OSM Propaganda

I use my old bike for OpenStreetMap work: it is a very useful way to map a lot of things without going too fast. This time, I've decided to make a little bit more advertisement for OSM project.

a bike with an OSM logo in the middle of the frame

This is the best way I've found to make people ask me: "What is OpenStreetMap.org ?"...

Posted sam. 03 mars 2012 20:47:39 Tags:

Un peu de sécurité sous IPv6

Introduction:

Si vous avez lu mon article précédent, vous avez eu le temps de voir qu'IPv6 est facile à mettre en oeuvre. Néanmoins, ce n'est pas le cas en ce qui concerne la sécurité. Dès qu'une simple station de travail dispose d'une adresse IPv6 publique, elle est directement "attaquable".

En IPv4, vu la pénurie d'adresses, les utilisateurs "à la maison" sont souvent confrontés à du NAT. Si cette méthode a de gros inconvénients (pas vraiment une adresse publique), elle apporte un niveau de sécurité minimal. Chez la majorité des FAI, le routeur ne laisse rien rentrer. C'est d'ailleurs à l'utilisateur de configurer sa machine pour permettre l'accès à des machines internes.

Il n'y a plus rien de tout ça avec IPv6 (mais dans un sens, on ne va pas regretter le NAT) et il faut donc passer un peu de temps pour faire en sorte que "les méchants" ne puissent vous nuire.

Pour les stations dites clientes:

Par station cliente, j'entends une machine connectée directement à Internet en IPv6 mais qui n'offre aucun service réseau: aucun démon qui écoute sur le réseau n'est installé (c'est un peu un raccourci, que les puristes me pardonnent).

Pour ce genre de machine, on veut surtout consommer (utiliser nos globes occulaires), dans de bonnes conditions de performances et pour un maximum d'applications réseau. Le trafic sortant aura donc tout intérêt à être peu filtré car sur ma station de travail, je peux très bien avoir envie de faire autre chose que du web (port 80). Je vais également considérer que le système d'exploitation des stations clientes de mon réseau local est fiable au niveau binaire (c'est du Debian bien administré, pas du Micro$oft non patché): à priori, je n'ai pas de raison de vouloir surveiller ou filtrer ce qui sort de cette machine. Voilà mon compromis de sécurité.

En revanche, pour tout ce qui entre, je veux le strict minimum. Si vous avez lu mon article sur IPv6, vous vous rendez compte que dans minimum, il y a forcément icmpv6. Alors qu'il est courant de fermer les accès ICMP entrant pour toute machine dans un réseau IPv4, on n'a pas du tout intérêt à le faire avec IPv6: le protocole de découverte des voisins et les procédures d'autoconfiguration utilisent ICMPv6. Il faut donc permettre ICMP au moins sur le lien local et sur le préfixe attribué.

Pour terminer, le seul truc qui peut être utile est un accès SSH. Il y a quand même un service qui écoute sur les stations clientes. Mais ce doit être le seul. Ici aussi, je ne souhaite pas administrer ma machine en dehors de mon réseau local.

Voilà pour la partie "cahier des charges" et voici un script qui y répond. Le contenu est explicité par des commentaires. Retenez que c'est presque comme pour ipv4 sauf qu'on utilise ip6tables au lieu de iptables (oui, c'est un raccourci énorme).

Fichier /etc/firewall/netfilter_ipv6.sh

    #!/bin/sh

    # Script de configuration de Netfilter
    ## Cible: Station de travail sur un réseau local en IPv6

    ## Les précautions d'usage: on efface tout.
    ### Suppression de base
    /sbin/ip6tables -F 

    ### Suppression des chaînes utilisateurs
    /sbin/ip6tables -X

    ## Par défaut (default policies), on ferme toutes les entrées sauf les sorties
    /sbin/ip6tables -P INPUT DROP
    /sbin/ip6tables -P FORWARD DROP
    /sbin/ip6tables -P OUTPUT ACCEPT

    ## On accepte l'adresse loopback en entrée/sortie:
    /sbin/ip6tables -A INPUT -i lo -j ACCEPT
    /sbin/ip6tables -A OUTPUT -o lo -j ACCEPT

    ## On accepte ce qui revient:
    /sbin/ip6tables -A INPUT -i wlan0 -m state --state ESTABLISHED,RELATED -j ACCEPT

    ## On accepte tout ce qui vient des liens locaux:
    /sbin/ip6tables -A INPUT -s fe80::/10 -j ACCEPT
    /sbin/ip6tables -A OUTPUT -s fe80::/10 -j ACCEPT

    ## On accepte uniquement SSH en entrant sur le réseau local (préfixe attribué, le lien local et déjà géré)
    /sbin/ip6tables -A INPUT -i wlan0 -s 2001:db8:dead:beef::/64 -p tcp --dport 22 -m state --state NEW -j ACCEPT

    ## On accepte ICMPv6 sur le réseau local (préfixe attribué) pour permettre l'autoconfiguration et les tests sur l'adresse publique (mais pas depuis l'extérieur).
    /sbin/ip6tables -A INPUT -i wlan0 -s 2001:db8:dead:beef::/64 -p icmpv6 -j ACCEPT

Pour le mettre en service dans les règles de l'art sous Debian, je vous conseille la méthode préconisée dans l'article DebianFirewall du wiki Debian (modifier /etc/network/interfaces). Vous noterez que pour définir des adresses IPv6, j'ai cette fois utilisé le préfixe réservé pour les adresses exemples (2001:db8::/32) comme le stipule le RFC 3849

Pour un serveur public:

Ici, notre cas est assez simple mais bien différent de la station cliente: nous avons du trafic public, il faut donc ouvrir plus de portes.

Voici un script du même type qu'avant mais qui tient compte des paramètres suivants:

  • la machine héberge un serveur Web natif IPv6.
  • la machine héberge un MTA qui accepte du trafic IPv6.
  • la machine héberge un serveur IMAP dédié au réseau local ipv6.
  • la machine doit répondre à un ping en provenance du réseau public (on va considérer qu'il y a plus de chances que je cherche à pinguer cette machine depuis Internet que d'autres cherchent à exploiter une faille de sécurité d'ICMPv6 ou de faire un DDOS).

Le script suivant tente de répondre à ces exigences:

    #!/bin/sh

    # Script de configuration de Netfilter
    ## Cible: Serveur Web+Courrier électronique public+des services locaux

    ## Les précautions d'usage: on efface tout.
    ### Suppression de base
    /sbin/ip6tables -F 

    ### Suppression des chaînes utilisateurs
    /sbin/ip6tables -X

    ## On ferme toutes les entrées et les sorties
    /sbin/ip6tables -P INPUT DROP
    /sbin/ip6tables -P FORWARD DROP
    /sbin/ip6tables -P OUTPUT DROP

    ## On accepte l'adresse loopback en entrée/sortie:
    /sbin/ip6tables -A INPUT -i lo -j ACCEPT
    /sbin/ip6tables -A OUTPUT -o lo -j ACCEPT

    ## On accepte tout ce qui vient des liens locaux:
    /sbin/ip6tables -A INPUT -s fe80::/10 -j ACCEPT
    /sbin/ip6tables -A OUTPUT -s fe80::/10 -j ACCEPT

    ## On accepte uniquement SSH en entrant sur le réseau local (préfixe attribué, le lien local et déjà géré)
    /sbin/ip6tables -A INPUT -i eth0 -s 2001:db8:dead:beef::/64 -p tcp --dport 22 -m state --state NEW -j ACCEPT

    ## On accepte ICMPv6 sur le réseau public pour permettre l'autoconfiguration et les tests sur l'adresse publique y compris depuis l'extérieur).
    /sbin/ip6tables -A INPUT -i eth0 -p icmpv6 -j ACCEPT

    # Services publics:
    ## On ouvre les ports 80 et 443 en entrée
    /sbin/ip6tables -A INPUT -i eth0 -p tcp --dport http -j ACCEPT
    /sbin/ip6tables -A INPUT -i eth0 -p tcp --dport https -j ACCEPT

    ## Idem pour les ports 25 et 465 (SMTP)
    /sbin/ip6tables -A INPUT -i eth0 -p tcp --dport smtp -j ACCEPT
    /sbin/ip6tables -A INPUT -i eth0 -p tcp --dport smtps -j ACCEPT

    # Services locaux:
    # # On accepte les connexions IMAP depuis le réseau local (selon le préfixe);
    /sbin/ip6tables -A INPUT -i eth0  -s 2001:db8:dead:beef::/64 -p tcp --dport imaps -j ACCEPT

    ## On accepte les connexions DNS depuis le réseau local (selon le préfixe) pour le cache DNS
    /sbin/ip6tables -A INPUT -i eth0  -s 2001:db8:dead:beef::/64 -p tcp --dport domain -j ACCEPT
    /sbin/ip6tables -A INPUT -i eth0  -s 2001:db8:dead:beef::/64 -p udp --dport domain -j ACCEPT

    ## Gestion de la suite des entrées légitimes
    /sbin/ip6tables -A INPUT  -i eth0 --match state --state ESTABLISHED,RELATED -j ACCEPT

    # Vers l'extérieur:
    ## On autorise l'accès à HTTP/HTTPS (au moins pour les mises à jour système de la machine):
    /sbin/ip6tables -A OUTPUT -o eth0 -p tcp --dport http -j ACCEPT
    /sbin/ip6tables -A OUTPUT -o eth0 -p tcp --dport https -j ACCEPT

    ## On autorise également l'accès vers les autres ports 25 (sinon pas de contact des autres serveurs SMTP):
    /sbin/ip6tables -A OUTPUT -o eth0 -p tcp --dport smtp -j ACCEPT
    /sbin/ip6tables -A OUTPUT -o eth0 -p tcp --dport smtps -j ACCEPT

    ## Gestion de la réponse aux services légitimes en entrée
    /sbin/ip6tables -A OUTPUT -o eth0 --match state --state ESTABLISHED,RELATED -j ACCEPT

    ## On autorise le ping vers l'extérieur:
    /sbin/ip6tables -A OUTPUT -o eth0 -p icmpv6 -j ACCEPT

    # Gestion des logs
    ## On configure la politique par défaut de gestion des logs (avec une chaîne dédiée LOG_DROP)
    ## on affiche [ipv6 netfilter DROP] dans /var/log/syslog lorsqu'un paquet est rejeté.
    /sbin/ip6tables -N LOG_DROP
    /sbin/ip6tables -A LOG_DROP -j LOG --log-level 1 --log-prefix '[ipv6 netfilter DROP]:'
    /sbin/ip6tables -A LOG_DROP -j DROP

    ## Ensuite, on balance tout ce qui reste à traîner dans le LOG (normalement, c'est tout ce qui ne passe pas)
    /sbin/ip6tables -A FORWARD -j LOG_DROP
    /sbin/ip6tables -A INPUT -j LOG_DROP
    /sbin/ip6tables -A OUTPUT -j LOG_DROP

Voilà, tout est assez simple et classique. C'est très proche de ce qu'on trouve avec IPv4 sauf pour la gestion du préfixe réseau. A noter que j'ai ajouté un truc pour voir les logs de ce qui est rejeté: c'est toujours intéressant de savoir quel trafic tente de passer par IPv6 et ça peut me servir pour voir si IPv6 devient un canal de "bordel" ou non. Vous noterez sans doute ce qui peut ressembler à un oubli: il n'y a pas de sortie possible vers le DNS. C'est tout simplement parce que pour l'instant, j'utilise non pas un vrai service DNS sur cette machine mais uniquement un cache utilisé par les stations du réseau local. Ce cache ne sait pas attaquer du DNS en IPv6 (enfin, il n'est pas encore configuré pour).

Petit apparté sur les services qui écoutent en IPv6:

Si vous avez lu mes différents articles qui traitent de la mise en service de protocoles sur Internet (SMTP/IMAP/etc.), vous aurez remarqué qu'on n'y parle pas d'IPv6. Dans la plupart des cas, les logiciels sont "IPv6 compliants" à moins qu'ils disposent d'options spécifiques qui permettent de ne pas gérer IPv6 délibérément. C'est le cas de Exim4 par exemple qui dispose d'une directive disable_ipv6. En revanche, pour les autres applications, l'activation d'IPv6 revient simplement à écouter sur l'adresse ipv6 publique.

En faisant les tests des scripts ci-dessus j'ai été étonné de ne pas avoir certains services disponibles en IPv6. Mais l'erreur était juste une mauvaise configuration. En cas de problème, il vous suffit de lire à nouveau les fichiers de configuration, de vérifier les directives qui précisent les adresses qui "écoutent" et d'ajouter votre adresse IPv6 à la suite. Si vous n'êtes pas certain de qui écoute sur quoi, utilisez la simple commande netstat (genre netstat --inet --inet6 -l) pour comparer ce qui est disponible en IPv4 et ce qui l'est en IPv6.

Attention également à la manière dont doivent être écrites les adresses IPv6. Par exemple, le fichier de configuration de dovecot n'accepte que les adresses IPv6 entre crochets alors que celui d'Exim4 gère très bien sans !

Conclusion:

Ces deux scripts n'ont aucune prétention (certainement pas celle d'être parfaite). Ils permettent une sécurisation à minima de vos machines connectées à Internet IPv6, que ce soit pour des stations de travail ou pour des machines qui exposent des services publics. Ces règles sont assez simples et on peut donc parfaitement les écrire sans autre logiciel qu'un cerveau. Pour des situations plus complexes, la doc de netfilter est un préalable indispensable et il faudra peut-être recourrir à l'aide d'un éditeur de règles.

En attendant, nous voilà un peu plus sûrs de nous dans notre conversion vers IPv6 et c'est tant mieux. Vive le réseau public avec des adresses publiques pour tout le monde (et à foison) ;-)

Posted dim. 04 mars 2012 17:47:08 Tags:

Pour gagner du temps avec Exim4 et les adresses IPv6

Histoire de vous faire gagner du temps sur votre configuration Exim4 en IPv6, voici une information à ne pas manquer: exim4 pour ses variables de liste d'adresses IP (ou sous-réseaux) utilise le caractère : comme séparateur. Le problème de cette syntaxe c'est qu'une adresse IPv6 utilise le caractère : à fond ! La solution d'Exim4 pour gérer les adresses IPv6 consiste simplement à doubler les caractères :. Ainsi, si vous désirez utiliser une directive qui demande une liste d'adresses IP pour filtrer tel ou tel comportement suivant l'appartenance à un réseau local ou à un autre, vous devez écrire l'adresse (au hasard 2001:db8:dead:beef::) comme dans l'exemple suivant:

auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{192.168.0.0/24: 2001::db8::dead::beef::::/64}}

Le symptôme d'une mauvaise écriture se retrouve dans les logs d'Exim4 avec la mention no IP address found for host 2001 (during SMTP connection from debianbox (debianbox.example.com) [2001:db8:dead:beef:6120:6ae4:ea71:a549]). Ce qui frappe c'est qu'Exim mentionne uniquement la première partie de l'adresse ipv6 (2001) et ne traite pas le reste.

Bon, c'était marqué dans la doc mais il m'a fallu relire le passage trois fois avant de voir mon erreur de saisie. On apprend toutefois beaucoup de ses erreurs...

Si d'autres sysadmins peuvent gagner du temps avec cette astuce, je n'aurais pas trop perdu mon temps ;-)

Posted lun. 05 mars 2012 19:06:46 Tags:

This blog (and my whole website) is now driven by Ikiwiki

After 4 nights of (hard) work, I managed to move my Pyblosxom website to a new one. After dotclear, serendipity and Pyblosxom, I've finally chosen ikiwiki...

Time after time, Pyblosxom was quite good for a blog but it was very painful with work in progress documents. I've decided that a wiki could be something very clever to publish informations about projects I am working on without to write complete articles.

Ikiwiki is a wiki compiler. It has been writen by Joey Hess, a famous Debian Developper (author of debian installer and plenty of other tools). It simply transforms markdown files to html and manage the links between all of the pages. You can use a VCS (I use Git) to add history of what has been written. At last, it is full of plugins to help you adding very useful features. That is why I am also using it to publish a blog and keep a wiki with the same tool.

Actually, it is not a true Wiki: there is no server-side binary (or script). Everything is compiled on my workstation (any of them thanks to Git) and then uploaded as static HTML files on my web server. Perhaps will it change if I need a way to modify documents from the web.

During those days, I learned about ikiwiki configuration and took time to make the transition. It is documented in this page called "From Pyblosxom to Ikiwiki".

So please welcome this new blog and note that I have already import (nearly) everything of the old site.

Posted jeu. 22 mars 2012 20:56:00 Tags:

Installation de Debian Squeeze sur Itium 4300

Présentation

J'ai eu l'occasion de récupérer un Itium 4300 il y a près de 3 ans. C'est arrivé par hasard: on me l'a offert en pensant que je pourrais en faire quelquechose. Cette machine est restée cachée dans un placard jusqu'à ce qu'un déménagement la fasse surgir de l'au-delà. Je me suis donc mis en devoir d'en faire quelquechose ou de la donner à quelqu'un d'autre si cela n'était pas possible.

Avant de lui trouver une utilité, encore faut-il pouvoir installer un véritable système d'exploitation et comprendre à quel matériel j'ai affaire. C'est ce que j'essaye de résumer ici.

Hardware

Au niveau du matériel, sachez que cette machine ressemble à ça:

Vue globale d'un Itium 4300

C'est un NetPC: un truc pas trop gros avec des performances limitées, sans disque dur et qui consomme théoriquement peu. C'est une machine assez proche de ce que peut offrir un SheevaPlug mais avec une carte vidéo en plus.

Après quelques recherches et, surtout, en regardant les références de la carte-mère après un rapide démontage, j'ai trouvé plus de détails. En fait, les produits Itium commercialisés par IMPACT technologies (un français) sont des machines rebadgées. Il s'agit en fait de machines du constructeur taiwanais Teco.

Voici les indications du constructeur sur ce modèle qui est un TR3541:

  • Le processeur est un VIA C7 cadencé à 1Ghz. Il utilise le jeu d'instruction x86. On peut donc utiliser la plateforme i386 pour installer Debian dessus.
  • Il dispose de 512Mo de RAM: c'est pas grand chose mais suffisant pour faire un serveur.
  • Sa mémoire de masse est une carte compact-Flash de 1Go.
  • Ce disque est livré avec Windows XP embeded que je vais me charger de supprimer.
  • Ensuite, il y a une connexion Ethernet (classique).
  • Il reste un emplacement PCI pour ajouter une carte d'extension. Teco utilise, par exemple, une carte PCI avec des connecteurs téléphoniques. Il s'agit en fait de cartes PCI fabriquées par Digium, la boîte qui est derrière l'IPBX Asterisk.
  • L'alimentation est incluse dans le boitier: il suffit d'un simple câble d'alimentation pour alimenter l'engin.
  • Le tout doit consommer environ 20W en charge et il n'y a aucun ventilateur.

Voici une vue de la carte mère où on peut distinguer la carte compact flash et tout le reste.

Carte mère de l'Itium

Passons maintenant à l'installation de Debian.

Installation du système d'exploitation

Aperçu

Avec 1Go de disque dur, il ne faudra pas vouloir installer beaucoup de paquets. Dans l'immédiat, je me contenterai d'un système Debian standard (uniquement les paquets essentiels) et d'un serveur SSH pour pouvoir prendre la main dessus à distance.

En terme de distribution, je vais utiliser Debian stable (c'est à dire Squeeze) qui a le mérite d'être... stabilisée ! Plus sérieusement, d-i (Debian Installer, le logiciel d'installation de Debian) est plus fiable en version Squeeze: on peut même s'en servir pour installer Debian testing (aka Wheezy).

Maintenant, il faut répondre à une question essentielle: quel mode d'installation allons-nous retenir ? C'est LA question à régler avant de démarrer quoi que ce soit. En effet, ce NetPC est un peu verrouillé: malgré mes nombreux tests, je n'ai pas trouvé la touche qui permettait d'accéder au BIOS ! Difficile donc de booter sur autre chose que le disque.

Le système d'exploitation pré-installé était MS Windows XP. J'aurais pu envisager d'y installer le Win32-Loader (aka http://goodbye-microsoft.com/) et d'installer Debian à partir de ce point. Une autre solution consistait à utiliser un convertisseur Carte CF/IDE ou SATA pour monter ce périphérique sur une machine standard et y installer un système d'exploitation adapté.

Néanmoins, dans mes recherches d'accès au BIOS, j'ai trouvé que la touche F12 permettait de lancer un boot par PXE (par le réseau). C'est donc dans cette voie que je me suis engagé, sachant que c'est une technique que je maîtrise depuis des années: dans mon ancienne activité, j'ai déployé un système d'installation de machines (Win2000/XP/Debian) qui fonctionnait uniquement par PXE. C'était très pratique pour réinstaller une machine en quelques minutes (de temps effectif de travail).

Revenons à notre Itium et au boot PXE ! Avant que ça fonctionne, il vous faut un serveur DHCP et un serveur TFTP. Les deux vous permettront de lancer un boot depuis la machine distante qui va les interroger tout à tour (DHCP indiquant l'adresse du serveur TFTP). Bien entendu, comme nous voulons utiliser l'installeur Debian, il nous faudra les fichiers d'image que nous déposerons dans le répertoire servi par le serveur TFTP.

Le processus est également décrit dans le manuel Debian ou encore dans cet article (un peu ancien) du site Debian Administration.

Comment c'est branché ?

Pour des questions de logistique (réseau Wifi, pas d'accès à un switch et à un écran en même temps), j'ai utilisé une station de travail comme passerelle entre l'Itium et le réseau Wifi et de permettre un accès à Internet.

Concrètement, j'ai relié l'Itium à cette station par un câble réseau (plus besoin de veiller à prendre un câble croisé). Il est branché sur l'interface eth0 de la passerelle. La station dispose d'une carte Wifi qui est l'interface réseau principale reliée au reste du réseau local (et à Internet par la même occasion) et qui est nommé wlan0.

Nous avons donc une machine qui fera office de passerelle sur laquelle nous allons installer les serveurs DHCP et TFTP.

Configuration réseau de la machine "serveur"

Voilà pour la partie ethernet:

iface eth0 inet static
        address 192.168.1.1
    netmask 255.255.255.0
    network 192.168.1.0
        broadcast 192.168.1.255

Pour la partie wlan, pas besoin de préciser. Nous sommes sur un réseau IPv4 local 192.168.0.0/24.

Ne pas oublier d'activer cette interface (ifup eth0) sinon le serveur DHCP ne se lancera pas !

Pour assurer le rôle de la passerelle, il faut autoriser les paquets réseaux qui viennent de eth0 à passer vers wlan0 et réciproquement. On peut le faire en modifiant les règles iptables de cette machine. Pour des raisons pratiques, je lance le script suivant:

#!/bin/sh

PATH=/usr/sbin:/sbin:/bin:/usr/bin

#
# delete all existing rules.
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

# Always accept loopback traffic
iptables -A INPUT -i lo -j ACCEPT


# Allow established connections, and those not coming from the outside
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! wlan0 -j ACCEPT
iptables -A FORWARD -i wlan0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow outgoing connections from the LAN side.
iptables -A FORWARD -i eth0 -o wlan0 -j ACCEPT

# Masquerade.
iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

# Don't forward from the outside to the inside.
iptables -A FORWARD -i wlan0 -o wlan0 -j REJECT

# Enable routing.
echo 1 > /proc/sys/net/ipv4/ip_forward

Installation des services réseau

aptitude install tftpd-hpa dhcp3-server

Configuration DHCP (/etc/dhcp/dhcpd.conf):

Configuration tftp (/etc/

Images de l'installeur Debian

Vous pouvez télécharger les images Debian à l'aide des commandes suivantes:

 # cd /srv/tftp/
 # mkdir debian-installer && cd debian-installer
 # wget -r --cut-dirs=9 -nH -l 2 http://http.us.debian.org/debian/dists/squeeze/main/installer-i386/current/images/netboot/debian-installer/
 # cp -r debian-installer/i386/pxelinux.* .

Lancement des services:

 # /etc/init.d/isc-dhcp-server start
 # /etc/init.d/tftpd-hpa start

Débuter l'installation sur l'Itium

Branchez la machine et allumez-là en appuyant sur la touche F12. Elle ouvre une interface de choix du périphérique de boot. Choisissez PXE et vous devriez voir, après quelques instants, un écran d'accueuil de l'installeur Debian:

Debian installer welcome screen

Ensuite, il suffit de dérouler l'installation: il n'y a aucune surprise avec Squeeze et tout le matériel est bien reconnu. Je ne vais donc pas faire un résumé ici, vous allez pouvoir vous débrouiller: ce n'est pas la documentation qui manque.

Conclusion: je vous offre cette machine !

Arrivé à la fin du processus, je me demande encore ce que je vais faire de cette machine. J'ai beau chercher, je n'ai pas de besoins. Elle peut évidemment servir de serveur local à consommation réduite et qui ne fait pas de bruit. Mais j'en dispose déjà d'un autre qui consomme encore moins d'énergie d'ailleurs...

Après quelques instants de réflexion, je crois que je vais l'offrir (avec le mot de passe root) à la première personne qui voudra bien venir le chercher... Pour cela, contactez-moi par courrier électronique.

Posted sam. 31 mars 2012 12:00:01 Tags: