galactikboulay a écrit 620 commentaires

J'ai la chance d'avoir une licence VMWare, donc j'ai procédé à un
petit test de Fedora Core 2 Test 4. Je précise que je n'y connais rien
du tout à Fedora, j'ai juste l'expérience de RedHat 6 jusqu'à RedHat
9. J'utilise habituellement Debian.

Au niveau installation, rien à dire, tout est convivial et s'est très
bien passé. Graphiquement parlant, ça en jette.
Très bon point, gestion de SELinux et de LVM dès le départ.
Je voulais tester Fedora dans le contexte où j'utilise mon PC
habituellement, à savoir machine de développement (surtout que
là, avec GCC 4, c'est une bonne occasion de tester Fedora). Pour les
packages, installation en mode custom avec sélection des groupes
de packages adéquats (Développement X and co).

Au reboot, je trouve un environnement Gnome 2.10, que je n'ai
pas étudié dans le détail, mais qui m'a semblé fonctionnel.

Là où ça s'est un peu corsé, c'est pour compiler une appli à moi.
Cette appli a besoin de net-snmp et net-snmp-devel, c'était donc
l'occasion de tester le gestionnaire de package.
J'ai pas lu de doc (je sais sai mal), mais bon yum est tout sauf
intuitif... Quelques imports de clés GPG plus loin, j'arrive à installer
net-snmp, par contre net-snmp-devel il veut pas. Pas trop compris
pourquoi. J'ai fini par télécharger le RPM à la main, là ça passe
comme papa dans maman. Un peu curieux.
Le truc qui chiffonne surtout, c'est la lenteur effroyable de yum.
Une petite remarque au passage, apparemment c'est écrit en
python, y'a pas intérêt à ce que l'installation de python soit gauffrée
sur la machine pour une raison X ou Y, parce que sinon ça doit
être assez fun.

Au niveau de la doc en ligne, je pensais que le site de RedHat
répondrait à certaines de mes questions, mais ça n'a pas été
le cas. Globalement, j'ai eu moins de mal à installer des packages
sur FreeBSD 5.3 et OpenBSD 3.6 que sur FC4T2, alors que je ne
connais pas du tout les *BSD. Ceux qui connaissent le FreeBSD
Handbook comprendront ce que je veux dire par doc super intuitive.
La 1ère fois que j'ai installé une Debian, j'avais pas lu de doc non
plus, mais en 5 min je me débrouillais sans pb avec dpkg / apt.

Au niveau de GCC 4, il reste quelques petites choses à voir, du style:

cisco_dtp.c:385: warning: pointer targets in passing argument 2 of â differ in signedness
ipflow_cli.c:92: warning: â defined but not used

Apparemment quelques bugs dans l'affichage des erreurs (â au lieu
du nom de la fonction), et ça fait vraiment expérimental :)
Je n'ai pas testé les performances de programmes compilés par
GCC 4.

Bref, je vais continuer à découvrir FC4T2, de ce 1er test
pour moi les points forts c'est :
- SELinux
- Gnome 2.10
- L'intégration du système

Le point faible:
- la gestion des packages

Si tu ne lances pas les services associés, tu ne verras pas de ports
en écoute.

Par exemple, si tu veux http et https, il faut lancer un serveur Web
comme Apache (avec SSL pour https), pour ftp il faut un serveur
comme proftpd, wu-ftpd ou autre.

Je ne suis pas persuadé d'avoir bien compris ta question par rapport
aux numéros de ports. Si tu souhaites connaitre le numéro de port
associé à un service particulier, tu peux regarder dans /etc/services.
Attention, pour ftp, il y a le port 21/tcp pour les commandes et 20/tcp
pour les données (quand c'est du mode actif).

Mes 2 cents.

Il faudrait préciser plus de choses, là dans ton appel à rt_task_init, on ne sait
pas à quoi correspond "id".

J'ai trouvé un petit exemple pratique à :

http://www.enseirb.fr/~kadionik/embedded/linux_realtime/linux_realt(...)

Ca pourra te donner une piste je pense.

Ca dépend, combien de temps tu veux les garder tes logs ? Une semaine, un mois,
plus ? Il serait intéressant de prévoir un système d'archivage je pense.

Euh, mais par exemple, si tu mets ça comme filtre,

acl sexe url_regex -i (sexe|porno|hard|xxx)

tu arrives à accéder à http://www.xxx.com(...) ?

Au niveau antivirus gratuit, je connais ClamAV de nom, après je n'ai jamais
déployé de solution basée dessus. Ici, on utilise une passerelle mail antivirale
basée sur TrendMicro Viruswall, mais ce n'est pas gratuit.

Ah tant mieux si tu es arrivée à le démarrer. C'était quoi le pb par rapport aux
fichiers d'erreurs ?

Pour les ACL, je ferais ça comme ça, mais bon je ne connais pas trop:

acl sexe url_regex -i (sexe|porno|hard|xxx)
http_access deny sexe
http_access allow all

Tu as testé quoi et comment comme url ?

Au fait dans ton exemple il y a "sex" et "sexe" comme nom d'ACL, tu es sûre que
ton pb ne vient pas de là ?

C'est l'idée, à condition comme je l'ai précisé avant que ce soit direct entre
utilisateurs pour le transfert de fichiers.

Sinon tu auras l'adresse d'un serveur MSN. Pour t'en assurer, fais un "host" et un
"whois" sur l'adresse IP que tu auras obtenue, tu verras à qui est l'adresse IP.

Quel protocole utilises-tu ? msn, jabber, aim, ... ?

Cherche les ports TCP ou UDP utilisés par ton protocole de messagerie
et essaie de trouver une correspondance avec "netstat -n".

En root, essaie "netstat -laputen", ça te donnera le nom du process
associé à chaque connexion.

Cela dit, je ne suis pas un expert des protocoles d'IM, mais je pense
que pour du texte, 2 utilisateurs communiquent à travers un serveur
et pas directement entre eux. Je pense qu'il n'y a connexion directe
que dans le cas de l'échange de fichiers ou de visioconférence par
exemple.

Non. La plupart du temps, le "int" reste codé sur 32-bits, par contre la
taille du "long" va passer sur 64-bits.

Petit exemple sur mon Linux/alpha:

alpha:~# uname -a
Linux alpha 2.4.26-1-generic #2 Sat May 1 16:31:16 EST 2004 alpha GNU/Linux
alpha:~# ./t1
sizeof(int) = 4
sizeof(long) = 8

Quand un serveur DNS secondaire télécharge les zones à partir du serveur primaire,
il utilise une requête dite AXFR (transfert de zone). Cela correspond à dupliquer
à l'identique le contenu de la zone, et c'est fait automatiquement (à intervalle
régulier fixé par le SOA, lors d'une notification de la part du serveur primaire, etc).

Faire un rsync des zones ne sert donc à rien en tant que tel.
Après, recopier le named.conf d'un serveur primaire sur un secondaire pour qu'il
serve les zones comme s'il était primaire est une très mauvaise idée à mon sens.

Je n'ai malheureusement pas de script tout prêt sous la main qui pourrait te générer
un fichier named.conf tout seul. Je serais toi, je ferais un fichier texte contenant une
info de ce style (un domaine par ligne):

domaine1.toto.fr
domaine2.toto.com

Après, avec deux scripts Perl ou shell (un pour le primaire, un pour le secondaire),
je traiterais ce fichier pour qu'il génère en sortie un fichier
texte sous la forme (ici pour le master):

# pour le primaire
zone <domain_name> {
type master;
file "zones/<domain_name>";
};

Et après, il n'y a plus qu' à faire un include de ce fichier dans le named.conf

Mes 2 cents.

Et en activant CONFIG_ETHERTAP ça change quelquechose ?

error_directory /usr/lib/squid/errors/French

qui correspond bien au chemin mais ça ne fonctionne pas quand même.

Tu pourrais faire un "ls -l /usr/lib/squid/errors/" et un "ls -l /usr/lib/squid/errors/French" stp ?

Merci de ton aide, je te souhaite un bon week end et à lundi si tu veux continuer à m'aider.

Pas de pb et de même :)

C'est un truc de fou ça... Dans ta config noyau tu as donc "CONFIG_TUN=y" ?

Voilà ce que j'ai pour un 2.6.8.1 au niveau réseau, avec TUN/TAP fonctionnel.
(oublie la partie MPLS, c'est un patch que j'ai appliqué, il n'est pas dans le
noyau vanilla). J'ai viré tout ce qui concerne Netfilter.

#
# Networking options
#
CONFIG_PACKET=y
CONFIG_MPLS=y
CONFIG_MPLS_TUNNEL=y
CONFIG_PACKET_MMAP=y
# CONFIG_NETLINK_DEV is not set
CONFIG_UNIX=y
CONFIG_NET_KEY=y
CONFIG_INET=y
CONFIG_IP_MULTICAST=y
# CONFIG_IP_ADVANCED_ROUTER is not set
# CONFIG_IP_PNP is not set
CONFIG_IP_MPLS=y
CONFIG_NET_IPIP=y
CONFIG_NET_IPGRE=y
CONFIG_NET_IPGRE_BROADCAST=y
# CONFIG_IP_MROUTE is not set
# CONFIG_ARPD is not set
CONFIG_SYN_COOKIES=y
# CONFIG_INET_AH is not set
# CONFIG_INET_ESP is not set
# CONFIG_INET_IPCOMP is not set

#
# IP: Virtual Server Configuration
#
# CONFIG_IP_VS is not set
CONFIG_IPV6=y
CONFIG_INET6_MPLS=y
CONFIG_IPV6_PRIVACY=y
# CONFIG_INET6_AH is not set
# CONFIG_INET6_ESP is not set
# CONFIG_INET6_IPCOMP is not set
# CONFIG_IPV6_TUNNEL is not set
CONFIG_NETFILTER=y
# CONFIG_NETFILTER_DEBUG is not set
CONFIG_BRIDGE_NETFILTER=y

[...]

#
# Network testing
#
# CONFIG_NET_PKTGEN is not set
# CONFIG_NETPOLL is not set
# CONFIG_NET_POLL_CONTROLLER is not set
# CONFIG_HAMRADIO is not set
# CONFIG_IRDA is not set
# CONFIG_BT is not set
CONFIG_NETDEVICES=y
# CONFIG_DUMMY is not set
# CONFIG_BONDING is not set
# CONFIG_EQUALIZER is not set
CONFIG_TUN=y

Tu as quoi toi ?

"mknod /dev/tun c 10 200"

Désolé si j'ai l'air de te prendre pour un idiot avec cette réponse, c'est pas voulu
c'est juste que je préfère lever un doute: tu as créé /dev/tun ou /dev/net/tun avec
mknod ? C'est /dev/net/tun normalement.

Pour tunctl, tu as raison, ça fait l'équivalent (en plus propre que mon programme bien sûr ;)

Ok, donc tu as le répertoire où est installé ce fichier ?

Il suffit de l'indiquer dans squid.conf:

Par exemple chez moi j'ai:

error_directory /usr/local/squid/etc/errors

Pour /var, fais comme tu le sens. Tu peux commencer par mettre ton cache dans
/var/spool/squid. Si vraiment un jour tu as un pb, tu le déplaces sur une autre
partition ou tu réduis sa taille (je pense que ça demande une reconstruction
du cache par contre, donc suppression puis recréation).

2005/03/30 15:44:19| errorTryLoadText: '/usr/lib/squid/errors/English/ERR_READ_TIMEOUT': (2) No such file or directory
2005/03/30 15:44:19| errorTryLoadText: '/usr/squid/errors/ERR_READ_TIMEOUT': (2) No such file or directory

Squid utilise des fichiers pour stocker le texte des erreurs qu'il renvoie (sachant
qu'on peut avoir les messages traduits). Je ne sais pas où le paquet Mandrake met
ces fichiers par défaut). Un "locate ERR_READ_TIMEOUT" te renvoie-t'il qqch ? (il
faudra peut-être lancer un "updatedb" avant pour mettre à jour la base des fichiers).

J'ai pas très bien compris cette ligne dans le fichier squid.conf :
cache_dir ufs /var/spool/squid 800 16 256

J'ai mis 800 un peu au hasard car la partition /var fait 1Go
Qu'en penses tu ?

Cette ligne t'indique la taille maxi que va occuper le cache sur le disque. Ici,
800 Mo sur les 1 Go de /var. Le 16 et le 256 concernent la manière de découper
le cache en répertoires pour stocker les fichiers (en résumé: 16 répertoires
de 1er niveau, 256 répertoires de 2nd niveau, donc 256 répertoires pour chacun
des 16 répertoires de 1er niveau). Laisse 16 et 256, ce sont les valeurs par
défaut.

Personnellement, je ne mettrais pas le cache de squid dans /var, mais dans une
partition dédiée. Si ton /var explose à cause de logs trop volumineux ou autre,
ton squid va s'arrêter.

Si tu tiens vraiment à mettre le cache dans /var, mets plutôt 500 Mo.

Tu peux essayer le programme suivant ? (ps: je suis désolé pour la longueur du post, j'espère que ça ne gênera personne).

Normalement il doit t'allouer un device "tun". Je l'ai fait à l'arrache mais ça devrait marcher.



#include <unistd.h>
#include <fcntl.h>
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
#include <syslog.h>
#include <sys/ioctl.h>
#include <errno.h>

#include <sys/socket.h>
#include <linux/if.h>
#include <linux/if_tun.h>

int tun_open(char *dev)
{
struct ifreq ifr;
int fd, err;

printf("Requesting new TUN device...\n");

if ((fd = open("/dev/net/tun", O_RDWR)) < 0) {
perror("open");
return(-1);
}

memset(&ifr, 0, sizeof(ifr));
ifr.ifr_flags = IFF_TUN | IFF_NO_PI;

if ((err = ioctl(fd, TUNSETIFF, (void *)&ifr)) < 0) {
close(fd);
return(err);
}

strcpy(dev, ifr.ifr_name);
return fd;
}

int main(void)
{
char dev[256];
int fd;

*dev = 0;

if ((fd = tun_open(dev)) == -1) {
fprintf(stderr,"Unable to obtain tunnel interface.\n");
return(-1);
}

printf("Tunnel device : %s\n",dev);
sleep(15);

close(fd);
return(0);
}

Tu as bien fait un "make modules ; make modules_install" après avoir patché et
recompilé le noyau ?

Tu indiques que ça ne marche pas si tu compiles le module "tun" en dur dans
le noyau, qu'entend-tu par "sans plus de succès" ?

Squid produit des fichiers de logs :
- cache.log : état du programme lui-même, anomalies, etc.
- access.log : URL accédées
- store.log : infos sur les objets stockés sur disque (dans le cache)

Trouve le fichier "cache.log" et regarde si tu as des messages d'erreur. Si tu n'as
jamais fait de configuration squid aupavant, tu auras sûrement des erreurs dans le fichier de configuration (genre "parse error" et autres).

Ces fichiers de logs sont normalement placés dans le sous-répertoire "logs" du répertoire d'installation de squid.

J'utilise des HP Proliant ML370 et DL380, et j'en suis extrêmement satisfait. Tout est détecté et fonctionne parfaitement dès l'installation, que ce soit la carte RAID SCSI (Driver "cciss" pour HP SmartArray 5i) ou les cartes réseaux Gigabit (Tigon 3).
Ce sont des bi-processeurs Xeon, rien à dire côté SMP.

Par contre, éviter les Proliant en RAID IDE.

On a aussi des Dell PowerEdge et des IBM, mais ma préférence va quand même aux HP pour la facilité d'installation et les performances.

J'espère que cette réponse te sera utile.

Ce script se lance en root. C'est squid lui-même qui va se charger de passer ses privilèges sur le compte utilisateur (souvent on créée un compte "squid" dédié).

Dans le fichier de configuration de squid, tu indiques:

cache_effective_user squid
cache_effective_group squid

Avec ceci, au démarrage, le programme va utiliser prendre l'UID de l'utilisateur squid et le GID du groupe squid.

Normalement le répertoire courant "." n'est pas les chemins de recherche (variable $PATH) pour root (sinon c'est un gros problème de sécurité potentiel).

Donc lance le script par ./squid start , ou si tu veux mettre le chemin complet : /etc/rc.d/init.d/squid start

Sauf que c'est activé aussi sur le noyau des machines RedHat et il n'y a pas ce problème de lenteur.

De toute façon, même s'il supprime l'option, il se prendra le trafic quand même, vu que sur un réseau Ethernet, le multicast est comme le broadcast (sauf dans les cas où le réseau est configuré avec de l'IGMP snooping).

J'avoue qu'il n'y a rien de particulier qui me choque dans la configuration des 2 noyaux... Peut-être ta carte ethernet qui supporte mal le multicast ?

Si tu essaies la configuration d'un noyau de Redhat sur ta machine à l'identique (moins le driver ethernet qui est différent), ça donne quoi ?

Je dis peut-être une grosse bêtise, mais as-tu un fichier /etc/nsswitch.conf, et notamment une ligne "hosts" :

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd: compat
group: compat
shadow: compat

hosts: files dns
networks: files

protocols: db files
services: db files
ethers: db files
rpc: db files

netgroup: nis

Sur Debian, ce fichier est fourni par base-files.

Mes 2 cents.