Heitor Emile (iMil)

Le logiciel serveur probablement plus installé au monde s'appelle OpenSSH [1], on trouve cette implémentation libre du protocole SSH [2] dans la totalité des UNIX libres et propriétaires, voire la totalité des systèmes d'exploitation. Lorsqu'on administre un parc de plusieurs dizaines, centaines, milliers de machines en utilisant cette suite de logiciels, les méthodes classiques d'authentification peuvent s'avérer fastidieuses, voire dangereuses, nous allons voir dans cet article comment utiliser de façon élégante une nouvelle fonctionnalité du serveur OpenSSH 6.2 qui adresse de façon impeccable cette problématique : AuthorizedKeysCommand.

LAMP[1] par-ci, LAMP par-là, nous sommes en 2013 que diable ! Les technologies ont évolué, les besoins aussi, et si le standard de fait reste encore et toujours Apache muni du module mod_php[2], l'interprétation et l'affichage de pages Web programmées en PHP peuvent s'effectuer de façon bien plus élégante. Dans cet article, nous allons sortir des sentiers battus, et paramétrer un système NetBSD 6.0 afin d'en faire une plateforme web simple et sûre.

À l'heure ou plusieurs distributions GNU/Linux sont sur le point de complexifier de façon irrémédiable (d'aucuns diront aberrante) leur processus d'amorce, les systèmes dérivés de BSD UNIX articulent leur mécanisme d'initialisation autour d'une cascade de scripts logiques, lisibles et contrôlables à souhait. Bien loin des usines à gaz que l'on voit germer de-ci [1] et de-là [2], rc(8) tel que nous le connaissons prend ses racines dans 4.0BSD (1980), et est devenu à travers les âges une machinerie bien huilée, devenu « rcNG » sous l'impulsion du Projet NetBSD.

Le 17 octobre 2012, la nouvelle version majeure du système d'exploitation NetBSD voyait le jour après deux versions BETA et deux Release Candidates. Ainsi, 35 ans après les premières contributions de la CSRG [0] (1BSD, en 1977), le plus ancien héritier des UNIX issus de l'université de Berkeley débarque en version 6.0. Bien que NetBSD jouisse d'une excellente stabilité et d'un design enviable, force est de constater que sa popularité est inversement proportionnelle à sa qualité. Cette release, bien que n'apportant pas de révolution, est un excellent cru, l'équipe releng [1], et en particulier Jeff Rizzo ont réalisé un travail exceptionnel de suivi pour faire de NetBSD 6 un réel succès... dans les temps !

Lorsque l'on possède un parc de machines important, il peut s'avérer judicieux de multiplier (mais pas trop) les systèmes d'exploitation (propres). En effet, une faille touchant un service transversal qui possède une dépendance forte au système, au hasard OpenSSH, pourrait compromettre l’intégralité de votre plateforme en un coup un seul. D'autre part, un bon OS, c'est comme une vinaigrette, il est meilleur lorsqu'il accompagne la salade adéquate, comprendre qu'il n'est pas déraisonnable de penser qu'un NAS utilisant ZFS serait mieux géré par SunOS, ou d'opter pour NetBSD pour un équipement dont le rôle serait de router du traffic [1] ou encore de s'interfacer proprement avec des réseaux IPv6 natifs.

Aaah, l'administration système, une vocation, que dis-je, un sacerdoce; configurer ses serveurs chéris aux petits oignons, les mettre à jour, s'assurer de leur bonne santé… des tâches dignes d'un artisan peintre sur soie qui s'assure de l'originalité de chacune de créations. C'est beau. Mais lorsque votre boulot, c'est d'administrer un parc de centaines de machines en mouvement, l'artisanat, c'est du suicide.

« Chiche ! ». C'est en conséquence de cet énigmatique défi lancé par notre père à tous, El Señor Finnois, que nous nous retrouvons ici, et que, si tout se passe bien, nous nous retrouverons chaque mois pour lever chaque fois un peu plus le voile de mystère qui entoure le système NetBSD. Ce mois-ci, afin d'égayer votre rentrée, nous vous proposons une première approche non pas technique, mais historique de l'ancestral héritier de BSD UNIX. « Marty, règle le convecteur spacio-temporel de la DeLorean sur 1991 ! »

Cela fait une petite douzaine d'années que j'utilise régulièrement NetBSD [1] ; pour plusieurs raisons que j'expliquerai plus loin, ce système me convient parfaitement. Cependant, depuis tout ce temps, j'ai toujours regretté l'absence d'un gestionnaire de paquets binaires digne de ce nom, car, également utilisateur de Debian, apt(8) m'a souvent manqué…

Sur Wikipédia, dans le résumé du roman L'Histoire sans fin, on peut lire ceci : « Bastien, un jeune garçon, emprunte en douce un livre intitulé L'Histoire sans fin dans une librairie après que le libraire lui a dit que ce livre était dangereux. Au fur et à mesure qu'il avance dans la lecture du livre, il se retrouve lui-même faisant partie de la quête dont le but est de sauver le monde et les habitants du Pays Fantastique. »