Ça faisait longtemps

27/07/2015 by nono

Un an et demi, déjà, que je n'ai rien écrit ici. Le temps passe vite.

Depuis un an et demi, donc :

  • J'ai changé d'employeur. Je joue toujours avec du Linux, du réseau et de la gestion de config, entre autres choses ; je fais toujours des trucs rigolos et d'autres moins rigolos.
  • Je suis toujours musicien. Les Fourmis acidulées ont fait une grosse pause avant de repartir il y a quelques mois. Et j'ai acheté un pipeau irlandais, mais je doute que ça ait des résultats audibles. ;-)
  • Je fais toujours de la photo. Mon projet Back to the 50s est mort-né, par contre j'ai trouvé un peu de temps pour participer aux défis mensuels de PentaxForums en septembre dernier ainsi que ce mois-ci. Je me mets aussi plus ou moins difficilement à la photo argentique, à l'occasion et parallèlement au numérique.
  • En ce moment, je suis dans un de mes trips périodiques «je me remets au jeu de rôles» depuis que je suis tombé sur la 5ème édition de D&D. Je viens d'acheter le Player's, je n'ai pas fini de le lire, on verra bien si ça débouche sur quelque chose.

Voilà, j'espère ne pas attendre un an et demi avant le prochain article ici. :-)

Posted in ma life

Back to the 50s

19/01/2014 by nono

Et encore un nouveau projet. :-)

Depuis 4 ou 5 ans que je me suis mis plus ou moins sérieusement à la photo, j’ai accumulé un petit paquet d’objctifs, notamment une dizaine de 50mm (disons plus largement «autour de 50», entre 50 et 58). J’avais envie d’essayer ces derniers un peu plus sérieusement au lieu de les laisser dormir sur une étagère.

Je me lance donc dans ce projet, Back to the 50s. L’idée est d’utiliser chacun de ces objectifs pendant quelques semaines ; je pense changer plus ou moins régulièrement après 15 ou 20 photos publiées. J’ai commencé avec mon petit dernier, un SMC Takumar 50 f/1.4

Quelques illustrations.

k5-11192.small k5-11204.small k5-11212.small

Posted in photos

Encore un blog

29/12/2013 by nono

Ça faisait un petit moment que je voulais écrire 2-3 bricoles pour les anglophones, et essayer autre chose que WordPress. C'est chose faite ici, et ça tourne avec un générateur de blog statique qui s'appelle Octopress.

Posted in geekeries

Carnets de voyage

21/07/2013 by nono

Comme je suis un garçon généreux, j'ai eu envie de vous faire partager mes vacances. Ça se passe dans mes carnets de voyage.

Posted in ma life

Un peu de Puppet : fqdn_as_hostname

25/05/2013 by nono

Juste une petite classe Puppet toute simple dont j'ai eu besoin ce matin. Le but : s'assurer que le hostname d'une machine est bien son FQDN et pas le nom non-qualifié. En l'état ça marche sur une Debian, pas sur une Red Hat, pas testé ailleurs.

class fqdn_as_hostname {
  file { '/etc/hostname':
    content => "${fqdn}\n",
    owner   => 'root',
    group   => 'root',
    mode    => '0644',
  } ~>
  exec { '/bin/hostname --file /etc/hostname':
    refreshonly => true,
  }
}

Posted in geekeries

Le piège à con du jour : Cisco et négociation gigabit ethernet

22/04/2013 by nono

Soient deux switches Cisco pleins de ports gigabit entre lesquels je veux monter un lien (en fait des liens, et un etherchannel par-dessus, mais ça n'a pas d'importance pour ce qui m'occupe). Facile, je branche, un petit no shutdown des deux côtés et c'est marre ? Ben non. Va savoir pourquoi, j'étais persuadé que la notion même de câble croisé avait disparu en gigabit ; chez Cisco, ça existe encore.

Bref, hors mdix auto, point de salut. Même en gigabit.

Posted in geekeries

S'auto-héberger ou ne pas s'auto-héberger : telles sont les questions

06/04/2013 by nono

Après pas mal de lecture (et un peu d'écriture) ces derniers jours et quelques conversations ces dernières semaines, je vais essayer de mettre par écrit quelques questions à se poser à propos de l'auto-hébergement. Ne serait-ce que pour mettre un peu mes idées à plat. Je ne prétends pas apporter de réponse universelle, simplement poser une problématique.

Un point qui me semble évident mais que je préfère préciser : je me place uniquement dans un contexte personnel, ou éventuellement dans celui d'une (très) petite entreprise ; j'ose espérer que tout professionnel pour qui la présence en ligne est un peu importante s'est déjà penché sur ces questions.

À propos de technique

-- Alors, l'auto-hébergement, c'est facile. Tu te montes un PC sous Linux, ou BSD si tu préfères, puis tu y installes Apache, BIND, Postfix et ejabberd, et tu configures le tout. Ensuite, tu configures ton routeur pour...

-- Gné ? Kékidit ?

Comme le remarque justement Stéphane, il existe actuellement un bon paquet d'outils d'auto-hébergement «pour M et Mme Tout-le-monde» qui ont l'air intéressants mais qui ont pour principal inconvénient de ne pas être finis. De fait, aujourd'hui, ça restreint l'auto-hébergement à ceux et celles qui sont prêt(e)s à y investir un temps non-négligeable.

La plupart des composants nécessaire sont facilement disponibles, et aussi surprenant que ça puisse paraître la plupart sont relativement faciles à configurer. Typiquement, si un serveur web Apache «sorti du carton» peut demander un peu de configuration pour répondre à un besoin précis, il existe des distributions prêtes à l'emploi, tu branches et ça marche.

Ceux qui savent un peu de quoi il s'agit remarqueront immédiatement que j'ai (volontairement) choisi l'exemple simple ; l'installation d'un serveur de courrier électronique ou de discussion instantanée n'est pas si évidente que ça. Certes. Reste que l'installation de l'infrastructure nécessaire à l'hébergement d'un blog est loin d'être insurmontable. Encore une fois, l'obstacle principal est le temps à y consacrer.

Les ennuis commencent ensuite, avec la configuration du réseau. La plupart des gros fournisseurs d'accès à internet se comportent dans les faits comme des fournisseurs de télévision : l'abonné peut facilement consommer, mais doit faire pas mal d'efforts pour offrir autre chose que son temps de cerveau disponible. Ce parti-pris n'est pas dépourvu de justifications techniques, du moins dans le monde IPv4 (grosso-modo l'internet du siècle dernier) ; cependant le manque d'enthousiasme des mêmes pour le déploiement d'IPv6 ne laisse pas franchement ressentir une volonté d'évolution dans ce domaine.

C'est en ce sens que dans mon article précédent je mettais l'accent sur la formation. Ça ne veut pas dire que toute personne voulant héberger sa galerie de photos à la maison devra nécessairement devenir administrateur systèmes et réseaux, mais je reste persuadé qu'il est illusoire d'espérer pouvoir se contenter de poser une boîte derrière son Frinitel pour être visible du monde entier. Ça ne veut pas dire qu'il ne faut pas bosser sur les outils, bien au contraire ; ça veut juste dire qu'ils ne sont pas suffisants.

Les solutions ? Former l'utilisateur à l'utilisation des équipements irremplaçables (honnêtement, en dehors des unixiens à poil dur, qui a déjà joué avec l'interface de config de son Frinitel ?). Ou lui faire réaliser que les équipements en question ne le sont pas tant que ça, irremplaçables. Il existe déjà quelques ressources sur le sujet. C'est bien, mais je ne pense pas que ce soit suffisant en l'état. D'où l'idée des self-hosting parties que j'évoquais, qui permettraient au quidam intéressé d'échanger avec «ceux qui savent».

À propos de pérennité

Le point important à mon avis. Il me semble que d'une personne à l'autre on y voit des implications différentes. Pour ma part, je le dissocie complètement de la disponibilité et je m'intéresse uniquement au long terme.

Le point central : la pérennité d'une présence en ligne est liée à celle du domaine. Si votre site web change d'URL, vous perdez vos visiteurs (à moins que vous maitrisiez suffisamment l'ancienne URL pour y laisser un pointeur vers la nouvelle, que ce soit sous forme de lien ou de redirection automatique). Si votre adresse mail ou XMPP change, vos contacts ne pourront plus vous joindre.

Conclusion : vous voulez votre propre nom de domaine. Ça peut représenter une dépense, le plus souvent très faible (mes domaines me coûtent environ 5 euros par an chacun). Ça peut aussi se trouver gratuitement, le plus souvent sous forme d'un sous-domaine d'un des domaines du fournisseur ; j'hésite cependant à recommander cette option.

Dans la plupart des cas, elle nous ramène au problème de départ : le jour où le fournisseur vous jette (ou met la clé sous la porte, ou décide de faire payer le service), vous vous retrouvez le bec dans l'eau. Ça ne veut pas dire qu'il n'existe pas de fournisseurs gratuits sérieux, bien au contraire, mais il faut néanmoins en avoir conscience.

Pourtant, pour important que soit ce point, il n'est pas intimement lié à l'auto-hébergement. Certains (nombreux ?) bureaux d'enregistrement proposent en plus des prestations d'hébergement ; à défaut, il existe plein d'hébergeurs de «tout un tas de choses» qui seront ravis de vous avoir pour client même si vous n'achetez pas vos domaines chez eux. Il n'y a pas non plus de raison de ne pas héberger certains services vous-mêmes en en laissant d'autres à des professionnels grassement payés compétents ; l'essentiel est que l'utilisation de votre propre domaine rend l'hébergement invisible de l'extérieur et vous permet donc d'en changer.

C'est à mon sens le principal argument contre Google, Facebook et leurs amis : votre présence en ligne dépend uniquement de leur bon vouloir. Si, néanmoins, vous tenez absolument à dépendre d'eux, après tout, vous faites bien comme vous voulez.

À propos de données

Ça paraitra sans doute évident à qui s'est ne serait-ce que vaguement posé la question : si vos données ne sont pas chez vous, vous pouvez les perdre d'un moment à l'autre. Si vous laissez des données chez un tiers, vous devez en avoir une copie locale, ou au moins accessible quand le tiers coupera le service.

Et pas la peine de protester qu'«ils n'ont aucune raison d'arrêter leur service». Il y en a qui n'ont pas vraiment eu le choix à ce sujet.

À propos de disponibilité

Mon PC à la maison, sur le courant de la maison, au bout de l'ADSL de la maison, est moins fiable qu'un serveur hébergé dans une salle climatisée avec le courant qui va bien et des liaisons rapides et redondantes. Aucun doute là-dessus. Ceci dit, même si mes photos ne sont pas visibles pendant quelques heures, le monde ne s'arrêtera pas de tourner, n'en déplaise à mon égo. Bref, à chacun de décider si «la maison» fournit une qualité de service suffisante pour ses propres besoins.

À propos de sécurité

Un argument qui m'a l'air assez récent contre l'auto-hébergement : un serveur à la maison, c'est une machine qui risque de se faire pirater.

Sauf que non. Une machine connectée à internet risque de se faire pirater, auto-hébergement ou pas. Je ne suis pas spécialiste de la question, mais j'ai cru comprendre que la plupart des botnets étaient constitués de machines de bureau classiques, très souvent sous Windows.

Ne me faites pas dire ce que je n'ai pas dit, je ne pense pas qu'un serveur domestique soit intrinsèquement plus sûr qu'une machine de bureau. Par contre, quand Frédéric agite la menace de la police qui débarque à 6h du matin à cause d'une machine piratée, ça n'est rien d'autre que du FUD ; à supposer que le risque soit réel, il est indépendant de l'auto-hébergement. À moins que votre PC de la maison ne soit pas connecté à Internet ?

À propos de culture

Bon, au final, l'auto-hébergement, c'est déjà possible même si on peut améliorer les choses, ça demande juste un peu de connaissances et (au moins au départ) un peu de temps («un peu» étant hautement variable en fonction des ambitions de chacun). Mais alors, pourquoi est-ce vrtuellement inexistant, en dehors d'une petite tribu de barbus à poil dur ?

Une explication (trop) facile : les fournisseurs d'accès n'ont aucun intérêt à ce que ça change. Un client conscient qu'il peut parler au lieu de consommer, c'est aussi un client conscient qu'il n'est pas limité à ce que le fournisseur lui met sous le nez. C'est aussi du temps de cerveau disponible en moins.

C'est, je le concède, une vision un peu cynique, quoique probablement assez proche de la vérité dans le cas de certains vendeurs de soupe télé reconvertis dans le minitel en couleurs qui fait pouet-pouet. Pas tant parce que ce sont de méchants laveurs de cerveau, simplement c'est leur culture, à eux. Ce qui est en tout cas flagrant, par rapport aux premiers FAI que j'ai connus, c'est que les fournisseurs actuels ne font plus vraiment d'efforts d'éducation vis à vis de leurs clients. Et quand je parle de ces premiers FAI, je parle de Club Internet vers 1997 qui parlait Usenet, hébergement de sites perso (pas de connexions permanentes pour le grand public à l'époque) et netiquette, pas d'obscures associations de barbus.

Une autre explication évidente : «c'est un truc de geek», ou sa variante «c'est un métier». C'est probablement assez vrai. Comme je l'évoquais il y a quelques jours, il n'y a pas si longtemps, on avait les mêmes réactions à «un PC sous Linux à la maison». Sur ce point, je suis assez confiant : ça peut facilement évoluer dans les années qui viennent. Probablement pas au point de concerner l'ensemble ou même un quart de la population, mais assez pour être visible.

Je n'ai pas de chiffres à jour sous le coude, mais d'après ce que j'ai trouvé en quelques minutes, il y a 3 ans, la France comptait dans les 20 millions d'abonnements haut débit. Si l'auto-hébergement concernait ne serait-ce que 1% des utilisateurs, ça en représenterait déjà au moins 200 000 (probablement plus à l'heure actuelle). Assez pour se faire remarquer, assez pour que les fournisseurs d'accès fassent des efforts pour faciliter la vie à leurs clients.

À propos de rien en particulier

Ce texte est probablement un peu décousu ; c'est la première fois que j'essaie de coucher tout ça sous une forme un peu synthétique et ça demanderait probablement encore un peu de réflexion et de mise en forme.

Posted in geekeries

Sur l'avenir de l'auto-hébergement

04/04/2013 by nono

J'avais commencé à écrire une réponse au billet de Frédéric sur l'auto-hébergement, et à force d'en ajouter je me retrouve à écrire un article complet.

Si on remplace «auto hébergement» par «une machine sous Linux à la maison» dans ce texte, on revient 10 ans en arrière. De nos jours, même si le logiciel libre n'a pas (encore) conquis le monde, avoir un PC sous Ubuntu n'a rien d'exceptionnel.

Je rejoins Frédéric sur l'importance du rôle des associations, mais plus sous l'angle de l'éducation que sous celui de l'hébergement (en gros, je penche plus pour l'approche FFDN que pour celle de l'APINC, même si on s'éloigne un peu de l'hébergement «pur»). De fait, maintenant qu'on voit apparaître des machines adaptées pour un prix accessible (je pense bien entendu au Raspberry Pi et à ses cousins, même si le Pi lui-même est encore un peu limité), je ne serais pas surpris que les années qui viennent voient fleurir des «self-hosting parties» à l'image des install parties du début des années 2000, où les «gens qui savent» prendront les novices par la main pour leur montrer que non, ça ne fait pas mal.

Car contrairement à Frédéric je suis convaincu que ça ne fait pas mal. J'héberge moi aussi à peu près tout chez moi et j'ai moi aussi connu des galères de «paf le disque» et autres ; ça existe, il suffit d'en être conscient et d'être outillé pour. Et de nos jours, être outillé pour, c'est possible et même facile, j'ai l'impression que l'obstacle est plus culturel que technique. Le seul «vrai» problème technique, c'est le relatif manque de fiabilité par rapport à un hébergement pro ; au fond, est-ce dramatique si mon blog est hors-ligne une heure de temps en temps ?

Au final, je pense qu'on est d'accord : l'auto-hébergement ne pourra pas remplacer les services hébergés par Google et ses amis, de la même façon que GNU/Linux n'a pas détrôné Windows. Ça n'en fait pas une mauvaise alternative pour autant. Je soupçonne même qu'une visibilité accrue pousserait à peu près tous les hébergeurs de services à améliorer leurs offres.

Posted in geekeries

Les pièges à con du jour : Kerberos et SSH

13/03/2013 by nono

Aujourd'hui, deux pièges à con. :-)

Je commence à jouer avec Kerberos. SSH m'a posé quelques problèmes ; voilà un petit bout d'aide-mémoire pour ne pas me faire avoir une deuxième fois.

Contexte

J'ai un royame Kerberos avec deux KDC. J'ai aussi deux stations sous Debian GNU/Linux configurées pour parler aux deux KDC susmentionnés. Le tout fait tourner MIT Kerberos et c'est installé tout comme écrit dans la doc. Je ne reviens pas là-dessus, rien de bien compliqué.

Côté client

Ne pas oublier le bout de config qui va bien ; en gros, ça veut dire ça dans ~/.ssh/config :

Host *
    GSSAPIAuthentication yes
    GSSAPIDelegateCredentials yes
    GSSAPIKeyExchange no
    GSSAPITrustDns yes

On peut faire un peu plus restrictif que Host * et probablement en mettre un peu moins mais moralement c'est ça.

Côté serveur

Là, je me suis gratté la tête un moment. Si jamais Kerberos vous jette quand l'option GSSAPIStrictAcceptorCheck vaut yes et qu'il vous accepte quand l'option est à no, jetez un oeil à votre fichier /etc/hosts, cherchez-y une ligne de ce genre et enlevez-la si vous la trouvez :

127.0.0.1 mamachine.mon.domaine mamachine

La seule ligne correspondant à 127.0.0.1 dans /etc/hosts doit être celle qui définit localhost ; si vous avez autre chose, vous allez avoir des emmerdes (mon collègue de bureau appelle ça le syndrome Alain Delon).

Posted in geekeries

Surveiller les mises à jour de WordPress

02/01/2013 by nono

J'administre des serveurs qui hébergent un certain nombre de sites web sous WordPress. Comme tout WordPress qui se respecte, ceux-ci ne sont généralement pas à jour, sinon on risquerait d'avoir un minimum de sécurité, ce qui, convenez-en, ne serait pas très drôle.

J'ai donc bricolé une sonde Nagios rudimentaire pour me tenir au courant. Elle est en deux parties : un bout de script sur le serveur web, et la sonde elle-même sur le serveur de supervision.

Côté WordPress, donc, un petit script PHP qui se contente de retourner la version de WordPress installée avec un minimum de contrôle d'accès :

<?php
// Generated by /usr/local/sbin/new-wordpress
// FIXME: Should probably not be hardcoded.
if (preg_match('/^(129\.102\.6\.|2001:660:3004:6:)/', $_SERVER['REMOTE_ADDR'])) {
        require_once('./wp-includes/version.php');
        print($wp_version);
        exit;
} else {
        print('Circulez, rien a voir.');
        exit;
}
?>

Bien entendu, vous remplacerez là-dedans mes adresses IP par les vôtres, sinon ça ne vous servira pas à grand chose.

L'intelligence (très modérée) se trouve côté Nagios :

#!/bin/bash
#
# Arnaud Gomes 2011

curl="/usr/bin/curl"
# Wordpress API URL for determining latest version.
apiurl="http://api.wordpress.org/core/version-check/1.1/"

ok () {
        echo "WORDPRESS OK - $*"
        exit 0
}

warning () {
        echo "WORDPRESS WARNING - $*"
        exit 1
}

critical () {
        echo "WORDPRESS CRITICAL - $*"
        exit 2
}

unknown () {
        echo "WORDPRESS UNKNOWN - $*"
        exit 3
}

[ -x "$curl" ] || unknown "No CURL at $curl."
[ $# -eq 1 ] || unknown "Usage: $0 URL"
url="$1"

latest=$($curl -s "$apiurl" | tail -n1)
echo "$latest" | egrep -q '^[0-9.]+$' || unknown "Could not determine latest version."
installed=$($curl -s "$url/ircam-wp-version.php")
echo "$installed" | egrep -q '^[0-9.]+$' || critical "Could not determine installed version."
[ "$installed" = "$latest" ] && ok "Version $installed installed."
warning "Version $installed installed, should be $latest."

Et voilà, maintenant mes WordPress ne sont pas plus à jour mais je sais quand je dois râler. :-)

 

Posted in geekeries