1. Installation du module
   • Ouvrir une console et passer root: sudo su -
   • aptitude install qemu kqemu-common kqemu-source pour installer les paquets
   • LANG=C module-assistant -t prepare && LANG=C module-assistant -t auto-install kqemu permet la compilation du module
   • echo kqemu >> /etc/modules charge automatiquement kqemu au boot
2. Configuration d'udev
   • echo 'KERNEL=="kqemu", NAME="%k", GROUP="adm", MODE="0660"' >> /etc/udev/rules.d/50-kqemu.rules
   • /etc/init.d/udev reload
3. Final
   • modprobe -v kqemu pour eviter de devoir rebooter

Faire ls -l /dev/kqemu permet de verifier que udev met les bonnes permissions sur le fichier.
Elle doivent ressembler à ceci: crw-rw 1 root adm 10, 62 Jul 29 21:48 /dev/kqemu.

De cette façon, tous les utilisateurs du groupe Unix adm pourrons utiliser kqemu.

Prérequis:

• un accés root à la fonera
• une plage d'IPv6 (au moins une /64 pour l'autoconfiguration)
• un accés à la table de routage du routeur IPv6
• kmod-ipv6 et radvd sur la fonera

Présupposés:

• Votre fonera possédera l'IPv6 2001:5c0:955b:0:218:84ff:fe1c:a914 sur le réseau ethernet et 2001:5c0:955b:1::1 sur le réseau wifi privé
• Votre routeur principal à l'IPv6 2001:5c0:955b::1 sur le réseau ethernet
• La plage 2001:5c0:955b:1::/64 sera dédié au réseau wifi privé.
• eth0 represente l'interface ethernet de la fonera et ath1 l'interface wifi privé

Configuration de la fonera.

1. Logguez-vous en root sur la fonera.
2. Activez le routage ipv6 par: echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
3. Si votre réseau est bien configuré, eth0 devrait avoir une ipv6. Si ifconfig eth0 |grep inet6 |grep Global ne retourne rien, verifiez la configuration de votre routeur ipv6
4. Ajoutez l'IPv6 de la plage que vous délégué à la fonera à ath1 par ifconfig ath1 inet6 2001:5c0:955b:1::1/64
5. Configurez la route IPv6 par défault par: route -A inet6 add ::/0 gw 2001:5c0:955b::1 eth0
6. Activez l'autoconfiguration sur ath1 en éditant /etc/radvd.conf:

interface ath1
{
        AdvSendAdvert on;
        AdvHomeAgentFlag off;

        prefix 2001:5c0:955b:1::1/64
        {
                AdvOnLink on;
                AdvAutonomous on;
        };

};

7. (Re)Lancez radvd par /etc/init.d/radvd stop && /etc/init.d/radvd start

Configuration du routeur IPv6 principal:

1. Logguez-vous dessus
2. Configurez une route statique IPv6 associant la plage 2001:5c0:955b:1::/64 au routeur 2001:5c0:955b:0:218:84ff:fe1c:a914.
3. Sauvegardez !
4. Sous linux, il suffit de taper: route -6 add 2001:5c0:955b:1::/64 gw 2001:5c0:955b:0:218:84ff:fe1c:a914

Test sur une machine connecté au réseau wifi privé:

1. Tentez de pinger ipv6.google.com: ping6 -c 4 ipv6.google.com
2. Si ca répond, félicitation ! Il ne reste plus qu'a rendre permanent ce routage :)

Configuration finale de la fonera:

• Créez un fichier /etc/init.d/N60ipv6 contenant:

#!/bin/sh
# Enable ipv6 routing for wan

case "$1" in
        stop)
                killall radvd
                echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
                ifconfig ath1 inet6 -2001:5c0:955b:1::1
        ;;
        start)
                # creating need directory for radvd
                mkdir -p /var/log
                mkdir -p /var/run

                # Cleaning
                rm /tmp/run/radvd.pid

                # ip6 forwarding
                echo 1 > /proc/sys/net/ipv6/conf/all/forwarding

                # set ipv6 prefix on ath1
                ifconfig ath1 inet6 2001:5c0:955b:1::1/64

                # default ipv6  route
                route -A inet6 add ::/0 gw 2001:5c0:955b::1 eth0
        ;;
esac

11.1.168.192.in-addr.arpa domain name pointer arche.supervision.noos.net.
13.1.168.192.in-addr.arpa domain name pointer firewall.supervision.noos.net.
17.1.168.192.in-addr.arpa domain name pointer mercure.supervision.noos.net.
30.1.168.192.in-addr.arpa domain name pointer soleil.supervision.noos.net.
32.1.168.192.in-addr.arpa domain name pointer saturne.supervision.noos.net.
34.1.168.192.in-addr.arpa domain name pointer lune.supervision.noos.net.
36.1.168.192.in-addr.arpa domain name pointer jupiter.supervision.noos.net.
38.1.168.192.in-addr.arpa domain name pointer titan.supervision.noos.net.
42.1.168.192.in-addr.arpa domain name pointer phobos.supervision.noos.net.
44.1.168.192.in-addr.arpa domain name pointer cns.supervision.noos.net.
50.1.168.192.in-addr.arpa domain name pointer chiris.supervision.noos.net.
102.1.168.192.in-addr.arpa domain name pointer tx2.supervision.noos.net.
104.1.168.192.in-addr.arpa domain name pointer tx4.supervision.noos.net.
200.1.168.192.in-addr.arpa domain name pointer ber-sd-n.admin.noos.net.
254.1.168.192.in-addr.arpa domain name pointer fw-bercy.admin.noos.net.
1.2.168.192.in-addr.arpa domain name pointer lem-rtadm-01-e0.admin.noos.net.
3.2.168.192.in-addr.arpa domain name pointer lem-cabledir-01.admin.noos.net.
51.2.168.192.in-addr.arpa domain name pointer lem-swbkn-02.admin.noos.net.
60.2.168.192.in-addr.arpa domain name pointer lem-rtbkn-01.admin.noos.net.
65.2.168.192.in-addr.arpa domain name pointer lem-rtadm-01.admin.noos.net.
69.2.168.192.in-addr.arpa domain name pointer lem-swadm-01.admin.noos.net.
75.2.168.192.in-addr.arpa domain name pointer lem-dns-02.admin.noos.net.
120.2.168.192.in-addr.arpa domain name pointer averell.admin.noos.net.
122.2.168.192.in-addr.arpa domain name pointer joe.admin.noos.net.
129.2.168.192.in-addr.arpa domain name pointer lem-rtadm-01.admin.noos.net.
135.2.168.192.in-addr.arpa domain name pointer lem-rt-p.admin.noos.net.
141.2.168.192.in-addr.arpa domain name pointer lem-mux-s.admin.noos.net.
150.2.168.192.in-addr.arpa domain name pointer lem-om-n.admin.noos.net.
2.3.168.192.in-addr.arpa domain name pointer acy-cr-01.admin.noos.net.
50.3.168.192.in-addr.arpa domain name pointer acy-swbkn-01.admin.noos.net.
60.3.168.192.in-addr.arpa domain name pointer acy-rtbkn-01.admin.noos.net.
74.3.168.192.in-addr.arpa domain name pointer acy-dns-01.admin.noos.net.
84.3.168.192.in-addr.arpa domain name pointer acy-dhcp-01.admin.noos.net.
135.3.168.192.in-addr.arpa domain name pointer acy-rt-p.admin.noos.net.
141.3.168.192.in-addr.arpa domain name pointer acy-mux-s.admin.noos.net.
151.3.168.192.in-addr.arpa domain name pointer acy-om-s.admin.noos.net.
193.3.168.192.in-addr.arpa domain name pointer acy-rtadm-01.admin.noos.net.
1.4.168.192.in-addr.arpa domain name pointer str-rtadm-01-e0.admin.noos.net.
3.4.168.192.in-addr.arpa domain name pointer str-cabledir-01.admin.noos.net.
5.4.168.192.in-addr.arpa domain name pointer str-cr-03.admin.noos.net.
51.4.168.192.in-addr.arpa domain name pointer str-swl4-01.admin.noos.net.
65.4.168.192.in-addr.arpa domain name pointer str-rtadm-01.admin.noos.net.
69.4.168.192.in-addr.arpa domain name pointer str-swadm-01.admin.noos.net.
129.4.168.192.in-addr.arpa domain name pointer str-rtadm-01.admin.noos.net.
135.4.168.192.in-addr.arpa domain name pointer str-rt-p.admin.noos.net.
141.4.168.192.in-addr.arpa domain name pointer str-mux-s.admin.noos.net.
151.4.168.192.in-addr.arpa domain name pointer str-om-s.admin.noos.net.
1.5.168.192.in-addr.arpa domain name pointer her-rtadm-01.admin.noos.net.
3.5.168.192.in-addr.arpa domain name pointer her-cabledir-01.admin.noos.net.
65.5.168.192.in-addr.arpa domain name pointer her-rtadm-01.admin.noos.net.
69.5.168.192.in-addr.arpa domain name pointer her-swadm-01.admin.noos.net.
129.5.168.192.in-addr.arpa domain name pointer her-rtadm-01.admin.noos.net.
135.5.168.192.in-addr.arpa domain name pointer her-rt-p.admin.noos.net.
141.5.168.192.in-addr.arpa domain name pointer her-mux-s.admin.noos.net.
151.5.168.192.in-addr.arpa domain name pointer her-om-s.admin.noos.net.
160.5.168.192.in-addr.arpa domain name pointer her-rib-n.admin.noos.net.
2.6.168.192.in-addr.arpa domain name pointer chy-cr-01.admin.noos.net.
65.6.168.192.in-addr.arpa domain name pointer chy-rtadm-01.admin.noos.net.
69.6.168.192.in-addr.arpa domain name pointer chy-swadm-01.admin.noos.net.
84.6.168.192.in-addr.arpa domain name pointer chy-dhcp-01.admin.noos.net.
129.6.168.192.in-addr.arpa domain name pointer chy-rtadm-01.admin.noos.net.
135.6.168.192.in-addr.arpa domain name pointer chy-rt-p.admin.noos.net.
141.6.168.192.in-addr.arpa domain name pointer chy-mux-s.admin.noos.net.
151.6.168.192.in-addr.arpa domain name pointer chy-om-s.admin.noos.net.
161.6.168.192.in-addr.arpa domain name pointer chy-rib-s.admin.noos.net.
69.7.168.192.in-addr.arpa domain name pointer orl-swadm-01.admin.noos.net.
129.7.168.192.in-addr.arpa domain name pointer orl-rtadm-01-e0-0.admin.noos.net.

etc ...

Merci Numericable de pourrir d'entrée DNS foireuse la plage privée 192.168.0.0/16 !
Une installation de dnscache plus tard, je n'ai plus ces resolutions parasites !

Comme je l'ai déjà dit, les ordina13 sont un peu out-of-date niveau logiciel et matériel.
On peut néanmois les faire evoluer.
Voici donc la premiére étape de mon projet de mise à jour matériel de l'Ordina13.

Il s'agit de passer de 224 Mo de RAM à une taille plus raisonnable de nos jours. J'ai choisit de rajouter 1 Go de RAM néanmois une barrette de 512 Mo de RAM suffira amplement. Il est impératif de choisir une barrette compatible avec celle déjà installé (il y a 2 slots mémoire):

Pour information, j'ai acheté cette barrette sur Ebay et j'en suis trés content à part pour son épaisseur qui empeche l'insertion correcte de la barrette dans le slot. Ce qui ne l'empeche pas d'être fonctionnel, il y a juste convection de chaleur sur une zone de la coque de l'ordinateur portable. J'avais payé 56 € ( a comparer avec les 100 € d'EMS :P ).

Prochaine étapes, la carte WIFI :)

Note: la carte graphique integrés prend 32 Mo sur la RAM. C'est donc normal qu'il n'y est que 1248 Mo reconnu au lieu des 1280Mo physique.

Pour qu'un SVN soit plus facile à utiliser, il est d'usage d'installé soit Trac (l'artillerie lourde) sois ViewCV.
ViewCV n'etant pas dans les packet debian, il faut l'installer manuellement.
L'installation ce passe bien, on edite le fichier de configuration et on pointe son navigateur vers le script.
Et horreur ! Voila ce qui apparait :

Traceback (most recent call last):
File "/usr/local/viewvc-1.0.4/lib/viewvc.py", line 3665, in main
request.run_viewvc()
File "/usr/local/viewvc-1.0.4/lib/viewvc.py", line 253, in run_viewvc
import vclib.svn
File "/usr/local/viewvc-1.0.4/lib/vclib/svn/__init__.py", line 25, in <module>
from svn import fs, repos, core, delta
ImportError: No module named svn

La derniére ligne nous donne la solution: python ne trouve pas le module svn.
Donc faisons un aptitude install python-svn et raffraichissons la page.
Même erreur ! Mais j'ai installé le paquet ... qu'est-je installé ?
Un rapide dpkg -L python-svn nous donne:

/.
/usr
/usr/lib
/usr/lib/python2.4
/usr/lib/python2.4/site-packages
/usr/lib/python2.4/site-packages/pysvn
/usr/lib/python2.4/site-packages/pysvn/__init__.py
/usr/lib/python2.4/site-packages/pysvn/_pysvn_2_4.so
/usr/lib/python2.5
/usr/lib/python2.5/site-packages
/usr/lib/python2.5/site-packages/pysvn
/usr/lib/python2.5/site-packages/pysvn/__init__.py
/usr/lib/python2.5/site-packages/pysvn/_pysvn_2_5.so
etc ...

EUREKA ! Nous avons installé le modulé pysvn et non svn.
Un aptitude show python-svn nous donne entre autres:

Description: A(nother) Python interface to Subversion
The pysvn module is a python interface to the Subversion version control
system. This API exposes client interfaces for managing a working copy,
querying a repository, and synchronizing the two.

Une recherche sur le nom python-subversion nous donne un résultat:

Description: Python bindings for Subversion
This is a set of Python interfaces to libsvn, the Subversion libraries. It is
useful if you want to, for example, write a Python script that manipulates a
Subversion repository or working copy. See the 'subversion' package for more
information.

Installons donc ce module par un aptitude install python-subversion et réactualisons la page.
Ca marche !

Juste un pense bête qui continue ce billet.
Il s'agit de deployer https sur tous les Virtual Hosts du serveur en utilisant le CA cacert.org
Le gros probléme de cette methode est qu'un seul certificat sera utilisé sur tous les Virtual Host.

• Generation du Certificate Request dans /etc/apache2/ssl/

openssl req $@ -new -days 365 -nodes -out cyteen.csr -keyout cyteen.key

• Correction des permission dans /etc/apache2/ssl/

chown -R root:root /etc/apache2/ssl/
chmod -R o-rwx /etc/apache2/ssl/

• Activation de mod_ssl

a2enmod ssl

• Configuration Strong Encryption dans /etc/apache2/mods-enabled/ssl.conf

SSLProtocol all
SSLCipherSuite HIGH:MEDIUM

• Fichier /etc/apache2/ports.conf

Listen 80
Listen 443

• VirtualHost Catch-ALL dans /etc/apache2/sites-enabled/000-default

NameVirtualHost *:80
NameVirtualHost *:443
<VirtualHost *:80>
ServerAdmin webmaster@thenico.fr.eu.org
DocumentRoot /var/www/
ErrorLog /var/log/apache2/error.log
LogLevel error
CustomLog /var/log/apache2/access.log combined
ServerSignature EMail
SSLEngine off

<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
</VirtualHost>

<VirtualHost *:443>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/cyteen.crt
SSLCertificateKeyFile /etc/apache2/ssl/cyteen.key
ServerSignature EMail
ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log combined
LogLevel error
ServerAdmin webmaster@thenico.fr.eu.org

<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
</VirtualHost>



• VirtualHost Reverse Proxy dans /etc/apache2/sites-enabled/001-cyteen

<VirtualHost *:80>
ServerName cyteen.thenico.fr.eu.org:80

ProxyRequests off
ProxyPass / http://192.168.0.4/
ProxyPassReverse / http://192.168.0.4/
ProxyVia Off

LogLevel error
ErrorLog /var/log/apache2/proxy-error.log
CustomLog /var/log/apache2/proxy-access.log combined
</VirtualHost>

<VirtualHost *:443>
ServerName cyteen.thenico.fr.eu.org:443

ProxyRequests off
ProxyPass / http://192.168.0.4/
ProxyPassReverse / http://192.168.0.4/
ProxyVia Off

LogLevel error
ErrorLog /var/log/apache2/proxy-error.log
CustomLog /var/log/apache2/proxy-access.log combined
</VirtualHost>


Il manque les coefficients mais on peut déjà dire que j'ai limité la casse.
L'année prochaine, j'ai interet à être trés attentif aux TP pour obtenir ce Bac.
Je sais déjà que ca va casser avec l'histoire/géographie.

Les fichiers évoqués dans ce billet y sont attachés.

• Le premier probléme des Ordina13 est que le driver Wifi date des débuts du Wifi et ne supporte donc pas des technologie plus récentes comme WPA. Ce qui est fort dommage vu que de nombreux AP requiere WPA (à raison car le WEP est totalement cassé). Il est donc nécessaire d'updater ce driver.

1. Télécharger AGERE v8.22.50.804.exe puis lancer le.
2. Il va extraire les fichiers du driver où vous lui direz.
3. Le probléme, c'est que ce driver ne contient pas d'installeur donc il va falloir l'installer manuellement.
4. Menu Démarrer => Exécuter => devmgmt.msc
5. Dérouler Cartes réseau; Clique droit sur IEEE 802.11b Wireless MiniPCI Card 7007; Mettre à jour le pilote.
6. Si Windows demande à se connecter à Windows Update, choisisez Non, pas cette fois puis Suivant
7. Choisir Installer à partir d'une liste ou d'un emplacement spécifié (utilisateurs expérimentés) puis Suivant
8. Choisir Ne pas rechercher. Je vais choisir le pilote à installer. puis Suivant
9. Cliquer sur Disque fournit puis selectionné le fichier WLASKALL.INF
10. Cliquer sur Suivant
11. Cliquer sur Terminer
12. Un reboot est parfois necessaire.

• En plus de ce souci de driver wifi, le Windows n'est pas configurer pour la performance et porte les traces de son ancien propriétaire. Le fichier ordina13_fixes.reg régle ces problémes. Il enleve nottament le Microsoft Internet Explorer fournis par Internet Explorer GC13, modifie les réglages de la pile tcp/ip pour plus de performancee et fait priviliegé la memoire vive au disque dur au niveau de l'allocateur de mémoire.

1. Il suffit de télécharger le fichier reg et de le lancer. Windows va demander si vous voulez ajouter les données au Registre, il suffira de confirmer par Oui

C'est tout, j'updaterai peut être plus tard ce billet.

Il arrive parfois qu'il est necessaire de decompresser une grosse archive bz2 sur un autre volume. Mais aucun des 2 volume n'a la place pour l'archive et le fichier decompresser. Comment résoudre le probléme ?

Il suffit d'utiliser une fonction shell appellé pipe:

dd if=/path/to/archive.bz2|bunzip2 -d |dd of=/path/where/archive/will/be/decompressed

Voila un exemple de la sortie (le disque contenant l'archive est plus lent que le disque où le fichier est decompresser):

2438092+1 enregistrements lus
2438092+1 enregistrements écrits
1248303597 octets (1,2 GB) copiés, 467,385 seconde, 2,7 MB/s
4985464+0 enregistrements lus
4985464+0 enregistrements écrits
2552557568 octets (2,6 GB) copiés, 467,414 seconde, 5,5 MB/s

Les ordina13 sont des ordinateurs portables prété par le Conseil Général 13 aux éléves de 4iéme et de 3iéme. Il s'agit de Nec VERSA C200 sous Windows XP SP2 avec un Bios spéciale fait par Insyde Software et un MBR SafeBoot. Il y a de nombreuses applications installé comme StarOffice 7, VLC ou 7-zip.

Parmis ces application installé, il y en a une étrange qui tourne dans le compte SYSTEM:

Cette application se trouve dans ''c:\windows\system32\O13\service'' et est effectivement un service:

Ces permissions sont mal configuré et permettent donc à tout les utilisateurs de modifier le fichier:

Mais le pire reste à venir ! Ce service ecoute sur le port tcp 6000 et accepte toute les connections. Les commandes sont command, recup, flingueadmin et quit. command execute dans le compte SYSTEM ce qu'on lui donne.

Joli, n'est-ce pas !

J'ai écris un petit programme qui se sert de ce backdoor pour ouvrir un shell SYSTEM en local. Il est attaché à ce billet.

• Le code qu'il y a derriere. Lancer sur build-exe.cmd pour creer l'executable. (259 ko)

Je peux fournir le binaire xcg13.exe sur demande. Cette faille fonctionne à distance et en local.

J'espere que personne ne va se faire un botnet d'ordina13 !