L'honorable fail2ban semble utilisé sur de très nombreuses petites infrastructures. NdM: Fail2ban est un framework de prévention contre les intrusions, écrit en Python (Wikipédia), ou dit autrement à bloquer et bannir des pénibles. Il est diffusé sous GPLv2+.

Il était installé sur mes serveurs, avant que j'essaie de le remplacer.

Mais dis-moi, pourquoi remplacer fail2ban ?

• Parce que fail2ban est lent
• Parce que sa configuration est très désagréable et mal documentée.

Mais dis-moi, il doit bien exister une alternative ?

Avant de me lancer yeux fermés dans l'implémentation d'une alternative, j'ai fait le tour du propriétaire libre :

• sshguard est uniquement adapté à SSH.
• crowdsec semble chouette, mais adapté à des grosses infras et à des workflows compliqués. De plus, je n'ai pas réussi à l'installer.
• salt est plus un WAF (Web Application Firewall). Pareil, semble chouette mais adapté à des grosses infrastructures.
• minos, développé par Exarius (un des CHATONS), efficace mais ne supporte que les logs stockés dans des fichiers texte et le pare-feu nftables.
• pyruse, que je découvre aujourd'hui sur LinuxFr.org avec l'étiquette fail2ban. Uniquement adapté à systemd/journald.

Cri de joie, de toutes les alternatives que j'ai trouvé, fail2ban semble être encore le mieux adapté !

Proxmox Server Solutions GmbH a annoncé la version 3.1 de sa solution libre de sauvegarde des serveurs Proxmox Backup Server. C’est une solution logicielle pour la sauvegarde et la restauration de machines virtuelles, de conteneurs et d’hôtes physiques. Il prend en charge les sauvegardes incrémentielles, entièrement dédupliquées, la compression et le cryptage authentifié.

Principales nouveautés de la version 3.1

• Le serveur de sauvegarde Proxmox est basé sur Debian 12.2 Bookworm, mais utilise noyau Linux (6.5), et inclut ZFS 2.2.0 avec des certains correctifs apportés par la 2.2.2 avaient été rétroportés dans la 2.2.0.
• Cette version est compatible avec le système Secure Boot. Cela permet d’installer Proxmox Backup Server dans des environnements auxquels le Secure Boot est activé.
• Prise en charge des tâches de synchronisation locale (en anglais : local sync jobs): Une tâche de synchronisation locale permet de synchroniser les sauvegardes entre les centres de données locaux. Les tâches de synchronisation peuvent désormais extraire des contenus non seulement des instances distantes de Proxmox Backup Server, mais aussi des datastores locaux.
• Le système de sauvegarde sur bande permet de copier facilement le contenu du datastore sur des bandes. Cette version améliore la compatibilité avec les bandes LTO 9 et avec certaines bibliothèques de bandes.

Proxmox Backup Server s'intègre dans la plate-forme Proxmox Virtual Environment - les utilisateurs n'ont qu'à ajouter le stockage du Proxmox Backup Server en tant que nouvelle cible de sauvegarde dans Proxmox VE. Le logiciel est publié sous la licence GNU AGPLv3.

Squest est un outil auto hébergé vous permettant d’exposer votre automatisation disponible depuis votre instance de Ansible Tower/AWX en tant que service. La version v2.0.0 vient d’être publiée. Il a déjà fait l’objet de dépêches précédentes sortie de la version 1.0 et présentation comme portail de services pour SRE/DevOps en frontal d’Ansible Tower/AWX.

Né de l'absence de solutions clés en mains et complètes pour la gestion de l'environnement utilisateur Unix (paquets, fonts, styles, scripts…), Loco.sh propose un framework bash complet pour coder son environnement, soit en YAML, soit en fichiers plats.

Loco.sh permet donc de centraliser la gestion :

• des paquets (apt, snap, ppa, pip…)
• des dotfiles (pour vim, zsh…)
• du style (police, couleurs du term, fond d'écran)

Pour utiliser Loco.sh, c'est simple, facile et fourni avec des exemples.

Présentation de Monkeyble: framework de test bout en bout pour Ansible

Monkeyble est un petit framework qui permet de tester de bout en bout vos playbooks Ansible.

Il permet, au niveau des tâches des Playbooks, de:

• 🐵 Vérifier qu'un module a été appelé avec les bons arguments ;
• 🙊 Vérifier le résultat du retour d'un module ;
• 🙈 Vérifier l'état d'exécution d'une tâche (changed, skipped, failed) ;
• 🙉 Simuler (Mock) un module afin de retourner un résultat sans faire appel au vrai module.

Monkeyble est tout particulièrement conçu pour être placé dans une CI/CD afin de détecter les éventuels régressions lors des modifications sur une base de code Ansible 🚀.

Le Memtest86+ nouveau est sorti en version finale, la v6.00

Comme son nom l’indique, c’est un outil de test de mémoire pour plateformes x86 et x86-64.

Qu’est-ce qu’il y a de neuf ? Techniquement, tout : le projet a été entièrement réécrit, et est maintenant libre sous licence GPL v2. Si vous connaissiez Memtest86 ou PCMemTest : Memtest86+ était une évolution du premier, PCMemTest une évolution de cette évolution, et la nouvelle v6.00 est une réécriture du projet par les auteurs de Memtest86+ et PCMemTest.

Note : Cette dépêche, comme le journal dont elle est issue, est placée sous licence CC BY (Creative Commons Attribution) 4.0.

En juillet 2021, le PDG et cofondateur de Hashicorp, Mitchell Hashimoto, annonce abandonner ses fonctions exécutives et va contribuer au code.

Hashicorp est une société californienne cotée au Nasdaq et basée à San Francisco.
Elle est spécialisée dans les outils d'automatisation, de développement et de déploiement à grande échelle.

Tunnelmon, un moniteur de tunnels sécurisés SSH, sort en version 1.1. Il est publié sous GPLv3. Le code est en Python.

• Il propose une interface de supervision et de gestion des tunnels SSH s'exécutant sur un système.
• Il peut afficher soit une liste des tunnels sur la sortie standard, soit une interface interactive en mode texte dans le terminal.
• Il peut également afficher la liste des connexions réseaux issues de chaque tunnel et leur état.

Tunnelmon gère aussi les tunnels mis en place avec autossh, une application qui peut redémarrer automatiquement vos tunnels en déroute.
Avec cette version 1.1, il gère maintenant les trois méthodes de redirection de ports proposées par SSH.

Acheter un nom est facile en quelques clics, très bon marché avec une poignée d’euros par an. Rien de plus simple. En revanche, paramétrer ces caractéristiques relève de compétences d’expert.

Notre projet est né d’une idée simple : si on simplifiait (enfin) l’usage des noms de domaine ? Parce qu’ils sont un élément clef pour assurer sa vie privée sur Internet et parce qu’il n’est pas toujours simple de se repérer dans les interfaces parfois obscures des fournisseurs, il nous semblait indispensable de créer un outil utilisable par tout le monde, de Monsieur et Madame Tout-le-Monde à l’administrateur système le plus aguerri.

happyDomain est un logiciel libre qui permet à chacun de surmonter cette complexité. Nous verrons ici tous les avantages de disposer de son ou ses noms de domaine et comment happyDomain fonctionne.

AgentJ est une solution libre anti-spam complète s’appuyant sur amavisd-new.

L’objectif d’AgentJ est d’offrir une interface web  :
- Aux administrateurs de domaines mails pour la gestion des spams globaux.
- Aux utilisateurs pour la gestion de leurs paramétrages spécifiques et de leurs mails bloqués.

Le point spécifique qu’apporte AgentJ en plus de l’interface Web est l’authentification humaine. Cette fonctionnalité, lorsqu’elle est activée, envoi un mail à chaque expéditeur inconnu leur demandant de s’authentifier pour valider leur envoi. C’est une fonctionnalité classique de plusieurs solutions antispam propriétaires mais qu’aucune solution libre ne semblait avoir implémenté à notre connaissance.

Rspamd est un rapide et puissant moteur de détection de pourriels, comparable à Spamassassin. Autrement dit un antispam.

Il s'installe au niveau des serveurs et s'interface avec un MTA via l'API Milter (Mail fILTER) pour analyser le courriel et proposer une action, et facultativement avec le MDA via des scripts Sieve pour classer le courriel dans un dossier. Sur un petit serveur de courriels en 2022 on aura par exemple le trio Postfix (envoi et réception des emails), Rspamd (antispam) et Dovecot (service de boite aux lettres POP ou IMAP).

Quels sont ses atouts ? C'est ce que nous allons voir…

Le 28 janvier 2022 Sudo et OpenDoas proposaient simultanément leurs nouvelles versions. sudo c'est la commande présente dans toutes nos distributions qui permet d'exécuter un programme au nom d'un autre utilisateur — elle est couramment utilisée pour lancer une commande d'administration sans être root. doas c'est son pendant chez OpenBSD et OpenDoas en est le portage sur Linux. L'intérêt ? Une version plus simple et allégée (sur une Debian stable par exemple : doas version am64 paquet de 20,6 kB pour 68,0 kB déployés, avec deux dépendances libc6 et libpam0g, sudo version amd64 paquet de 1033,9 kB pour 4589,0 kB installés, avec 7 dépendances libaudit1, libc6, libpam-modules, libpam0g, libselinux1, libselinux1 et zlib1g).

Les nouveautés sont mineures, à moins de s'en servir dans des scripts (je vous renvoie aux changelogs). Mais c'est l'occasion de parler du petit frère allégé :

Doas est l’œuvre de Ted Unangst qui fait un récit savoureux de ses motivations et changements (la bonne vieille histoire du développeur fainéant qui se retrouve contraint de finir un logiciel qui intéresse la communauté). Sa configuration est simple et différente de Sudo : plutôt que donner des droits à l'utilisateur, on indique la commande puis les utilisateurs autorisés. Ça devrait contraindre l'administrateur à être plus attentif.

Proposée et co-organisée par OW2 et la Fondation Eclipse depuis décembre 2020, la série de webinaires « Open Research Webinars » présente des innovations open source basées sur des technologies de pointe, qui contribuent à façonner l’avenir des logiciels open source et de l’industrie informatique.

Ces webinaires donnent la parole aux chercheurs développant des projets open source au sein des programmes européens de recherche financés par des fonds publics ou encore aux industriels exploitant des projets issus de la recherche. La série est planifiée sur la base d’un évènement par trimestre. Le prochain a lieu le 18 janvier 2022 de 16h à 17h. Toutes les présentations ont lieu en anglais.

Si vous travaillez dans le domaine de la cybersécurité, le week-end dernier a probablement été moins relaxant que prévu. Et ce, à cause de la découverte de la vulnérabilité zero-day Log4j (CVE-2021-44228). L’équipe CrowdSec s’est retroussé les manches pour développer un scénario capable de détecter et bloquer les tentatives d’exploitation de cette vulnérabilité. Vous pouvez le télécharger directement depuis le Hub de CrowdSec et l’installer en un clin d’œil. Preuve en vidéo.

L’efficacité de CrowdSec se basant sur le pouvoir de la foule, et à la lumière de la taille de leur communauté en pleine expansion, la solution a déjà collecté un grand nombre d’adresses IP qui tentent d’exploiter la vulnérabilité. Vous pouvez consulter la liste ici. Elle est très fréquemment mise à jour et il va sans dire que vous devriez bloquer sans attendre celles qui sont marquées comme « validated ».

L’équipe de développement est heureuse de vous annoncer la sortie de la première version prête pour la production de Squest, l’outil à destination des DevOPs/SRE.

Pour rappel, Squest, que vous retrouverez en introduction dans une dépêche précédente dans sa version alpha, est un outil auto hébergé vous permettant d'exposer votre automatisation disponible depuis votre instance de Ansible Tower/AWX en tant que service.

Après un résumé des principales nouveautés, nous allons vous présenter un tutoriel de création d’un service.

NOALYSS est un logiciel libre (GPLv2) de serveur de comptabilité et ERP. Cette version 9 est une version majeure. Les améliorations principales sont une interface basée sur le framework CSS Bootstrap, ce qui le rend facile à utiliser même sur de petits écrans, un menu dédié aux smartphones qui pourront contenir à l'avenir des webapps, la gestion complète des devises étrangères.

Plus de détails dans la suite de la dépêche.

En juillet 2020, LinuxFR m’avait fait un grand honneur en m’interviewant dans le contexte de la sortie de la sixième édition de mon livre sur l’administration Linux. Une question concernait la coécriture, (l’écriture à plusieurs auteurs) et j’avais indiqué que j’avais proposé ce projet à un ami, sur un sujet devenu compliqué. Un an après, le résultat de cette collaboration a été publié !

Charles Sabourdin et moi avons donc la joie de vous annoncer le résultat de plus de six mois de travail :
Haute disponibilité sous Linux : De l’infrastructure à l’orchestration de services. Il est disponible via les réseaux de distribution ordinaires. Il nous a semblé pertinent de vous montrer tout le cheminement nous ayant mené jusqu’à cette sortie.

Squest est un logiciel libre (APLv2) permettant d'exposer de l'automatisation, basée sur Ansible Tower/AWX, en tant que service (mode SaaS).

Ansible Tower et sa version libre AWX sont une console centrale de gestion des tâches d'automatisation, pour Ansible qui sert à automatiser la gestion et la configuration d'ordinateurs. Ces outils sont notamment utilisés par des profils ingénierie de la fiabilité des sites (SRE Site Reliability Engineering) ou DevOps.

Il existe une vidéo d'introduction à Squest.

Proxmox Backup Server 2.0 est sorti. Il s'agit d'un logiciel libre (licence AGPLv3) de sauvegarde, orienté vers les machines virtuelles, les conteneurs et et les hôtes physiques. De plus, il prend en charge les sauvegardes incrémentales, entièrement dédupliquées, la compression et le chiffrement authentifié. Cette nouvelle version majeure est basée sur Debian 11 « Bullseye », mais avec un noyau Linux 5.11, et inclut OpenZFS 2.0.

Principales nouveautés de la version 2.0

Le système de sauvegarde sur bandes (qui a été publié en tant qu'aperçu technologique dans Proxmox Backup Server 1.1) est maintenant stable. Il fournit un moyen facile de copier le contenu du ‘datastore’ sur des bandes. Proxmox Backup Server prend en charge les lecteurs Linear Tape-Open generation 5 (LTO-5) ou plus récents, y compris le chiffrement matériel.

L'authentification unique (SSO) est maintenant prise en charge via l'utilisation du protocole OpenID Connect.

Cette nouvelle version bénéficie d'une intégration complète de Let's Encrypt/ACME dans le back-end et le front-end. Cela permet aux administrateurs de créer et de déployer facilement des certificats valides et fiables pour leurs domaines avec l'autorité de certification Let's Encrypt.

L'interface web d'administration dispose maintenant d'une gestion des dépots APT, afin de pouvoir facilement activer et désactiver ces derniers.

Enfin, on notera la prise en charge de la restauration d'un seul fichier pour les VM qui utilisent ZFS ou LVM en interne.

Proxmox Backup Server est disponible en téléchargement. Les entreprises qui le souhaitent peuvent également souscrire à une offre de support basée sur un modèle d'abonnement.

Ce lundi 12 juillet 2021, nous fêtions l’anniversaire des 20 ans de la 1ʳᵉ version stable des daemontools, qui sont un mécanisme de supervision (ou watchdog) des daemons, décorrélé de l’init.

La sortie d’Ikki Boot 10.2 est l’occasion de faire le point sur l’avancement du projet et sur les nouveautés.

Ikki Boot c’est quoi déjà ?

C’est une compilation de plusieurs CD de démarrage dont l’objectif est de dépanner un PC en galère. Il est destiné aux techniciens systèmes, mais aussi à toute personne désirant secourir un PC Windows ou Linux.

Lorsqu’on formate un périphérique amovible, le choix du système de fichiers est dicté par des contraintes particulières, en particulier la possibilité de le lire depuis des systèmes d’exploitation moins polyvalents que GNU/Linux. Les systèmes de propriétés et de permissions peuvent également être un obstacle dans un tel contexte, puisqu’on peut se retrouver à ne pas pouvoir modifier un fichier créé depuis un autre ordinateur avec un utilisateur différent de celui qu’on utilise.

Voici donc un petit état des lieux.

J’ai récemment découvert comment créer un paquet YunoHost avec l’application Whitebophir (présenté ici même. Suite à la dépêche sur Pétrolette et voyant dans les commentaires une demande pour un paquet YunoHost, je me dis que c’est l’occasion.

Pour rappel, le Courrier du hacker est une newsletter hebdomadaire (3500 abonnés, 169 numéros) résumant l’actualité francophone du Logiciel Libre et Open Source.

Depuis sa création il y a bientôt trois ans, Le Courrier du hacker utilisait le service en ligne Mailchimp pour gérer et envoyer sa newsletter. Ce choix avait été fait historiquement pour gagner du temps chaque semaine sur la réalisation et l’envoi de la newsletter, étant seul à travailler sur le projet.

Néanmoins ce choix a été problématique pour plusieurs raisons : la possible fermeture ou suspension du service, les captchas utilisés et enfin le coût prohibitif.

Le Courrier du hacker a donc finalement migré vers le logiciel libre Mailtrain couplé au service d’envoi d’e-mails AWS SES. Plus d’informations dans la suite de cette dépêche.

Nous continuons sur notre lancée de récompenser celles et ceux qui chaque mois contribuent au site LinuxFr.org (dépêches, commentaires, logo, journaux, correctifs, etc.). Vous n’êtes pas sans risquer de gagner un livre des éditions Eyrolles ou ENI. Voici les gagnants du mois de janvier 2021 :

• mzf, pour sa dépêche « VTK : la visualisation scientifique et au delà ! » ;
• Sono, pour sa dépêche « Sortie de Plasma 5.21  » ;
• joshua, pour sa dépêche « Sortie de QElectroTech 0.8 » ;
• bbo, pour sa dépêche « À la découverte du projet openSUSE » ;
• berumuron, pour son journal « Flus : bilan d’un an d’activité » ;
• gouttegd, pour son journal « Gitea contre les bots.

Les livres gagnés sont détaillés en seconde partie de la dépêche. N’oubliez pas de contribuer, LinuxFr.org vit pour vous et par vous !