Confiner PostgreSQL avec SELinux

.notice{padding:18px;line-height:24px;margin-bottom:24px;border-radius:4px;color:#444;background:#e7f2fa}.notice p:last-child{margin-bottom:0}.notice-title{margin:-18px -18px 12px;padding:4px 18px;border-radius:4px 4px 0 0;font-weight:700;color:#fff;background:#6ab0de}.notice.warning .notice-title{background:rgba(217,83,79,.9)}.notice.warning{background:#fae2e2}.notice.info .notice-title{background:#f0b37e}.notice.info{background:#fff2db}.notice.note .notice-title{background:#6ab0de}.notice.note{background:#e7f2fA}.notice.tip .notice-title{background:rgba(92,184,92,.8)}.notice.tip{background:#e6f9e6}.icon-notice{display:inline-flex;align-self:center;margin-right:8px}.icon-notice img,.icon-notice svg{height:1em;width:1em;fill:currentColor}.icon-notice img,.icon-notice.baseline svg{top:0.125em;position:relative} Remarque Ce post est partiellement obsolète, avec le passage à systemd. Voir la mise à jour. J’avais déjà expérimenté un peu avec SELinux il y a deux ans sans aller trop loin, parce que j’entendais souvent la phrase “Si on veut de la sécurité, il faut SELinux” et surtout à cause de l’arrivée de l’extension sepgsql dans les modules contrib de PostgreSQL. Ça avait donné une conf pour le Fosdem où finalement, j’ai plus parlé des privilèges classiques que de SELinux. ...

2014-09-22 · 4 min

Migration du blog sur github

Finalement le temps ne me permettant plus d’administrer mon serveur dédié comme il faut, j’ai décidé de l’abondonner et transférer mes services ailleurs. Pour le blog et le wiki, j’ai choisi de faire un site/blog github avec jekyll, vu que c’est tout prémaché. ...

2014-05-28 · 2 min

modular-xorg, radeon et pas de KMS

Il y avait un moment que je n’avais pas touché à NetBSD et donc mis à jour mon lappy avec du pkg frais. Entre temps, la version de X.org modular, donc issue de pkgsrc, est revenue en 2012, avec son lot de drivers mis à jour. Le drivers xf86-video-ati, est passé en version 7.1.0, sauf qu’il fonctionne uniquement en KMS (Kernel Mode Setting), chose qu’on n’a pas encore dans notre kernel. ...

2013-08-23 · 1 min

Un bulk build par jour dans un screen

Mes packages NetBSD sont préparés par pbulk, qui tourne en continu grâce au script pbulk-builder. ...

2013-05-10 · 1 min

Oups... des tablespaces imbriqués

Imbriquer des tablespaces n’a pas vraiment de sens dans PostgreSQL surtout si on veut se prendre la tête avec des montages dans tous les sens… Mais bon c’est permis, car PostgreSQL utilise uniquement les liens symboliques dans $PGDATA/pg_tblspc pour accéder au contenu des tablespaces. ...

2013-04-06 · 2 min

pbulk-builder et pkgtools/mksandbox

Après la réinstall d’une de mes machines de build en 6.0.1, j’ai eu la bonne surprise de voir que le script de build pbulk-builder (https://github.com/orgrim/nb-utils) ne trouvait plus mksandbox dans l’arbre de pkgsrc. Il est désormais dans son paquet : pkgtools/mksandbox ...

2013-01-26 · 1 min

Got GUC?

Les paramètres de configuration de PostgreSQL sont appelés GUC ce qui signifie Grand Unified Configuration, c’est le nom de la partie du code qui gère les paramètres de configuration. En gros, ce sont tous les paramètres du fichier postgresql.conf. Ce qui est moins connu et utilisé, c’est la possibilité de configurer ces paramètres à différents niveaux : Fichier postgresql.conf Ligne de commande du postmaster, le processus principal du serveur Base de données Rôle Rôle sur une base de données Session Transaction La précédence des valeurs va en descendant dans la liste, par exemple la valeur d’un paramètre au niveau d’un rôle écrase celle positionnée au niveau de la base de donnée ou la ligne de commande....

2012-01-25 · 3 min

Compiler dans l'arbre des sources

Je m’occupe actuellement de préparer ma box pour le FOSDEM, et il s’avère qu’il manque le support du DRM (Direct Rendering Manager, le truc pour avoir de l’accélération graphique dans le kernel pour X.org) pour ma carte vidéo. Il s’agit de NetBSD 5.1.1, la version 6 n’aura pas ce manque. ...

2012-01-24 · 2 min

X11 forwarding request failed on channel 0

Quand j’essaye de me logguer sur ma box NetBSD fraichement passé en X.org modular, j’ai ça : orgrim@serfouette ~ $ ssh rateau X11 forwarding request failed on channel 0 Last login: Fri Oct 21 12:20:24 2011 from serfouette.home.orgrim.net WTF? ça tombe en marche SSH normalement. Et bien le souci vient de l’échange des magic cookies pour l’authentification entre serveurs X à travers SSH, c’est utilisé par le X11 forwarding et on a besoin de plusieurs choses pour ça :...

2011-10-21 · 2 min

Quand PostgreSQL n'a plus d'espace disque à manger

Voilà donc une question intéressante, comment se comporte PostgreSQL face à un système de fichier plein ? Un peu d’expérimentation est nécessaire pour se rassurer… On crée deux systèmes de fichiers de faible taille pour les tests. Le premier stockera PGDATA, ainsi qu’une base de données nommée db_data. Le second sera le tablesapce ts1, dans lequel oncréera une base de données db_ts1. L’objectif est de montrer que seules les transactions modifiant des objets stockés sur des systèmes de fichier plein sont affectées, c’est pourquoi on a besoin de plusieurs tablespaces....

2011-10-14 · 4 min