philpep's blog

Backup zfs - Sidh

Thu, 01 Sep 2011 18:01:05 GMT

Merci pour ce post,

J'aurai toutefois une question : Supposons que nous sommes le vendredi, et que tu as une retention de snapshot d'une semaine (voire plus).

Depuis le lundi tu "send|recv" tous les jours, et le vendredi tu te rends compte que le mercredi tu as modifié un fichier toto que t'aurais pas du.

Autrement dit, tu dois pouvoir restaurer la version du mardi du fichier toto, et avoir tous les autres fichiers et répertoires à la version du dernier snapshot du jeudi ?

Comment tu fais ?

Faire sauter les pubs de Canal Plus - Florian Bidabé

Thu, 01 Sep 2011 18:01:05 GMT

Apres avoir capturé le lancement d'une video avec Wireshark, et filtré les requêtes HTTP, j'ai compris comment Canal+ contourne les BlockAds habituels :

http://www3.smartadserver.com/a/diff/93/1270753/show1.asp?1270753;43263;8578922964751527325;1316628844607;S;systemtarget=%24a%3D0t%3B%24cn%3DIE_10%3B%24isp%3D0%3B%24qc%3D1309237955%3B%24ql%3Dmedium%3B%24qpc%3D0%3B%24qpp%3D0%3B%24qt%3D196_858_24458t%3B%24b%3D12999%3B%24o%3D12100%3B%24sh%3D1080%3B%24sw%3D1920;target=buzzb (This url will probably be obsolete in few days)

Un sous domaine "virtuel" hébergé par canal + sert de pont vers smartserver.

En simple, pour bloquer les pubs de Canal+ fraichement re-devellopé, ajouter au fichier hosts la ligne suivantes : 127.0.0.1 vod-flash.canalplus.fr

nota : bien entendu, ne bloquez pas canalplus.fr ou player.canalplus.fr

nota2 : Si vous ne voulez pas attendre le time out de vod-flash.canalplus.fr, ajoutez la ligne suivante : 127.0.0.1 www3.smartadserver.com

Cheers, Florian

Mon réseau - Obidoub

Fri, 17 Dec 2010 23:53:02 GMT

Merci pour les explications, en effet ZFS est top malheureusement il demande du matériel relativement puissant, un CPU 64 bits et plusieurs Go de ram. Enfin c'est ce que j'ai cru comprendre, j'ai tenté de faire marcher FreeBSD+ZFS sur un serveur à base de processeur Atom + 512 de ram, eh bien les transferts en FTP étaient vraiment trop lents et parsemés de micro-coupures. Cela m'a vraiment déçu car j'avais été séduit par les fonctionnalités (notamment le mirroring).

Loin de moi l'idée de vouloir spammer, mais je mets l'url de mon blog je commence à y parler des *BSD, cela t'intéressera peut-être (et moi aussi si tu peux apporter des corrections): http://maniatux.fr

PS: Ton moteur de blog a l'air super, tu as même un moteur de recherche (ce qui manque cruellement à Pluxml).

Mon réseau - Obidoub

Fri, 17 Dec 2010 23:53:02 GMT

Salut,

Linuxéen de longue date (autant en serveur qu'en desktop) j'ai décidé de me lancer dans *BSD et j'ai trouvé beaucoup de doc intéressante sur ton blog.

Tu es maintenant 100% FreeBSD d'après ce que je vois. Quel avantage y a-t-il à utiliser FreeBSD plutôt que Linux? Est-ce une question de performances? D'administration?

Je dispose moi aussi d'une Alix (modèle avec 1 carte réseau et sortie VGA donc un peu différente) donc NanoBSD m'intéresse beaucoup. J'ai déjà installé une FreeBSD sur une machine que j'avais en stock, afin de faire des essais. La NetBSD j'ai fait un petit tour dessus en machine virtuelle, et OpenBSD je n'y ai pas encore touché. J'ai une question concernant FreeBSD: est-il dangereux d'utiliser à la fois les ports et les packages précompilés? D'ordinaire j'utilise les packages car plus rapides et moins prise de tête, mais je trouve les ports intéressants aussi.

Mon réseau - philpep

Fri, 17 Dec 2010 23:53:02 GMT

Salut,

J'ai commencé à utiliser FreeBSD parce que je connaissais des gens qui l'utilisaient et qui pouvaient m'aider.

Depuis j'y suis resté, outre le fait que les *BSD fournissent un système très cohérent (documentation toujours à jours, totalité du code de base dans /usr/src), FreeBSD est le seul qui permette l'utilisation des trois logiciels clés dans mon infra : pf (firewall), zfs (système de fichier) et les jails.

Le gros point noir (et tu l'as souligné), c'est l'utilisation de packages précompilé qui est difficile. C'est que sur *BSD historiquement on compile ses ports, et c'est assez difficile de s'en passer parce que c'est pas fait pour à la base. Mais il y a des bonne chances que dans un futur pas trop lointain ça puisse devenir plus facile.

Pour ce qui est de mon cas, j'ai une jail de build qui compile des packages et je met à jours les machines (+jails) avec portmaster -PP sur mon dépôt local.

Comment passer outre le blacklist de son serveur SMTP - Bernard

Tue, 23 Nov 2010 12:00:12 GMT

Salut, Je suis «tombé» sur votre blog en recherchant un moyen de résoudre le problème des mails non transmis aux «Grands» serveurs comme Yahoo, MSN, ... par un formulaire que j'ai ajouté dans un site hébergé par serveur qui m'offre une formule «gratuite» qui me convient pour le moment. Or, remplissant le formulaire php, pour des tests avec des emails Yahoo, MSN rien n'arrive sur ces «Grands» .. bien que ça fonctinne très bien avec un compte gmail par exemple (ce qui m'a permis de m'assurer de la validité de mon script avec captcha). Bref, je ne sais pas si je tape à la bonne porte. Mais si vous auriez quelques «tuyaux» pour contourner ça, soyez-en remercié.

Dans l'attente ... ;) St Bernard

Installer et booter une FreeBSD zfs on root depuis Debian/Grub2 - philpep

Tue, 23 Nov 2010 12:00:12 GMT

Je précise que je ne suis pas expert en zfs ni en bench. Mais voilà quelque éléments de réponse: La machine est un laptop.

% sysctl hw.model 
hw.model: Genuine Intel(R) CPU           T1350  @ 1.86GHz

Et 1G de RAM. Le disque dur ça doit être quelque chose de classique (d'il y a au moins 4ans)

1) Sur un dataset avec les options de base (ie pas de compression, et copies=1)

% dd if=/dev/zero of=foo.img bs=1m count=1000
1000+0 records in
1000+0 records out
1048576000 bytes transferred in 33.823391 secs (31001504 bytes/sec)

Soit deux fois plus lent que ce que j'obtient sur mon serveur (amd64, mirror zfs avec deux disques entièrement zfs).

2) J'ai jamais eu de problèmes, j'ai juste mis vm.kmem_size et vm.kmem_size_max à 512m par peur du warning au boot. Mais ça tourne pas depuis assez longtemps pour que je puisse conclure.

3) Pas encore de mises à jours. Mais j'ai eu des problèmes de partitions non trouvée (au boot de FreeBSD) et aussi des "alloc magic is broken blablabla". Mais faut dire que sous Debian j'importais la pool zfs en forcant (-f). J'ai peut être cassé le mountpoint ou zfs-fuse est pas totalement au point. C'est vrai que par sécurité je touche plus à la pool depuis debian :>

Installer et booter une FreeBSD zfs on root depuis Debian/Grub2 - sidh

Tue, 23 Nov 2010 12:00:12 GMT

Bonjour,

Je trouve ce billet intéressant toutefois j'aimerai avoir si possible un retour d'expérience sur les points suivants :

1/ ZFS n'aime pas n'avoir qu'"un bout de disque dur" il préfère les disques entiers, aussi niveau performances I/O (bonnie++, ou autre) est ce acceptable ?

2/ ZFS n'est pas optimisé pour x86 aussi niveau stabilité qu'en est il ? (j'ai bien conscience que c'est une utilisation laptop et non serveur, mais si déjà tu as rencontré des plantages, c'est pour moi significatif)

3/ As tu màj FreeBSD et /ou grub depuis ton install ? As tu rencontré des problèmes de partition non trouvée (dans un passé pas si lointain, il fallait repasser à la mimine dans le menu.lst pour que l'OS boote à nouveau ...

Merci pour toute précision que tu pourras apporter, et merci pour ton billet.

sidh

Installer et booter une FreeBSD zfs on root depuis Debian/Grub2 - sidh

Tue, 23 Nov 2010 12:00:12 GMT

merci pour ces éléments de réponses. Toutefois dd n'est vraiment pas révélateur pour tes tests d'I/O, en effet il te suffit d'augmenter le block size et tu verras tes résultats décoller, de plus ce n'est pas du random.

pour avoir quelque chose de plus concret, soit tu copies un gros fichier en chronometrant avec time -h ou en utilisant iostat en parallèle, soit tu utilises un outils de bench comme bonnie++.

Bien sur il doit y avoir pléthore d'autres méthodes plus rigoureuses, je ne suis pas expert en la matière.

Pour ta remarque en 3), de manière générale je constate souvent que j'ai besoin de faire un fsck du device quand je le monte tantôt sur un freebsd tantôt sur un linux (ou vice versa), et pourtant je n'utilise pas -f au démontage. Faudrait que je creuse ce point un jour.

fail2ban sshd et pf - philpep

Thu, 07 Oct 2010 00:03:25 GMT

Bonjour,

En fait les règles dans billet cité fonctionnent assez mal dans ce cas de bruteforcing distribué. Puis avec max-src-conn-rate 2/10 j'ai eu pas mal de problèmes avec des faux positifs notamment avec scp, il faut bien mesurer ce que ça implique, imaginons deux clients derrière la même passerelle (nat)... Personnellement je n'utilise plus de max-src-conn-rate pour ssh.

fail2ban sshd et pf - Michael

Thu, 07 Oct 2010 00:03:25 GMT

Bonjour!

Merci pour cet article, que je suis en train de mettre en application.

J'ai néanmoins une question (sûrement stupide):

Est-ce que les ajouts à pf.conf:

table <flood> persist
pass in inet proto tcp from ! <flood> to $ext_if port ssh

viennent en complément de ce que vous aviez ajouté dans cet article, ou bien les remplaçent-elles?

table <ssh_abuse> persist
block in quick on $ext_if proto tcp from <ssh_abuse> port ssh
pass in inet proto tcp to any port ssh flags S/SA keep state \
           (max-src-conn-rate 2/10, overload <ssh_abuse> flush global)

Merci !

installation serveur git avec gitosis, lighttpd et cgit - MAIDEN

Wed, 11 Aug 2010 03:48:00 GMT

Tu sais ... Je t'aime et je te deteste. J'étais justement en train de me documenter et d'écrire sur le sujet. Du coup j'ai plus besoin de finir mes recherches.

Quand même, pour une fois que je me décidais à écrire quelque chose, tu me coupes l'herbe sous le pied.

Bref, en tout cas merci pour l'article, c'est du bonheur dans mon lecteur RSS.

Comment passer outre le blacklist de son serveur SMTP - philpep

Tue, 29 Jun 2010 15:56:56 GMT

Ben tu met (j'ai pas tésté):

relayhost = smtp.isp.net

Puis tu gère tes exceptions avec transport_maps.

postconf(5)#relayhost

Comment passer outre le blacklist de son serveur SMTP - TAHIRIMAN

Tue, 29 Jun 2010 08:19:44 GMT

Bonjour,

Merci pour la méthode décrite pour outrepasser les antispams (RBL). J'aimerai savoir si possible de faire l'inverse, c.a.d rediriger tous les emails sortant vers le mail relay du ISP sauf pour certain destination qui doivent etre livrer directement.

Skype : un logiciel qui vous veut du bien - serious

Sun, 02 May 2010 14:13:00 GMT

@niczar:

C'est un peu con de s'exciter sur Skype pour ce faux probleme alors qu'il y a tellement de problemes de respect de la vie privee ailleurs. Je m'excite pas, je me renseigne pour prendre une décision, c'est différent. Je suis d'accord que si on n'a pas confiance en skype pour respecter les droits des utilisateurs, c'est idiot au départ de l'utiliser pour ses conversations privées et professionelles, longtemps avant de s'inquiéter des fichiers auxquels il accède.

Tu n'as qu'a regarder le contenu de prefs.js, c'est pas complique, y'a rien de tres sorcier dedans. Au passage, dans prefs.js il y a des infos sur les patterns adblock par exemple, ça peut avoir un intérêt pour des publicitaire de savoir combien d'utilisateurs de skype utilisent bloquent les pubs et avec quels patterns. Autre chose, pourquoi le scanner à chaque fois une fois les infos sur les proxy (j'en ai pas) déjà glanées?

Perso, je vais créer un utilisateur qui ne servira qu'à lancer skype.

ce qui n'est toujours pas, je crois, le cas d'Ekiga. Pas vraiment de leur faute puisque les standards ouverts de vouape ne le supportent pas ou pas depuis longtemps. Ce qui est de leur ressort, c'est que ça fait des années que j'essaie d'utiliser ekiga, et que ça reste une galère astronomique. A mon dernier essai,il n'arrive pas à s'identifier et me balance des messages qui ne renseignent absolument pas. Impossible de trouver la nature du problème. J'ai regardé sur les forums des autres distros, j'ai vu pas mal de problèmes, ça reste une loterie.

Ce n'est pas de gaité de coeur qu'on utilise skype.

Skype : un logiciel qui vous veut du bien - niczar

Sun, 02 May 2010 01:32:33 GMT

@philpep: l'autoconfiguration des proxies et du nat, c'est le point fort de skype. Ca n'a donc rien de de surprenant. Tu n'as qu'a regarder le contenu de prefs.js, c'est pas complique, y'a rien de tres sorcier dedans.

C'est un peu con de s'exciter sur Skype pour ce faux probleme alors qu'il y a tellement de problemes de respect de la vie privee ailleurs. Je note par exemple que Skype crypte implicitement toutes ses connexions, ce qui n'est toujours pas, je crois, le cas d'Ekiga. Pas vraiment de leur faute puisque les standards ouverts de vouape ne le supportent pas ou pas depuis longtemps.

Skype : un logiciel qui vous veut du bien - philpep

Sat, 01 May 2010 20:08:33 GMT

@serious: Ben là oui effectivement il lit ton pref.js, mais quand on leur à reproché ils disent que c'est pour l'autoconfiguration d'un éventuel proxy qui serait configuré dans firefox. Mais bon, c'est déjà pas très net comme pratique.

Skype : un logiciel qui vous veut du bien - serious

Sat, 01 May 2010 20:02:03 GMT

J'ai la dernière version dispo sur http://www.skype.com/intl/fr/download/skype/linux/choose/ C'est la 2.1.0

J'ai ça dans mon log open("/home/XXX/.mozilla/firefox/XXX.default/prefs.js", O_RDONLY) = 28

[pid 11111] read(28, "# Mozilla User Preferencesnn/* D"..., 4096) = 4096 pleins de lignes du même genre, donc il lit le prefs.js, non? Il fait ça avec opera.ini aussi.

Il me stat ou open tous les fichiers de .mozilla (donc toutes mes extensions) mais ne les lit pas.

Skype : un logiciel qui vous veut du bien - philpep

Sat, 01 May 2010 13:18:21 GMT

@serious : Encore faut il qu'il y ait des read() qui correspondent au descripteur de fichier (un int) renvoyé par open(). C'est pour ça que c'est tendu à vérifier. (sinon d'après ce que j'ai pu lire, skype ne fait plus tout ça dans les dernières versions, ce billet est vieux).

Skype : un logiciel qui vous veut du bien - serious

Fri, 30 Apr 2010 22:32:35 GMT

Question, si ce sont des open au lieu des stats, ça veut dire qu'il accède au contenu?