Guide ultime du serveur DNS v1

Bon bon ces derniers temps je trifouille pas mal mon DNS. Pour les deux du fond qui viennent de se réveiller le DNS c’est l’annuaire de référence de l’Internet. Mais en fait c’est très réducteur de dire ça. En vrai le DNS c’est un système de base de données qui peut faire tout un tas de truc et pas uniquement convertir des noms en adresse IP. Allez, c’est parti pour le DNS Méga Guide 2017 !

Gérer ses dotfiles simplement avec git

Ça fait plusieurs fois que je vous tease sur ce sujet donc voilà je me lance. Je vais vous expliquer ma façon de gérer mes dotfiles. C’est un sujet assez récurrent chez les linuxiens et visiblement tout le monde à sa ptite façon de faire. Certains font une soupe à base de lien symbolique dans tous les sens histoire de tout centraliser dans un seul dossier plus facilement copiable. D’autres utilisent des scripts ou softs exprès pour gérer ça comme par exemple GNU Stow.

Enregistrement DNS de type CAA pour protéger votre TLS

La mouvance actuelle de chiffrer de plus en plus de contenu est vraiment une bonne chose. Un peu plus de sécurité pour tout le monde c’est parfait. Surtout si c’est bien fait sinon c’est complètement contre-productif. Letsencrypt a énormément contribué à la démocratisation des certifs x509 pour le TLS grâce à son protocole bien efficace et aussi ses tarifs imbattables. Certificate Transparency Comme de nombreuses CA (Autorité de Certifacition : les organismes “de confiance” qui signent les certificats x509 qu’on leur soumet) désormais, Letsencrypt participe au Certificate Transparency.

Microcache nginx pour améliorer les perfs et diminuer le downtime

Depuis que mon serveur ne me sert plus de routeur il m’arrive de le couper de temps à autres. Et pourtant mon site reste accessible. J’ai en fait, sur mon routeur, installé un container avec un nginx qui tourne et qui proxy. Les connexions se font donc via le nginx du routeur qui sert de cache quand le vrai serveur ne répond pas. Mais histoire de ne pas avoir de contenu pas à jour mais toujours d’une fraîcheur exemplaire je me contente d’un cache de maximum 1seconde.

Unmount son root sans reboot

Vous avez jamais voulu démonter la partition racine de votre ptit nunux ? Non ? Pourquoi faire ?! Bhaa je sais pas moi, par exemple faire des opérations sur votre partition racine (redimensionner/changer le filesystem/réparer le fs). Sauf que bon en temps normal vous ne pouvez pas démonter la partition racine puisque votre OS est sur cette partition. Par chance, nous vivons dans une époque merveilleuse où l’on possède tous pas mal de Giga de ram ce qui rend l’opération possible et même assez simple.

Refonte complète du site

Ça faisait un bail que j’avais pas trop touché au site (blog ?). Ça fait depuis quelques années qu’il ne s’agissait que d’un simple fichier index.html que j’éditais à la mano dans vim. Une seule et unique page avec tout le contenu. C’était plutôt élégant techniquement et pratique. Mais ça a aussi quelques limites. La première c’est que j’avais pas de flux rss. C’est un peu la honte. Étant moi même présentement présent un très grand utilisateur des reusseusseu ça me tiraillait.

Redondons les archives du net

J’imagine que vous connaissez de près ou de très loin le site archive.org. Il s’agit d’un site tenu par une poignée de volontaires très passionnés s’étant donné pour mission d’archiver. À la base ils archivaient le web, puis le net puis en fait tout ce qui est composé de 0 et de 1. Sacré boulot. Mais ces gens sont vraiment très passionnés. Ils arrivent à mettre la main sur des données plus ou moins perdues/ignorées/oubliées et les rendent accessibles à tous.

Dégageons opendkim et spamassassin pour Rspamd et Rmilter

Après ce suspens insoutenable voilà la suite tant attendu. Petit résumé pour les adeptes du tldr de l’article précédent : bon j’ai foutu du postscreen sur les deux mx tout va bien sauf qu’en fait je me suis rendu compte que mes mails ne sont plus signés par opendkim et spamassassin ne me satisfait plus trop trop. Plus d’Opendkim donc on va rmilter Ne sachant trop pourquoi Openkdim ne faisait plus son taff.

Soulager son serveur mail du traitement du spam avec Postscreen

Quel titre sérieux ! Bref, jusqu’à il n’y a pas si longtemps que ça, j’avais une architecture assez basique pour le mail. Un postfix pour l’émission/réception, un spamassassin qui reluque les mails et qui les taggue s’ils ressemblent à du spam, un dovecot qui stocke les mails et les présentent aux clients mails. Dovecot se chargeant par la même occasion de l’auth (via sasl) et du classement des mails (via sieve et managesieve).

Ajouter un overlay Gentoo sans layman

Les overlays sous Gentoo sont des surcouches à l’arbre Portage. Portage est en fait une grande collection de scripts pour installer des logiciels. Gentoo de base possède énormément de ces scripts cependant il arrive que parfois le logiciel que l’on cherche n’est pas disponible officiellement. Portage possède une fonctionnalité très intéressante permettant de rajouter des branches à votre arbre ce qui permet d’ajouter de nouveaux logiciels disponible via emerge. Jusqu’à il y a peu, il fallait passer par le logiciel layman qui n’est pas installé par défaut.

Démarrer des applis dans tmux au boot

En voilà une chose triviale mais qui n’est pas si simple que ça. Démarrer une appli au boot, généralement c’est le boulot de l’init, ça devrait être easy (hein systemd). Mais démarrer une appli dans tmux n’est pas geré par les init existants. Donc je vais vous expliquer comment le faire. Déjà on va commencer par le script d’init pour openRC (vous croyiez vraiment que j’allait aborder systemd ?). Donc dans /etc/init.

Updater dynamiquement ses zones DNS

Bon un court article à mon intention. Comment updater ses zone DNS dynamiquement avec cette syntaxe de merde que j’oublie constamment ? Donc pour mettre à jour un champs A c’est simple : server 127.0.0.1 zone lord.re. delete lord.re A update add lord.re. 600 A a.b.c.d send et voilà c’est pas compliqué mais toujours chiant à retrouver. C’est possible de fouttre le tout dans un fichier texte et de le donner à bouffer direct à knsupdate.

Nginx HTTPS 2015

Coucou ! Comme vous le savez surement, commencer un article par “coucou” c’est con. Mais après tout pourquoi pas ? Sous des apparences à priori banales, c’est finalement plutôt original (peut-être même inédit !) pour un article technique. Et puis mine de rien ça permet d’avoir une intro qui va avec, donc on ne va pas s’en plaindre. Bon donc vu que la folie des failles SSL et compagnie tend à se calmer pour le moment, c’est peut-être le bon moment de mettre à jour sa conf Nginx.

Multi devices BTRFS

Étant malade ce week-end, quoi de mieux qu’un peu de machines virtuelles de BTRFS et de temps pour guérir ? Donc voilà en vue de la rénovation de mon système de stockage actuel j’ai commencé à faire mumuse avec BTRFS en mode multi-devices. Ce terme étrange signifie que l’on va avoir un système de fichier réparti sur plusieurs partitions/disque durs. Ça permet d’utiliser tous les raffinements de BTRFS. :-)

Les snapshots BTRFS

Voilà un petit moment que ma petite gentoo perso est sur btrfs. Ce système de fichier est très sympathique de part toutes ses fonctionnalités. Une que j’affectionne tout particulièrement est le snapshot. Une sauvegarde à chaud, instantanée et qui ne bouffe quasiment pas de place. C’est ti pas la panacée en ce world backup day ? (ouais bon c’était il y a trois jours je sais). Donc le truc à savoir avec btrfs c’est qu’il fonctionne en sous-volume (un peu comme lvm) et qu’il permet donc de faire un snapshot d’un sous-volume qui sera lui même un sous-volume !

Dégager une livebox tout en conservant le service de téloche

UPDATE 2017 : Ce tuto est plus vraiment d’actualité, désormais le PPP n’est plus obligatoire, il est d’ailleurs préferrable de passer par le DHCP (qui nécessite malheureusement des options exotiques). Ça y est ! Le Saint-Graal est arrivé à la maison ! Le FTTH. La fibre. Cette petite merveille de plastoc qui me fait rêver depuis des lustres. Je l’ai youhou youpi yata. J’ai donc un joli 100M symétrique chez l’agrume-opérateur.

Bidouil^wRéparons de la gentoo.

Imaginons que par un improbable hasard vous tombiez sur une pauvre petite gentoo abandonnée. Vous voulez faire la mise à jour et là, pas ici, mais là, vous vous apercevez que vous avez une glib et une glibc impossible à emerger pour diverses raisons. Il est possible d’émerger les paquets relous sur une autre gentoo fonctionnelle. Pous plus de simplicité, il est appréciable que les architectures soient identiques et si possible d’avoir le même ACCEPT_KEYWORDS.

Protocolons !

Bon et si nous faisions du lol ? On va parler quelques protocoles usuels à la main à travers un socket (type netcat ou telnet). R2R ? (Ready to rock) Parlons SMTP : Envoyons un mail comme un vrai hacker. nc monserveursmtpfavoris.com 25 EHLO monserveursmtpfavoris.com MAIL FROM: monidentité@monserveursmtpfavoris.com RCPT TO: mondestinataire@sonsmtp.com DATA Un supayr mail . Et voilà vous avez envoyé un mail à la mano. comme quoi SMTP c’est facile.

Nouveau kernel not for fun

Et voilà je viens de passer d’un kernel 2.27 patché pour openvz vers un tout neuf 2.33.1 .J’en ai profité pour ajouter des petits trucs indispensables qui me faisait défaut : le redirect de netfilter (et ouai je l’avait oublié), le support de nfs en mode serveur (pour améliorer mon pxe) l’ajout du support de kvm (à défaut d’openvz…). Bon sur ce amusez-vous bien cher lectorat et préparez-vous à une nouvelle version de mon CMS encore plus optimisé pour tourner sur moins d’un Mo !

Mumuse avec OpenVZ

OpenVZ est un système de virtualisation pour linux particulier. En bref la machine hôte possède un kernel spécifiquement compilé et partage ce kernel avec les machines virtuelles. On est donc limité dans les OS mais par contre on obtient des performances impressionnantes. Pour plus de renseignements →→ wikipedia & google ←← Bon en fait j’ai voulu faire mumuse avec ma ptite gentoo. C’est une machine qui me sert typiquement de serveur.

Ajout de PostGrey et …

Wow la classe ! Mon premier titre avec des points de suspensions ! Bon alors voilà j’en ai un peu marre de la masse de spam que je reçoit. Mon installation de mail est quelque peu bancale. J’ai en fait un ptit postfix, procmail, dovecot, roundcube. Ca fait un combo qui fait un tit gmail like tout ca auto hébergé. Mais j’aimerait pouvoir m’y connecter avec thunderbird pour faire mumuse avec le plugin lightning qui permet de gérer l’agenda, calendrier, les tâches, tout cela dans le but de synchroniser avec mon téléphone portable par le biais d’un serveur funambol que je me suis installé.

Unicodisation

Houllla je poste de plus en plus souvent ! Je vais finir en blogueur influent d’ici peu ! Bon en fait comme annoncé précédemment j’ai fait en sorte de ne plus avoir de soucis de charset. En bref j’ai modifié mes locales pour n’avoir au final que “en_US.UTF-8 UTF-8”. J’ai créé le fichier /etc/env.d/02locale où j’y force mes variables de locales et le tour est joué. Je n’ai plus qu’à reconfigurer vim et putty pour qu’ils fassent du bel utf-8.