Posts

CFSSL est l’outil de gestion de certificats TLS de CloudFlare, son principal avantage est de pouvoir créer des certificats en utilisant une configuration au format JSON bien plus facile à appréhender qu’OpenSSL. ...

Ce post se veut une mise à jour du post précédent sur le sujet. En effet, le module SELinux, les commandes utilisées ont évolué avec l’adoption de systemd. Les principes restent les mêmes. ...

Le langage Go est de plus en plus présent, on peut installer son compilateur et suite d’outil à partir des packages de sa distribution, mais le plus simple pour avoir une version la plus à jour possible est d’utiliser les binaires compilés fournis sur le site officiel. La version du package golang-go est trop ancienne dans Debian stable (1.11), je l’ai donc installé de la façon suivante. ...

Cloud Init permet de configurer des machines virtuelles au boot, en utilissant des méta données provenant de la plateforme ou tourne la VM (AWS, Azure, GCP, KVM Local, etc). Pour une installation sur KVM avec libvirt, il faut utiliser le module NoCloud : Installer le système dans un KVM, avec virt-manager et une image ISO Installer le paquet cloud-init (et le paquet sudo pour que le reste fonctionne) # yum install cloud-init sudo Eteindre la VM Créer un répertoire de travail et s’y déplacer Créer les 3 fichiers : user-data : contient la configuration pour ajouter son user, sa clé SSH, configurer sudo, configurer le mot de passe root meta-data : contient la configuration de la machine, le hostname, etc network-config : contient la configuration du réseau Créer l’image ISO : $ genisoimage -output cloudinit_la_vm.iso -volid cidata -joliet -rock user-data meta-data network-config Attacher l’image ISO Démarrer la VM ...

Avec pgBouncer 1.6 sont arrivés deux nouveaux paramètres, auth_user et auth_query, qui permettent de faciliter la gestion du fichier des utilisateurs. Le fichier des utilisateurs contient les couples utilisateur / mot de passe hashé pour s’authentifier à la place de l’utilisateur final sur le serveur PostgreSQL. Il y a deux problèmes majeurs avec ce fichier utilisateur : son maintien fastidieux et le risque de collision entre noms de roles identiques mais avec des mots de passe différents si le même pgBoucner accède à plusieurs instances PostgreSQL. ...

Un petit howto pour créer des certificats et les utiliser avec PostgreSQL et pgBouncer. ...

PostgreSQL faisant son bonhomme de chemin, on se retrouve désormais avec des configurations où il faut archiver plusieurs fois les WAL parce qu’on a de la sauvegarde PITR et de la réplication. ...

Il y a fort longtemps, et c’est ma première contribution relative à PostgreSQL, j’ai écrit un script de backup qui dump tout un serveur PostgreSQL avec pg_dump et pg_dumpall. Il s’agit de pg_back. ...

.notice{padding:18px;line-height:24px;margin-bottom:24px;border-radius:4px;color:#444;background:#e7f2fa}.notice p:last-child{margin-bottom:0}.notice-title{margin:-18px -18px 12px;padding:4px 18px;border-radius:4px 4px 0 0;font-weight:700;color:#fff;background:#6ab0de}.notice.warning .notice-title{background:rgba(217,83,79,.9)}.notice.warning{background:#fae2e2}.notice.info .notice-title{background:#f0b37e}.notice.info{background:#fff2db}.notice.note .notice-title{background:#6ab0de}.notice.note{background:#e7f2fA}.notice.tip .notice-title{background:rgba(92,184,92,.8)}.notice.tip{background:#e6f9e6}.icon-notice{display:inline-flex;align-self:center;margin-right:8px}.icon-notice img,.icon-notice svg{height:1em;width:1em;fill:currentColor}.icon-notice img,.icon-notice.baseline svg{top:0.125em;position:relative} Remarque Ce post est partiellement obsolète, avec le passage à systemd. Voir la mise à jour. J’avais déjà expérimenté un peu avec SELinux il y a deux ans sans aller trop loin, parce que j’entendais souvent la phrase “Si on veut de la sécurité, il faut SELinux” et surtout à cause de l’arrivée de l’extension sepgsql dans les modules contrib de PostgreSQL. Ça avait donné une conf pour le Fosdem où finalement, j’ai plus parlé des privilèges classiques que de SELinux. ...

Finalement le temps ne me permettant plus d’administrer mon serveur dédié comme il faut, j’ai décidé de l’abondonner et transférer mes services ailleurs. Pour le blog et le wiki, j’ai choisi de faire un site/blog github avec jekyll, vu que c’est tout prémaché. ...