Archive for February, 2010

Posted on February 28, 2010 - by Jérôme M.

Dwm

Dwm est le Dynamic Window Manager pour X. Il s’occupe de manipuler les fenêtres en mode mosaïqué (tiling), plein-écran ou flottant. Il est très léger et écrit en C. Son code source fait moins de 2000 lignes de codes, et il est customisable de différentes façons, notamment avec tous les patchs qui sont sortis. Il fonctionne aussi très bien sur du multi-écran, avec xrandr et xinerama. Ce billet à pour intention de vous aider à l’installer et à le personnaliser, pour les gens qui sont curieux, et qui aimeraient bien tester un tiling wm.

Introduction

Nous allons installer et configurer Dwm en utilisant makepkg et l’Arch Build System. Ce qui va nous permettre de créer proprement des paquets, et éviter de « salir » le système avec un make install. Pour ceux qui n’utilise pas Arch Linux, il y a toujours moyen de faire la même chose avec d’autres outils. Pour tester rapidement dwm :

sudo pacman -S dwm

Gardez à l’esprit que si vous l’installez comme ça, vous passez à côté de toute la partie customisation.

Préparation

Nous allons avoir besoin du paquet base-devel pour la compilation et abs pour récupérer l’arbre des PKGBUILDs.

sudo pacman -S base-devel abs

Récupérons maintenant les PKGBUILDs de tous les programmes installables avec pacman. On va donc pouvoir ensuite récupérer celui de Dwm pour pouvoir le compiler à notre sauce.

sudo abs
cp -r /var/abs/community/dwm ~/dwm

Rentrons maintenant avec un cd, dans le dossier dwm fraichement copié dans notre home et lançons la compilation.

makepkg -i

Ceci va récupérer les sources, compiler et installer Dwm.

Configuration

Allez faire un petit tour dans le dossier dwm copié dans votre home. Vous y trouverez un fichier config.h. C’est dans ce fichier que l’ont va pouvoir configurer Dwm. Une fois ce fichier à jour, il faut recompiler Dwm :

makepkg -efi --skipinteg

Conclusion

Voilà ce qu’il faut faire pour mettre à jour et configurer Dwm. Je vous laisse faire un tour sur le site officiel pour avoir des infos supplémentaires sur la configuration, avec des exemples et des plugins.

Sur mon prochain billet je vous montrerai ma configuration avec des exemples précis d’utilisation de dzen2, conky etc.

Stay tuned.

Posted on February 24, 2010 - by Jérôme M.

Ubuntu 10.04 proposera de la vente de musique en ligne

Dans un système appelé Ubuntu One Music Store, les utilisateurs d’Ubuntu pourront bientôt acheter de la musique en ligne directement depuis leur lecteur audio. Vous l’aurez compris, cette fonctionnalité est directement intégrée au service cloud Ubuntu One. Ce système devrait faire son apparition avec la sortie de Lucid Lynx au mois d’avril.

La page d’accueil est plutôt simple en soit, on y retrouve les titres les plus téléchargés, les nouveautés et les artistes qui pourraient vous correspondre. On a bien sur la possibilité de filtrer par genre musical, ou de rechercher un artiste avec le moteur de recherches.

Les musiques sont téléchargeables au format MP3 320k (et FLAC aussi à priori), sans DRM. On pourra payer par carte bancaire ou par Paypal.

Ubuntu One Music Store devrait supporter les lecteurs Rhythmbox (chiant à écrire lui xD) et Banshee. Ubuntu a passé un accord avec 7Digital pour fournir la musique.

Bon le concept à l’air plutôt séduisant et simple à utiliser, mais je me pose une question. L’application porte le nom Ubuntu, donc je suppose qu’elle ne fonctionnera pas sur les autres distributions GNU/Linux. Un peu comme le système de partage de fichiers d’Ubuntu One si je crois bien. Il ne sera à priori pas non plus open-source. Ubuntu prend un virage qui ne me plaît pas trop, je ne sais pas trop quoi en penser à vrai dire. Mais je me trompe peut-être sur toute la ligne. On verra bien ;)

Via popey.com.

Posted on February 23, 2010 - by Jérôme M.

Wallpapers of the Week

Cette semaine on va plutôt rester dans du minimal et de l’abstrait. Rien de tel pour.. un bureau minimal. Une nouvelle petite config. va arriver bientôt sur le blog. Je suis pas encore satisfait totalement du conky et du .Xdefaults.. Bref je vous ai trouvé quelques fond d’écrans plutôt cools :)

Soft Abstract by *Nemed

Little waterdrop by =Robsonbillponte666

Xaveos IX-XII by =leodime

Ex-tazy by *Rydgel :p

high dive by *ether

Bluri by ~murasaki55

Stay tuned !

Posted on February 18, 2010 - by Jérôme M.

Le wrapper pacman et AUR parfait sur Arch Linux

Arch Linux possède en gros deux sortes de dépôts pour l’installation des logiciels. Le dépôt officiel contient les binaires de la grande majorité des programmes, installables avec pacman (ou alors en les compilant avec le système ABS et l’arbre des PKGBUILDs). De l’autre côté il y a le dépôt géré par la communauté qu’on appelle AUR. Généralement il faut télécharger le PKGBUILD du logiciel sur http://aur.archlinux.org et le compiler.

Du coup des personnes se sont mis à développer des wrappers (des sur-couches), pour pacman et AUR. Yaourt en est un par exemple. Je vais donc vous présenter la crème de la crème pour moi : packer.

Je n’en pouvais plus de yaourt. Trop lourd, trop lent et pas vraiment bien codé. De plus son développement à l’air d’être stoppé. Il ne supporte pas les champs provide des PKGBUILD, ce qui m’a valu une belle boucle infinie en voulant installer des dépendances pour Xmonad et Haskell. Donc j’en ai eu ma claque et j’ai craqué.

Je suis alors tombé un sur la présentation de packer dans le forum officiel d’Arch Linux. Et depuis je ne pourrai plus m’en passer. Quand yaourt mettait au moins 5 min à parser tous les programmes installés sur ma bécane pour faire une update, packer met seulement quelques secondes. Les commandes principales sont :

• packer -Syu : Tout mettre à jour (dépôts off. + AUR)
• packer -Syu –auronly (idem mais seulement AUR)
• packer -Syu –devel (mettre à jour les programmes installés depuis GIT,SVN,BZR,HG….) -> très utile pour moi ;)
• packer -Ss (recherche)
• packer -S (installation)

Et j’en passe.. Si vous les voulez tous, allez lire le fucking manual ;)

Ah et packer est en couleur si on installe pacman-color. Packer est en développement intensif et de nouvelles fonctionnalités sont rajoutées très souvent. Pour l’installer c’est ici.

Exit le gros yaourt ;)

Posted on February 15, 2010 - by Jérôme M.

Un conky pour le moins impressionnant

Les dernières versions de Conky permettent des choses incroyables depuis que l’on peut jouer avec cairo et lua. Grâce à ces derniers, on peut générer des formes complexes. Adieu le conky rectangulaire :)

Le conky de sen s’appelle NightDrive et possède les caractéristiques suivantes : il affiche l’heure, avec un look LCD, la météo avec des pictos, des infos sur les processeurs, RAM, carte graphique, le nombre de mise à jour disponible sur Arch (ben oué on est en rolling release nous ;) ), la bande-passante, la place disponible sur le disque et la musique (MPD) avec les couvertures d’albums.

Vous voulez le tester ? Alors assurez-vous d’avoir les pré-requis nécessaire :

• conky >= 1.7.2
• –enable-imlib2 \
• –enable-lua \
• –enable-lua-cairo \
• –enable-lua-imlib2 \
• –enable-nvidia \
• –enable-mpd

Ça se sont les options de compilations. Faites un conky -v avant. Si vous avez comme résultat :

 Music detection:
  * MPD
 
 General:
  * nvidia
  * Imlib2
  * Lua
 
  Lua bindings:
   * Cairo
   * Imlib2

Ça veut dire que vous allez pouvoir faire tourner ce bijou. Toutes les infos se retrouvent de toute façon dans le ReadMe du conky.

Allez zou, allez le télécharger si ça vous branche ;)

Posted on February 9, 2010 - by Jérôme M.

Des thèmes pour le futur Lucid Lynx

La prochaine version d’Ubuntu arrive à grand pas. Et comme à chaque fois, nombreux sont ceux qui proposent leurs thèmes en espérant qu’il sera celui choisit par défaut. J’en ai trouvé quelques uns, qui pourraient faire office de nouveau thème pour Lucid Lynx.

Lucidity

On commence par mon préféré, qui s’appelle Lucidity. Il utilise la palette de couleurs d’Ubuntu, avec un look moderne et des icônes monochromes. Il a presque un petit côté KDE je trouve. Pour l’instant ce n’est qu’une maquette, le thème GTK n’existe pas encore. Seul le thème Metacity a été fait.

Description du mockup

Lien vers le thème Metacity Lucidity

Ubuntu-Lucid

Celui là reste assez proche du thème existant. Le thème Metacity est plus original avec ses boutons qui ressortent mieux que le thème actuel. Le thème GTK a été fondé sur le moteur Murrine, ce qui lui permet de profiter d’effets sympas.

Description du mockup + download

Lumus

Celui la est un thème plutôt clair, ce n’est pas mon préféré, mais au moins il n’utilise pas une énième fois les couleurs par défaut d’Ubuntu. En plus il est fonctionnel et on peut le télécharger.

Description du mockup + download

Au final il y a en ce moment plus d’une dizaine de propositions, que vous pouvez retrouver sur cette page. Elles sont listées dans le chapitre I ( 10.04 Lucid Lynx RTS).

Posted on February 9, 2010 - by Jérôme M.

Quand le serveur fait boom, la suite

Et oui encore des déboires avec mon petit RPS. Bon c’est vrai les RPS c’est quand même super sympa et pas trop cher. Par contre les accès disque sont vraiment lents, par exemple j’ai mis 6 sec pour ouvrir un fichier texte sous Vim l’autre fois ou le jour où tout mon disque s’est retrouvé en lecture seule.

Bref ayant un autre serveur sous les bras, j’ai décidé de balancer phollow sur le FreeBSD. Et comme ça j’en aurais plus qu’un seul à administrer.

Ça m’a permis de me familiariser avec le système FreeBSD, que je trouve vraiment sympa. J’en ai profité pour lâcher Apache 2 au profit de lighttpd. J’ai d’ailleurs trouvé une config bien cool pour faire tourner les Wordpress d’une manière assez optimisé. Je pourrais vous parler de FreeBSD, lighttpd etc. si ça vous intéresse.

Ah et deuxième bonne nouvelle, j’ai réussi à remettre la main sur mon laptop Arch Linux et à réparer l’alim. Du coup après 2 go d’updates et de recompilations en tout genre, je vais pouvoir me remettre à la config de Windows Manager ;)

Stay tuned les amis.

Posted on February 4, 2010 - by Jérôme M.

Renforcer la sécurité de son serveur SSH

Le protocole SSH est utilisé pour transmettre des informations de manière sécurisé entre deux terminaux. Par exemple comme se loguer sur une machine distante, ou échanger des fichiers, le tout crypté. Il est de par sa conception très sécurisé, mais une mauvaise configuration peut tout gâcher.

Fichiers de configuration par défaut

• /etc/ssh/sshd_config - Fichier de configuration du serveur SSH.
• /etc/ssh/ssh_config – Fichier de configuration du client SSH
• ~/.ssh/ – Répertoire de configuration SSH d’un utilisateur.
• /etc/nologin – Si ce fichier existe, personne ne peut se connecter à part root.
• /etc/hosts.allow et /etc/hosts.deny : Blacklist et whitelist .
• SSH port par défaut : TCP 22

Utiliser le protocole SSH 2

Le protocole 1 est obsolète et vulnérable à de nombreuses attaques (comme man-in-the-middle). Il doit être évité à tout pris. Vérifiez dans le sshd_config que la ligne suivante existe :

Protocol 2

Choisir les utilisateurs

Par défaut n’importe quel utilisateur à le droit de se connecter en SSH. Par exemple un utilisateur ftp à la possibilité de se connecter. Ce n’est pas super pertinent. Alors on peut restreindre le serveur SSH à n’autoriser que certains compte utilisateur. Pour ça on peut utiliser (toujours dans le sshd_config)  :

AllowUsers root rydgel

Qui autorise ces 2 utilisateurs à pouvoir se connecter. Inversement la commande DenyUsers, permet de refuser la connexion.

Désactiver les fichiers .rhosts

Ces fichiers permettent de se connecter automatiquement au serveur sans avoir besoin de retaper le mot de passe. Sympa pour les feignants mais pas sécurisé du tout. Donc il vaut mieux désactiver l’utilisation de ces fichiers avant que quelqu’un ne tombe dessus ;)

IgnoreRhosts yes

Ajouter un timeout sur l’inactivité

Garder la session ouverte indéfiniment n’est pas non plus une bonne idée. Vous êtes au boulot, vous vous absentez une heure ou deux et vous oubliez de fermer votre session, n’importe qui peut attraper votre shell en root et faire ce qu’il veut pendant votre absence.

ClientAliveInterval 360
ClientAliveCountMax 0

Désactiver le login de root

Une autre manière de sécuriser est de désactiver le login de root et d’utiliser un user avec des droits moindres + sudo.

PermitRootLogin no

Changer le port par défaut d’openSSH

Le port 22 est connu par tous les pirates pour être celui d’openSSH. Les robots scannent en priorité ce port, pour le changer c’est tout simple :

Port 6345

N’autoriser que certaines IP à se connecter

Par exemple si je veux que seulement ces 2 adresses IP ait le droit de se connecter sur mon serveur (192.168.1.5 et 202.54.1.5). Il y a deux solutions. La première est d’utiliser les fichiers /etc/hosts.allow et /etc/hosts.deny. On commence par bloquer toutes les IPs dans le hosts.deny, puis on autorise seulement celles que l’on veut.

dans /etc/hosts.deny :
sshd: ALL
On bloque par défaut toutes les IPs, puis dans le /etc/hosts.allow :
sshd: 192.168.1.5
sshd: 202.54.1.5

La deuxième solution (et la meilleure à mon avis) est d’utiliser le firewall du système (iptables, pf) et d’autoriser seulement les IPs que l’on veut sur le port d’OpenSSH.

Utiliser un bon mot de passe

On voit encore trop souvent des mots de passe du style ‘12345′ ou ‘admin’. Le plus simple est de se créer un mot passe aléatoirement avec des chiffres, des lettres (majuscules et minuscules) et des caractères spéciaux. http://www.goodpassword.com/ est un site qui permet de le faire pour vous :)

Personne ne doit avoir un mot de passe vide

Vérifiez que les utilisateurs de votre machine n’ont pas de mot de passe vide. On peut aussi dire à OpenSSH de ne pas accepter les connexions d’utilisateurs sans mot de passe.

PermitEmptyPasswords no

Garder OpenSSH et votre système à jour

On ne le dira jamais assez mais les mises-à-jour sont vraiment importantes. Elles corrigent la plupart du temps des failles qui peuvent être utilisées par des pirates pour compromettre votre système. Personnellement je regarde si des mises à jours de sécurité sont disponibles tous les jours.

Désactiver OpenSSH si vous ne l’utilisez pas

Ça ne sert à rien de laisser des services ouverts sur l’ordinateur si vous ne vous en servez pas. Désinstallez le serveur openSSH s’il n’est pas utilisé. Ça fera toujours une porte de moins pour accéder à votre machine.

Conclusion

Il y a encore des dizaines de manips possibles pour augmenter encore plus la sécurité, comme le chrootage des utilisateurs, la configuration d’un firewall, l’installation de fail2ban contre les attaques brute-force etc. Mais je pense que ce petit article est un bon début, pour éviter de faire des bêtises sur son serveur.