ka.da - OpenBSD

script OpenBSD pour mise à jour DNS dynamique chez l'APINC

er:k — Thu, 06 Sep 2007 20:17:00 +0200

Je me suis enfin intéressé à la possibilité de créer des zones DNS dynamiques sur mes domaines DNS hébergés sur l'APINC, et ai créé un script shell qui marche sous OpenBSD. Le seul prérequis : avoir curl^[1]. Vous copiez ce script, remplissez les variables et le mettez dans votre cron pour qu'il s'exécute régulièrement.

#!/bin/sh

## variables
# inserer la liste des id APINC de vos zones DNS dynamiques
ids="xxxx_xxxxx xxxx_xxxxx"
# le nom de votre interface connectée à internet
interface=fxp0

export old_ip=`cat /tmp/my_ip`
export ip=`ifconfig |grep -A1 $interface|grep "inet "|cut -d " " -f 2`

if [ "$old_ip" != "$ip" ]; then
echo "changement d'ip"
echo "$ip" > /tmp/my_ip

for id in $ids
do
curl http://www.apinc.org/board/dns/dyn.php?id=$id\&ip=$ip
done
fi

[inspiré de]

update j'ai mis à jour le script pour gérer plusieurs zones dynamiques

Notes

[1] cf gestion des packages

mise à jour OpenBSD

er:k — Sat, 26 May 2007 19:49:00 +0200

J'avais pris un peu de retard sur ma version d'OpenBSD donc j'ai rattrapé celui-ci ces derniers jours :

migration de 3.9 vers 4.0 en suivant le guide officiel et en utilisant la même méthode qu'indiqué ici;
migration de 4.0 vers 4.1 : guide officiel;
ensuite pour être complètement à jour, j'ai suivi le guide pour suivre -stable.

patcher OpenBSD

er:k — Sun, 05 Nov 2006 19:04:27 +0000

À la suite de ce billet, voyons maintenant comment patcher notre serveur OpenBSD de façon plus simple, en procédant patch par patch, une fois qu'on a récupéré les sources complètes.

Sur la page d'errata de notre version (3.9 en l'occurence), on trouve les patchs par alerte de sécurité.

Prenons comme l'exemple, la dernière concernant OpenSSH, datée du 12 octobre^[1].

On récupère le patch concerné par exemple dans /tmp

# cd /tmp;
# ftp ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.9/common/015_ssh.patch

on lit l'entête du fichier pour connaître les instructions de déploiement du patch, et on les suit

# more /tmp/015_ssh.patch

on applique le patch

# cd /usr/src
# patch -p0 < /tmp/015_ssh.patch

on recompile et on installe

# cd usr.bin/ssh
# make obj
# make cleandir
# make
# make install

et, même si ce n'est pas indiqué, on arrête et redémarre le service ssh

# ps ax | grep sshd
 <pid> ??  Is      0:00.07 /usr/sbin/sshd
# kill <pid>; /usr/sbin/sshd

Notes

[1] tiens... anniversaire de la découverte de l'Amérique par Christophe Colomb en 1492 (cf Wikipedia)

mettre à jour OpenBSD

er:k — Sun, 17 Sep 2006 00:09:58 +0000

À chaque fois que se pose cette question^[1], je me retrouve à parcourir la FAQ et autres pages de manuel avant d'être certain de la marche à suivre, voici donc une procédure qui marche^[2] :

les sources d'OpenBSD

# export CVSROOT=anoncvs@anoncvs2.de.openbsd.org:/cvs

on spécifie le serveur AnonCVS à utiliser^[3]

# cd /usr; cvs checkout -P -rOPENBSD_3_9 src

on récupère les sources de la branche OpenBSD 3.9 (version -stable) après vérification de l'empreinte RSA

le noyau

# cd /usr/src/sys/arch/i386/conf
# /usr/sbin/config GENERIC
# cd /usr/src/sys/arch/i386/compile/GENERIC
# make clean && make depend && make

compilation

# cp /bsd /bsd.old

sauvegarde de l'actuel noyau

# cp bsd /bsd

installation du nouveau

# reboot

les librairies

# rm -rf /usr/obj/*

on efface les vieux fichiers objets

# cd /usr/src
# make obj
# cd /usr/src/etc && env DESTDIR=/ make distrib-dirs
# cd /usr/src
# make build

Notes

[1] souvent parce que je suis allé voir la page errata

[2] mais ce n'est pas la plus légère... à compléter donc

[3] pas de français, alors un miroir allemand

serveur DHCP sous OpenBSD

er:k — Mon, 19 Jun 2006 22:51:58 +0000

Bon du coup, afin de laisser une chance à NetworkManager (cf le billet précédent) et de me simplifier le boulot, j'ai fini^[1] par configurer mon serveur DHCP sur mon routeur OpenBSD.

Il faut commencer par éditer le fichier /etc/rc.conf.local afin d'ajouter

dhcpd_flags=""

Il faut alors modifier le fichier /etc/dhcpd.interfaces pour y mettre le nom des interfaces sur lesquelles vous voulez que votre serveur écoute.

Ensuite, il faut attaquer le fichier /etc/dhcpd.conf qui est le fichier principal de configuration du serveur DHCP de l'ISC^[2] que vous retrouvez sur la majorité des *Nix dont Linux. Je vous renvoie donc vers la documentation associée de OpenBSD.

Note : Du coup, une fois les informations liées à mes cartes réseaux (à part lo) commentées dans /etc/network/interfaces, NetworkManager trouve bien mon réseau Wifi...

Notes

[1] parce que ça fait longtemps que je me dis que je devrais le faire...

[2] l'Internet Systems Consortium, auteur de DHCPD donc, mais de BIND également

règles PF OpenBSD pour le Freeplayer

er:k — Mon, 22 May 2006 19:46:47 +0000

Si vous êtes vous aussi un abonné Free, vous connaissez probablement déjà le Freeplayer^[1], mais savez-vous configurer votre firewall OpenBSD (placé bien évidemment derrière la Freebox) pour laisser passer le flux nécessaire... hum, peut-être pas, alors voici les règles de base nécessaires :

on définit d'abord quelques macros dans /etc/pf.conf

net_if = "xl0"         # nom de l'interface connectée à internet via la Freebox
lan_if = "xl1"         # nom de l'interface connectée à votre LAN

free_net_host = 212.27.38.253   # c'est l'adresse de mafreebox.freebox.fr
free_lan_host = xxx.xxx.xxx.xxx # l'adresse IP du poste lançant VLC sur le réseau local
free_dst_tcp_ports = "{ 8080 }"
free_dst_udp_ports = "{ 1234 }"

on ajoute une redirection de ports

rdr on $net_if proto tcp from $free_net_host to ($net_if) port $free_dst_tcp_ports -> $free_lan_host

puis les règles de filtrage

pass in quick on $net_if proto tcp from $free_net_host to $free_lan_host port $free_dst_tcp_ports flags S/SA keep state
pass out quick on $lan_if proto tcp from $free_net_host to $free_lan_host port $free_dst_tcp_ports flags S/SA keep state

Ces règles sont bien évidemment à adapter à votre configuration, et à votre politique de sécurité^[2], mais dans l'idée c'est ça !

Notes

[1] la plus grande source d'informations se trouve sur freeplayer.org

[2] par ex. vous pouvez avoir un blocage des flux sortants, et ils vous faudra donc des règles supplémentaires pour laisser passer les flux UDP vers le port 1234

mise à jour de OpenBSD 3.8 vers 3.9

er:k — Mon, 01 May 2006 19:50:46 +0000

Aujourd'hui, c'est le 1er mai et c'est non seulement la fête du travail^[1] mais également le jour de sortie de la nouvelle version de OpenBSD en l'occurence la 3.9.

J'ai donc mis à jour mon routeur/firewall de 3.8 vers 3.9. Je me suis aidé de la procédure d'upgrade.
Quelques détails :

j'ai utilisé (comme je l'avais fait pour l'installation de 3.8) une installation par réseau avec un serveur dhcp et tftp
l'installation s'est ensuite faite tranquillement en répondant aux quelques questions dont les réponses sont assez évidentes
il faut ensuite télécharger le fichier etc39.tgz et faire la mise à jour des fichiers de configuration en faisant attention de ne pas perdre ses configurations persos, comme c'est indiqué sur la procédure d'upgrade.

Le tout m'a pris à peu près une heure... magnifique, non ?! :) Il ne me restera plus qu'à réinstaller mes packages^[2], ceux-ci n'étant pas encore tous dispo sur les FTP... c'est ça d'être trop à la pointe :)

ps : la page d'errata de OpenBSD 3.9 semble indiqué que cette version est sujette au même bug de sécurité de sendmail que la version précédente, donc si vous l'utilisez n'oubliez pas d'appliquer le patch.

Notes

[1] les manifestations ont dû pleuvoir cette année...

[2] mon package en fait : ddclient

la Mozilla Foundation fait une donation à OpenBSD

er:k — Sun, 09 Apr 2006 19:30:30 +0000

Je vous ai parlé ici des problèmes financiers que connait OpenBSD. J'apprends donc avec joie que la Fondation Mozilla vient de faire un don au projet.

J'ai bien l'impression que sur ce coup-là, le logiciel libre ne pourra compter que sur lui-même (comme d'habitude ?!).

actu informatique

er:k — Sun, 02 Apr 2006 19:27:38 +0000

tout d'abord : alors que OpenBSD 3.9 est sur le point de sortir, le projet souffre de graves problèmes financiers qui compromette sa viabilité. Ce projet est largement financé par la vente de CD et de T-shirts, malheureusement, augmentation de la bande passante aidant, très peu de personnes achètent désormais les CD utilisant plutôt les serveurs FTP disponibles.
Il faut pourtant comprendre que l'argent sert non seulement à financer le développement de OpenBSD mais aussi celui de OpenSSH que l'on retrouve sur tous les Unix (dont ceux d'IBM, Sun, SCO), Linux, *BSD ainsi qu'un grand nombre de produits commerciaux (comme les routeurs Cisco et les nombreuses appliances de sécurité que l'on retrouve partout), il est bien regrettable qu'aucune des sociétés profitant du code développé par OpenBSD ne ressente le besoin/l'envie de donner un peu d'argent. Retrouvez l'avis de Theo De Raadt, le leader du projet, sur cette interview. (lisez également cet article)
Alors, si vous aussi, vous utilisez OpenBSD et/ou OpenSSH et que vous avez envie de les aider, faites un don et/ou achetez des CD/t-shirts/posters (perso, j'ai acheté un t-shirt dont j'avais envie depuis quelque temps déjà... c'était la bonne occasion);

ensuite quelques nouvelles de google : je vous avais parlé de l'hypothèse d'un google calendar, il semblerait que ça se précise (via standblog), que l'hébergement de pages et l'e-commerce soient également dans sa ligne de mire, et l'apparition d'une suite bureautique en ligne se fait de plus en plus probable après le rachat de Writely. Google pourrait également proposer bientôt un service d'e-mail pour les professionnels, basé sur gmail;

avant même la généralisation des étiquettes RFID, la possibilité de virus est de plus en plus probable, un "proof of concept" a déjà été fait, cf securityfocus et le blog de Secure Labs;

alors que le CERTA vient de lancer une alerte de vulnérabilité concernant Internet Explorer conseillant même d'utiliser Opera ou Firefox le temps que les patchs existent, que plus d'une centaine de sites essaient d'exploiter cette faille critique, qu'un patch ''non officiel'' est sorti (déjà téléchargé par plus de 70000 personnes ne pouvant attendre le patch officiel...), on apprend qu'également que le prochain Windows, le bien nommé Vista est également repoussé à cause de problèmes de sécurité... ^[1];

Amazon semble vouloit diversifier son offre et se lancer dans le stockage en ligne;

le format ODF, libre et standardisé par l'OASIS, et présent dans de nombreuses applications bureautiques (dont OpenOffice.org, KOffice, Abiword) est actuellement en cours de standardisation par l'ISO, ce qui est un danger pour Microsoft et sa vache à lait Office. Microsoft pousse donc son propre format OpenXML (qui lui n'est pas libre, même si il en a l'apparence^[2]) et vient d'intégrer le processus de standardisation de ODF probablement afin de le ralentir;

Sun continue à faire le jeu de l'open source^[3] et annonce l'ouverture d'un site dédié à son processeur UltraSPARC (basé sur la technologie SPARC) dont la licence vient de basculer vers la GPL. Les premières spécifications disponibles sont celles de l'UltraSPARC T1, le dernier processeur Sun en date, multi-core et multi-threadé, et à faible consommation électrique. Il semblerait également que, suite à la proposition de Sun, IBM ait accepté d'offrir l'OS Solaris sur ses BladeCenter. (cf sur blog.sun.com). [via linuxfr.org]

Notes

[1] sachant qu'il a déjà été repoussé une ou deux fois déjà, et qu'une partie des fonctionnalités qui devaient y être incluses on été retirées, que va-t-il lui rester ?

[2] là, j'aurais aimé faire pointer sur un article très intéressant qui expliquait pourquoi, mais je ne l'ai pas retrouvé... vous pouvez toujours lire ceci

[3] probablement pas de gaité de coeur, mais pour donner un nouveau souffle à son business

OpenBSD 3.8

er:k — Sun, 11 Dec 2005 18:52:10 +0000

En mars dernier, je me suis, pour la première fois, intéressé de près à OpenBSD, système d'exploitation qui vient de fêter ses 10 ans, et dont le parti pris de la sécurité ne pouvait que m'intéresser. Donc, après énormément de lecture de docs, et une installation repoussée plusieurs fois, je me suis lancé et j'ai installé OpenBSD 3.6. Je l'ai d'abord simplement utilisé en tant que routeur pour ensuite petit à petit y ajouter des services comme NTP ou DNS.
J'ai surtout tout de suite apprécié la syntaxe de PF : Packet Filter, le pare-feu de OpenBSD, qui me changeait de celle du pare-feu de Linux que j'ai toujours trouvé énormément complexe.

Il y a 4 semaines, peu après la sortie de la version 3.8 de OpenBSD, j'ai donc réinstallé mon routeur, et ai commencé à écrire une procédure sur cette installation. J'ai mis un peu de temps pour la mettre au propre, mais voilà c'est fait maintenant. N'hésitez pas à laisser des commentaires.

Depuis, OpenBSD est presque devenu mon quotidien^[1] : j'ai acheté une carte PCI Wifi Linksys en fonction du support par OpenBSD, je l'utilise pour router plusieurs réseaux (lan, dmz, et wlan) en interne chez moi, il me sert de serveur ntp, dns et dhcp, et suis de près son évolution. J'espère ainsi ajouter petit à petit de nouveaux articles concernant l'utilisation et la configuration de OpenBSD.

Notes

[1] j'exagère à peine ;-)

re-essai d'Ubuntu, retour à Debian

er:k — Fri, 18 Nov 2005 18:47:42 +0000

Bon, encore une fois j'ai essayé d'installer Ubuntu sur un vieux portable Sony. La dernière fois, avec la même version, la 5.10, j'avais eu plein de problèmes au moment du download des paquets sur les archives, les paquets semblaient corrompus, et j'avais beau essayer d'autres miroirs FTP, rien n'y faisait.
Cette fois-ci, motivé pour tester ma nouvelle carte Wifi PCMCIA, j'ai réessayé : tout c'est passé nickel ou presque : le paquet gnome-terminal-data semble avoir un problème avec son script pre ou post-inst et du coup pas moyen de terminer correctement l'installation.
C'est pourquoi je suis revenu à ma bonne vieille debian et là, comme prévu, tout a marché, et l'installation s'est terminée correctement.

Bon, maintenant je bataille avec ma carte Wifi (une Hercules HWGPCMCIA-54) : j'ai bien les drivers, j'ai réussi à les installer, ma machine détecte bien ma carte, et j'ai même réussi à établir une connexion avec mon routeur OpenBSD... il me reste plus maintenant qu'à réussir à automatiser le processus pour que quand je branche cette f$%*^ carte, la connexion se fasse automatiquement...

la suite prochainement