KrysKool.browse(cr, uid, ids, context) - ubuntu

Configurer le clavier d'un macbook avec un linux en console sur Debian/Ubuntu

KrysKool — Sun, 14 Feb 2010 10:42:00 +0100

Lorsque l'on installe la version serveur d'un linux, celui ne possède que la console, bien sur le mappage clavier d'un Macbook ne sera pas correctement mapper (y compris dans une machine virtuelle) il faut donc le reconfigurer avec la méthode ci dessous

dpkg-reconfigure -p low console-data

choisir le menu

Choisir un codage clavier dans la liste complète

puis sélectionner

Mac / Unknown / French / Standard / MacBook

Voila votre clavier de votre macbook correctement mapper

Utilisation de sudo sans mot de passe sous Ubuntu/Debian

KrysKool — Thu, 16 Apr 2009 20:01:00 +0200

Pour un besoin professionnel, je devais pouvoir utiliser les commandes sudo sans qu'un mot de passe me soit demander. bien sur les utilisateurs se connectant au serveur le faisaient via clé SSH uniquement (authentification par mot de passe interdite), ceci permet que lorsque qu'une personne quitte la société celle ci n'ai aucun mot de passe en sa possession, il suffit donc de supprimer ses clés des serveurs auxquelles elle pouvait se connecter (la centralisation des clés SSH publique dans un annuaire LDAP est un atout non négligeable, mais non décrit dans cet article).

Pour commencer il faut modifier la configuration du fichier /etc/sudoers pour cela nous utiliserons l'utilitaire visudo a cet effet

visudo

ensuite il faut ajouter la ligne tout à la fin

%sudo ALL=NOPASSWD: ALL

cette ligne indique que tous les utilisateurs qui appartienne au groupe sudo n'ont pas besoin d'indiquer de mot de passe pour utiliser la commande. ensuite ajouter votre utilisateur (ex toto) au groupe sudo comme ceci

adduser toto sudo

ensuite déconnectez vous et reconnectez vous, puis lancer une commande avec sudo, celui ci ne vous demandera aucun mot de passe. Bien sur cette manipulation est à mettre en place dans le cas ou le processus d'authentification est assez sûr et ne surtout pas mettre les utilisateurs www-data (apache) ftp (wu-ftp) et d'autres sensibles comme ceux ci, comme faisant parti du groupe sudo.

Il est bien sur possible de restreindre la liste des commandes qui peuvent être lancer sans mot de passe, pour voir la configuration man sudoers

Marre des tentatives d'intrusion en ssh dans vos log

KrysKool — Mon, 01 Dec 2008 23:13:00 +0100

Si vous lisez régulièrement vos logs de vos serveurs, vous avez surement remarqué qu'il se remplissent de plus en plus souvent avec des tentatives de connexion en ssh (port 22), ce sont des bots qui essai de pénétrer votre serveur a l'aide de dictionnaire et de compte non sécurisé. Pour bloquer ses tentatives vous utilisez sans doute déjà Fail2Ban qui blacklist via IpTables l'ip qui a loupé ses tentatives (3 fois par défaut), d'ailleurs vous avez surement pester dessus les journées ou vous avez de gros doigts :), fail2ban a la facheuse tendance a envoyé un mail à chaque tentative, depuis quelques semaines il est surement devenu votre spammer favori, pourtant une autre solution existe, c'est de ne rendre le port ssh visible seulement après avoir exécuter un rituel, cela s'appelle le port knocking.

Voici la définition Wikipédia du port knocking

Le port-knocking est une méthode permettant de modifier le comportement d'un firewall en temps réel en provoquant l'ouverture de ports permettant la communication, grâce au lancement préalable d'une suite de connexions sur des ports distincts dans le bon ordre, à l'instar d'un code frappé à une porte.

Cette technique est notamment utilisée pour protéger l'accès au port 22 dédié au Secure shell (SSH), elle ne nécessite pas beaucoup de ressources et reste facile à mettre en œuvre. En 2008, cette technique n'est pas encore largement adoptée par la communauté informatique, mais elle a déjà été intégrée dans certains rootkits.

coté serveur

Pour cela il existe une service qui permet de faire du port knocking knockd

sous Debian et dérivé, faite juste un

# apt-get install knockd

editer le fichier /etc/knockd.conf et changer la séquence par défaut

redemarez le service via

# invoke-rc.d knockd restart

coté client

Pour vous connectez a votre serveur en ssh direct, cela sera impossible, car knockd veille au grain. il vous faut également installe knockd coté client, puis exécuter la ligne ci dessous.

$ knock mon_serveur 7000 8000 900

Vous changerez bien sur la séquence de port et mettrez celle que vous avez choisi. ensuite vous avez un laps de temps définit par la variable cmd_timeout pour vous connecter avec ssh. passer ce delai les nouvelles connexions ssh seront refusés, mais celle déjà établit resterons.

Premier patch pour TinyERP/OpenERP

KrysKool — Sun, 07 Sep 2008 22:13:00 +0200

Aujourd'hui j'avais recensé quelques petites corrections utiles, que j'ai décidé de coder en utilisant la nouvelle plateforme de développement de TinyERP/OpenERP sur Launchpad

Mes premières modifications ont portés sur la gestion des exceptions lors de la création des port d'écoutes (XMLRPC et NETRPC), en effet si vous avez lancé 2 fois votre serveur TinyERP, le second lancement se traduit par l'arret du processus (ce qui est normal) en indiquant que le port d'écoute est utilisé, or lors du lancement du serveur TinyERP par un script init.d, celui sort avec un code erreur 0, ce qui indique que tout c'est bien passé, ce qui n'est pas le cas. Le patch proposé récupère l'exception, puis indique sur la sortie stderr qu'il y'a une erreur et que le port d'écoute est déjà occupé, puis retourne le code erreur 1 (au lieu de 0). Le patch proposé l'a été pour la version stable 4.2{1} et la version Trunk{2} (développement).

L'autre patch concerne la comptabilité avec PostgreSQL 8.3 pour la version 4.2. En effet dans un billet précédent je vous expliquait que la version 4.2 ne fonctionnerait pas avec PostgreSQL 8.3 et qu'il fallait ne pas y toucher. Comme dit le proverbe "Faites ce que je dis, mais faites pas ce que je fais", j'y ai touché ;) , vous allez me dire "Mais pourquoi donc", a cela je vous répond.

PostgreSQL 8.3 fait parti de Ubuntu Hardy Heron (8.04), La 8.2 est marqué obsolète.
Dans Debian Lenny, seule PostgreSQl 8.3 est dispo, la version 8.2 n'est même pas disponible dans des backports.
Seul les reporting basés sur des vues PostgreSQL posent problèmes, l'impact sur une éventuelle régression est inexistant.

Les 2 premiers points ont fait pencher la balance, d'ailleurs au moment ou j'écris ces lignes, les patchs viennent d'être intégré à la version 4.2 :).

1 https://code.launchpad.net/~syleam/openobject-server/4.2_exit-properly
2 https://code.launchpad.net/~syleam/openobject-server/exit-properly
3 https://code.launchpad.net/~syleam/openobject-addons/4.2_postgresql8.3_compat

Mapping clavier MacBook sous Ubuntu 8.04

KrysKool — Thu, 21 Aug 2008 22:59:00 +0200

Ci dessous la configuration pour obtenir un mapping de clavier de MacBook correcte sous Ubuntu 8.04

dans le fichier

/etc/X11/xkb/rules/base

chercher

$macbooks = macintosh+macintosh(badmap)

et le remplacer par

$macbooks = macintosh+macintosh(goodmap)

ainsi que

$maclaptop = +inet(apple)+level3(enter_switch)

par

$maclaptop = +inet(apple)+level3(win_switch)

et dans le fichier /etc/X11/xorg.conf de telle manière que la section InputDevice ressemble a ceci:

Section "InputDevice"
    Identifier      "Generic Keyboard"
    Driver          "kbd"
    Option          "CoreKeyboard"
    Option          "XkbRules"      "xorg"
    Option          "XkbModel"      "macbook79"
    Option          "XkbLayout"     "fr"
EndSection

Ensuite redémarrer le serveur X