Sécuriser l’opt n’est pas une option

Publié le 7 janvier 2015 par Olivier Locard

En prenant soin de lire le FHS, on découvre que le répertoire /opt concerne les logiciels non inclus dans la distribution et installés manuellement pour tous les utilisateurs.. Dans la pratique on y trouve effectivement nombre d’outils et progiciels. Ce répertoire /opt est loin d’être anecdotique dans une exploitation, c’est même un des viviers principaux des processus tournant sur une machine ! Certes j’exagère…
Or de base la sécurisation de ce répertoire /opt est très strict avec pour propriétaire et groupe respectivement root et root. Et donc se pose la question des droits à appliquer pour l’ensemble de ces applications et outils exotiques. Doit-on « tout passer en root » !?

Surtout pas malheureux ! Repeindre ses répertoires en root est une très mauvaise idée, pour deux raisons principales. Une telle stratégie revient à uniformiser sa sécurisation, ce qui est déjà un premier mauvais point sur un sujet qui demande au contraire de la granularité. J’ose l’apostrophe : si le sticky bit a été inventé, ce n’est pas pour qu’on uniformise les propriétés !
Ensuite ça imposerait de faire appartenir au groupe root les comptes utilisateurs des installations dans le /opt, ce qui revient à entre-ouvrir la porte du chaos.

Voyons comment procéder…

Continuer la lecture →

Fruité à coeur

Publié le 1 octobre 2014 par Olivier Locard

Un pépin ? Compile le noyau ! Fortement résumé, c’est le résultat de mes recherches quant à la mise en oeuvre de ma carte WiFi Intel 7260. Le fond de l’histoire est que le noyau linux utilisé dans la dernière version stable wheezy de Debian est un kernel 3.2.0, et que c’est vieux dans un monde qui va vite et alors que le dernier stable kernel est en 3.16.3…

Allez, c’est parti pour compiler le noyau dans la dernière version longterm à l’heure actuelle disponible 3.14.19. Autant le dire dès le début, aucun impact sur l’actuelle configuration, puisque vous pourrez via grub démarrer sur l’ancien et le nouveau noyaux. Et après tout, la méthode est assez aisée. Alors que de prime abord, on a l’impression d’un long couloir technique sans fin où tout peut arriver…

Continuer la lecture →

L’amer domaine .io

Publié le 16 juillet 2014 par Olivier Locard

Répondre

Spoliation, déportation et intérêts américains seront la conclusion de ce court article, triste partition commençant sur un air geek.
De nombreux sites sont sous le domaine .io, et comme le relève wikipédia, il est populaire pour de nombreuses start-ups car c’est le sigle du fameux Input/Ouput. Mais derrière cette histoire du net se cache une ignoble page d’histoire !

Une rapide recherche nous révèle que ce domaine est le domaine national du Territoire britannique de l’océan Indien. Dans un premier élan, on découvre une histoire coloniale somme toute classique. Néanmoins, en creusant un peu plus, on découvre l’ignominie.

Certes l’histoire du Territoire britannique est policée, mais l’histoire de l’archipel en question l’est beaucoup moins ! L’archipel des Chagos, tel est son nom, a été vidé de ses habitants pour pouvoir installer une base militaire américaine, plantée tel un porte-avion géant en plein milieu de l’océan indien !

L‘article wikipédia est peu ou prou une traduction du World Factbook de la CIA :

Entre le 17 juillet 1966 et 1973, les Chagossiens, les habitants autochtones de l’archipel, sont intégralement déportés vers Maurice et les Seychelles.
Cette déportation est motivée par la construction d’une base militaire britannique et ouverte aux Américains. Autorisée le 30 décembre 1966, la base est ouverte le 1er octobre 1977 après le rachat de toutes les terres le 3 avril 19672.
C’est dans ce contexte que les Chagossiens se lancent à partir de 1998 dans une série de recours en justice à l’encontre du gouvernement britannique.
Finalement, les Chagossiens sont déboutés le 22 octobre 2008 lorsque la chambre des Lords, le dernier recours en appel dans le système judiciaire britannique, entérine la situation et ne laisse aucune possibilité de retour pour les Chagossiens.

Sources :
https://www.cia.gov/library/publications/the-world-factbook/geos/io.html
https://fr.wikipedia.org/wiki/Archipel_des_Chagos
rendez-vous avec X – Les Chagos ou les oubliés de la guerre froide

Jean-Louis Debré recadre Nicolas Sarkozy

Publié le 9 juillet 2014 par Olivier Locard

Répondre

Le président du Conseil constitutionnel, Jean-Louis Debré, est sorti de sa réserve pour corriger les propos de Nicolas Sarkozy tenus lors de son interview sur TF1 et Europe1 à l’issue de sa garde à vue.

Cette intervention de Jean-Louis Debré était sur Europe 1 dans l’émission Mediapolis du 5 Juillet 2014. Emission que je conseille en général et cet opus en particulier. Et, si vous pouvez trouver l’article du Lab d’Europe1, j’en retranscris ici de longs passages.

« Quand des responsables politiques commencent, à droite ou à gauche, à s’en prendre aux juges, c’est un des fondements du vivre ensemble, de la République qui est atteint.
On peut contester ce qui vous est reproché, on ne conteste pas les fondements de la justice parce qu’à ce moment-là on conteste la République. » – Jean-Louis Debré

Continuer la lecture →

Installation de GitLab sur Debian

Publié le 18 juin 2014 par Olivier Locard

Le partage, un des maitres-mots du mouvement DevOps, commence par l’usage d’un référentiel (Repository pour les anglophones) communautaire. Il sert bien sûr pour partager des sources de codes que chacun pourra corriger et améliorer, mais il sert aussi au perfectionnement des configurations. La mise en commun des configurations, ce grand travail collectif précédemment abordé, permet une mise en lumière sur des besoins spécifiques, les dépendances de certains packages ou certaines versions de logiciels, ou encore certains paramétrages d’intergiciel (middleware pour les anglophones), ou les paramétrages des équipements réseaux. Quant une équipe mets en place un logiciel utilisant un port particulier autant qu’elle l’insère elle-même directement dans le fichier de configuration des plages de ports à ouvrir. A contrario de l’usage propriétaire où il faut opérer à une demande auprès de l’équipe réseau pour reprendre l’exemple, cette démarche de modification par tous -et pour tous- n’est possible que dans une dynamique communautaire.

Un des plus célèbres référentiels communautaires est GitHub.com, or pour différentes raisons, entre autre de confidentialité, il peut être interdit d’usage dans certaines sociétés (OVH : Pourquoi j’ai interdit GitHub ?). Il est donc intéressant de trouver une solution interne. Un de ces gestionnaires de référentiel Git est GitLab qui propose une Community Edition (CE) et une Enterprise Edition (EE), ainsi qu’une Continuous Integration qui sort de notre actuel sujet. Voyons dans cet article comment installer GitLab CE.

Continuer la lecture →

Meetup Puppet Paris

Publié le 11 juin 2014 par Olivier Locard

Répondre

Dans les locaux de D2-SI, le tout premier meetup Puppet en France fut un beau succès ! En ce 22 mai 2014, il a fallu que les organisateurs poussent les murs pour faire rentrer les 42 participants au chausse-pied dans les 35 places d’un salon moderne et confort.
Le chausse-pied en question était l’enthousiasme de l’équipe tout autant que celle des participants. La colonne vertébrale de cette rencontre était l’improvisation, autour de laquelle le partage eut pleinement sa place. Suite à une rapide présentation d’Ahmet Demir, la soirée s’est poursuivie en deux parties. Dans un premier temps une démonstration sur le pouce néanmoins pédagogique de Laurent Bernaille et dans un second temps un cocktail agrémenté de petits fours (entendre un pizza/bière digne des plus belles soirées de coding) d’échanges conviviaux d’expériences et de conseils entre meetupers.

Le second opus eut lieu hier dans les locaux haussmanniens de Xebia. En point final de la journée DevOps Day ; comme quoi ça vibre à Paris !
Cette rencontre était dans un autre format plus proche de la conférence, tout autant plaisant. A la tribune Steven Thwarts de chez Puppet Labs, a présenté Puppet Enterprise pendant que les participants remplissaient des post-its des points qu’ils souhaitaient voir aborder, quand ils ne s’aspergeaient pas en tentant de s’en décapsuler une. Prenant ces notes en ordre dispersé, Steven a animé les sujets pour que les réponses proviennent des participants eux-mêmes, puis il proposait ses propres conseils. Cette sollicitation des participants a cassé le formalisme pour s’orienter vers un réel partage, le tout clos de l’expertise de Steven Thwarts et des commentaires de Steven Coltman, dans un buddies Steven and Steven.

C’est une réelle joie cette émulation et cette spontanéité de chacun. Vivement le prochain Meetup Puppet Paris !

Je sais, c’est moche de se citer.

Mon EverNote a retenu pour moi :
http://puppetlabs.com/resources (podcasts & PuppetConf Videos)
http://puppet-lint.com/
http://rspec-puppet.com/
http://gitimmersion.com/
https://github.com/croomes/gonzo

S’initier à l’iSeries

Publié le 4 juin 2014 par Olivier Locard

L’AS/400 reste un mystère pour beaucoup, sa longévité fascine et son fonctionnement intrigue. Citons quelques caractéristiques. Un système d’exploitation assis sur une base de données. Tout y est objet. Une lecture/écriture sur une armée de disques en simultanée offrant des temps d’accès record. Des allocations de ressources aux traitements à la volée. Une confusion entre mémoire et disque qui sublime le swap. Une gestion native des contextes qui permet à plusieurs environnements de cohabiter avec les mêmes programmes en toute étanchéité.
D’une fiabilité éprouvée et d’une modernité incroyable, cette machine est fort intéressante à appréhender.

Par obligation ou opportunité, contraint ou en autodidacte, on a parfois besoin ou envie de s’initier à cette machine. Sans trop savoir comment s’y prendre, on peut être perdu alors que c’est sans doute la machine la plus aisée à aborder ! Un comble. Voyons donc ici quelques astuces pour commencer votre auto-formation.

Continuer la lecture →

Syrie m’était contée

Publié le 28 mai 2014 par Olivier Locard

Répondre

Comprendre le conflit syrien au travers du journanisme français est une gageure ! L’analyse faite est une somme d’approximations et de simplifications laborieuses semant un trouble malheureusement erroné. Pourtant, malgré un grand nombre d’acteurs, la situation n’est pas si complexe quand on s’y intéresse réellement

Je prends donc ici le temps de présenter simplement ce conflit en corrigeant les inepties véhiculées. Les deux points essentiels sont les acteurs majeurs et les racines du conflit.
Nous verrons que les deux grands acteurs ne sont pas la Russie et les Etats Unis, et que ce rôle incombe à l’Iran et l’Arabie Saoudite. De même nous verrons que si les printemps arabes sont bien l’étincelle mettant le feu aux poudres de la protestation, ils ne sont pas les racines de ce conflit qu’il faut aller chercher dans le bouleversement irakien.

Lire la suite →

Continuer la lecture →

DevOps – Présentation – 3

Publié le 21 mai 2014 par Olivier Locard

Répondre

Le facteur humain est, à mon sens, le plus important dans une démarche DevOps. Dans les deux articles précédents, je décrivais « bonheur de produire de la qualité ensemble », et je vulgarisais rapidement les concepts de Continuous Integration et Continuous Delivery apportant respectivement le bien-être du développeur et le confort de l’exploitant. Concentrons-nous ici sur le « produire ensemble », sur la charnière entre ces deux mondes, autrement dit sur la collaboration de ces deux ensembles d’équipes.

Le terme d’ensemble est choisi pour sa confusion entre l’adverbe et le nom, subtilité de la langue française dont j’abuse. La notion d’ensemble des équipes est important et mérite une présentation. Ce qui nous aménera à se poser la question de leur collaboration ensemble.

Continuer la lecture →

DevOps – Présentation – 2

Publié le 14 mai 2014 par Olivier Locard

Répondre

Le rapprochement entre les équipes de développement et d’exploitation est l’élan principal du mouvement DevOps. Pour appréhender l’interactions entre ces deux équipes, il faut comprendre le cycle de vie d’une application. Si celui-ci comporte une phase initiale d’analyse des besoins et d’études de faisabilité entre autre, il passe, pour ce qui concerne notre sujet, par une chaine de montage (un workflow pour les anglophones) qui va de la conception à la mise en production. Du développement à l’exploitation.

Cette présentation est plus de la vulgarisation qu’un discours hautement académique, je prends donc le parti de la simplification et de présenter le cycle de vie comme l’adjonction de deux cycles distincts, celui du développement et celui du déploiement dans les environnements de recette et de production. On pourrait palabrer sur la pertinence de cette césure, et il est vrai que certaines méthodes voire outils ne les distinguent pas aussi franchement, mais le but avoué de cet article est de présenter les deux concepts qui ainsi s’appuient sur un cycle de vie, respectivement le Continuous Integration et Continuous Delivery (Intégration continue et Livraison continue pour les francophones).

Continuer la lecture →