ka.da

Aller au contenu | Aller au menu | Aller à la recherche

Mot-clé - OpenBSD

Fil des billets - Fil des commentaires

jeudi, septembre 6 2007

script OpenBSD pour mise à jour DNS dynamique chez l'APINC

Je me suis enfin intéressé à la possibilité de créer des zones DNS dynamiques sur mes domaines DNS hébergés sur l'APINC, et ai créé un script shell qui marche sous OpenBSD. Le seul prérequis : avoir curl[1]. Vous copiez ce script, remplissez les variables et le mettez dans votre cron pour qu'il s'exécute régulièrement.

#!/bin/sh

## variables
# inserer la liste des id APINC de vos zones DNS dynamiques
ids="xxxx_xxxxx xxxx_xxxxx"
# le nom de votre interface connectée à internet
interface=fxp0

export old_ip=`cat /tmp/my_ip`
export ip=`ifconfig |grep -A1 $interface|grep "inet "|cut -d " " -f 2`

if [ "$old_ip" != "$ip" ]; then
echo "changement d'ip"
echo "$ip" > /tmp/my_ip

for id in $ids
do
curl http://www.apinc.org/board/dns/dyn.php?id=$id\&ip=$ip
done
fi

[inspiré de]

update j'ai mis à jour le script pour gérer plusieurs zones dynamiques

samedi, mai 26 2007

mise à jour OpenBSD

J'avais pris un peu de retard sur ma version d'OpenBSD donc j'ai rattrapé celui-ci ces derniers jours :

dimanche, novembre 5 2006

patcher OpenBSD

À la suite de ce billet, voyons maintenant comment patcher notre serveur OpenBSD de façon plus simple, en procédant patch par patch, une fois qu'on a récupéré les sources complètes.

Sur la page d'errata de notre version (3.9 en l'occurence), on trouve les patchs par alerte de sécurité.

Prenons comme l'exemple, la dernière concernant OpenSSH, datée du 12 octobre[1].

On récupère le patch concerné par exemple dans /tmp

# cd /tmp;
# ftp ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.9/common/015_ssh.patch

on lit l'entête du fichier pour connaître les instructions de déploiement du patch, et on les suit

# more /tmp/015_ssh.patch

on applique le patch

# cd /usr/src
# patch -p0 < /tmp/015_ssh.patch

on recompile et on installe

# cd usr.bin/ssh
# make obj
# make cleandir
# make
# make install

et, même si ce n'est pas indiqué, on arrête et redémarre le service ssh

# ps ax | grep sshd
 <pid> ??  Is      0:00.07 /usr/sbin/sshd
# kill <pid>; /usr/sbin/sshd

Notes

[1] tiens... anniversaire de la découverte de l'Amérique par Christophe Colomb en 1492 (cf Wikipedia)

dimanche, septembre 17 2006

mettre à jour OpenBSD

À chaque fois que se pose cette question[1], je me retrouve à parcourir la FAQ et autres pages de manuel avant d'être certain de la marche à suivre, voici donc une procédure qui marche[2] :

les sources d'OpenBSD
# export CVSROOT=anoncvs@anoncvs2.de.openbsd.org:/cvs

on spécifie le serveur AnonCVS à utiliser[3]

# cd /usr; cvs checkout -P -rOPENBSD_3_9 src

on récupère les sources de la branche OpenBSD 3.9 (version -stable) après vérification de l'empreinte RSA

le noyau
# cd /usr/src/sys/arch/i386/conf
# /usr/sbin/config GENERIC
# cd /usr/src/sys/arch/i386/compile/GENERIC
# make clean && make depend && make

compilation

# cp /bsd /bsd.old

sauvegarde de l'actuel noyau

# cp bsd /bsd

installation du nouveau

# reboot
les librairies
# rm -rf /usr/obj/*

on efface les vieux fichiers objets

# cd /usr/src
# make obj
# cd /usr/src/etc && env DESTDIR=/ make distrib-dirs
# cd /usr/src
# make build

Notes

[1] souvent parce que je suis allé voir la page errata

[2] mais ce n'est pas la plus légère... à compléter donc

[3] pas de français, alors un miroir allemand

lundi, juin 19 2006

serveur DHCP sous OpenBSD

Bon du coup, afin de laisser une chance à NetworkManager (cf le billet précédent) et de me simplifier le boulot, j'ai fini[1] par configurer mon serveur DHCP sur mon routeur OpenBSD.

Il faut commencer par éditer le fichier /etc/rc.conf.local afin d'ajouter

dhcpd_flags=""

Il faut alors modifier le fichier /etc/dhcpd.interfaces pour y mettre le nom des interfaces sur lesquelles vous voulez que votre serveur écoute.

Ensuite, il faut attaquer le fichier /etc/dhcpd.conf qui est le fichier principal de configuration du serveur DHCP de l'ISC[2] que vous retrouvez sur la majorité des *Nix dont Linux. Je vous renvoie donc vers la documentation associée de OpenBSD.

Note : Du coup, une fois les informations liées à mes cartes réseaux (à part lo) commentées dans /etc/network/interfaces, NetworkManager trouve bien mon réseau Wifi...

Notes

[1] parce que ça fait longtemps que je me dis que je devrais le faire...

[2] l'Internet Systems Consortium, auteur de DHCPD donc, mais de BIND également

lundi, mai 22 2006

règles PF OpenBSD pour le Freeplayer

Si vous êtes vous aussi un abonné Free, vous connaissez probablement déjà le Freeplayer[1], mais savez-vous configurer votre firewall OpenBSD (placé bien évidemment derrière la Freebox) pour laisser passer le flux nécessaire... hum, peut-être pas, alors voici les règles de base nécessaires :

on définit d'abord quelques macros dans /etc/pf.conf

net_if = "xl0"         # nom de l'interface connectée à internet via la Freebox
lan_if = "xl1"         # nom de l'interface connectée à votre LAN
free_net_host = 212.27.38.253   # c'est l'adresse de mafreebox.freebox.fr
free_lan_host = xxx.xxx.xxx.xxx # l'adresse IP du poste lançant VLC sur le réseau local
free_dst_tcp_ports = "{ 8080 }"
free_dst_udp_ports = "{ 1234 }"

on ajoute une redirection de ports

rdr on $net_if proto tcp from $free_net_host to ($net_if) port $free_dst_tcp_ports -> $free_lan_host

puis les règles de filtrage

pass in quick on $net_if proto tcp from $free_net_host to $free_lan_host port $free_dst_tcp_ports flags S/SA keep state
pass out quick on $lan_if proto tcp from $free_net_host to $free_lan_host port $free_dst_tcp_ports flags S/SA keep state

Ces règles sont bien évidemment à adapter à votre configuration, et à votre politique de sécurité[2], mais dans l'idée c'est ça !

Notes

[1] la plus grande source d'informations se trouve sur freeplayer.org

[2] par ex. vous pouvez avoir un blocage des flux sortants, et ils vous faudra donc des règles supplémentaires pour laisser passer les flux UDP vers le port 1234

lundi, mai 1 2006

mise à jour de OpenBSD 3.8 vers 3.9

Aujourd'hui, c'est le 1er mai et c'est non seulement la fête du travail[1] mais également le jour de sortie de la nouvelle version de OpenBSD en l'occurence la 3.9.

J'ai donc mis à jour mon routeur/firewall de 3.8 vers 3.9. Je me suis aidé de la procédure d'upgrade.
Quelques détails :

  • j'ai utilisé (comme je l'avais fait pour l'installation de 3.8) une installation par réseau avec un serveur dhcp et tftp
  • l'installation s'est ensuite faite tranquillement en répondant aux quelques questions dont les réponses sont assez évidentes
  • il faut ensuite télécharger le fichier etc39.tgz et faire la mise à jour des fichiers de configuration en faisant attention de ne pas perdre ses configurations persos, comme c'est indiqué sur la procédure d'upgrade.

Le tout m'a pris à peu près une heure... magnifique, non ?! :) Il ne me restera plus qu'à réinstaller mes packages[2], ceux-ci n'étant pas encore tous dispo sur les FTP... c'est ça d'être trop à la pointe :)

ps : la page d'errata de OpenBSD 3.9 semble indiqué que cette version est sujette au même bug de sécurité de sendmail que la version précédente, donc si vous l'utilisez n'oubliez pas d'appliquer le patch.

Notes

[1] les manifestations ont dû pleuvoir cette année...

[2] mon package en fait : ddclient

dimanche, avril 9 2006

la Mozilla Foundation fait une donation à OpenBSD

Je vous ai parlé ici des problèmes financiers que connait OpenBSD. J'apprends donc avec joie que la Fondation Mozilla vient de faire un don au projet.

J'ai bien l'impression que sur ce coup-là, le logiciel libre ne pourra compter que sur lui-même (comme d'habitude ?!).

dimanche, avril 2 2006

actu informatique

  • tout d'abord : alors que OpenBSD 3.9 est sur le point de sortir, le projet souffre de graves problèmes financiers qui compromette sa viabilité. Ce projet est largement financé par la vente de CD et de T-shirts, malheureusement, augmentation de la bande passante aidant, très peu de personnes achètent désormais les CD utilisant plutôt les serveurs FTP disponibles.
    Il faut pourtant comprendre que l'argent sert non seulement à financer le développement de OpenBSD mais aussi celui de OpenSSH que l'on retrouve sur tous les Unix (dont ceux d'IBM, Sun, SCO), Linux, *BSD ainsi qu'un grand nombre de produits commerciaux (comme les routeurs Cisco et les nombreuses appliances de sécurité que l'on retrouve partout), il est bien regrettable qu'aucune des sociétés profitant du code développé par OpenBSD ne ressente le besoin/l'envie de donner un peu d'argent. Retrouvez l'avis de Theo De Raadt, le leader du projet, sur cette interview. (lisez également cet article)
    Alors, si vous aussi, vous utilisez OpenBSD et/ou OpenSSH et que vous avez envie de les aider, faites un don et/ou achetez des CD/t-shirts/posters (perso, j'ai acheté un t-shirt dont j'avais envie depuis quelque temps déjà... c'était la bonne occasion);
  • avant même la généralisation des étiquettes RFID, la possibilité de virus est de plus en plus probable, un "proof of concept" a déjà été fait, cf securityfocus et le blog de Secure Labs;
  • Amazon semble vouloit diversifier son offre et se lancer dans le stockage en ligne;
  • Sun continue à faire le jeu de l'open source[3] et annonce l'ouverture d'un site dédié à son processeur UltraSPARC (basé sur la technologie SPARC) dont la licence vient de basculer vers la GPL. Les premières spécifications disponibles sont celles de l'UltraSPARC T1, le dernier processeur Sun en date, multi-core et multi-threadé, et à faible consommation électrique. Il semblerait également que, suite à la proposition de Sun, IBM ait accepté d'offrir l'OS Solaris sur ses BladeCenter. (cf sur blog.sun.com). [via linuxfr.org]

Notes

[1] sachant qu'il a déjà été repoussé une ou deux fois déjà, et qu'une partie des fonctionnalités qui devaient y être incluses on été retirées, que va-t-il lui rester ?

[2] là, j'aurais aimé faire pointer sur un article très intéressant qui expliquait pourquoi, mais je ne l'ai pas retrouvé... vous pouvez toujours lire ceci

[3] probablement pas de gaité de coeur, mais pour donner un nouveau souffle à son business

dimanche, décembre 11 2005

OpenBSD 3.8

En mars dernier, je me suis, pour la première fois, intéressé de près à OpenBSD, système d'exploitation qui vient de fêter ses 10 ans, et dont le parti pris de la sécurité ne pouvait que m'intéresser. Donc, après énormément de lecture de docs, et une installation repoussée plusieurs fois, je me suis lancé et j'ai installé OpenBSD 3.6. Je l'ai d'abord simplement utilisé en tant que routeur pour ensuite petit à petit y ajouter des services comme NTP ou DNS.
J'ai surtout tout de suite apprécié la syntaxe de PF : Packet Filter, le pare-feu de OpenBSD, qui me changeait de celle du pare-feu de Linux que j'ai toujours trouvé énormément complexe.

Il y a 4 semaines, peu après la sortie de la version 3.8 de OpenBSD, j'ai donc réinstallé mon routeur, et ai commencé à écrire une procédure sur cette installation. J'ai mis un peu de temps pour la mettre au propre, mais voilà c'est fait maintenant. N'hésitez pas à laisser des commentaires.

Depuis, OpenBSD est presque devenu mon quotidien[1] : j'ai acheté une carte PCI Wifi Linksys en fonction du support par OpenBSD, je l'utilise pour router plusieurs réseaux (lan, dmz, et wlan) en interne chez moi, il me sert de serveur ntp, dns et dhcp, et suis de près son évolution. J'espère ainsi ajouter petit à petit de nouveaux articles concernant l'utilisation et la configuration de OpenBSD.

Notes

[1] j'exagère à peine ;-)

vendredi, novembre 18 2005

re-essai d'Ubuntu, retour à Debian

Bon, encore une fois j'ai essayé d'installer Ubuntu sur un vieux portable Sony. La dernière fois, avec la même version, la 5.10, j'avais eu plein de problèmes au moment du download des paquets sur les archives, les paquets semblaient corrompus, et j'avais beau essayer d'autres miroirs FTP, rien n'y faisait.
Cette fois-ci, motivé pour tester ma nouvelle carte Wifi PCMCIA, j'ai réessayé : tout c'est passé nickel ou presque : le paquet gnome-terminal-data semble avoir un problème avec son script pre ou post-inst et du coup pas moyen de terminer correctement l'installation.
C'est pourquoi je suis revenu à ma bonne vieille debian et là, comme prévu, tout a marché, et l'installation s'est terminée correctement.

Bon, maintenant je bataille avec ma carte Wifi (une Hercules HWGPCMCIA-54) : j'ai bien les drivers, j'ai réussi à les installer, ma machine détecte bien ma carte, et j'ai même réussi à établir une connexion avec mon routeur OpenBSD... il me reste plus maintenant qu'à réussir à automatiser le processus pour que quand je branche cette f$%*^ carte, la connexion se fasse automatiquement...

la suite prochainement