit par Richard Dooling et extrait de "Rapture for the Geeks: When AI Outsmarts IQ".

Ce texte ré-écrit la licence CLUF de Microsoft, comme si elle s'appliquait à un livre. Il s'agit d'une bonne occasion de visiter les nombreuses restrictions de cette licence. À vous de décider maintenant, si c'est vraiment ce que vous voulez pour votre informatique...

Le texte original
Le texte traduit en français (Framablog)

Des pubs pour Linux...

Sébastien Carrillo — Wed, 17 Dec 2008 17:18:00 -0500

Allez... Je ne peux pas résister... Je me demande quand nous aurons ce genre de choses au Québec...

Linux : Le futur est ouvert ! By IBM

et aussi...

Publicité française Linux - Extrem-Network

Autoriser l'accès à un serveur sur demande

Sébastien Carrillo — Thu, 11 Dec 2008 13:30:00 -0500

Quand on administre un serveur Linux, il est nécessaire de pouvoir s'y connecter, idéalement avec ssh. Le problème c'est que si on laisse un port ssh ouvert au monde entier, on se retrouve rapidement avec des série d'attaques "Brute Force" qui risquent d'exposer le serveur en plus de charger son cpu.

Afin de contourner le problème, on peut décider d'autoriser le ssh (ou d'autres protocoles), seulement à partir d'une adresse IP, par exemple celle d'un machine passerelle sur internet, ou celle d'un client à qui on donne ce genre d'accès. La commande iptables ressemblerait
à ceci:

iptables -A INPUT -s $IP_DE_CONFIANCE -p tcp --dport 22 -j ACCEPT

Ça nous limite toutefois à une adresse IP qu'on connaît à l'avance. J'ai donc imaginé une solution très simple qui permette d'ouvrir la porte à partir d'une page web...

La solution s'articule autour de trois éléments:

Une page web en php ou autre.
Un script qui tourne en permanence.
Une méthode pour s'assurer que le script ne s'arrête jamais.

Commençons pas la page web. Comme apache tourne en général avec l'uid 48 (apache), et qu'on ne veut pas donner le privilège à apache d'influer sur les tables, on va passer par un fichier intermédiaire. Le principe donc de la page web est donc simplement de créer un fichier (/tmp/sesame) qui contiendra l'adresse IP de l'appelant.

Voici ce que ça donnerait en php:

<?php

$ip=$_SERVER['REMOTE_ADDR'];
system("echo $ip > /tmp/sesame");

?>

Ensuite le petit script qui va tourner en permanence sur la machine. Il s'agit d'un petit script shell qui va simplement attendre que le fichier /tmp/sesame existe. Quand il le trouve, il ajoute une table pour autoriser l'adresse IP contenue dans le fichier:

#!/bin/sh

FILE_IP=/tmp/sesame
IPTABLES_RULE=INPUT
OPTIONS="-p tcp --dport 22"

while :
do
sleep 1
[ -f $FILE_IP ] || continue

IP=`cat $FILE_IP`

if iptables-save | grep -q $IP
then
        sleep 1
else
        if ipcalc -m $IP >/dev/null 2>&1
        then
                iptables -I $IPTABLES_RULE -s $IP $OPTIONS -j ACCEPT
                iptables -I $IPTABLES_RULE -d $IP -j ACCEPT
        fi
fi

echo "`date` `hostname`" | mail -s "SESAME `hostname` $IP" root
rm $FILE_IP 2>/dev/null

done

Enfin, afin que ce script se lance au démarrage, et qu'il ne s'arrête jamais, j'aime utiliser le fichier /etc/inittab. J'ajoute simplement la ligne suivante afin que le tout s'exécute en runlevel 3 :

tc:3:respawn:/root/scripts/sesame.sh

Et afin d'activer le tout, on tape la commande init q qui relit le fichier inittab. Voilà. Maintenant il me suffit d'appeler la page http://monserveur.tld/lenomquejaichoisi.php et la porte s'ouvre par magie....

L'utilisateur root
Bien-sûr il existe d'autres solutions plus sécurisées et plus complètes comme le Port Knocking, mais le fait d'ouvrir l'accès temporairement l'accès à partir d'une machine n'est pas une menace en soi, en tout cas pas pour un serveur ordinaire qui est déjà sécurisé.

Libérer le LG LDU-1900D

Jérome Oufella — Tue, 09 Dec 2008 16:54:00 -0500

Je prévois un déplacement au Maroc pour cet hiver. Le marché de l'Internet sans fil (CDMA et UMTS) là bas est assez développé et deux opérateurs se livrent une rude concurrence sur ce marché. L'acteur qui m'a semblé le plus populaire sur le marché, Wana, ex-Wanadoo et filiale du groupe ONA exploite un réseau CDMA (EVDO Rev.A). Ils ont choisi le fabriquant Coréen LG pour leur fournir des modems USB abordables. Malheureusement, depuis le début de l'automne, un nouveau modem ne fonctionnant (à priori) que sur plate-forme Windows a commencé à innonder le marché : le LDU-1900D, laissant les utilisateurs Linux et MacOS X en mauvaise posture. Comptant accéder à Internet durant mon voyage, je me suis penché sur la question...

Et la chanson, on la connait. Puisque ce modem n'est à priori pas disponible dans d'autres pays à l'heure actuelle, j'ai gentiment contacté LG Electronics au Maroc, leur proposant mes services pour développer gratuitement un pilote Linux et l'intégrer aux distributions majeures, en échange d'informations sur le protocole USB permettant simplement ... de pouvoir utiliser leur modem. Étonnament, Je n'ai à date reçu aucune réponse. EDIT 18/déc/2008 : LG m'est revenu avec une réponse négative.

N'ayant pas la possibilité de me mettre un de ces appareils sous la dent, j'ai fait quelques recherches sur les forums d'utilisateurs désemparés et je suis tombé sur M. Lebon, un sympathique médecin de Casablanca, utilisant Linux et incapable de se connecter au réseau EVDO avec son modem. Ce monsieur qui porte bien son nom, m'a été d'une aide incommensurable, réalisant toutes les analyses et les tests nécessaires à l'élaboration d'un mode opératoire.

Analyse du modem

Une fois connecté au bus USB du système, le modem LDU-1900D se déclare non pas comme unité de communications mais comme unité de stockage de masse (une clé USB). J'ai une forte intuition qui me dit que le chipset interne doit utiliser une méthode de communications classique (usbserial ou cdc-acm), ce qui est le plus courant aujourd'hui compte tenu de la simplicité d'intégration dans les systèmes. Le problème, c'est comment obtenir un périphérique de communications ? La réponse est simple : usb_modeswitch. Il est courant aujourd'hui de trouver de tels périphériques USB, qui nécessitent une chaîne de commandes sur le bus USB pour changer le fonctionnement du circuit interne et dévoiler les périphériques cachés à l'intérieur du boitier.

Capture du dialogue USB du modem

David m'a fourni une capture faite avec SniffUSB du dialogue du périphérique USB Vendor=0x1004 Product=0x1000 (le modem déclaré en mode stockage). De cette capture, nous avons pu déterminer la chaîne d'initialisation permettant d'obtenir une configuration pour usb_modeswitch

De la citrouille au carosse

Voici pour information le message USB qui provoque l'activation du périphérique de communications dans le modem USB :

Destination VID/PID : 0x1004/0x1000
Endpoint : 0x08
Message : 55534243988d54870000000000000aff554d53434847000000000000000000

Automatiser à la connexion du modem

On utilise pour cela une règle udev qui sera déclenchée à l'insertion du périphérique. Si vous utilisez Debian ou Ubuntu ou autres distributions, voir la procédure d'installation à la fin de l'article.

usb_modeswitch -v 0x1004 -p 0x1000 -m 0x08 -M 55534243c83244ff0000000000000aff554d53434847000000000000000000

On utilise le pilote série usbserial. Le résultat : l'activation d'un nouveau port série de type /dev/ttyUSB sur le système (par défaut /dev/ttyUSB0 si vous n'avez pas d'autre). Ce port série permet aux applications de dialoguer directement avec le circuit du modem.

Chaînes d'initialisation AT

Voici les chaînes d'initialisation à utiliser avec votre outil de connexion (obtenues en observant le dialogue entre le pilote windows et le modem) :

AT
ATE0V1&D2&C1S0=0

Installer LG LDU-1900D sur Debian & Ubuntu

J'ai préparé un paquet qui permet de simplifier l'installation sur les plate-formes Debian et dérivés. Voici la procédure :

Installer usb_modeswitch. Un paquet .deb pour les machines x86 est disponible ici : usb-modeswitch_0.9.5_i386.deb
Installer mon gestionnaire pour LDU-1900D : lg-evdo-reva-usbmodem_1.0-1jero0_all.deb . Il s'agit de règles udev qui permettent la détection et la modification du circuit du périphérique avec usb_modeswitch. Le paquet installe aussi une configuration pour wvdial (/etc/wvdial.conf).
Si vous êtes sur un autre réseau que Wana, éditer /etc/wvdial.conf en conséquent

Ensuite, vous pouvez initier une connexion à chaque fois avec cette procédure :

Ouvrir un terminal
Taper : sudo wvdial
Vous êtes connecté(e) !

Autres distributions Linux

Installer usb_modeswitch disponible sur ce site
Ajouter une règle UDEV dans /etc/udev/rules.d/ :

# This is /etc/udev/rules.d/45-lg-evdo-reva-usbmodem.rules
#
SUBSYSTEM=="usb", SYSFS{idProduct}=="1000", SYSFS{idVendor}=="1004", RUN+="/usr/sbin/usb_modeswitch -v 0x1004 -p 0x1000 -m 0x08 -M 55534243c83244ff0000000000000aff554d53434847000000000000000000"
SUBSYSTEM=="usb", SYSFS{idProduct}=="6107", SYSFS{idVendor}=="1004", RUN+="/sbin/modprobe usbserial vendor=0x1004 product=0x6107"

Ajouter une configuration wvdial dans /etc/wvdial.conf :

[Dialer Defaults]
Init1 = AT
Init2 = ATE0V1&D2&C1S0=0
Modem Type = LG EVDO Rev.A USB Modem
ISDN = 0
Phone = #777
Carrier Check = no
New PPPD = yes
Modem = /dev/ttyUSB0
Username = wana
Password = wana
Baud = 1843200

Ensuite, vous pouvez initier une connexion à chaque fois avec cette procédure :

Ouvrir un terminal
Taper : sudo wvdial
Vous êtes connecté(e) !

Microsoft passe sous la barre des 90% de parts de marché

Sébastien Carrillo — Fri, 05 Dec 2008 01:12:00 -0500

Le cabinet d'études Net Applications a publié les résultats d'une étude qui révèle que Microsoft accuse un recul de ses parts de marché en se retrouvant à 89,62 % des systèmes.

Ça m'a donné envie de partager avec vous une petite vidéo pour illustrer cette situation. ;)

Lister la commande complète avec 'ps'

Sébastien Carrillo — Tue, 02 Dec 2008 08:42:00 -0500

Aller encore un petit truc ce matin. La plupart des utilisateurs de Linux connaissent la commande ps. Elle permet de voir la liste des processus qui roulent sur le système. Les options les plus utilisées sont -ef ou -aux.

La sortie de la commande ps est formatée selon la largeur de votre terminal. Par exemple si votre terminal peut afficher 80 caractères sur une ligne, vous ne connaîtrez pas les options d'une commande plus longue:

root      7035  7010  0 07:38 pts/1    00:00:00 /bin/bash /usr/bin/rbme hydre:/home /var
root      7036  7035  0 07:38 pts/1    00:00:00 tee -a /tmp/RBME.rbme.dEZHQGMqhjoeHT7024/output /tmp/RB
root      7060  7033  0 07:38 pts/1    00:00:01 /usr/bin/rsync --link-dest=/mnt/nas01-1500/rbme/hydre/2
root      7061  7060  0 07:38 pts/1    00:00:00 ssh -c blowfish-cbc hydre rsync --server --sender -lHog
root      7062  7060  0 07:40 pts/1    00:00:00 /usr/bin/rsync --link-dest=/mnt/nas01-1500/rbme/hydre/2
root      7065  1097  0 08:20 ?        00:00:00 sshd: root@pts/0

Si on veut avoir la liste des commandes complètes, il suffit de rediriger la sortie standard vers cat. Le terminal n'a donc plus d'impact:

root      7035  7010  0 07:38 pts/1    00:00:00 /bin/bash /usr/bin/rbme hydre:/home /var
root      7036  7035  0 07:38 pts/1    00:00:00 tee -a /tmp/RBME.rbme.dEZHQGMqhjoeHT7024/output /tmp/RB
ME.rbme.dEZHQGMqhjoeHT7024/hydre
root      7060  7033  0 07:38 pts/1    00:00:01 /usr/bin/rsync --link-dest=/mnt/nas01-1500/rbme/hydre/20
08-12-01/ --relative -aSH --ignore-errors -x --exclude-from=/dev/fd/63 --include-from=/dev/fd/62 hydre:/
home /var /mnt/nas01-1500/rbme/hydre/2008-12-02/
root      7061  7060  0 07:38 pts/1    00:00:00 ssh -c blowfish-cbc hydre rsync --server --sender -lHog
DtprRxS --ignore-errors . /home /var
root      7062  7060  0 07:40 pts/1    00:00:00 /usr/bin/rsync --link-dest=/mnt/nas01-1500/rbme/hydre/2
008-12-01/ --relative -aSH --ignore-errors -x --exclude-from=/dev/fd/63 --include-from=/dev/fd/62 hydre
:/home /var /mnt/nas01-1500/rbme/hydre/2008-12-02/
root      7065  1097  0 08:20 ?        00:00:00 sshd: root@pts/0

On voit ici tous les arguments de la commande rsync. Comme vous le voyez, je suis en train de travailler sur la solution de backup que je vais bientôt mettre en vente...

Convertir des dates

Sébastien Carrillo — Fri, 28 Nov 2008 11:52:00 -0500

C'est souvent utile, alors je partage avec vous deux petits trucs.

D'abord un petit rappel. Unix, et donc Linux, compte le temps en secondes depuis le 1er janvier 1970. Donc si vous voulez savoir combien de secondes se sont écoulées, vous faite la commande suivante (il est ven nov 28 11:12:53 EST 2008):

[scarrillo@vercors ~]# date +%s
1227888773

Si vous avez une application qui fait des logs avec des dates marquées en seconde, comme par exemple squid (je devrais bientôt faire un article à ce sujet), et que vous voulez savoir à quelle heure a été fait l'accès, voici comment faire:

Le log de squid ressemble à ça:

1227881891.446    392 127.0.0.1 TCP_MISS/200 8577 GET http://fr-fr.facebook.com/index.php? - DIRECT/69.63.184.15 text/html
1227881892.505 129595 127.0.0.1 TCP_MISS/200 1781 CONNECT ssl.facebook.com:443 - DIRECT/69.63.178.13 -
1227881892.506 149063 127.0.0.1 TCP_MISS/200 2537 CONNECT login.facebook.com:443 - DIRECT/69.63.176.44 -

Le premier champ contient l'heure en secondes. Donc pour convertir:

[scarrillo@vercors ~]# date -d @1227881892
ven nov 28 09:18:12 EST 2008

Sur le même principe, si vous voulez connaitre la date d'hier au format YYYYMMSS, par exemple pour créer une archive, vous pouvez faire:

[scarrillo@vercors ~]# date --date '1 day ago'
jeu nov 27 11:18:27 EST 2008

La vie en Penrose

Jérome Oufella — Wed, 26 Nov 2008 22:47:00 -0500

Aujourd'hui on m'a fait découvrir Penrose, un outil qui permet de créér des méta-annuaires LDAP à partir de sources de données hétérogènes quelconques. Que les données proviennent d'autres annuaires, de bases de données, de fichiers texte, Penrose sera en mesure de les fédérer et de créér une vue unique et uniforme des données, disponible au format LDAP.

La question à 100$, c'est quand utiliser un tel outil ? Un besoin courant, par exemple, se trouve dans les grosses compagnies présentes sur plusieurs sites géographiques, avec des adresses de messagerie se terminant par par le même domaine @compagnie.com. Dans ce cas, il est probable que chaque site important possède son propre serveur de messagerie. Il est tout autant probable que les serveurs de messagerie varient d'un site à l'autre, en fonction des ressources sur place (Linux, Exchange, Lotus Notes, etc.).

Les messages doivent dans ce cas entrer sur un frontal commun : le MX du domaine compagnie.com. À ce niveau là, en fonction du nom d'utilisateur, le frontal devra router les message sur le MX interne du destinataire. Ce frontal doit donc être en mesure de récupérer une liste à jour de tous les usagers sur tous les sites, avec en plus l'information de leur emplacement.

C'est précisément le domaine d'applications pour lequel Penrose a été créé : on extrait de chaque site la liste des usagers, avec le <strong>connecteur approprié</strong> (LDAP, SQL, texte ou autre). On ajoute à chaque site un attribut sur mesure (le mx interne de destination). Le résultat produit par Penrose est une arborescence LDAP, que l'on peut connecter directement (ou presque selon l'outil utilisé) au mécanisme de routage du serveur SMTP frontal ; dans le cas de Postfix, virtual-alias et transport-map.

À l'instar de la bibliothèque Qt, Penrose est disponible sous double licence, GPL et commerciale (selon le spectre d'utilisation souhaité). Il est écrit en Java, est multi-plateforme, et est intégrable aussi bien à des infrastructures de service qu'à des applications.

Linux : Volumes disque chiffrés avec LUKS

Jérome Oufella — Sun, 16 Nov 2008 17:14:00 -0500

Le goût du LUKS

Le système Linux fournit de manière native un mécanisme de chiffrement de périphériques de type "bloc", appellé LUKS (pour Linux Unified Key Setup). Ce système propose une approche intéressante, dans le sens où l'accès aux périphériques chiffrés peut être délégué à plusieurs clés (jusqu'à huit). Il est ainsi possible de donner accès à un périphérique à plusieurs personnes, ou encore de donner à une personne plusieurs ressources pour accéder au volume ; par exemple une clé d'utilisation courante, une clé issue d'une empreinte digitale, et une clé en coffre à la banque.

Le système fonctionne comme GPG lorsque plusieurs personnes sont capables de déchiffrer un message : une clé unique (symmétrique) permet le déchiffrement, mais celle-ci est, à son tour, chiffrée avec la clé publique de chaque personne. Dans le cas de LUKS, les deux niveaux de chiffrement sont réalisés avec des clés symmétriques.

Pré-requis

L'implémentation la plus populaire de LUKS est probablement celle fournie avec la couche DM (Device Mapper) de Linux, via le module noyau dm-crypt, et l'utilitaire cryptsetup. C'est donc un paquetage à installer.

Initialiser un volume LUKS

Utiliser LUKS nécessite l'écriture préalable d'un bloc d'en-tête sur le volume à chiffrer. Comme toutes les autres, cette opération est réalisée avec l'utilitaire cryptsetup. Ici, une première clé de chiffrement sera demandée par le programme :

cryptsetup --size 256 --cipher 'aes-cbc-essiv:sha256' luksFormat /dev/nomvolume

On utilise ici une clé de type AES-256-CBC-SHA, je vous invite à consulter la page de manuel cryptsetup(8) pour une description détaillée des options.

Ouvrir un volume chiffré

L'accès à un volume chiffré se fait généralement au démarrage du système. Une clé valide devra être saisie par l'utilisateur :

cryptsetup luksOpen /dev/nomvolume luks-nomvolume

Le résultat de cette opération est la création par le système d'un périphérique de type bloc, /dev/mapper/luks-nomvolume. Il représente la version déchiffrée de /dev/nomvolume.

Fermer un volume déchiffré

C'est simplement l'opération inverse de la précédente.

cryptsetup luksClose luks-nomvolume

Gestion des clés dans l'en-tête

Ajouter une clé de déchiffrement

Cryptsetup permet la gestion des huit slots de clés présents dans l'en-tête LUKS. Notamment, on voudra être en mesure d'ajouter une nouvelle clé à l'en-tête :

cryptsetup luksAddKey /dev/nomvolume

Afficher les informations sur l'en-tête LUKS

Permet de voir quel(s) slot(s) sont occupés dans l'en-tête LUKS :

cryptsetup luksDump /dev/nomvolume

Supprimer une clé de l'en-tête LUKS

cryptsetup luksDelKey /dev/nomvolume numero_de_slot

Activation automatique au démarrage

Certaines distributions supportent l'activation automatique des volumes chiffrés, à l'aide d'un fichier /etc/crypttab. Son utilisation reste analogue à la phase d'ouverture du volume chiffré :

# Contenu de /etc/crypttab
# target           source device    key file   options
luks-nomvolume     /dev/nomvolume   none       luks

Remarques

Il est intéressant de noter que toutes les clés dans l'en-tête LUKS ont le même poids administratif. Par conséquent, chaque clé permettra la gestion de l'ensemble des informations dans l'en-tête, ce qui est à prendre en considération lors de l'intégration de LUKS dans les politiques de sécurité corporatives.

Copier phpinfo() dans un fichier

Sébastien Carrillo — Sun, 09 Nov 2008 11:50:00 -0500

Parfois, il peut vous arriver d'avoir besoin de connaitre les paramètres de php, sans avoir envie de créer une page web dédiée à ça ou encore si vous n'avez pas de navigateur à portée de main.

Voici un petit script qui vous permettra de mettre le contenu de phpinfo dans un fichier à partir de votre shell... (on passe le fichier en argument)

[root@www1 tmp]# more phpinfo.php
#!/usr/bin/php

<?php
function PHPInfo2File($target_file){

    ob_start();
    phpinfo();
    $info = ob_get_contents();
    ob_end_clean();

    $fp = fopen($target_file, "w+");
    fwrite($fp, $info);
    fclose($fp);
}

$target_file=$_SERVER['argv'][1] or die("Usage : phpinfo.php NomFichier\n");

PHPInfo2File($_SERVER['argv'][1]);
?>

Voici ce que ça donne quand on exécute:

[root@www1 tmp]# ./phpinfo.php phpinfo.out

[root@www1 tmp]# head -5 phpinfo.out
phpinfo()
PHP Version => 5.1.6

System => Linux www1 2.6.18-92.1.13.el5xen #1 SMP Wed Sep 24 20:01:15 EDT 2008 x86_64
Build Date => Jul 16 2008 19:46:51

Une pièce de monnaie libre

Sébastien Carrillo — Sat, 08 Nov 2008 12:10:00 -0500

Aux Pays-Bas, le ministère des finances à organisé un concours pour la création d'une pièce commémorative de 5 euros. Le gagnant a réalisé la sienne avec des logiciels libres. Il a écrit un article sur son approche qui a été traduit et qui vaut le détour.

Cet article est passionnant. Il explique la démarche, puis les outils utilisés. Je vous invite bien-sûr à le lire, que ce soit pour l'aspect libre, mais surtout pour la recherche et la symbolique qu'il peut y avoir dans un objet aussi anodin qu'une pièce de monnaie...

Augmenter le nombre de sessions telnet simultanées

Sébastien Carrillo — Sat, 08 Nov 2008 11:26:00 -0500

Un de mes gros clients a des terminaux qui se connectent avec le protocole telnet sur le serveur. Par défaut RedHat Enterprise Linux ne propose pas suffisament de sessions simultanées.

Comme je lance telnet avec xinetd, il faut augmenter le nombre d'instances de xinetd simultanées. Voici comment:

cat /etc/xinetd.conf
#
# Simple configuration file for xinetd
#
# Some defaults, and include /etc/xinetd.d/

defaults
{
        instances               = 120
        log_type                = SYSLOG authpriv
        log_on_success          = HOST PID
        log_on_failure          = HOST
        cps                     = 25 30
}

includedir /etc/xinetd.d

De cette façon, 120 utilisateurs peuvent utiliser le serveur simultanément.

Associations d'informatique au Québec

Sébastien Carrillo — Fri, 07 Nov 2008 11:27:00 -0500

La poursuite engagée par FACIL contre le gouvernement du Québec m'a amené à m'intéresser aux différentes associations de professionnels ou d'usager de l'informatique ici. Ça à commencé par l'adhésion de La Tête Chercheuse à FACIL et ma nomination sur le CA de cette association.
Puis est venue la création de l'APELL (Association des Professionnels et des Entreprises en Logiciel Libre) pour laquelle j'ai été convié à l'assemblée constituante et dont je fais maintenant également partie du CA.

Tout ceci m'a invité à m'intéresser aux autres associations dont l'AQIII, pour laquelle je suis allé hier à un 5@7 qui me semble-t-il a été très fructueux. En effet de cotoyer des gens qui oeuvrent dans le logiciel propriétaire apparaît être très prolifique puisque ça permet d'avoir une ouverture sur la réalité de l'informatique et bien entendu d'avoir de belles opportunités de collaboration...

États Unis

Sébastien Carrillo — Tue, 04 Nov 2008 22:40:00 -0500

</BUSH>

En serais-je arrivé ou je suis sans Linux?

Sébastien Carrillo — Thu, 30 Oct 2008 18:30:00 -0400

En faisant ma revue de presse en ligne aujourd'hui, je suis tombé sur cet article qui a éveillé un brin de nostalgie.

En effet, il présente exactement ce qu'était ma première compagnie en 1995. 32 lignes de téléphone louées à France Telecom. Oui oui, 32 prises de téléphones, pas de T1. Une ligne Transpac de 128 kbps (4000/mois) partagée entre nos quelques 1500 clients qui fut suivie plus tard par une ligne satellitaire de 256 Kbps ($8000/mois), et deux serveurs linux sous RedHat qui géraient le tout...

C'était il y a 13 ans déjà... C'est fou comme le monde a changé, mais Linux fait toujours partie de ma vie, et probablement de la votre, même si vous ne le savez pas!

GNU/Linux : Un truc de communistes?

Sébastien Carrillo — Tue, 28 Oct 2008 14:20:00 -0400

Cette semaine est une semaine bien comique pour ce qui est de Linux. En effet, tous les magazines et les blogues font les choux gras de l'étude qui donne à Linux une valeur de 10.8 milliards de dollars si on imagine qu'on ait payé l'ensemble des développeurs.

En effet, la Linux foundation a fait l'exercice de compter les lignes du noyau Linux et comme cela dépasse les 10 millions de lignes, ils arrivent à une valeur approximative de 10.8 milliards de dollars US. Ce qui est le plus drôle...

c'est que pendant la même semaine, l'état russe vient de passer une directive qui oblige toutes les écoles à passer leurs équipements en logiciel libre. (lien vers la nouvelle).

On constate que les détracteurs de Linux ne pourront plus dire que ce système est un système qui n'est pas supporté et qui n'a pas de valeur. Les gouvernement communistes et progressistes l'ont bien compris, eux, alors qu'au Québec on est obligé de poursuivre le gouvernement (SFL et Facil) pour qu'il modifie ses politiques face au logiciel libre...

Vous trouverez par ailleurs ici un article sarcastique très intéressant au sujet de la valeur de Linux.

Party à Montréal pour la sortie de Ubuntu 8.10

Sébastien Carrillo — Tue, 28 Oct 2008 13:59:00 -0400

Je viens de recevoir l'inviation à participer au 4@8 qu'organise l'équipe d'Ubuntu Montréal à chaque nouvelle mouture de leur distribution. C'est un évènement ouvert où tout le monde est invité.

Voici le texte de l'invitation:

Comme à notre habitude, la communauté Ubuntu de la région de Montréal
célébrera la nouvelle mouture de notre distribution par le traditionnel
6-à-tard décontrac, au Bar St-Sulpice à Montréal, ce jeudi 30 octobre.

Nous invitons aussi tous les amateurs de logiciels libres, peu importe
la distribution qu'ils utilisent (et même nos amis qui préfèrent les
plateformes propriétaires!) à se joindre à nous pour célébrer la
vitalité de notre communauté et les valeurs qui nous unissent.

Comme les habitués le savent déjà, avec entre 100 et 200 visiteurs pour
l'occasion, c'est vraiment une excellente occasion de socialiser et de
renouer contact avec les connaissances du milieu.

On se revoit jeudi!

Étienne Goyer

Si vous pensez y aller, laissez moi un message...

Changer le fuseau horaire avec CentOS

Sébastien Carrillo — Fri, 24 Oct 2008 10:55:00 -0400

Ce matin, je me configure une machine virtuelle chez Gandi pour surveiller mes serveurs avec Munin. Et comme les machines virtuelles de Gandi sont configurées sur le fuseau horaire de Paris, j'ai du chercher comment changer l'heure.

Voici la solution:

[root@gandi etc]# date
Fri Oct 24 16:54:34 CEST 2008
[root@gandi etc]# cat /usr/share/zoneinfo/America/Montreal > /etc/localtime
[root@gandi etc]# date
Fri Oct 24 10:54:55 EDT 2008