Nous allons donc voir le détail de l'installation de Cherokee sur une distribution GNU/Linux Ubuntu 9.10 ainsi que sa configuration standard.

Une vidéo de mise en bouche

Avant de commencer, voici un screencast d'introduction à Cherokee (en Anglais):

Cherokee Web Server - Introduction from alobbs on Vimeo.

Installation de Cherokee

Cherokee se trouve dans les dépôts standard d'Ubuntu. Seulement, la version disponible date un peut (0.99.19-1build1 au moement de l'écriture de cet article). Heureusement, il existe dans les PPA une version plus récente. On commence donc par ajouter le dépôt PPA en question:

sudo add-apt-repository ppa:cherokee-webserver
sudo aptitude update

Ensuite on passe à l'installation complète (avec support du PHP et HTTPS):

sudo aptitude install cherokee php5-cgi libcherokee-mod-rrd rrdtool libcherokee-mod-libssl openssl

On teste l'installation en pointant son navigateur Web vers l'URL: http://192.168.29.129/ (remplacer l'adresse IP par celle du serveur sur lequel vous avez installé Cherokee...). La page suivante devrait apparaitre devant vos yeux ébahis.

Si vous avez lu l'introduction vous avez noté qu'il y a une interface Web de configuration (pas besoin d'aller trifouiller des tonnes de fichiers textes...). La  configuration cette interface d'administration (sic...) s'effectue grâce aux commandes suivantes:

cherokee-admin -b

Login:
 User:              admin
 One-time Password: goixKrnGLTtV4nZt

Web Interface:
 URL:               http://localhost:9090/

Il est possible de filtrer les adresses IP sources (celle qui on le droit d'administrer Cherokee en utilisant l'option -b=192.168.29.100 seul la machine d'adresse IP 192.168.29.100 pourra accéder à l'interface d'adminsitration).

Il ne reste plus qu'a pointer son navigateur Web vers l'URL: http://192.168.29.129:9090 (ou http://localhost:9090 si vous êtes directement sur la machine).

Configuration de Cherokee

On commence la visite du propriétaire avec le menu Etat qui permet d'avoir une vue sur votre serveur Web avec notamment un graphe sur la charge du serveur (grâce à RRD):

On peut également y voir le répertoire par défaut ou doit être stocké le contenu de votre site: "Default WWW:    /var/www"

Par exemple on va créer la superbe page HTML suivante:

cd /var/www
mv index.html index.html.old
vi index.html

<HTML>
<BODY>
Une belle page HTML
</BODY>
</HTML>

Il suffit de recharger l'URL http://192.168.29.129/ pour voir s'afficher la page.

On poursuit par la découverte du deuxième menu de l'interface d'administration de Cherokee: Général. L'onglet Réseau permet de configurer le comportement de votre serveur. C'est notamment là qu'il faut activer le type de graphe RRDtools afin d'avoir de beau graphes dans le menu Etat.

On passe ensuite à l'onglet Port à écouter qui comme son nom l'indique permet de configurer les ports TCP en écoutes pour les requêtes HTTP (c'est le port 80 qui est défini par défaut). Il est possible de configurer plusieurs ports d'écoutes en HTTP et HTTPs (on reviendra sur ce point un peu plus loin):

On passe ensuite à l'onglet Permission du serveur ou l'on peut configurer le nom et le groupe système avec lequel Cherokee va être lancé:

On passe ensuite à la partie que je trouve la plus intéressante par rapport aux autres serveurs Web: la simplicité de création des Serveurs Virtuels.

Un serveur web virtuel permet d'associer un nom de machine (par exemple blog.mondomaine.com) à une arborescence précise de mon serveur Web (par exemple /var/www/blog). Il est bien sûr possible de créer autant de serveurs web virtuels que de besoins.

La première fonction permet d'ajouter simplement une association "nom de machine" / "répertoire" (option Ajouter un nouveau serveur virtuel):

Pour le support du langage PHP (Cherokee supporte également le langage PHP via le module php5-cgi, installé dans la première partie de cet article) sur un serveur virtuel existant. Il faut cliquer sur le serveur en question dans la liste puis se rendre dans l'onglet Behavior, cliquer sur le bouton Assistants puis choisir PHP dans la liste (sous menu Langues) et enfin cliquer sur Run Wizard:

La ligne PHP va être ajouté dans la liste des Behavior:

Il faut ensuite cliquer sur le radio bouton Final

On peut tester simplement la configuration en ajoutant un fichier de test index.php contenant les lignes suivantes à la racine de votre serveur virtuel:

<?php
echo phpinfo();
?>

Et le résultat de l'URL http://192.168.29.129/index.php

Pour créer un serveur virtuel il est également possible de suivre un Assistant qui va vous proposer d'installer pour vous une liste de services (Liferay, Wordpress, Dupral, Zend, Trac, MoinMoin, PhpBB, ...).

Sécuriser les échanges

On va ici parler de HTTPs qui permet de chiffrer les échanges entre votre navigateur Web et votre serveur Cherokee. Cette étape de configuration est bien sûr optionnelle.

On commence par configurer OpenSSL (le module qui va chiffrer) pour qu'il génère des certificats dédiés à notre serveur (virtuel ou pas).

openssl req -new -x509 -nodes -out serverdefault.crt -keyout serverdefault.key

Generating a 1024 bit RSA private key
...........++++++
......................++++++
unable to write 'random state'
writing new private key to 'serverdefault.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:PACA
Locality Name (eg, city) []:Cannes
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Nicolargo
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:
Email Address []:

On copie alors les deux fichiers générés dans le répertoire /etc/cherokee:

sudo cp serverdefault.crt serverdefault.key /etc/cherokee

On doit ensuite se rendre dans le menu Général / Réseau de l'interface d'administration de Cherokee et activer le module OpenSSL:

Ensuite on configure le serveur pour écouter sur le port HTTPS (TCP/443) dans le menu Général / Port à écouter:

Puis associer les clés de chiffrement à notre serveur virtuel (onglet Sécurité):

Enfin il ne faut pas oublier de redémarrer le serveur pour que la configuration soit appliquée:

Et le résultat sur l'URL https://192.168.29.129/index.php

Conclusion

Pour finir quelques resources:

• La documentation officielle
• Le livre de cuisine de Cherokee
• Les benchs de Cherokee
• Le blog d'Alvaro

C'est quoi donc NTP ?

Le principe général est simple: on configure le client NTP pour aller demander à un serveur NTP l'heure de référence (à la seconde près). Le client peut alors modifier sa date système en concéquence. Cette description simpliste est à nuancer par le fait que le protocole NTP est basé sur une architecture en arbre.

Par exemple, sur un système d'exploitation GNU/Linux de type Debian ou Ubuntu, il suffit de saisir la commande suivante pour faire appel à un serveur NTP secondaire (ntp.ubuntu.com définie dans le fichier /etc/default/ntpdate):

sudo ntpdate-debian

15 Mar 10:11:01 ntpdate[5406]: adjust time server 91.189.94.4 offset 0.038837 sec

Nous allons maintenant voir maintenant comment installer un serveur de temps NTP sur votre réseau qui pourra continuer de servir de référence même en cas de coupure de votre liaison Internet.

Installation d'un serveur NTP

On installe les brique NTP (exemple de commandes sous Ubuntu 9.10)

sudo aptitude install ntp

sudo /etc/init.d/ntp stop

On configure ensuite le fichier /etc/ntp.conf:

sudo vi /etc/ntp.conf

# Configuration
driftfile /var/lib/ntp/ntp.drift
statsdir /var/log/ntpstats/
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

# Serveur de temps ROOT
# http://www.pool.ntp.org/zone/fr
server 0.fr.pool.ntp.org
server 1.fr.pool.ntp.org
server 2.fr.pool.ntp.org
server 3.fr.pool.ntp.org

# ACL
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery
restrict 127.0.0.1
restrict ::1
restrict 192.168.2.0 mask 255.255.255.0 notrust

Pour synchroniser mon serveur NTP, j'utilise les serveurs fourni par le projet pool.ntp.org qui propose un cluster de serveurs NTP virtualisés sous un nom unique (fr.pool.ntp.org pour la france).

Il faut également penser à adapter la section ACL en fonction de votre réseau (le mien étant en 192.168.2.0/24)

On peut ensuite synchroniser notre serveur puis lancer le daemon NTP:

sudo ntpdate -dv fr.pool.ntp.org

sudo /etc/init.d/ntp start

Configuration des clients NTP

Il ne reste plus qu'a configurer les clients NTP de votre pour utiliser votre serveur NTP. Sous Ubuntu, il faut se rendre dans le menu "Système / Administration / Date" et heure puis sélectionner "Configuration: Rester synchroniser avec les serveurs sur Internet":

Cliquer ensuite sur "Sélectionner des serveurs":

On ajoute notre serveur NTP local (adresse 192.168.2.254 dans mon cas):

PS: il est possible de sélectionner plusieurs adresses de serveurs.

Et voili, votre PC restera maintenant synchronisié à votre serveur de temps, lui même synchronisé au cluster NTP fr.pool.ntp.org !

Si en plus ce disque est réseau (NAS), ce script sera une première étape dans le partager de votre bibliothéque iTunes entres les différents ordinateurs de votre réseau local (je parle ici d'un VRAI partage avec play-lists, notes, suppression, modification...). Mais j'y reviendrai dans un prochain article...

Script:

#!/bin/sh
SRC="/Users/nicolargo/Music/iTunes/"
DST="/Volumes/DDEXT/MUSIC/iTunes"
RSYNC="/usr/bin/rsync -a -x -S -v --modify-window=1 --delete"
$RSYNC $SRC $DST

Détail des variables:

SRC: Emplacement de votre bibliothèque iTunes (à modifier selon votre configuration). A noter, le / en fin de ligne.

DST: Chemin d'accès vers votre disque dur externe ou réseau (à modifier selon votre configuration). A noter, l'absence de / en fin de ligne.

RSYNC: chemin et option vers rsync avec:

• --modify-window=1: si vous faite une synchronisation vers un disque FAT32, cette option est obligatoire (sinon les fichiers seront recopiés intégralement à chaque synchronisation...)
  Remarque: si vous utilisez un disque externe formaté en HFS, il faut utiliser l'option -E en lieu et place de --modify-window=1

• -a: synchronise l'ensemble des fichiers, répertoires et sous-répertoire
• -x: ne pas écraser les fichiers systèmes
• -S: gère de manière efficace les fichiers fragmentés.
• -v: affiche ce que rsync fait
• --delete: efface du disque dur externe les fichiers inexistants de votre bibliothèque iTunes.

Voici un petit billet sur l'installation de la dernière version stable d'Ubuntu (Karmic 9.10) sur un PC portable Lenovo T500.

Installation du système (Ubuntu Karmic 9.10) sans aucun problème à partir du CD d'installation.

Après redémarrage du PC, fonctionnement "out of the box" (sans configuration) pour:

• Clavier (bouton son + luminosité)
• Trackpad / Trackpoint
• Affichage en 16:10 (1280x800 / 60Hz) avec support 3D
• Réseau Ethernet Gigabits (eth0)
• Réseau Wifi (bouton d'activation/désactivation fonctionnel)
• USB (3 ports disponibles)
• Lecteur/graveur CD et DVD
• Son (lecture et enregistrement)
• Bluetooth (bouton d'activation/désactivation fonctionnel)
• Webcam

Non testé:

• Modem
• Firewire

Le fonctionnement de la machine est très agréable, rapide et l'affichage stable et lisible.

Voici donc les 3 sites sur lesquels je récupère mes fameux "wallpapers" (sous licence publique pour une utilisation personnelle).

Vlad Studio

Cet artiste est un vrai génie des fonds d'écran, j'en avait déjà parlé dans ce billet il y a maintenant plus de deux ans mais il reste au top de sa forme.

Adresse du site: http://www.vladstudio.com/fr/wallpapers/

Smashing Magazine

Ce site est la référence pour le Web Design (enfin pour moi). Leur section fonds d'écran, bien que peu mise à jour, cache des petits bijoux.

Adresse du site: http://www.smashingmagazine.com/tag/wallpapers/

Devian Art

Dans un autre style, les fonds d'écran que l'on peut trouver sur ce site plairont certainement à un large public !

Adresse du site: http://browse.deviantart.com/customization/wallpaper/

Et vous ? quels sont vos sites de références pour les fonds d'écran ?

Les principaux défauts de Picasa sont:

• le fait qu'il n'est pas libre... Mais je n'ai, à l'heure actuelle pas trouvé de solution open-source arrivant à la qualité de ce logiciel (que ce soit F-Spot, gThumb ou Shotwell...)
• il n'existe pas de version spécifique pour les environnement GNU/Linux (comme on peut le trouver sous Mac OS X) mais une version "winefier" de la version Windows (comme Wine est sous license LGPL, Google l'a intégré au package d'installation de Picasa).

Voici donc une procédure pour installer Picasa sur votre distribution GNU/Linux Ubuntu 9.10.

On commence par ajouter les dépôts Google

sudo vim /etc/apt/sources.list.d/google-karmic.list
# Google repository
deb http://dl.google.com/linux/deb/ stable non-free

# Google testing repository
deb http://dl.google.com/linux/deb/ testing non-free

Puis on importe la clés d'authentification:

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | apt-key add -

On met à jour notre liste de dépôt puis on installe Picasa:

sudo apt-get update
sudo apt-get install picasa

Installation

L'installation est très simple sur Ubuntu:

sudo aptitude install bugzilla3

On accède au serveur par l'URL:

http://adresse_de_votre_serveur/cgi-bin/bugzilla3/

Configuration

Il faut se connecter en utilisant comme login, l'adresse mail d'administration et le mot de passe associé.

Avant d'utiliser le serveur, il faut configurer quelques paramètres en se rendant à la page suivante:

http://adresse_de_votre_serveur/cgi-bin/bugzilla3/editparams.cgi

Notamment les parmaètres:

• Le paramètre maintainer, la personne responsable de cette installation si quelque chose fonctionnait mal.
• Le paramètre urlbase, qui est l'URL pointant vers cette installation et qui sera utilisée dans les courriels (ce qui est aussi la raison pour laquelle vous voyez cette page : tant que ce paramètre ne sera pas défini, vous verrez cette page encore et encore).
• Le paramètre cookiepath, qui est important pour votre navigateur pour gérer correctement vos cookies.
• Le paramètre utf8, qui vous permettra d'encoder tous les textes en UTF-8 si vous le voulez (il est fortement recommandé de laisser ce paramètre activé).

Utilisation

Je vous conseille ensuite de créer un (ou plusieurs) compte admin à partie de l'URL:

http://adresse_de_votre_serveur/cgi-bin/bugzilla3/editusers.cgi?action=add

Il ne vous reste plus qu'a consulter la document en ligne pour vous servir de votre nouveau serveur Bugzilla !

J'ai développé un petit script (sous licence GPL) permettant d'automatiser l'installation d'un serveur Nagios complet sur une distribution GNU/Linux Ubuntu (j'ai validé le script sur Ubuntu 9.10). Libre à vous de modifier ce script pour l'adapter à vos besoins. Si des âmes charitables veulent modifier le script pour l'adapter à d'autres distribution GNU/Linux ou BSD, je suis preneur pour les mettre en téléchargement sur mon SVN.

Récupération du script

On lance la commande suivante pour télécharger le script sur son serveur et le rendre exécutable:

wget http://svn.nicolargo.com/nagiosautoinstall/trunk/nagiosautoinstall-ubuntu.sh

chmod a+x nagiosautoinstall-ubuntu.sh

PS: vous pouvez télécharger le script directement par l'URL suivante:

Lancement du script

Il suffit ensuite de lancer le script et de répondre aux questions posées par le système:

sudo ./nagiosautoinstall-ubuntu.sh

Informations sur l'installation

Dans la version 0.1 du script la configuration finale est la suivante:

Nagios Core version      3.2.0
Nagios Plugins version   1.4.14
Utilisateur système:     nagios
Groupe système:          nagios
URL de l'interface Web:  http://localhost/nagios/
Utilisateur pour l'interface Web: nagiosadmin

Ce constat mis à part, il est possible que des virus spécifiques (comme des virus s'attaquant à des serveurs, ou la part de marché des système GNU/Linux est bien plus importante) fassent leurs apparitions dans les prochaines années, quoi que l'on en dise il est tout à fait possible de développer un virus pour GNU/Linux. De plus dans les systèmes d'information modernes, la communication et l'échange des données entre les mondes Windows et GNU/Linux sont de plus en plus fréquentes. Quoi de plus désagréable pour un utilisateur GNU/Linux d'envoyer à un utilisateur Windows un fichier vérolé qui va corrompre son "beau" système...

Nous allons donc voir comment installer et utiliser Clamav sur un système GN/Linux Ubuntu.

Installation de Clamav

Par chance, Clamav et les bases de Virus sont dans les dépôts officiels:

aptitude install clamav

Utilisation de Clamav

Scan d'un répertoire:

clamscan -r

----------- SCAN SUMMARY -----------
Known viruses: 676913
Engine version: 0.95.3
Scanned directories: 78
Scanned files: 1224
Infected files: 0
Data scanned: 196.17 MB
Data read: 208.18 MB (ratio 0.94:1)
Time: 51.808 sec (0 m 51 s)

Et hop, à automatiser dans crontab ou dans vos applications...

Pourquoi ?

Un système FreebSD est composé de trois groupe de logiciels: le noyau, le monde et les ports.

Le noyau (ou kernel) est le coeur de système, il permet la communication avec le matériel (CPU, mémoire, entrée/sortie, processus...). Il est géré par l'équipe de développement de FreeBSD. Il est possible de customiser finement ce noyau à vos besoins.

Le monde (ou world) représente des applications ou services proche du système, fournies avec le système FreeBSD.

Les ports sont des applications/services/librairies portés par leurs auteurs ou par des personnes tierces sur le système FreeBSD.

Ainsi quand on doit faire une mise à jour de notre système FreeBSD, il faut commencer par se poser la question suivante: que veut on mettre à jour ? Nous allons dans la suite du billet détailler une mise à jour complète de son système FreeBSD

Comment ?

Avant de commencer la phase de mise à jour proprement dite, il faut récupérer les sources du noyau et du monde (le tout étant recompilé avant d'être installé sur votre machine).

Récupération des sources

Plusieurs méthodes existent. Personnellement, j'utilise la méthode cvsup. On commence par installer le logiciel cvsup avec la commande suivante:

pkg_add -r cvsup
mkdir /usr/local/etc/cvsup/
cp /usr/share/examples/cvsup/stable-supfile /usr/local/etc/cvsup
cp /usr/share/examples/cvsup/ports-supfile /usr/local/etc/cvsup

Ensuite on édite les fichiers de configuration /usr/local/etc/cvsup/stable-supfile et /usr/local/etc/cvsup/ports-supfile pour modifier l'URL du serveur de mise à jour:

*default host=cvsup1.fr.FreeBSD.org

Mise à jour du monde

On commence par mettre à jour le monde:

cd /usr/src/
make buildworld

On redémarre en mode de maintenance:

mergemaster -p
make installworld
mergemaster -i

On redémarre en mode normal.

PS: l'étape de reboot en mode maintenance n'est pas obligatoire mais fortement conseillée...

Mise à jour du noyau

Puis et seulement puis, on met à jour le noyau de notre système avec les commandes suivantes:

cd /usr/src/sys/i386/conf
ls GENERIC
make buildkernel KERNCONF=GENERIC
make installkernel KERNCONF=GENERIC

PS: si vous avez customiser votre noyau, il faut donner le nom du fichier de configuration en lieu et place de GENERIC.

Mise à jour des ports

Comme pour le mode et le noyau, il est nécessaire de récupérer la liste des derniers ports (arbre des ports dans le jargon FreeBSD), pour cela j'utilise les commandes:

portsnap fetch
portsnap extract
portsnap update

Ensuite j'utilise le logiciel portupgrade pour effectuer les mise à jour. Il faut dans un première temps installer ce logiciel sur votre système:

pkg_add -r portupgrade

Ensuite on lance la mise à jour de nos ports installés:

portupgrade -ar

FreeBSD-Update Une solution tout en un

Sur les dernière versions de FreeBSD (>6.3 et >8.0), un logiciel automatisant ces taches a été développé par l'équipe de FreeBSD. Le logiciel en question s'appelle freebsd-update.

Il permet de mettre à jour votre système a deux niveaux:

Mise à jour au niveau sécurité

Il suffit de saisir les deux commandes suivantes:

freebsd-update fetch
freebsd-update install

Mise à jour majeure et mineure

Les trois commandes suivantes vont mettre à jours les ports et migrer FreeBSD dans la dernière version disponible (8.0-RELEASE):

portupgrade -af
freebsd-update -r 8.0-RELEASE upgrade
freebsd-update install

On doit ensuite rebooter la machine, puis re-saisir la commande suivante:

freebsd-update install