Cloonix : soyez administrateur réseau sans mot de passe root

Posté par  (site web personnel) . Modéré par baud123.
Étiquettes :
16
30
mai
2010
Linux
Vous êtes en froid avec l'administrateur de votre machine (Linux) et vous avez des manipulations réseau à valider ? La solution est Cloonix, qui sort en version 6.7 !

Cloonix est un ensemble de logiciels en C (sous licence GPL v3) qui prennent en charge la gestion de vos machines virtuelles ainsi que d'un réseau virtuel sous-jacent totalement configurable à chaud.

Les atouts de Cloonix sont les suivants :
  • Interaction graphique avec représentation « WYSIWYG » de la topologie ;

  • Isolation complète de votre réseau du réel (on n'a pas le mot de passe) ;

  • Accès Internet pour toutes les machines virtuelles sur un hôte connecté ;

  • Connexion inter-Cloonix pour étendre votre réseau sur plusieurs machines ;

  • Ensemble fourni avec les dernières OpenWrt, Debian et Ubuntu ;

  • Authentification de toutes les commandes passées au réseau virtuel ;

  • Authentification et chiffrement des flux de trafic sortant et entrant dans le réseau virtuel.

Aller plus loin

  • # Cloonix

    Posté par  . Évalué à 10.

    Si j'ai bien compris, c'est un logiciel de Clown Computing ?
    • [^] # Re: Cloonix

      Posté par  . Évalué à 10.

      et c'est pas pour les rigolos
    • [^] # Re: Cloonix

      Posté par  . Évalué à 7.

      Et tout cas, ça ressemble à un sacré cirque.
      Moi, j'ai rien compris.
      • [^] # Re: Cloonix

        Posté par  (site web personnel) . Évalué à 4.

        En effet le clown-computing n'est pas facile, c'est l'étape suivant le "cloud computing", bien vu par Antoine! En très gros, un "cloud" est un ensemble de neuds (machines) réels et virtuels en réseaux.
        Le cloud-computing est un terme inventé pour rendre flou cet ensemble qui stocke des données on ne sait où exactement dans cette masse de machines et qui offre des services (web) qui proviennent d'on ne sait où dans cette masse de machines.

        Cloonix est une nouvelle façon de créer une extension virtuelle dans un cloud.

        Et-ce clair maintenant?
  • # cool

    Posté par  . Évalué à 3.

    Ca a l'air cool mais je suis frustré, je comprend à quoi ça sert
    et surtout, je comprend pas comment ça permet de contourner le fait de ne pas avoir le mot de passe root.
    Tu veux bien m'expliquer ?

    Merci d'avance :-)
    • [^] # Re: cool

      Posté par  (site web personnel) . Évalué à 5.

      Simple comme bonjour, tu n'administre pas le "vrai réseau" mais ton réseau qui est complétement à toi et sur lequel tu peux faire tous ce que tu n'osais pas faire "en vrai".

      En réalité, toutes les machines sont des process et tous les cables sont des sockets mais toutes les manips qui sont faites sur ces vrai-fausses machines connectés avec de vrai-faux cables sont des vrai-vrai manips.

      Donc tu administre vraiment ton vrai-faux réseau mais c'est pour de faux et donc tu n'as pas besoin de mot de passe.

      Est-ce clair ? En tous cas c'est très cloolnix.
      • [^] # Re: cool

        Posté par  (site web personnel) . Évalué à 3.

        hmmm ça me paraissait plus clair l'année dernière
        http://linuxfr.org/2009/05/18/25472.html (le 4ème lien de cette dépêche)
        • [^] # Re: cool

          Posté par  (site web personnel) . Évalué à 3.

          A propos de l'année dernière, j'ai abandonné complétement dynamips, qui permettait d'intégrer un cisco dans le réseau. Certains seront furax, mais dynamips n'est plus maintenu, il mange un maximum de CPU pour faire bien peu de choses et en plus cisco-windows même combat!
          Il ne faudrait quand même pas les aider à nous escroquer!

          Donc tous le code qui gérais l'intégration de dynamips dans cloonix est maintenant à la poubelle et cela m'a fait plaisir de m'en séparer.
      • [^] # Re: cool

        Posté par  (site web personnel) . Évalué à 1.

        Ben, c'est comme ce que font les scripts kiddies avec les botnets depuis 10 ans :)

        La même chose, mais en mieux présenté.
        • [^] # Re: cool

          Posté par  (site web personnel) . Évalué à 4.

          Bien présenté! c'est la première fois qu'on dit cela à propos de cloonix!
          Et pour les scripts kiddies, c'est justement le contraire, cloonix plaira aux admins car il est sans dangers pour le vrai réseau et les vraie machines.
          D'après la définition donnée là:
          http://www.wisegeek.com/what-are-script-kiddies.htm
          les scripts kiddies ne plaisent pas aux admins.

          Avec cloonix, tout étant simulable, les administrateurs de tous les labos de recherches peuvent garder leurs mots de passes secret, ce qu'ils veulent par -dessus tout! Les manipulations réseaux peuvent être toutes faite sur un réseau parallèle.

          Le réseaux parallèle peut joindre plusieurs labos de recherche et être mondiale.

          On pourra créer dans ce réseau parallèle des copies de machines réeles pour des tests comme celui de la sncf où ils ont utilisé le vrai réseau pour publier une fausse nouvelle d'une catastrophe simulée.
    • [^] # Re: cool

      Posté par  (site web personnel) . Évalué à 6.

      En plus de la formation réseaux des débutants, il y a d'autres utilités, dont certaines nécessitent le mot de passe root:

      Pour créer plusieurs serveurs httpd dans la même machine, (donc réception sur le port 80 unique), il suffit de créer plusieurs machines virtuelles, de créer une interface tap pour chaque, (et là le mot de passe root est nécessaire), puis de bridger les interfaces taps sur de vraies interfaces de la machine.

      On peut généraliser le cas du serveur httpd à d'autres choses comme par exemple des softphones, il est pratique dans les labos d'avoir de nombreux téléphones, multiplier les softphones de la même façon que ci-dessus devient économiquement intéressant.

      J'ai commencé ce logiciel lorsque j'ai participé à des recherches sur le protocole Mobilité Ip V6 et que les manips sur vraie machines étaient longues et pénibles. Donc l'utilité première de cloonix est d'aider aux tests de tous les logiciels qui "jouent" avec le réseau, et ils sont nombreux.
      Pour cette utilisation, pas besoin du mot de passe.

      L'histoire du mot de passe est aussi une façon d'attirer le lecteur !
      • [^] # Re: cool

        Posté par  . Évalué à 2.

        Je trouve ton cloonix vraiment intéressant , une question que je me pose lorsqu'on veut deployer réellement toute la topologie réseaux (hard et soft ) qui a été préalablement simulé , quel est le degré de différence entre les deux mondes ?

        je me souviens d'un projet similaire que j'avais vue au fosdem , créer par un prof d'unif car les labos n'avait pas assez de pc pour tout les étudiant , hélas je ne me souviens plus du nom de ce projet ...
        • [^] # Re: cool

          Posté par  . Évalué à 4.

          je m'auto répond :

          alors le projet s'appelle Marionnet , http://en.wikipedia.org/wiki/Marionnet

          a ne pas confondre avec puppet (qui est outil de centralisation d'administration réseaux , un peu comme nagios je crois ). Je n'arrivais pas a m'en souvenir parce que je savais que cela voulais dire marionette en anglais mais aussi que ce n'étais pas puppet ... :)

          Pourrais tu me dire les similarités et différence entre cloonix et marionnet ?

          (sinon je vois comme ressemblance que c'est français à la base , mais bon ca veut rien dire en soi :-)

          http://www.marionnet.org/EN/
          • [^] # Re: cool

            Posté par  (site web personnel) . Évalué à 2.

            nagios est un outil de monitoring qui permet de déclencher des alertes en cas de mauvais fonctionnement.

            puppet se place sur le même créneau que cfengine. C'est un outil d'administrateur système pour auto-configurer les machines : postes de travail ou serveurs.

            Les deux outils sont complémentaires mais n'ont pas les mêmes objectifs.
        • [^] # Re: cool

          Posté par  (site web personnel) . Évalué à 4.

          Cette question est extrèmement importante, et comme pour les religions, il y a des camps, moi je suis dans le camp de ceux qui disent qu'il n'y a pas de différence dans la mesure où les machines virtuelles ne sont pas saturés et que les débits demandés par les manips sont facilements écoulés par le réseaux de sockets.

          Il y a une petite différence au niveau de l'accès ethernet, dans les réseaux simulés, ils sont toujours "up", quand il n'y a rien de connecté, sur une vraie machine le niveau physique tombe à down. Ce détail n'a aucune importance au niveau des applis et protocoles de routage.

          Il y a une autre différence, plus génante, c'est la réaction du driver sur saturation des liens physiques: un driver normalement constitué appel netif_stop_queue(netdev) sur engorgement des packets (4 buffers à peu près) à son niveau, ce qui prévient le noyau qui stocke alors les trames dans un système de files d'attentes (voir sched et les qdiscs) et on peut alors prioriser ces packets en attente (qos). Avec des sockets, nous n'avons pas ce netif_stop_queue et donc tous les packets partent comme si il n'y avait pas saturation et sont alors stockés dans uml_clownix_switch qui fait ce qu'il peut.

          Donc hors saturation, les systèmes sont totalement identiques (d'après moi) et en saturation, ils divergent complètement dans leurs comportements.
          • [^] # Re: cool

            Posté par  (site web personnel) . Évalué à 2.

            Le message ci-dessus est la réponse à la question "différence entre simulation et réalité",
            pour marionnet, je n'ais pas eu le temps de le tester.
  • # Pont avec réseau réel

    Posté par  (site web personnel) . Évalué à 2.

    Je pense qu'il est possible sur une des machines ou l'on serait root de faire une passerelle avec le vrai réseau pour inter-connecter les deux ?
    • [^] # Re: Pont avec réseau réel

      Posté par  (site web personnel) . Évalué à 1.

      Si on est root sur une machine, alors, on peut creer un tap (drag-drop souris) et par des clicks, on peut connecter ce tap n'importe où dans le réseau cloonix.

      Le tap est dans la stack ip de l'hôte, on peut aussi sortir par une interface physique si l'on bridge le tap par brctl (bridge-utils) à celle-ci.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.