Comme indiqué dans d’autres posts, j’abuse des chroots pkg_comp pour tenir mes paquets à jour. Je suis récemment passé à l’utilisation de pkgin pour la gestion de mes paquets une fois préparés dans le chroot.

Il y a quelques jours, il a été décidé de remplacer libungif par giflib dans pkgsrc. Pour éviter de mixer les deux et donc avoir des problèmes, les deux paquets se déclarent mutuellement en conflit. A partir de maintenant la dépendance par défaut est sur giflib, ce qui a donc fait que ma mise à jour (pkg_chk dans un pkg_comp) a tellement buté dessus que j’ai décidé qu’il serait plus simple de repartir d’un chroot pkg_comp tout neuf…

pkgin est un outil de gestion de paquets binaires pour pkgsrc, le système de paquets de NetBSD. Pour pouvoir l’utiliser il faut donc des paquets binaires, sauf que les binaires ne sont officiellement disponibles que pour les releases trimestrielles de pkgsrc. Quand on suit pkgsrc-current, il faut donc compiler les paquets et fabriquer un dépôt.

Pour utiliser ccache dans un chroot pkg_comp, on commence par installer ccache : # pkg_comp build devel/ccache # pkg_add /usr/pkgsrc/packages/All/ccache-3.1.4.tgz En utilisant la cible package-install dans le chroot, ccache s’y trouve installé. On l’installe aussi sur le système pour surveiller les statistiques plus tard. Ensuite, on édite le etc/mk.conf du chroot, par exemple /local/pkg_comp/default/etc/mk.conf, pour y définir les variables suivantes : # ... # fin de la conf speciale pkg_comp CCACHE_DIR=${WRKOBJDIR}/.

En reconfigurant ma gateway sur NetBSD, le serveur Bind fournit dans « basesys » refusait de fonctionner à cause de l’activation de DNSSEC par défaut.

Pour permettre l’accès à la gateway depuis Internet avec un maximum de sécurité, j’ai configuré le serveur OpenSSH (fournit dans basesys) et PF pour : N’autoriser l’accès que par clé publique Empêcher les attaques par force brute sur le serveur La configuration d’OpenSSH peut se faire de deux façon : On désactive l’authentification par mot de passe et l’utilisation de PAM pour que la méthode keyboard-ineractive ne laisse rien passer On désactive l’authentification par mot de passe et le challenge/respone pour garder l’utilisation de PAM J’ai choisi la 2ème méthode qui permet de garder la fonctionnalité de pam_nologin (seul root peut se logguer si /etc/nologin existe, en modifiant /etc/ssh/sshd_config :

Pour monter un service DNS on a besoin de /dev/random pour générer la clé rndc. Sans collecte d’entropie, /dev/random ne crache rien.

L’installation d’un dual boot Linux/BSD est somme toute assez simple, on coupe le disque en deux et on installe les systèmes l’un après l’autre. La seule difficulté reste sur l’installation/configuration des bootloaders.