Les nouveautés de Glances 2.8

62
21
jan.
2017
Administration système

Au moment de la lecture de cette dépêche, Glances 2.8 sera disponible à l’installation depuis Pypi. Nous allons donc faire le tour complet du propriétaire en mettant l’accent sur les nouveautés importantes de cette version.

Partitions ext4 : ne gaspillez plus l’espace disque !

Posté par (page perso) . Édité par ZeroHeure, Pierre Jarillon, Bruno Michel, Davy Defaud et Nils Ratusznik. Modéré par patrick_g. Licence CC by-sa.
60
23
mai
2018
Administration système

Le système de fichiers ext4 est le meilleur « par défaut » avec GNU/Linux : il est le choix par omission de l’immense majorité des distributions. Cependant, il a quelques limitations dues à ses choix techniques, qui font que l’on a vraiment avantage à affiner nos formatages de disques et clefs USB.

Linux capabilities : se passer des commandes su et sudo

Posté par . Édité par Benoît Sibaud, ZeroHeure, Pierre Jarillon, tankey et Davy Defaud. Modéré par Benoît Sibaud. Licence CC by-sa.
59
6
sept.
2018
Administration système

Nous proposons un module qui permet de se passer des commandes su et sudo. L’avantage de notre module est qu’il permet de contrôler la liste des privilèges donnés aux programmes.

Traditionnellement, l’administration des systèmes GNU/Linux repose sur l’existence d’un seul utilisateur puissant (appelé super‐utilisateur) qui détient à lui seul la liste complète des privilèges du système. Cette vision a été critiquée car tous les programmes exécutés dans le contexte du super‐utilisateur obtiennent beaucoup plus de privilèges qu’ils n’en ont besoin. Par exemple, tcpdump demande uniquement le privilège cap_net_raw pour s’exécuter. Cependant, en l’exécutant dans le contexte de super‐utilisateur, tcpdump obtient la liste complète des privilèges du système. Ainsi, l’approche traditionnelle de l’administration GNU/Linux rompt le principe du moindre privilège, qui garantit qu’un processus doit juste avoir les privilèges nécessaires pour effectuer son travail. Un attaquant pourrait exploiter les vulnérabilités de tcpdump afin de compromettre la sécurité du système.

Il existe cependant une autre voie, non officielle, mais intégrée au noyau Linux depuis 1998…

Améliorer la disponibilité de ses services

58
23
juil.
2014
Administration système

Votre aventure d'hébergeur amateur prend de l'ampleur. Depuis quelques mois, vous avez réussi à gérer plusieurs services de façon transparente, mais maintenant que vous avez de plus en plus d'utilisateurs de vos services, vous vous rendez compte que votre unique serveur web est surchargé et que chaque maintenance provoque des coupures de service que ne comprennent pas vos visiteurs.

Afin de répondre à cette problématique, le plus simple est de multiplier les serveurs : la charge sera répartie entre les différents serveurs et vous pourrez couper un serveur pour une maintenance, sans couper le service associé.

Rudder 4 — nouvelle version de la solution de Continuous Configuration

58
20
avr.
2017
Administration système

Un peu plus de deux ans après la sortie de Rudder 3, une nouvelle version majeure voit le jour, et avec elle de nombreux changements qui distinguent encore davantage Rudder des outils de gestion de configuration classiques.

Dashboard Rudder 4

Rudder est une solution libre et multi‐plate‐forme de Continuous Configuration (gestion de configuration et audit en continu), visant particulièrement les besoins d’infrastructures de production.

Gérer plusieurs services de façon transparente

54
18
nov.
2013
Administration système

Vous avez commencé à héberger de plus en plus de services internet pour votre famille ou votre association et, les besoins évoluant, vous commencez à avoir plusieurs services qui utilisent le même protocole (vous avez par exemple un serveur web, un serveur d'application et un serveur d'API qui communiquent tous en HTTP) ou alors vous avez voulu cloisonner dans différentes machines virtuelles les services selon leurs utilisateurs et vous vous retrouvez avec plusieurs serveurs web, ftp, mail, dns… malheureusement vous n'avez qu'une seule adresse IP publique pour accéder à tout cela, alors comment permettre à chacun d'accéder au bon service ?

schéma

Des logiciels dits de proxy inverse permettent de répondre à ce besoin, cet article va vous présenter comment fonctionnent certains d'entre eux.

Sortie de MathMod 9.1

Posté par (page perso) . Édité par tankey, ZeroHeure et Davy Defaud. Modéré par Xavier Claude. Licence CC by-sa.
53
2
mai
2019
Administration système

Je suis heureux d’annoncer la publication de la nouvelle version (9.1) de MathMod. MathMod est un logiciel libre de modélisation et de manipulation des objets mathématiques décrits par des équations implicites ou paramétriques. MathMod permet de manipuler les objets mathématiques 3D et 4D. Il permet aussi de changer leur propriétés visuelles (appliquer des textures 3D, une transparence…), calculer leurs intersections en temps réel et exporter le résultat final sous le format de fichier OBJ. MathMod est développé en C++ avec Qt5, il est disponible pour GNU/Linux, Windows et macOS, sous licence GPL v3.

Aussi, MathMod peut être configuré pour exploiter au mieux les ressources matérielles : répartition du calcul sur plusieurs cœurs, accélération graphique OpenGL, allocation de mémoire…

Titre de l’image

OpenSSH : configuration des algorithmes de cryptographie

51
18
juin
2017
Administration système

Le logiciel OpenSSH permet d’avoir un shell sécurisé sur un serveur distant ou du transfert de fichiers de ou vers un serveur. Divers algorithmes de cryptographie sont utilisés pour le chiffrement, la génération ou l’échange de clefs. Et ces algorithmes peuvent s’affaiblir, être remplacés par de meilleurs algorithmes, connaître des portes dérobées, nécessiter des clefs plus grandes, etc. Ils sont implémentés (au sens ajouter ou enlever) par les développeurs d’OpenSSH (et de bibliothèques de cryptographie sous‐jacentes), ils sont empaquetés par une distribution (qui peut changer certains réglages à la production du paquet ou bien faire certains choix sur la configuration par défaut), et ils sont mis à jour par les équipes sécurité (d’OpenSSH et de la distribution).

Bannière openssh

Jetons un œil sur les paquets openssh-server de la distribution Debian (actuellement les versions sont 6.0p1-4+deb7u4 en Wheezy (l’ancienne ancienne version stable), 6.7p1-5+deb8u3 en Jessie (l’ancienne version stable) et 7.4p1-10 en Stretch (la version stable actuelle depuis le 17 juin 2017) : nous verrons quels sont les algorithmes pris en charge, quels sont ceux par défaut et quel niveau de sûreté leur accorder (suivant les tests des sites Rebex et CryptCheck, et les outils SSHScan et CryptCheck que nous allons utiliser).

Multiseat avec des pilotes libres, non libres et systemd

50
5
juil.
2017
Administration système

Ou comment avoir deux utilisateurs simultanés sur un seul PC, avec deux écrans, deux clavier, deux souris et deux cartes graphiques (et deux chaises !), facilement et pour pas cher.

Gestion de volumes RAID avec LVM

Posté par (page perso) . Édité par Davy Defaud et ZeroHeure. Modéré par ZeroHeure. Licence CC by-sa.
Tags :
49
24
mai
2019
Administration système

Vous connaissez déjà LVM, le gestionnaire de volumes logiques qui permet d’agréger et de subdiviser librement vos périphériques de stockage. Eh bien, depuis quelques années, LVM permet également de définir des volumes en RAID.

LVM et RAID, version traditionnelle

Pour utiliser LVM avec du RAID, on utilise d’habitude LVM et MD, qui est l’implémentation du RAID logiciel de Linux. Pour cela, on les empile :

  • soit en agrégeant ses périphériques de stockage en un volume RAID, qu’on utilise ensuite comme un volume LVM physique : il s’agit de LVM au‐dessus de RAID ;
  • soit, à l’inverse, ce qui est plus compliqué, en agrégeant en RAID des volumes LVM logiques soigneusement définis : il s’agit donc de RAID par dessus LVM.

Manque de souplesse

Outre le côté un peu artificiel de cet empilement, cette solution manque de souplesse pour au moins un cas d’usage. En effet, sur un ordinateur disposant de plusieurs périphériques de stockage, on peut vouloir redonder une partie du système de fichiers en RAID, tout en laissant une autre partie sans redondance pour minimiser son utilisation du stockage. Parmi les usages qui ne méritent pas forcément une telle redondance : des films qu’on a par ailleurs sur DVD, les nouvelles Usenet ou encore des caches de divers logiciels.

Bref, ce cas d’usage passe mal. Avec du LVM sur RAID, c’est tout simplement infaisable. On peut toujours partitionner ses périphériques de stockage pour en utiliser une partie en RAID et l’autre sans, mais on retrouve alors un partitionnement statique. Avec du RAID sur LVM, c’est faisable, mais c’est une solution compliquée à gérer.

Cela passe encore plus mal avec GRUB, qui peut ne pas apprécier cet empilement et ne pas réussir à lire le système de fichiers où il doit aller chercher le noyau à démarrer. On se retrouve alors à utiliser une partition statique dédiée à /boot.

La nouvelle plate‐forme de dépôt de brevet de l’INPI en contradiction avec le RGI

Posté par . Édité par Davy Defaud, Nÿco et Pierre Jarillon. Modéré par Ysabeau. Licence CC by-sa.
Tags :
48
9
juil.
2019
Administration système

Depuis novembre 2018 et la mise en place de sa nouvelle plate‐forme de dépôt de brevet, l’Institut national de la propriété industrielle (INPI) ne permet plus le dépôt de brevet par voie postale et impose à l’ensemble de ses usagers l’utilisation d’un format de fichier bureautique propriétaire Office Open XML (.docx) de la société Microsoft et ne permet pas l’utilisation du format ODF, en contradiction avec les recommandations de la version 2 du RGI [Référentiel général d’interopérabilité] entré en vigueur le 2 avril 2016 (JORF no 0095 du 22 avril 2016 texte no 1).

Urbackup un logiciel de sauvegarde moderne

45
8
mai
2017
Administration système

Urbackup est un logiciel de sauvegarde en mode client‐serveur dont le client comme le serveur peuvent fonctionner à la fois sur GNU/Linux, Windows et macOS. Il effectue des sauvegardes incrémentales et fait de la déduplication de données. Le client GNU/Linux possède une version graphique et une version en ligne de commande.

La deuxième partie de dépêche vous propose de jeter un œil aux fonctionnalités de cette solution de sauvegarde. Une impression d'écran du client texte et de l'interface web sont aussi disponibles.

XCP-ng 8.0, une alternative gratuite à XenServer

Posté par . Édité par Davy Defaud, Benoît Sibaud, ZeroHeure et Ysabeau. Modéré par Davy Defaud. Licence CC by-sa.
45
29
juil.
2019
Administration système

Il y a un peu plus d’un an, on vous présentait le projet XCP-ng, un hyperviseur de virtualisation basé sur Citrix XenServer et Xen. La dernière version de l’hyperviseur, XCP-ng 8.0, est disponible depuis peu et apporte de nouvelles fonctionnalités, des mises à jour de sécurité et la prise en charge de systèmes de fichiers bien connus. L’occasion de faire un point rapide sur la solution.

RUDDER 5 — nouvelle version plus modulaire grâce à un écosystème de greffons

40
10
oct.
2018
Administration système

RUDDER est une solution française, libre et multi‐plate‐forme de gestion de configuration et d’audit en continu (Continuous Configuration), visant particulièrement les besoins d’infrastructures de production. La nouvelle version 5 a été conçue à partir d’une réflexion approfondie menée avec nos utilisateurs afin de mieux comprendre les besoins de ceux qui manipulent RUDDER au quotidien.

RUDDER 5 — une nouvelle version plus modulaire grâce à un écosystème de greffons

Mandriva 2011

Posté par . Édité par Benoît Sibaud. Modéré par patrick_g. Licence CC by-sa.
39
7
sept.
2011
Administration système

La nouvelle version de la distribution Mandriva Linux, nommée 2011 Hydrogen, est sortie officiellement à la fin du mois d'août. Mandriva est internationale (Suède, Norvège, Russie, Ukraine, Serbie, Brésil, Allemagne, Italie et France), les employés étant répartis à travers une trentaine de villes dans le monde, les principaux sièges étant Paris et Curitaba (Brésil) pour Mandriva/Conectiva et Moscou pour ROSA Lab.

On compte une cinquantaine de mainteneurs actifs. Et 75 % des développeurs de Mandriva sont de nouvelles recrues…

Des développeurs russes, de ROSA Lab, ont rejoint le développement de la nouvelle version. C'est à cette équipe que la distribution doit de nouveaux et nombreux développements, ainsi que l'organisation de la collaboration internationale entre les différentes équipes.
L'équipe se focalise dorénavant sur KDE.

Une page est donc tournée avec la livraison de cette nouvelle distribution, version 2011.

Gestion de paquets évoluée avec Nix : cachix, overlays et home‑manager

Posté par (page perso) . Édité par MmeQuignon, Davy Defaud, ZeroHeure, Guillaum et palm123. Modéré par patrick_g. Licence CC by-sa.
Tags :
39
25
nov.
2019
Administration système

Nix est un gestionnaire de paquets dont les débuts remontent à 2003. Il a pour but de rendre la gestion de paquets fiable, reproductible et personnalisable. Il permet notamment de faire des mises à jour atomiques, d’annuler des mises à jour, d’installer des multiples versions d’un même paquet, de définir précisémment des environnements logiciels… Il peut être installé sur n’importe quelle distribution GNU/Linux et sur macOS. Enfin, Nix a également inspiré un projet assez similaire : GNU Guix.

De nombreux outils ont été développés sur la base de Nix : la logithèque Nixpkgs, la distribution GNU/Linux NixOS, l’outil de déploiement de machines Nixops, le système de construction et de cache de paquets binaires Hydra, l’outil de construction d’images Docker Docker Tools, etc.

Cette dépêche présente trois outils très pratiques pour gérer son environnement utilisateur : un service de cache de paquets binaires (Cachix), un outil de personnalisation de la logithèque (Overlays) et un outil de configuration de l’environnement utilisateur (home‑manager).

Version 2 du RootAsRole : se passer des commandes sudo et su sous GNU/Linux

Posté par . Édité par ZeroHeure, Davy Defaud, Xavier Teyssier, Ysabeau et gUI. Modéré par Pierre Jarillon. Licence CC by-sa.
39
25
oct.
2019
Administration système

Le module RAR (Root As Role) implémente une approche basée sur les rôles pour distribuer les privilèges aux utilisateurs. Il fournit une solution qui permet aux utilisateurs de contrôler la liste des privilèges qu’ils accordent aux programmes. Grâce à ce module, les administrateurs peuvent regrouper les privilèges Linux dans des rôles et les donner à leurs utilisateurs. Pour des raisons de sécurité, les utilisateurs n’obtiennent pas les rôles attribués par défaut, ils doivent les activer à l’aide de la commande sr (changer de rôle).

Copie d’écran de Root As Role

Cependant, la première version du RAR ne fournissait pas à l’administrateur la possibilité de connaître l’ensemble des privilèges qui sont demandés par un programme. Cette deuxième version ajoute l’outil capable qui permet à l’administrateur de disposer de cette information. Nous pensons que cet outil va largement contribuer à l’adoption de RootAsRole.

Installer BorgBackup sur un NAS

37
30
avr.
2020
Administration système

Borg est un outil de sauvegardes pour les systèmes UNIX/Linux, écrit en Python et activement développé (Borg est un fork d’Attic qui n’évolue plus). Borg cherche à fournir une solution efficace et sécurisée : la déduplication et la compression des blocs de données réduisent la place occupée par la sauvegarde, et le chiffrement protège et authentifie les données. La restauration est réalisable facilement et ne nécessite pas d’avoir les droits administrateur (montage de la sauvegarde par un utilisateur via FUSE).

Logo de BorgBackup

Cet article est une présentation de Borg autour d’un cas pratique. Il explique pas‐à‐pas comment installer et configurer le logiciel Borg sur un NAS pour effectuer des sauvegardes en mode client‐serveur via SSH. L’exemple donné se base sur un NAS Synology, mais est facilement transposable à n’importe quel autre serveur de stockage réseau.

Ikki Boot 9.1

Posté par . Édité par ZeroHeure, Nÿco et Davy Defaud. Modéré par Davy Defaud. Licence CC by-sa.
37
18
mai
2019
Administration système

Ikki Boot, le CD autonome (live CD) de secours à amorçage multiple, vient de sortir ce 18 mai 2019 en version 9.1. Cette version apporte notamment l’amorçage sécurisé UEFI (Secure Boot) pour deux CD autonomes.

Ikki Boot est un média CD/USB autonome qui a pour objectif la maintenance et le dépannage de PC sous GNU/Linux et Windows. Il inclut, selon les versions, entre trois et quatre CD autonomes et plusieurs outils, tels que SuperGrubDisk2 et Darik’s Boot and Nuke. La documentation est précise et claire, avec une présentation soignée qui la rend accessible au plus grand nombre.

Proxmox VE 5.3 vient avec CephFS

36
9
déc.
2018
Administration système

Proxmox Server Solutions GmbH, développeur de la plate‐forme de virtualisation libre Proxmox VE, a publié Proxmox VE 5.3. C’est une plate‐forme de gestion de virtualisation libre qui est basée sur Debian 9.6 et un noyau Linux 4.15 modifié. Elle permet de gérer des machines virtuelles KVM et des conteneurs LXC.
logo Proxmox
La nouveauté importante concerne le système de fichiers CephFS. La suite de l’article en dit plus.

RUDDER 4.3 : une nouvelle version qui consolide les fonctionnalités majeures

34
22
mai
2018
Administration système

Les versions majeures précédentes de Rudder ont introduit de nombreuses nouveautés. Les retours des utilisateurs ont permis d’enrichir et de perfectionner ces fonctionnalités, d’où une version 4.3 de consolidation et d’optimisation en attendant les grandes nouveautés à paraître bientôt dans la version 5.

Dashboard de Rudder

Rudder est une solution libre et multi‐plate‐forme de Continuous Configuration (gestion de configuration et audit en continu), visant particulièrement les besoins d’infrastructures de production.

Installation de Ceph Jewel sous Debian Jessie

Posté par . Édité par Davy Defaud, palm123, Pierre Jarillon, Rafael, titinux, Florent Zara et RyDroid. Modéré par Florent Zara. Licence CC by-sa.
Tags : aucun
33
12
mar.
2017
Administration système

Ceph est un logiciel libre de stockage distribué, comme GlusterFS par exemple. Il permet de créer un espace de stockage unifié entre plusieurs serveurs qui utilisera les ressources de stockage de chacun de ceux‐ci. L’objectif du projet est de rendre l’espace de stockage sans aucun point de défaillance unique. Typiquement, l’espace de stockage doit survivre à la perte d’un serveur. Ceph est distribué sous licence LGPL v2.1.

Cette dépêche est un retour d’expérience sur son installation sous Debian.

Onedev : une alternative légère à GitLab

Posté par (page perso) . Édité par Benoît Sibaud, Davy Defaud et Xavier Teyssier. Modéré par ZeroHeure. Licence CC by-sa.
33
4
fév.
2020
Administration système

Onedev est une application web tout‑en‑un, simple et puissante pour héberger vos dépôts Git avec gestion des bogues, des fusions et construction des binaires. Dans son esprit de simplicité, le Readme du dépôt Onedev présente le fonctionnement par des copies d’écran animées. Onedev, qui porte bien son nom, est quasiment l’œuvre d’une seule personne, Robin Shine, qui le développe sporadiquement depuis 2012 (en Java). Bien sûr, le projet est auto‑hébergé. La version 3.0.5 de Onedev vient de sortir. Le projet est sous licence MIT.

N. D. M. : il existe déjà diverses alternatives (sur toutes ou partie des fonctionnalités) libres à GitLab comme Gogs, Gitea, Phabricator, Trac, Tuleap, etc.

Nouvelle carte OSHW pour mesurer la qualité de l’air intérieur

Posté par (page perso) . Édité par Ysabeau, Nÿco, Benoît Sibaud et Davy Defaud. Modéré par Davy Defaud. Licence CC by-sa.
32
5
sept.
2019
Administration système

Après cet été caniculaire, comme vous avez pu le vérifier avec votre Thermomètre, il est temps de s’intéresser à l’air que nous respirons. Et pour cela, quoi de mieux qu’expérimenter avec un petit capteur connecté pour surveiller ou notifier des alertes ?

Leon Anavi en a fait son challenge en proposant un produit dont je vous fais la primeur d’essayer.

gas-detector

Un agent RUDDER pour gérer les Raspberry Pi

Posté par . Édité par Davy Defaud, valentin.napoli et ZeroHeure. Modéré par Pierre Jarillon. Licence CC by-sa.
31
31
août
2017
Administration système

Les machines à architecture ARM sont maintenant très répandues, des appareils mobiles aux serveurs en passant par les machines embarquées, poussées par la « révolution IoT » (Internet of Things Revolution, l’Internet des objets connectés). Une bonne partie de ces machines utilise un système d’exploitation classique (distribution GNU/Linux, etc.) et les problématiques habituelles de gestion d’infrastructure se posent : supervision, gestion de configuration, etc.

Suite à la sortie d’une version de l’agent RUDDER pour Raspberry Pi, nous allons aborder la gestion de configuration et de l’audit de conformité sur des machines présentant des contraintes liées à ces cas d’utilisation :

  • faible puissance des machines ;
  • latence réseau importante, réseaux potentiellement isolés ;
  • consommation réseau limitée.