Routage avec plusieurs uplinks
L'objectif de cet article est d'illustrer de façon simple une méthode permettant à une passerelle Linux de gérer deux uplinks.
En prérequis, il est nécessaire d'avoir le package "iproute" installé.
La première étape consiste à créer les tables "iproute" correspondant aux deux uplinks mentionnés ci-dessus, via "/etc/iproute2/rt_tables" :
200 uplink_fai1
201 uplink_fai2
La seconde est de réaliser le paramétrage réseau. Voici un exemple de fichier "/etc/network/interfaces" (Debian) avec deux FAI :
# FAI1
auto eth0
iface eth0 inet static
address 10.10.1.253
netmask 255.255.255.0post-up ip route add 10.10.1.254/32 dev eth0 src 10.10.1.253 table uplink_fai1
post-up ip route add default via 10.10.1.254 table uplink_fai1
post-up ip rule add from 10.10.1.253 table uplink_fai1post-up ip route del 10.10.1.254/32 dev eth0 src 10.10.1.253 table uplink_fai1
post-up ip route del default via 10.10.1.254 table uplink_fai1
post-down ip rule del from 10.10.1.253 table uplink_fai1# FAI2
auto eth1
iface eth1 inet static
address 10.10.2.253
netmask 255.255.255.0post-up ip route add 10.10.2.254/32 dev eth0 src 10.10.2.253 table uplink_fai2
post-up ip route add default via 10.10.2.254 table uplink_fai2
post-up ip rule add from 10.10.2.253 table uplink_fai2post-up ip route del 10.10.2.254/32 dev eth0 src 10.10.2.253 table uplink_fai2
post-up ip route del default via 10.10.2.254 table uplink_fai2
post-down ip rule del from 10.10.2.253 table uplink_fai2
Il est ainsi possible dans une telle configuration de définir des routes additionnelles spécifiques à chaque lien.
Dennis Ritchie nous a quitté
J'ai découvert par hasard jeudi au détour d'un flux RSS que Dennis MacAlistair Ritchie nous avait quitté le 8 octobre à l'age de 70 ans. Le but de cet article n'est pas d'énumérer ses différents travaux, mais simplement de rendre un modeste hommage à un personnage dont le rôle a été décisif et dont la disparition est passée inaperçue. RIP.
Diminution d’un volume LVM / XFS
Voici une liste rapide des commandes permettant de diminuer un volume LVM en XFS. L'exemple concerne une réduction de 5Go du point de montage /home.
xfsdump -f home.dump /home
umount /home
lvmreduce -L-5G /dev/mapper/VOL0-home
mkfs.xfs /dev/mapper/VOL0-home
mount /home
xfsrestore -f home.dump /home
Dkim et Postfix
Voici un tutoriel rapide permettant d'activer les signatures DKIM, technologie permettant d'authentifier la provenance et l'intégrité d'un message électronique, sur un environnement Debian / Postfix.
Installer dkim-filter :
aptitude install dkim-filter
Générer la clef et l'exporter :
openssl genrsa -out /etc/ssl/private/dkim_MONDOMAINE_MONTLD.key
openssl rsa -in /etc/ssl/private/dkim_MONDOMAINE_MONTLD.key \
-pubout -outform PEMwriting RSA key
-----BEGIN PUBLIC KEY-----
MACLEF
-----END PUBLIC KEY-----
Configurer dkim-filter via /etc/dkim-filter.conf :
Domain MONDOMAINE_MONTLD
KeyFile /etc/ssl/private/dkim_MONDOMAINE_MONTLD.key
Selector mail
Puis via /etc/default/dkim-filter :
#SOCKET="inet:12345@192.0.2.1" # listen on 192.0.2.1 on port 12345
+ SOCKET=inet:8891@localhost
Redémarrer le service :
/etc/init.d/dkim-filter restart
Ajouter dans le DNS :
mail._domainkey TXT "k=rsa; t=y; p=MACLEF"
Ajouter à Postfix via /etc/postfix/main.conf :
milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891
Enfin, redémarrer Postfix :
/etc/init.d/postfix restart
Le mode de fonctionnement étant par défaut sv, les mails sortants seront ainsi signés, et les mails entrants seront validés.
Quelques mécanismes de sécurité pour un laptop
Mike Cardwell a rédigé un très bon article sur les mécanismes de sécurité pour un laptop, intitulé Protecting a Laptop from Simple and Sophisticated Attacks . Différentes techniques sont abordées, comme le chiffrement de la swap, ou encore l'utilisation de TRESOR.
Attaque de la racine DNS
La racine DNS a connu une nouvelle attaque le mardi 28 juin 2011. Cette dernière n'a cependant pas générer de perturbation sur le fonctionnement des résolutions, et seuls quelques outils de monitoring semblent l'avoir détecté. Vous pouvez trouver des éléments techniques et surtout des graphs attestant de cette dernière sur l'article Attaque contre les serveurs DNS de la racine - juin 2011 du blog de Stéphane Bortzmeyer.
Attaque contre les serveurs DNS de la racine - juin 2011
World IPv6 Day
Le jour du World IPv6 Day est arrivé, l'un des premiers tests à grande échelle sur le déploiement d'IPv6, organisé par l'ISOC.
Même s'il y aura de grands absents, de nombreux acteurs se sont préparés pour ce rendez-vous, qui sera forcément une réussite, puisqu'il aura accéléré la mise en place technique du protocole sur des plate-formes qui n'avaient encore jamais fait le pas.
Zaurus SL-C3000
Après quelques années de bons et loyaux services, je me suis finalement résigné à vendre mon Sharp Zaurus SL-C3000 afin qu'il soit plus utile à quelqu'un d'autre. Pour ceux qui ne connaissent pas ce PDA, il s'agit de la première plate-forme de ce type commercialisée sous Linux. Sa production a pris fin en 2007.
Elle est dotée d'un processeur ARM X-SCALE d'Intel 416 MHz, d'un microdrive de 4 Go intégré, et de l'environnement Qtopia. Côté réseau, l'accès peut se faire via une carte wifi compact-flash comme la NL2511CF Mercury, ou via un adaptateur USB-RJ45 comme le Linksys USB200M.
Il est à noter qu'il existe une communauté ZaurusFr.
Récupération d’un fichier sur Ext3
L'article Cher journal... publié sur le weblog du CERT-LEXSI propose une analyse technique des possibilités de récupération d'un fichier supprimé sur les systèmes de fichiers Ext2 / Ext3. Les méthodes sont basées sur l'utilisation d'outils classiques comme ext3grep, vous pouvez néanmoins utiliser plus rapidement extundelete qui fonctionne aussi avec Ext4. Notons également l'existence de l'article HOWTO recover deleted files on an ext3 file system sur la même thématique.
Mail.log à partir de PHP 5.3
À partir de PHP 5.3, une nouvelle directive de configuration appelée mail.info permet de journaliser les appels PHP à la fonction mail(). Ceci devrait ainsi permette d'éviter d'avoir à mettre en place des wrappers sendmail approximatifs.
Exemple de sortie :
mail() on [/path/file.php:2]: To: root@localhost -- Headers: X-Cust...