MA PLAGE PERSO

Le blog d'Hervé Le Roy : Internet, les logiciels libres et la photographie

Modifier les règles de firewall d'un EXSi en mode rescue (ou Comment Free a changé mon IP fixe)

Si votre fournisseur d'accès change sans vous prévenir votre IP fixe (merci Free !), vous risquez de regretter d'avoir basé vos règles de firewall sur cette adresse.

C'est ce qui m'est arrivé cet après-midi après avoir rebooté la Freebox : ... les connexions ssh vers mes serveurs partaient en timeout et j'ai pris quelques minutes à me rendre compte que Free venait de changer mon IP. Comme je n'autorise le ssh que depuis mon IP (qui était sensé être fixe je le rappelle...), je me retrouve coincé.

Qu'à cela ne tienne, mon serveur est chez Online.fr, il est facile de booter en mode rescue. Sauf que c'est un ESXi 6 et c'est là que les choses se compliquent un peu.

Une fois connecté en rescue, je lance un fdisk -l

 fdisk -l
 
 Disk /dev/sda: 1000 GB, 1000202273280 bytes
 255 heads, 63 sectors/track, 121601 cylinders
 Units = cylinders of 16065 * 512 = 8225280 bytes
 
    Device Boot      Start         End      Blocks   Id  System 
 /dev/sda1   *           1           1        8001   83  Linux 
 /dev/sda5               1          33      257040   83  Linux 
 /dev/sda6              33          65      257040   83  Linux 
 /dev/sda7              65          79      112455   83  Linux 
 /dev/sda8              79         115      289170   83  Linux 
 /dev/sda9             115         442     2626627   83  Linux 
 /dev/sda2             442         964     4192965   83  Linux 
 /dev/sda3             964      121602   969024735   83  Linux

puis je commence à monter une par une chaque partition à la recherche d'un /etc

 cd /mnt
 mkdir sda1
 mount /dev/sda1 /mnt/sda1

etc... Peine perdue. C'est un petit peu plus compliqué.

Après quelques recherches sur Google, je comprends que la configuration de l'ESXi se trouve dans un fichier state.tgz qui contient lui-même un fichier local.tgz, qui une fois décompressé me donnera enfin accès au fichier etc/vmware/esx.conf Pourquoi faire simple quand on peut faire compliqué (merci VMware).

Notez aussi que vous trouverez deux fichiers state.tgz sur deux partitions différentes : prenez le plus récent.

 cd /
 mkdir recovery
 cp /mnt/sda6/state.tgz /recovery
 cd recovery
 tar -xvf state.tgz 
 tar -xvf local.tgz

Je recherche mon ancienne IP

 grep -R MON.ANCIENNE.IP.FIXE *
 vmware/esx.conf:/firewall/services/vSphereClient/allowedip0000/ipstr = "MON.ANCIENNE.IP.FIXE"
 vmware/esx.conf:/firewall/services/sshServer/allowedip0000/ipstr = "MON.ANCIENNE.IP.FIXE"
 vmware/esx.conf:/firewall/services/webAccess/allowedip0000/ipstr = "MON.ANCIENNE.IP.FIXE"

J'édite le fichier esx.conf avec ma nouvelle IP. Puis je reconstruis le fichier state.tgz et le replace où je l'avais trouvé :

 tar czf local.tgz etc/
 tar czf state.tgz local.tgz 
 cp state.tgz /mnt/sda6/
 umount /dev/sda6

Je quitte le mode rescue et redémarre l'ESXi... L'accès ssh et web est à nouveau fonctionnel !

J'espère que cela pourra être utile à tous ceux qui se retrouveront dans la même situation ;-)

Autoriser des utilisateurs non-root à installer des logiciels sous Kubuntu

Je voulais autoriser un utilisateur standard à installer des logiciels en utilisant la logithèque de Kubuntu (Muon-discover). Après quelques recherches, il est possible d'utiliser PolicyKit à cet effet.

Pour cela, il suffit de créer le fichier /etc/polkit-1/localauthority/50-local.d/10-allow-non-root-install-packages.pkla avec le contenu suivant :

[Update Software Sources]
Action=org.kubuntu.qaptworker2.updatecache
ResultAny=no
ResultInactive=no
ResultActive=yes
Identity=unix-user:username

[Install Software]
Action=org.kubuntu.qaptworker2.commitchanges
ResultAny=no
ResultInactive=no
ResultActive=auth_self
Identity=unix-user:username
Remplacer username par le nom de l'utilisateur à qui vous souhaitez donner l'autorisation.
Testé avec Kubuntu 14.04
Muon.png

Effacer le disque dur d'une Dedibox avant résiliation

J'ai migré mon serveur dédié d'une Dedibox V2 (29,99 € par mois) vers une Dedibox V3 (14,99 € par mois pour à peu près les mêmes performances). Une fois tous les services migrés, j'ai souhaité effacer complètement le disque dur pour éviter que des mots de passe ou des informations confidentielles restent accessible sur le support magnétique.

Le plus simple pour cela est d'utiliser l'outil shred installé par défaut dans la distribution Ubuntu. Pour pouvoir effacer entièrement votre disque dur (/dev/sda), il va falloir vous connecter sur le serveur en système de secours (sinon shred refusera d'effacer votre système en cours de fonctionnement).

Depuis l'interface de gestion de votre Dedibox (http://www.online.net/, puis "Mon Compte"), sélectionnez votre serveur, puis allez dans "Système de secours". Suivez les instructions pour lancer le système de secours.

Une fois connecté sur votre Dedibox en système de secours, lancez un screen, au cas où vous perdiez votre connexion ssh:

screen

puis lancez la commande shred :

sudo shred -vfz -n 5 /dev/sda

Shred va remplir le contenu du disque dur avec des données aléatoires 5 fois de suite (option "-n 5"), puis il fera une dernière passe en le remplissant de 0 (option "-z").

Une fois la commande terminée, bonne chance à toute personne souhaitant analyser le disque ;-)

Premières impressions sur Jolicloud

J'ai craqué la semaine dernière pour un netbook (un Samsung N140). Comme c'est malheureusement toujours le cas, il était pré-installé avec Windows, la version Seven Starter ultra bridée de surcroit. Je me suis empressé de chercher une distribution Linux adaptée. Etant plutôt un adepte de KDE, j'ai d'abord regardé du côté de Kubuntu. La version netbook de Kubuntu (appelée Kubuntu Netbook Remix) est encore en l'état de "Technology Preview", donc je me suis dit que j'allais attendre un peu et j'ai immédiatement installé Jolicloud, "The OS your netbook has been screaming for" d'après le site Engadget.

L'équipe de Jolicloud est partie d'une base Linux (en l'occurence une Ubuntu Netbook Remix) et a tout fait pour rendre l'expérience utilisateur aussi simple et conviviale que possible, tout en étant ultra optimisé pour les netbooks. Alors, pari réussi après quelques jours de tests ?

  1. Simple. Oui pari gagné. C'est extrêmement facile à installer en partant d'un Windows pré-installé sur le netbook. Il est possible d'installer Jolicloud sans effacer Windows, pour ceux qui souhaiteraient faire marche arrière. Oubliez tout ce que vous avez vu pu entendre sur Linux ("c'est compliqué", "ça ne marche pas avec mon matériel" ou "il faut faire de la ligne de commande pour installer un driver"). Absolument tout le hardware du Samsung N140 a été reconnu du premier coup (le Wifi, la webcam et même la clef 3G Huawei E160 fournie par Orange). Un vrai bonheur.
  2. Optimisé pour les netbooks. Oui pari gagné là aussi, c'est une très belle optimisation pour les netbooks. Sur un écran de 1024 x 600, chaque pixel compte et tout est fait pour gagner de l'espace (pas de bordure de fenêtre, barre de navigation de Firefox intégré dans le bandeau haut, etc. ). Jolicloud est compilé avec des optimisations spéciales pour les processeurs Atom, avec à la clef de meilleures performances qu'une distribution Linux générique. Je précise que je n'ai pas testé pour confirmer si cela se ressentait.
  3. In the cloud. Avis mitigé. Jolicloud propose un système très convivial pour installer des applications. On y côtoie du Facebook, du LinkedIn, du Google Maps avec du Gimp, du VLC, le tout dans une interface bien hiérarchisée. Ce qui m'ennuie, c'est la confusion volontairement entretenue entre "application web" (comprendre site web comme Facebook, LinkedIn and Google Maps) et application (au sens programme qui tourne localement comme Gimp et VLC). Les premières ne sont ni plus ni moins que des sites webs affichés avec Prism (un logiciel basé sur Firefox pour exécuter un site web comme une application autonome). Elles ont besoin d'une connexion Internet pour fonctionner. Je trouve que le fait de mélanger les deux, sans les distinguer clairement, est source de confusion pour les néophytes. Pour quelles applications dois-je être connecté à Internet et lesquelles sont fonctionnelles sans connexion Internet ? Le jour où les applications webs auront toutes un mode hors ligne (comme Gmail avec Google Gears par exemple) ou le jour où les réseaux sans fil seront ubiquitaires et bon marchés, alors la question ne se posera plus. Mais on n'y est pas encore ;-)
  4. Social. Pas encore. J'avoue que je m'attendais à plus de fonctions "sociales". Dans la version que j'ai testé, on peut "suivre" (au sens "follow" comme dans Twitter) d'autres Joliclouders. Mais, à ce jour, la fonction en est à ses balbutiements. Je veux dire que je m'attendais à une sorte de mashup de réseau sociaux. Je m'attendais, en "suivant" un Joliclouder, à automatiquement suivre ses posts sur Facebook, ses twits, ses images sur Flickr, etc... Peut être dans une prochaine version, car Jolicloud n'en est qu'à ses débuts.

En tout cas, je reste sur Jolicloud pour l'instant. Par curiosité, j'essaierai surement Kubuntu Network Remix lors de la sortie de Lucid Lynx (la prochaine version de Kubuntu prévue fin avril 2010). Mais je suis globalement satisfait avec mon joli nuage :-)

Note pour ceux qui souhaitent installer leurs logiciels KDE favoris : j'ai installé digikam en faisant un classique :

sudo aptitude install digikam

Aptitude vous demandera d'enlever les paquets suivants :

 libparted1.8-12{u} libwebkit-1.0-2{u} libwebkit-1.0-common{u}
python-webkit{u} realpath{u} sysv-runonce{u}

Vous pouvez accepter sans problème. Ces paquets peuvent être supprimés une fois Jolicloud installé (information donnée par un développeur de Jolicloud).