L'honorable fail2ban semble utilisé sur de très nombreuses petites infrastructures. NdM: Fail2ban est un framework de prévention contre les intrusions, écrit en Python (Wikipédia), ou dit autrement à bloquer et bannir des pénibles. Il est diffusé sous GPLv2+.

Il était installé sur mes serveurs, avant que j'essaie de le remplacer.

Mais dis-moi, pourquoi remplacer fail2ban ?

• Parce que fail2ban est lent
• Parce que sa configuration est très désagréable et mal documentée.

Mais dis-moi, il doit bien exister une alternative ?

Avant de me lancer yeux fermés dans l'implémentation d'une alternative, j'ai fait le tour du propriétaire libre :

• sshguard est uniquement adapté à SSH.
• crowdsec semble chouette, mais adapté à des grosses infras et à des workflows compliqués. De plus, je n'ai pas réussi à l'installer.
• salt est plus un WAF (Web Application Firewall). Pareil, semble chouette mais adapté à des grosses infrastructures.
• minos, développé par Exarius (un des CHATONS), efficace mais ne supporte que les logs stockés dans des fichiers texte et le pare-feu nftables.
• pyruse, que je découvre aujourd'hui sur LinuxFr.org avec l'étiquette fail2ban. Uniquement adapté à systemd/journald.

Cri de joie, de toutes les alternatives que j'ai trouvé, fail2ban semble être encore le mieux adapté !

Pour télécharger les sources du noyau Linux il faut aller sur kernel.org. C'est là que sont rassemblés les archives des différentes versions et c'est là que se trouvent les différentes branches git de nombreux développeurs.

Les responsables du site viennent d'annoncer (voir la partie news en bas de la page) que le serveur Hera avait été compromis, et ce au moins depuis le 28 août. Le pirate a modifié les binaires SSH du système et il a ajouté un cheval de Troie dans les scripts de démarrage.
Bien évidemment les administrateurs ont immédiatement isolé la machine et sont en train de tout passer au peigne fin pour comprendre l'origine de la compromission et pour évaluer les dégâts. Il faudra au minimum que les centaines de développeurs utilisant directement kernel.org changent leur clé SSH et que les tarballs disponibles soient régénérés (puisqu'elles ont été signées avec une clé présente sur le serveur compromis).

En revanche il n'y a, à priori, pas d'inquiétude à avoir en ce qui concerne les sources du noyau. La conception même de git, avec les sommes de hachage SHA-1 calculées pour chaque commit et chaque fichier source, empêche d'implanter une backdoor. Celui qui tenterait cela serait immédiatement détecté puisque les centaines de développeurs du noyau qui ont une copie git des sources recevraient alors une alerte au premier commit.

Jonathan Corbet, éditeur du site LWN, a rapidement publié un article sur le site linux.com pour expliquer ce fait et pour couper court aux articles catastrophistes que les journalistes n'allaient pas manquer de publier.
L'état de la presse étant ce qu'il est, nous savons tous que cet article de Jonathan n'empêchera pas les gens de dire n'importe quoi….

Lorsqu’on formate un périphérique amovible, le choix du système de fichiers est dicté par des contraintes particulières, en particulier la possibilité de le lire depuis des systèmes d’exploitation moins polyvalents que GNU/Linux. Les systèmes de propriétés et de permissions peuvent également être un obstacle dans un tel contexte, puisqu’on peut se retrouver à ne pas pouvoir modifier un fichier créé depuis un autre ordinateur avec un utilisateur différent de celui qu’on utilise.

Voici donc un petit état des lieux.

Au moment de la lecture de cette dépêche, Glances 2.8 sera disponible à l’installation depuis Pypi. Nous allons donc faire le tour complet du propriétaire en mettant l’accent sur les nouveautés importantes de cette version.

Le système de fichiers ext4 est le meilleur « par défaut » avec GNU/Linux : il est le choix par omission de l’immense majorité des distributions. Cependant, il a quelques limitations dues à ses choix techniques, qui font que l’on a vraiment avantage à affiner nos formatages de disques et clefs USB.

Votre aventure d'hébergeur amateur prend de l'ampleur. Depuis quelques mois, vous avez réussi à gérer plusieurs services de façon transparente, mais maintenant que vous avez de plus en plus d'utilisateurs de vos services, vous vous rendez compte que votre unique serveur web est surchargé et que chaque maintenance provoque des coupures de service que ne comprennent pas vos visiteurs.

Afin de répondre à cette problématique, le plus simple est de multiplier les serveurs : la charge sera répartie entre les différents serveurs et vous pourrez couper un serveur pour une maintenance, sans couper le service associé.

Nous proposons un module qui permet de se passer des commandes su et sudo. L’avantage de notre module est qu’il permet de contrôler la liste des privilèges donnés aux programmes.

Traditionnellement, l’administration des systèmes GNU/Linux repose sur l’existence d’un seul utilisateur puissant (appelé super‐utilisateur) qui détient à lui seul la liste complète des privilèges du système. Cette vision a été critiquée car tous les programmes exécutés dans le contexte du super‐utilisateur obtiennent beaucoup plus de privilèges qu’ils n’en ont besoin. Par exemple, tcpdump demande uniquement le privilège cap_net_raw pour s’exécuter. Cependant, en l’exécutant dans le contexte de super‐utilisateur, tcpdump obtient la liste complète des privilèges du système. Ainsi, l’approche traditionnelle de l’administration GNU/Linux rompt le principe du moindre privilège, qui garantit qu’un processus doit juste avoir les privilèges nécessaires pour effectuer son travail. Un attaquant pourrait exploiter les vulnérabilités de tcpdump afin de compromettre la sécurité du système.

Il existe cependant une autre voie, non officielle, mais intégrée au noyau Linux depuis 1998…

Un peu plus de deux ans après la sortie de Rudder 3, une nouvelle version majeure voit le jour, et avec elle de nombreux changements qui distinguent encore davantage Rudder des outils de gestion de configuration classiques.

Rudder est une solution libre et multi‐plate‐forme de Continuous Configuration (gestion de configuration et audit en continu), visant particulièrement les besoins d’infrastructures de production.

Vous connaissez déjà LVM, le gestionnaire de volumes logiques qui permet d’agréger et de subdiviser librement vos périphériques de stockage. Eh bien, depuis quelques années, LVM permet également de définir des volumes en RAID.

LVM et RAID, version traditionnelle

Pour utiliser LVM avec du RAID, on utilise d’habitude LVM et MD, qui est l’implémentation du RAID logiciel de Linux. Pour cela, on les empile :

• soit en agrégeant ses périphériques de stockage en un volume RAID, qu’on utilise ensuite comme un volume LVM physique : il s’agit de LVM au‐dessus de RAID ;
• soit, à l’inverse, ce qui est plus compliqué, en agrégeant en RAID des volumes LVM logiques soigneusement définis : il s’agit donc de RAID par dessus LVM.

Manque de souplesse

Outre le côté un peu artificiel de cet empilement, cette solution manque de souplesse pour au moins un cas d’usage. En effet, sur un ordinateur disposant de plusieurs périphériques de stockage, on peut vouloir redonder une partie du système de fichiers en RAID, tout en laissant une autre partie sans redondance pour minimiser son utilisation du stockage. Parmi les usages qui ne méritent pas forcément une telle redondance : des films qu’on a par ailleurs sur DVD, les nouvelles Usenet ou encore des caches de divers logiciels.

Bref, ce cas d’usage passe mal. Avec du LVM sur RAID, c’est tout simplement infaisable. On peut toujours partitionner ses périphériques de stockage pour en utiliser une partie en RAID et l’autre sans, mais on retrouve alors un partitionnement statique. Avec du RAID sur LVM, c’est faisable, mais c’est une solution compliquée à gérer.

Cela passe encore plus mal avec GRUB, qui peut ne pas apprécier cet empilement et ne pas réussir à lire le système de fichiers où il doit aller chercher le noyau à démarrer. On se retrouve alors à utiliser une partition statique dédiée à /boot.

Vous avez commencé à héberger de plus en plus de services internet pour votre famille ou votre association et, les besoins évoluant, vous commencez à avoir plusieurs services qui utilisent le même protocole (vous avez par exemple un serveur web, un serveur d'application et un serveur d'API qui communiquent tous en HTTP) ou alors vous avez voulu cloisonner dans différentes machines virtuelles les services selon leurs utilisateurs et vous vous retrouvez avec plusieurs serveurs web, ftp, mail, dns… malheureusement vous n'avez qu'une seule adresse IP publique pour accéder à tout cela, alors comment permettre à chacun d'accéder au bon service ?

Des logiciels dits de proxy inverse permettent de répondre à ce besoin, cet article va vous présenter comment fonctionnent certains d'entre eux.

Je suis heureux d’annoncer la publication de la nouvelle version (9.1) de MathMod. MathMod est un logiciel libre de modélisation et de manipulation des objets mathématiques décrits par des équations implicites ou paramétriques. MathMod permet de manipuler les objets mathématiques 3D et 4D. Il permet aussi de changer leur propriétés visuelles (appliquer des textures 3D, une transparence…), calculer leurs intersections en temps réel et exporter le résultat final sous le format de fichier OBJ. MathMod est développé en C++ avec Qt5, il est disponible pour GNU/Linux, Windows et macOS, sous licence GPL v3.

Aussi, MathMod peut être configuré pour exploiter au mieux les ressources matérielles : répartition du calcul sur plusieurs cœurs, accélération graphique OpenGL, allocation de mémoire…

Le logiciel OpenSSH permet d’avoir un shell sécurisé sur un serveur distant ou du transfert de fichiers de ou vers un serveur. Divers algorithmes de cryptographie sont utilisés pour le chiffrement, la génération ou l’échange de clefs. Et ces algorithmes peuvent s’affaiblir, être remplacés par de meilleurs algorithmes, connaître des portes dérobées, nécessiter des clefs plus grandes, etc. Ils sont implémentés (au sens ajouter ou enlever) par les développeurs d’OpenSSH (et de bibliothèques de cryptographie sous‐jacentes), ils sont empaquetés par une distribution (qui peut changer certains réglages à la production du paquet ou bien faire certains choix sur la configuration par défaut), et ils sont mis à jour par les équipes sécurité (d’OpenSSH et de la distribution).

Jetons un œil sur les paquets openssh-server de la distribution Debian (actuellement les versions sont 6.0p1-4+deb7u4 en Wheezy (l’ancienne ancienne version stable), 6.7p1-5+deb8u3 en Jessie (l’ancienne version stable) et 7.4p1-10 en Stretch (la version stable actuelle depuis le 17 juin 2017) : nous verrons quels sont les algorithmes pris en charge, quels sont ceux par défaut et quel niveau de sûreté leur accorder (suivant les tests des sites Rebex et CryptCheck, et les outils SSHScan et CryptCheck que nous allons utiliser).

Ou comment avoir deux utilisateurs simultanés sur un seul PC, avec deux écrans, deux clavier, deux souris et deux cartes graphiques (et deux chaises !), facilement et pour pas cher.

Depuis novembre 2018 et la mise en place de sa nouvelle plate‐forme de dépôt de brevet, l’Institut national de la propriété industrielle (INPI) ne permet plus le dépôt de brevet par voie postale et impose à l’ensemble de ses usagers l’utilisation d’un format de fichier bureautique propriétaire Office Open XML (.docx) de la société Microsoft et ne permet pas l’utilisation du format ODF, en contradiction avec les recommandations de la version 2 du RGI [Référentiel général d’interopérabilité] entré en vigueur le 2 avril 2016 (JORF n^o 0095 du 22 avril 2016 texte n^o 1).

Ce lundi 12 juillet 2021, nous fêtions l’anniversaire des 20 ans de la 1ʳᵉ version stable des daemontools, qui sont un mécanisme de supervision (ou watchdog) des daemons, décorrélé de l’init.

Urbackup est un logiciel de sauvegarde en mode client‐serveur dont le client comme le serveur peuvent fonctionner à la fois sur GNU/Linux, Windows et macOS. Il effectue des sauvegardes incrémentales et fait de la déduplication de données. Le client GNU/Linux possède une version graphique et une version en ligne de commande.

La deuxième partie de dépêche vous propose de jeter un œil aux fonctionnalités de cette solution de sauvegarde. Une impression d'écran du client texte et de l'interface web sont aussi disponibles.

En juillet 2021, le PDG et cofondateur de Hashicorp, Mitchell Hashimoto, annonce abandonner ses fonctions exécutives et va contribuer au code.

Hashicorp est une société californienne cotée au Nasdaq et basée à San Francisco.
Elle est spécialisée dans les outils d'automatisation, de développement et de déploiement à grande échelle.

Il y a un peu plus d’un an, on vous présentait le projet XCP-ng, un hyperviseur de virtualisation basé sur Citrix XenServer et Xen. La dernière version de l’hyperviseur, XCP-ng 8.0, est disponible depuis peu et apporte de nouvelles fonctionnalités, des mises à jour de sécurité et la prise en charge de systèmes de fichiers bien connus. L’occasion de faire un point rapide sur la solution.

Acheter un nom est facile en quelques clics, très bon marché avec une poignée d’euros par an. Rien de plus simple. En revanche, paramétrer ces caractéristiques relève de compétences d’expert.

Notre projet est né d’une idée simple : si on simplifiait (enfin) l’usage des noms de domaine ? Parce qu’ils sont un élément clef pour assurer sa vie privée sur Internet et parce qu’il n’est pas toujours simple de se repérer dans les interfaces parfois obscures des fournisseurs, il nous semblait indispensable de créer un outil utilisable par tout le monde, de Monsieur et Madame Tout-le-Monde à l’administrateur système le plus aguerri.

happyDomain est un logiciel libre qui permet à chacun de surmonter cette complexité. Nous verrons ici tous les avantages de disposer de son ou ses noms de domaine et comment happyDomain fonctionne.

Pour rappel, le Courrier du hacker est une newsletter hebdomadaire (3500 abonnés, 169 numéros) résumant l’actualité francophone du Logiciel Libre et Open Source.

Depuis sa création il y a bientôt trois ans, Le Courrier du hacker utilisait le service en ligne Mailchimp pour gérer et envoyer sa newsletter. Ce choix avait été fait historiquement pour gagner du temps chaque semaine sur la réalisation et l’envoi de la newsletter, étant seul à travailler sur le projet.

Néanmoins ce choix a été problématique pour plusieurs raisons : la possible fermeture ou suspension du service, les captchas utilisés et enfin le coût prohibitif.

Le Courrier du hacker a donc finalement migré vers le logiciel libre Mailtrain couplé au service d’envoi d’e-mails AWS SES. Plus d’informations dans la suite de cette dépêche.

RUDDER est une solution française, libre et multi‐plate‐forme de gestion de configuration et d’audit en continu (Continuous Configuration), visant particulièrement les besoins d’infrastructures de production. La nouvelle version 5 a été conçue à partir d’une réflexion approfondie menée avec nos utilisateurs afin de mieux comprendre les besoins de ceux qui manipulent RUDDER au quotidien.

Borg est un outil de sauvegardes pour les systèmes UNIX/Linux, écrit en Python et activement développé (Borg est un fork d’Attic qui n’évolue plus). Borg cherche à fournir une solution efficace et sécurisée : la déduplication et la compression des blocs de données réduisent la place occupée par la sauvegarde, et le chiffrement protège et authentifie les données. La restauration est réalisable facilement et ne nécessite pas d’avoir les droits administrateur (montage de la sauvegarde par un utilisateur via FUSE).

Cet article est une présentation de Borg autour d’un cas pratique. Il explique pas‐à‐pas comment installer et configurer le logiciel Borg sur un NAS pour effectuer des sauvegardes en mode client‐serveur via SSH. L’exemple donné se base sur un NAS Synology, mais est facilement transposable à n’importe quel autre serveur de stockage réseau.

La nouvelle version de la distribution Mandriva Linux, nommée 2011 Hydrogen, est sortie officiellement à la fin du mois d'août. Mandriva est internationale (Suède, Norvège, Russie, Ukraine, Serbie, Brésil, Allemagne, Italie et France), les employés étant répartis à travers une trentaine de villes dans le monde, les principaux sièges étant Paris et Curitaba (Brésil) pour Mandriva/Conectiva et Moscou pour ROSA Lab.

On compte une cinquantaine de mainteneurs actifs. Et 75 % des développeurs de Mandriva sont de nouvelles recrues…

Des développeurs russes, de ROSA Lab, ont rejoint le développement de la nouvelle version. C'est à cette équipe que la distribution doit de nouveaux et nombreux développements, ainsi que l'organisation de la collaboration internationale entre les différentes équipes.
L'équipe se focalise dorénavant sur KDE.

Une page est donc tournée avec la livraison de cette nouvelle distribution, version 2011.

N. D. M. : lien neutralisé en raison de la disparition du domaine

Mandriva (1518 clics) http://www.mandriva.com

Nix est un gestionnaire de paquets dont les débuts remontent à 2003. Il a pour but de rendre la gestion de paquets fiable, reproductible et personnalisable. Il permet notamment de faire des mises à jour atomiques, d’annuler des mises à jour, d’installer des multiples versions d’un même paquet, de définir précisémment des environnements logiciels… Il peut être installé sur n’importe quelle distribution GNU/Linux et sur macOS. Enfin, Nix a également inspiré un projet assez similaire : GNU Guix.

De nombreux outils ont été développés sur la base de Nix : la logithèque Nixpkgs, la distribution GNU/Linux NixOS, l’outil de déploiement de machines Nixops, le système de construction et de cache de paquets binaires Hydra, l’outil de construction d’images Docker Docker Tools, etc.

Cette dépêche présente trois outils très pratiques pour gérer son environnement utilisateur : un service de cache de paquets binaires (Cachix), un outil de personnalisation de la logithèque (Overlays) et un outil de configuration de l’environnement utilisateur (home‑manager).

Le module RAR (Root As Role) implémente une approche basée sur les rôles pour distribuer les privilèges aux utilisateurs. Il fournit une solution qui permet aux utilisateurs de contrôler la liste des privilèges qu’ils accordent aux programmes. Grâce à ce module, les administrateurs peuvent regrouper les privilèges Linux dans des rôles et les donner à leurs utilisateurs. Pour des raisons de sécurité, les utilisateurs n’obtiennent pas les rôles attribués par défaut, ils doivent les activer à l’aide de la commande sr (changer de rôle).

Cependant, la première version du RAR ne fournissait pas à l’administrateur la possibilité de connaître l’ensemble des privilèges qui sont demandés par un programme. Cette deuxième version ajoute l’outil capable qui permet à l’administrateur de disposer de cette information. Nous pensons que cet outil va largement contribuer à l’adoption de RootAsRole.