Un NAS sous FreeBSD : deuxième partie
Je viens de publier la deuxième partie de la série d’article sur la conception d’un NAS sous FreeBSD : au menu, l’installation du matériel et le paramétrage de ZFS. Au passage, je vous fait profiter de mon gros coup de gueule sur Materiel.net qui met un mois à livrer du matériel annoncé comme livré avec un délai de 2/3 jours. Cerise, sur le gateau, même avec un mois de retard, ils livrent un boitier incomplet, j’ai donc attendu 10 jours de plus afin d’avoir ma commande. Je vous recommanderai donc les gars de Mini-ITX.com sont spécialisés dans ce type de boitiers et beaucoup plus sérieux. Le pire c’est qu’ils ne sont pas plus cher et livrent plus rapidement que Materiel.net alors qu’ils sont situés au Royaume-Uni.
Un filer sous FreeBSD : première partie
Je viens de publier la première partie d’une série d’articles qui décriront pas à pas la mise en place d’un filer (serveur de fichier) sous FreeBSD. Le premier article présente les contraintes du projet et explique les différents choix effectués au niveau du matériel. D’autres articles suivront d’ici quelques jours/semaines.
Big Brother is making your web unsecure
Ce qu’il y a de plus effrayant avec certaines grandes entreprises, c’est cette petite manie qu’elles ont de se croire au dessus des règles. Prenons l’exemple de Google, comme toute les grosses boites dans le domaine de l’informatique, ils ont leur équipe « sécurité informatique ». Chez eux, ils font dans l’originalité et appellent cette équipe : la « Google Security Team ». Comme dans toutes les équipes du même genre, on y trouve des chercheurs dans différents domaines. Comme Google est une boite jouissant d’une certaine réputation, ils n’ont pas de mal à recruter des profils intéressants ayant envie d’ajouter une ligne qui peut rapporter gros à leur CV. L’équipe finit donc par monter en compétence et publie donc des vulnérabilités.
Et c’est là que les problèmes commencent. Pas pour Google, ce sont de grand enfants, ils savent quand ils vont publier, ils savent donc quand patcher leurs serveurs. Par contre, ils oublient que reveler une faille un jeudi soir [1] et juste quelques heures après que le patch ait été ajouté dans les sources Linux, c’est rendre l’ensemble des serveurs Linux vulnérable pour au moins un week-end. Et ça n’a pas manqué aucune distribution majeure n’a eu de patch prêt avant lundi.
Jusqu’à hier, on avait donc quasiment l’ensemble des Linux du monde vulnérable et avec comme seule solution de patchage des grosses bidouilles. C’est quand même assez genant, et cela est totalement opposé aux règles communement admises pour la révalation de failles de sécurité. [2]
Trouver une alternative à BIND pour un DNS autoritaire n’est pas chose aisée, entre les usines à gaz comme PowerDNS et les serveur à la licence douteuse comme djbdns, il se dégage quand même NSD. Le challenger accepte les fichiers de zone au format BIND, équipe déjà 3 des root servers, et implémente des fonctionalités avancées comme DNSSEC et IPV6. Il reste cependant limité à une utilisation en tant que NS autoritaire car il ne sait pas effectuer de resolutions récursives.
Comme d’habitude, nous allons commencer par une installation du logiciel par les ports FreeBSD
# cd /usr/ports/dns/nsd # make install clean
Nous allons continuer avec l’édition du fichier de configuration
# cd /usr/local/etc/nsd/ # cp nsd.conf.sample nsd.conf # chmod +w nsd.conf # vi nsd.conf
Le fichier par défaut est relativement bien commenté, j’ai personnellement modifié les lignes suivantes pour avoir un serveur qui n’écoute que sur une des IPs de la box avec un pidfile dans un dossier particulier et j’en ai profité pour ajouter une zone DNS :
ip-address: 213.251.171.146 pidfile: "/var/run/nsd/nsd.pid"
zone: name: "majinboo.org" zonefile: "majinboo.org.zone" outgoing-interface: 213.251.171.146 notify: 217.174.206.169 NOKEY provide-xfr: 217.174.206.169 NOKEY
La modification du chemin du pidfile m’a permis de bypasser un bug lors du lancement du démon, il ne faut pas oublier de créer le dossier en question et d’y donner les droits à l’utilisateur bind.
Avant de lancer le démon, il ne reste plus qu’à créer un fichier de zone au format bind, de le compiler en utilisant zonec et d’ajouter nsd_enable= »YES » à la fin du /etc/rc.conf.
Il est possible d’aller plus loin, par exemple en ajouter des clef DNSSEC pour les échanges entre les serveurs primaires et secondaires.