L’ancien sudo (écrit en C) a été récréé en Rust (sudo-rs), par une autre équipe, pour des raisons de sécurité mémoire notamment. Plusieurs distributions intègrent cette nouvelle implémentation dans leurs paquets et, en particulier, Ubuntu 25.10 l’utilise par défaut.

Pour mémoire (source) : Cette commande permet à un administrateur système d’accorder à certains utilisateurs (ou groupes d’utilisateurs) la possibilité de lancer une commande en tant qu’administrateur, ou en tant qu’autre utilisateur, tout en conservant une trace des commandes saisies et des arguments.

Le récent changement est que, par défaut, la saisie du mot de passe sudo affiche désormais des astérisques via sudo-rs, à l’inverse du comportement antérieur.

Le débat porte principalement sur l’utilisabilité en opposition à la tradition de sécurité Unix de ne rien afficher du tout.

Après une longue absence sur LinuxFr.org, il est temps pour moi de vous annoncer la sortie de la dernière version 8.0 d’AWStats Log Analyzer.
AWStats est un outil de reporting de statistiques sur la fréquentation d'un site web qui s'appuie sur les logs du serveur (donc sans traqueur intégré sur le site, sans cookie, sans service Tiers, etc…)

Le projet a été initié en 2000 et a connu son apogée en 2008 (avec 20 à 30% de part de marché, qui a décliné depuis au profit des outils d'analyses statistiques basés sur la pose de tags JavasScript. Il reste encore utilisé à ce jour par beaucoup d'administrateurs système.

Le package de la v8 peut être téléchargé sur le site du projet AWStats : https://awstats.org

J’ai la nostalgie d’awstats : la possibilité de faire des statistiques web sans déployer des tonnes d’infrastructure (genre Grafana).

Pour cela, j’ai codé Yahi, un module Python qui agrège dans sa forme basique les statistiques web en format usuel (nginx, apache, lighthttpd, varnish) pour les présenter dans une page web « tout en un ».

Il se décompose pour sa partie utilitaire en deux scripts:
- un d'agrégation des statistique de journaux de serveurs webs dont l'écriture d'une version personnalisée ici celle que j'utilise pour faire des démos sans IP ou URLs est relativement simple;
- un de génération d'une page de visualisation HTML avec les données.

Certes cette page requiert du JavaScript pour fonctionner, mais elle requiert zéro dépendance vers des liens externes et inclut autant toutes les visualisations que les données dans une seule page (données, CSS, visualisations). Cela permet de l’avoir en marque-page grâce à quelques ruses de javascript, et cela rend son hébergement aisé pour les sysadmins. (NdM: goaccess (MIT en C) sait faire aussi).

Son API permet en outre de faire des agrégations plus compliquées.

Et, je recherche des bétas testeurs pour en faire un produit fini.

Petit aperçu de Nix : il y a plusieurs articles sympas ici, la récente revue de Seb95, à cause de laquelle je suis passé sur cette distribution il y a quelques jours (et sachant que visiblement lui n’y est pas resté!, peut-être qu’il me lit haha), ou cette revue plus ancienne, donc j’essaierai de mettre en avant d’autres aspects.

AgentJ est une solution anti-spam utilisé pour filtrer et bloquer les messages indésirables (spams) en entrée et en sortie.
Ce logiciel est une solution sous licence GNU Affero General Public License V3.

Voici une description générale de ses fonctionnalités :

• Filtrage du spam : Identifie les messages non sollicités ou suspects (spams) à l'aide d'algorithmes qui analysent le contenu, les adresses d'envoi, et d'autres facteurs.
• Apprentissage automatique : Utilise des techniques d'apprentissage automatique pour s'adapter aux nouveaux types de spam et améliorer son efficacité au fil du temps.
• Blocage des adresses : Peut bloquer ou mettre sur liste noire certaines adresses e-mail, domaines, ou adresses IP connues pour envoyer des spams.
• Authentification humaine : La première fois qu'un nouvel expéditeur vous contacte, un mail de confirmation lui est envoyé pour vérification
• Rapports et statistiques : Fournis des rapports pour suivre le nombre de spams bloqués, les tendances, et d'autres informations utiles pour les administrateurs.
• Personnalisation : Permet de définir des règles spécifiques, de créer des listes blanches (whitelist) et noires (blacklist), et d'adapter le niveau de filtrage en fonction des besoins.
• Gestion multi domaines mail distincts ou miroir.
• Rapport quotidien pour les utilisateurs qui les informe des mails en attente de déblocage.

L'honorable fail2ban semble utilisé sur de très nombreuses petites infrastructures. NdM: Fail2ban est un framework de prévention contre les intrusions, écrit en Python (Wikipédia), ou dit autrement à bloquer et bannir des pénibles. Il est diffusé sous GPLv2+.

Il était installé sur mes serveurs, avant que j'essaie de le remplacer.

Mais dis-moi, pourquoi remplacer fail2ban ?

• Parce que fail2ban est lent
• Parce que sa configuration est très désagréable et mal documentée.

Mais dis-moi, il doit bien exister une alternative ?

Avant de me lancer yeux fermés dans l'implémentation d'une alternative, j'ai fait le tour du propriétaire libre :

• sshguard est uniquement adapté à SSH.
• crowdsec semble chouette, mais adapté à des grosses infras et à des workflows compliqués. De plus, je n'ai pas réussi à l'installer.
• salt est plus un WAF (Web Application Firewall). Pareil, semble chouette mais adapté à des grosses infrastructures.
• minos, développé par Exarius (un des CHATONS), efficace mais ne supporte que les logs stockés dans des fichiers texte et le pare-feu nftables.
• pyruse, que je découvre aujourd'hui sur LinuxFr.org avec l'étiquette fail2ban. Uniquement adapté à systemd/journald.

Cri de joie, de toutes les alternatives que j'ai trouvé, fail2ban semble être encore le mieux adapté !

Proxmox Server Solutions GmbH a annoncé la version 3.1 de sa solution libre de sauvegarde des serveurs Proxmox Backup Server. C’est une solution logicielle pour la sauvegarde et la restauration de machines virtuelles, de conteneurs et d’hôtes physiques. Il prend en charge les sauvegardes incrémentielles, entièrement dédupliquées, la compression et le cryptage authentifié.

Principales nouveautés de la version 3.1

• Le serveur de sauvegarde Proxmox est basé sur Debian 12.2 Bookworm, mais utilise noyau Linux (6.5), et inclut ZFS 2.2.0 avec des certains correctifs apportés par la 2.2.2 avaient été rétroportés dans la 2.2.0.
• Cette version est compatible avec le système Secure Boot. Cela permet d’installer Proxmox Backup Server dans des environnements auxquels le Secure Boot est activé.
• Prise en charge des tâches de synchronisation locale (en anglais : local sync jobs): Une tâche de synchronisation locale permet de synchroniser les sauvegardes entre les centres de données locaux. Les tâches de synchronisation peuvent désormais extraire des contenus non seulement des instances distantes de Proxmox Backup Server, mais aussi des datastores locaux.
• Le système de sauvegarde sur bande permet de copier facilement le contenu du datastore sur des bandes. Cette version améliore la compatibilité avec les bandes LTO 9 et avec certaines bibliothèques de bandes.

Proxmox Backup Server s'intègre dans la plate-forme Proxmox Virtual Environment - les utilisateurs n'ont qu'à ajouter le stockage du Proxmox Backup Server en tant que nouvelle cible de sauvegarde dans Proxmox VE. Le logiciel est publié sous la licence GNU AGPLv3.

Squest est un outil auto hébergé vous permettant d’exposer votre automatisation disponible depuis votre instance de Ansible Tower/AWX en tant que service. La version v2.0.0 vient d’être publiée. Il a déjà fait l’objet de dépêches précédentes sortie de la version 1.0 et présentation comme portail de services pour SRE/DevOps en frontal d’Ansible Tower/AWX.

Né de l'absence de solutions clés en mains et complètes pour la gestion de l'environnement utilisateur Unix (paquets, fonts, styles, scripts…), Loco.sh propose un framework bash complet pour coder son environnement, soit en YAML, soit en fichiers plats.

Loco.sh permet donc de centraliser la gestion :

• des paquets (apt, snap, ppa, pip…)
• des dotfiles (pour vim, zsh…)
• du style (police, couleurs du term, fond d'écran)

Pour utiliser Loco.sh, c'est simple, facile et fourni avec des exemples.

Présentation de Monkeyble: framework de test bout en bout pour Ansible

Monkeyble est un petit framework qui permet de tester de bout en bout vos playbooks Ansible.

Il permet, au niveau des tâches des Playbooks, de:

• 🐵 Vérifier qu'un module a été appelé avec les bons arguments ;
• 🙊 Vérifier le résultat du retour d'un module ;
• 🙈 Vérifier l'état d'exécution d'une tâche (changed, skipped, failed) ;
• 🙉 Simuler (Mock) un module afin de retourner un résultat sans faire appel au vrai module.

Monkeyble est tout particulièrement conçu pour être placé dans une CI/CD afin de détecter les éventuels régressions lors des modifications sur une base de code Ansible 🚀.

Le Memtest86+ nouveau est sorti en version finale, la v6.00

Comme son nom l’indique, c’est un outil de test de mémoire pour plateformes x86 et x86-64.

Qu’est-ce qu’il y a de neuf ? Techniquement, tout : le projet a été entièrement réécrit, et est maintenant libre sous licence GPL v2. Si vous connaissiez Memtest86 ou PCMemTest : Memtest86+ était une évolution du premier, PCMemTest une évolution de cette évolution, et la nouvelle v6.00 est une réécriture du projet par les auteurs de Memtest86+ et PCMemTest.

Note : Cette dépêche, comme le journal dont elle est issue, est placée sous licence CC BY (Creative Commons Attribution) 4.0.

En juillet 2021, le PDG et cofondateur de Hashicorp, Mitchell Hashimoto, annonce abandonner ses fonctions exécutives et va contribuer au code.

Hashicorp est une société californienne cotée au Nasdaq et basée à San Francisco.
Elle est spécialisée dans les outils d'automatisation, de développement et de déploiement à grande échelle.

Tunnelmon, un moniteur de tunnels sécurisés SSH, sort en version 1.1. Il est publié sous GPLv3. Le code est en Python.

• Il propose une interface de supervision et de gestion des tunnels SSH s'exécutant sur un système.
• Il peut afficher soit une liste des tunnels sur la sortie standard, soit une interface interactive en mode texte dans le terminal.
• Il peut également afficher la liste des connexions réseaux issues de chaque tunnel et leur état.

Tunnelmon gère aussi les tunnels mis en place avec autossh, une application qui peut redémarrer automatiquement vos tunnels en déroute.
Avec cette version 1.1, il gère maintenant les trois méthodes de redirection de ports proposées par SSH.

Acheter un nom est facile en quelques clics, très bon marché avec une poignée d’euros par an. Rien de plus simple. En revanche, paramétrer ces caractéristiques relève de compétences d’expert.

Notre projet est né d’une idée simple : si on simplifiait (enfin) l’usage des noms de domaine ? Parce qu’ils sont un élément clef pour assurer sa vie privée sur Internet et parce qu’il n’est pas toujours simple de se repérer dans les interfaces parfois obscures des fournisseurs, il nous semblait indispensable de créer un outil utilisable par tout le monde, de Monsieur et Madame Tout-le-Monde à l’administrateur système le plus aguerri.

happyDomain est un logiciel libre qui permet à chacun de surmonter cette complexité. Nous verrons ici tous les avantages de disposer de son ou ses noms de domaine et comment happyDomain fonctionne.

AgentJ est une solution libre anti-spam complète s’appuyant sur amavisd-new.

L’objectif d’AgentJ est d’offrir une interface web  :
- Aux administrateurs de domaines mails pour la gestion des spams globaux.
- Aux utilisateurs pour la gestion de leurs paramétrages spécifiques et de leurs mails bloqués.

Le point spécifique qu’apporte AgentJ en plus de l’interface Web est l’authentification humaine. Cette fonctionnalité, lorsqu’elle est activée, envoi un mail à chaque expéditeur inconnu leur demandant de s’authentifier pour valider leur envoi. C’est une fonctionnalité classique de plusieurs solutions antispam propriétaires mais qu’aucune solution libre ne semblait avoir implémenté à notre connaissance.

Rspamd est un rapide et puissant moteur de détection de pourriels, comparable à Spamassassin. Autrement dit un antispam.

Il s'installe au niveau des serveurs et s'interface avec un MTA via l'API Milter (Mail fILTER) pour analyser le courriel et proposer une action, et facultativement avec le MDA via des scripts Sieve pour classer le courriel dans un dossier. Sur un petit serveur de courriels en 2022 on aura par exemple le trio Postfix (envoi et réception des emails), Rspamd (antispam) et Dovecot (service de boite aux lettres POP ou IMAP).

Quels sont ses atouts ? C'est ce que nous allons voir…

Le 28 janvier 2022 Sudo et OpenDoas proposaient simultanément leurs nouvelles versions. sudo c'est la commande présente dans toutes nos distributions qui permet d'exécuter un programme au nom d'un autre utilisateur — elle est couramment utilisée pour lancer une commande d'administration sans être root. doas c'est son pendant chez OpenBSD et OpenDoas en est le portage sur Linux. L'intérêt ? Une version plus simple et allégée (sur une Debian stable par exemple : doas version am64 paquet de 20,6 kB pour 68,0 kB déployés, avec deux dépendances libc6 et libpam0g, sudo version amd64 paquet de 1033,9 kB pour 4589,0 kB installés, avec 7 dépendances libaudit1, libc6, libpam-modules, libpam0g, libselinux1, libselinux1 et zlib1g).

Les nouveautés sont mineures, à moins de s'en servir dans des scripts (je vous renvoie aux changelogs). Mais c'est l'occasion de parler du petit frère allégé :

Doas est l’œuvre de Ted Unangst qui fait un récit savoureux de ses motivations et changements (la bonne vieille histoire du développeur fainéant qui se retrouve contraint de finir un logiciel qui intéresse la communauté). Sa configuration est simple et différente de Sudo : plutôt que donner des droits à l'utilisateur, on indique la commande puis les utilisateurs autorisés. Ça devrait contraindre l'administrateur à être plus attentif.

Proposée et co-organisée par OW2 et la Fondation Eclipse depuis décembre 2020, la série de webinaires « Open Research Webinars » présente des innovations open source basées sur des technologies de pointe, qui contribuent à façonner l’avenir des logiciels open source et de l’industrie informatique.

Ces webinaires donnent la parole aux chercheurs développant des projets open source au sein des programmes européens de recherche financés par des fonds publics ou encore aux industriels exploitant des projets issus de la recherche. La série est planifiée sur la base d’un évènement par trimestre. Le prochain a lieu le 18 janvier 2022 de 16h à 17h. Toutes les présentations ont lieu en anglais.

Si vous travaillez dans le domaine de la cybersécurité, le week-end dernier a probablement été moins relaxant que prévu. Et ce, à cause de la découverte de la vulnérabilité zero-day Log4j (CVE-2021-44228). L’équipe CrowdSec s’est retroussé les manches pour développer un scénario capable de détecter et bloquer les tentatives d’exploitation de cette vulnérabilité. Vous pouvez le télécharger directement depuis le Hub de CrowdSec et l’installer en un clin d’œil. Preuve en vidéo.

L’efficacité de CrowdSec se basant sur le pouvoir de la foule, et à la lumière de la taille de leur communauté en pleine expansion, la solution a déjà collecté un grand nombre d’adresses IP qui tentent d’exploiter la vulnérabilité. Vous pouvez consulter la liste ici. Elle est très fréquemment mise à jour et il va sans dire que vous devriez bloquer sans attendre celles qui sont marquées comme « validated ».

L’équipe de développement est heureuse de vous annoncer la sortie de la première version prête pour la production de Squest, l’outil à destination des DevOPs/SRE.

Pour rappel, Squest, que vous retrouverez en introduction dans une dépêche précédente dans sa version alpha, est un outil auto hébergé vous permettant d'exposer votre automatisation disponible depuis votre instance de Ansible Tower/AWX en tant que service.

Après un résumé des principales nouveautés, nous allons vous présenter un tutoriel de création d’un service.

NOALYSS est un logiciel libre (GPLv2) de serveur de comptabilité et ERP. Cette version 9 est une version majeure. Les améliorations principales sont une interface basée sur le framework CSS Bootstrap, ce qui le rend facile à utiliser même sur de petits écrans, un menu dédié aux smartphones qui pourront contenir à l'avenir des webapps, la gestion complète des devises étrangères.

Plus de détails dans la suite de la dépêche.

En juillet 2020, LinuxFR m’avait fait un grand honneur en m’interviewant dans le contexte de la sortie de la sixième édition de mon livre sur l’administration Linux. Une question concernait la coécriture, (l’écriture à plusieurs auteurs) et j’avais indiqué que j’avais proposé ce projet à un ami, sur un sujet devenu compliqué. Un an après, le résultat de cette collaboration a été publié !

Charles Sabourdin et moi avons donc la joie de vous annoncer le résultat de plus de six mois de travail :
Haute disponibilité sous Linux : De l’infrastructure à l’orchestration de services. Il est disponible via les réseaux de distribution ordinaires. Il nous a semblé pertinent de vous montrer tout le cheminement nous ayant mené jusqu’à cette sortie.

Squest est un logiciel libre (Apache-2.0) permettant d'exposer de l'automatisation, basée sur Ansible Tower/AWX, en tant que service (mode SaaS).

Ansible Tower et sa version libre AWX sont une console centrale de gestion des tâches d'automatisation, pour Ansible qui sert à automatiser la gestion et la configuration d'ordinateurs. Ces outils sont notamment utilisés par des profils ingénierie de la fiabilité des sites (SRE Site Reliability Engineering) ou DevOps.

Il existe une vidéo d'introduction à Squest.

Proxmox Backup Server 2.0 est sorti. Il s'agit d'un logiciel libre (licence AGPLv3) de sauvegarde, orienté vers les machines virtuelles, les conteneurs et et les hôtes physiques. De plus, il prend en charge les sauvegardes incrémentales, entièrement dédupliquées, la compression et le chiffrement authentifié. Cette nouvelle version majeure est basée sur Debian 11 « Bullseye », mais avec un noyau Linux 5.11, et inclut OpenZFS 2.0.

Principales nouveautés de la version 2.0

Le système de sauvegarde sur bandes (qui a été publié en tant qu'aperçu technologique dans Proxmox Backup Server 1.1) est maintenant stable. Il fournit un moyen facile de copier le contenu du ‘datastore’ sur des bandes. Proxmox Backup Server prend en charge les lecteurs Linear Tape-Open generation 5 (LTO-5) ou plus récents, y compris le chiffrement matériel.

L'authentification unique (SSO) est maintenant prise en charge via l'utilisation du protocole OpenID Connect.

Cette nouvelle version bénéficie d'une intégration complète de Let's Encrypt/ACME dans le back-end et le front-end. Cela permet aux administrateurs de créer et de déployer facilement des certificats valides et fiables pour leurs domaines avec l'autorité de certification Let's Encrypt.

L'interface web d'administration dispose maintenant d'une gestion des dépots APT, afin de pouvoir facilement activer et désactiver ces derniers.

Enfin, on notera la prise en charge de la restauration d'un seul fichier pour les VM qui utilisent ZFS ou LVM en interne.

Proxmox Backup Server est disponible en téléchargement. Les entreprises qui le souhaitent peuvent également souscrire à une offre de support basée sur un modèle d'abonnement.

Ce lundi 12 juillet 2021, nous fêtions l’anniversaire des 20 ans de la 1ʳᵉ version stable des daemontools, qui sont un mécanisme de supervision (ou watchdog) des daemons, décorrélé de l’init.