unix4fun

J'ai recu un mac mini et j'ai installe un NetBSD dessus, comme c'est un tout petit peu different, voici quelques liens qui peuvent etre utiles a d'autres :

• http://mail-index.netbsd.org/port-macppc/2009/03/02/msg000617.html
• http://www.netbsd.org/ports/macppc/partitioning.html
• http://www.tumfatig.net/docs/01_os/bsd/NetBSD - Installing on PPC Mac Mini.html

Alors comme c'est relou de compiler sur un truc pareil et que netbsd te permet de cross compiler sans effort, voila deux ligne de plus:

# ./build.sh -m macppc -T tooldir.NetBSD-5.0_STABLE-macppc tools
# ./build.sh -m macppc -T tooldir.NetBSD-5.0_STABLE-macppc kernel=GENERIC

et pratiques, au moins ca traine pas sur mon laptop de compet multicore avec une hotte et des plaques a inductions integree..

et voila la bete:

capsule# uname -a
NetBSD capsule.unix4fun.net 5.0 NetBSD 5.0 (GENERIC) #0: Sun Apr 26 22:53:55 UTC 2009  builds@b4.netbsd.org:/home/builds/ab/netbsd-5-0-RELEASE/
macppc/200904260229Z-obj/home/builds/ab/netbsd-5-0-RELEASE/src/sys/arch/macppc/compile/GENERIC macppc
capsule#

me reste juste a cross compiler qqes package!

Alors voila, j'etais en b104, j'ai decide de tenter la premiere methode d'upgrade pour SXCE aka "liveupgrade"

J'ai suivi betement des instructions que de gentilles personnes ont ecrites (comme un bon mouton!), genre:

• http://wiki.blastwave.org/forum/viewtopic.php?f=21&t=12
• http://notallmicrosoft.blogspot.com/2008/08/live-upgrade-with-zfs-root-using-sxce.html

Ca a marche du premier coup...*blaze*...

mais bon petit suspense au reboot, plus d'opengl, plus de "desktop effects", donc plus de compiz-pour-brancher-les-filles-quand-elles-viennent-chez-toi... du coup, j'ai vu ca et la COUP DE THEATRE:

# svccfg -s application/opengl/ogl-select setprop options/vendor=nvidia
# svcadm restart application/opengl/ogl-select
# reboot

et au reboot, opengl etait revenu!!! la raison est expliquee ici

voila now:

[3] eau@deep:~ 
$ uname -a
SunOS deep 5.11 snv_112 i86pc i386 i86pc

Et le tour est joue (merci google!), alors comme je sais qu'il y a bcp de moutons comme moi, si ca peut aider!

Bon, pour le boulot, je dois coder pas mal de trucs relatifs aux réseaux. Et c'est suite à mes pérégrinations sur le web que je suis tombé sur ce lien. Un vieuuuux lien, de plus de 10 ans d'âge, mais mis à jour, et très intéressant. Il parle notamment des mesures de la qualité d'un réseau, des méthodes à employer, et renvoie vers plein d'autres documentations. Je me régale, personnellement.

Je mets le tag "code", parce que ça file plein d'idées de trucs à coder :-)

Youpla, c'est par ici

J'ai un blem j'utilise assez souvent openvpn et en fonction de l'endroit ou je vais j'ai besoin de tel ou tel access VPN sur telles ou telles resources plus ou moins en meme temps etc.. bref j'ai besoin de plusieurs "profils" utilisateur.

Depuis des mois, je me tape l'edition du /etc/rc.conf et apres je tape la passphrase 2 ou 3 fois vu que j ai 2 ou 3 necessaires... enfin bref, j'en ai eu marre alors j 'ai fait un "hack" tout bete et tout simple en qqes etapes.

le plan:

• un fichier encrypted avec ma clef pub qui contient la passphrase.
• un script qui mets a la disposition d'openvpn cette passphrase
• qqes hack dans les scripts de demarrage et les fichiers de conf.

1 . le fichier: key.asc
il contient la clef utilise pour unlocker le cert utilise pour l'auth, il doit donc rester prive!

2. le script de demarrage /usr/pkg/etc/rc.d/openvpn:

la ligne suivante a ete modifie:

openvpn_start()
{
    : ${openvpn_cfg="*.conf"}
[...]
  for f in $openvpn_cfg; do
      doit="$command --askpass `/bin/cat /home/user/.openvpn` 
$command_args --config $f"
      if ! eval $doit; then
[...]
}

3. le fichier /etc/rc.conf, legerement modifie:

[...]
openvpn=YES
. /etc/openvpn_current
[...]

4. le script moisi, ovpn.sh

ce script va choisir/preparer mon "profil" et demarrer les instances openvpn en utilisant la cle temporairement accessible.

#!/bin/sh
#
#
# I sick of typing my password for all VPN instances 
# all the time... $#@!$#@!$#@! :(
#
# there is probably some potential races
#

export TMPDIR=/home/user

MKTEMPCMD=/usr/bin/mktemp
GPGCMD=/usr/pkg/bin/gpg
VPNCMD=/usr/pkg/etc/rc.d/openvpn
RMCMD=/bin/rm
TOUCHCMD=/usr/bin/touch
CHMODCMD=/bin/chmod
CHOWNCMD=/usr/sbin/chown


TMPPREFIX=".openvpn"
VPNCIPHR=/home/user/.local/key.asc
VPNPLAIN=/home/user/.openvpn

VPNCMD_STOP=stop
VPNCMD_RESTART=restart

# OPENVPN PRECONFIG
CURR_CFG=/etc/openvpn_current
HOME_CFG="openvpn_cfg=\"client_vpn1.conf client_vpn2.conf client_vpn3.conf client_vpn4.conf\""
LABS_CFG="openvpn_cfg=\"client_vpn1.conf client_vpn2.conf client_vpn3.conf client_vpn4.conf\""
OUTR_CFG="openvpn_cfg=\"client_vpn1.conf client_vpn2.conf client_vpn3.conf client_vpn4.conf client_vpn5.conf\""


TMPFILE=`${MKTEMPCMD} -t ${TMPPREFIX}`
#echo "[+] using ${TMPFILE}"

ovpn_start()
{
        ${TOUCHCMD} ${VPNPLAIN}
        ${CHOWNCMD} root:wheel ${VPNPLAIN}
        ${CHMODCMD} 600 ${VPNPLAIN}
        echo "$TMPFILE" > ${VPNPLAIN}
        ${GPGCMD} -d ${VPNCIPHR} > ${TMPFILE}
        ${VPNCMD} start
        ${RMCMD} -fP ${VPNPLAIN}
        ${RMCMD} -fP ${TMPFILE}
}

ovpn_stop()
{
        ${VPNCMD} stop
}

CMD=$1
CNF=$2

case ${CMD} in
        start)
                case ${CNF} in
                        home)
                                echo ${HOME_CFG} > ${CURR_CFG}
                        ;;
                        lab)
                                echo ${LABS_CFG} > ${CURR_CFG}
                        ;;
                        out)
                                echo ${OUTR_CFG} > ${CURR_CFG}
                        ;;
                esac
                ovpn_start
        ;;
        stop)
                ovpn_stop
        ;;
        restart)
                $0 stop
                $0 start ${CNF}
        ;;
        *)
                echo "$0 <start|stop|restart> [<home|lab|out>]"
                echo "home: home configuration"
                echo "lab : lab configuration"
                echo "out : untrusted out configuration"
        ;;

esac

5. L'explication,
le fichier rc.conf inclus un fichier qui est genere dynamiquement (/etc/openvpn_current) a chaque demande d'un nouveau "profil" celui ci donne a openvpn les fichier de conf a utiliser pour demarrer les differents VPN.

Le script de demarrage du package openvpn lance openvpn avec un nouveau parametre supplementaire " --askpass file " qui donnera la passphrase pour unlocker le certificat d'authentification.

Le script utilisateur ovpn.sh lui s'occupe simplement de cree le /etc/openvpn_current, il gpg -d le fichier de clef key.asc le rajoute dans un fichier temporaire, demarre openvpn et efface ce fichier immediatement apres.

La derniere mouture qui tourne chez moi est tres legerement different en cela que je ne stocke pas la passphrase de mon cert dans un fichier encrypted en gpg, je "read" directement du tty et je feed immediatement le fichier temporaire.

Voila c'etait tout con mais maintenant pour demarrer mes 4-5 vpns en tapant juste ma passphrase gpg, je fais en sudo :

# ovpn.sh start home
You need a passphrase to unlock the secret key for
user: "..."
1024-bit ELG-E key, ID XXXXXXXX, created 2004-05-27 
(main key ID XXXXXXXX)

Enter passphrase:

Et voila! En esperant que ca en inspire d'autres, commentaires are welcome! :)

Bon, ce lien a déjà probablement fait plein de fois le tour du Web Intéractif Multimédia Convivial 2.LOL, mais je le poste quand même :

 * UnixToolbox

Au menu : ben c'est simple, c'est un peu le couteau suisse de l'espace, il y a en gros TOUT ce qu'on a l'habitude d'oublier, pour diagnostiquer les problèmes qui apparaissent sur nos systèmes (Linux, *BSD, Solaris, ...), avoir des informations, etc.

A noter la racine de ce site, offrant un mini shell intéractif, avec des commandes à la con, genre "matrix", etc. Rigololesque.

Bref, à bookmarker/del.icio.us-iser, bleh.

Je ne le connaissais pas, eCryptfs utilise FIST et se veut "solide" (je ne sais pas vraiment ce qu'il en est), il rajoute des meta-data au files du FS pour que chaque fichier soit stockes avec ses params d'encryption etc.. enfin voyez par vous meme, je n'ai pas teste..

http://ecryptfs.sourceforge.net/

On est venu me parler dans l'oreille et me dire que openvpn parlait ocsp grâce à ça :

http://www.block64.net

Malheureusement je n'ai pas le temps de tester, donc si quelqu'un veut bien se donner la peine.

Ouhhhhh que c'est beau, le père noël existe alors vraiment !

http://www.netbsd.org/changes/#netbsd-4rc1 ftp://ftp.netbsd.org/pub/NetBSD-daily/netbsd-4-0-RC1/

NetBSD-4.0-RC1 !!!!!

Tout est dit !

Bon mes disques ont partiellement crashé. Du coup j'ai dû backuper ce que je pouvais, je me suis mis à tout refaire après avoir changé le disque qui se chiait dessus et pour le plaisir je me suis dit que j'allais être un peu parano.

Hein, vu que je cache les sources de ls(1) et objdump(1) fallait bien encrypter tout ça au cas ou l'OpenSouce (c)(tm)(r) devienne une propagande illégale en Europe, un danger pour l'informatique propriétaire et ses nobles destriers (et leurs piscines en argent massif, bon ok c'est de la provoc' a 2frc, mais c'est relou j'ai pas encore de piscine :/)

Alors j'ai lu ça :

http://gentoo-wiki.com/SECURITY_System_Encryption_DM-Crypt_with_LUKS

Et now je boot sur une jolie clef USB avec une random key encrypted. C'est bien convi, je prépare la même chose sur mon laptop Linux, à voir si c'est possible avec une clef USB et un NetBSD, ce qui serait bien classieux, huhuhu :)

Bref je foutrai des updates si j'ai le temps de faire/tester une version NetBSD, sinon c'est que j'ai été trop fainéant alors voilà...

Wai j'ai viré mon thunderbird et je suis revenu à mes premiers amours, PINE, j'ai aussi decouvert qu'il n'était plus maintenu et qu'il avait un successeur maintenu au même endroit, alors pour ceux qui aiment PINE, c'est là :

http://www.washington.edu/alpine/

(J'aimerais bien essayer mutt, tout le monde me dit qu'il est bien aussi, mais j'ai toujours pas de solutions sympas pour gérer 3 ou 4 comptes et folders IMAPs en plus du NNTP, donc... si quelqu'un voulait bien me montrer comment ou où :))