SwordArMor : des trucs à propos du hacking et du DIY

Mise en place d’un NanoKVM sur mon routeur

alarig — Sat, 07 Mar 2026 14:34:14 +0100

J’ai récemment fait l’acquisition d’un NanoKVM Full afin de pouvoir reprendre la main sur mon routeur (qui est une machine ARM sans IPMI intégré) si jamais je foire sa configuration réseau alors que je ne suis pas chez moi. Je n’avais jusqu’alors jamais eu d …

Essai d’un routeur ARM

alarig — Tue, 03 Feb 2026 21:38:49 +0100

Dans la mesure où ARM prend de plus en plus d’ampleur, ça faisait quelques temps que je voulais voir ce que ça donnait de router avec, notamment par rapport à la gestion des IRQ et de la fréquence.
En effet, pour router il n’y a pas besoin d …

Installer des optiques 10G ZR directement dans une carte réseau PCI

alarig — Sun, 29 Jun 2025 12:34:23 +0200

Dans un contexte de FAI associatif comme grifon on cherche à vraiment limiter les coûts. Cela nous amène à des architectures où des machines peuvent faire à la fois routeur et serveur. C’est le cas de la machine que nous avons à TH2 : grifon la partage avec stolon afin …

Sécurisation du routage BGP en utilisant ASPA avec routinator et bird (cas de Breizh-IX)

alarig — Wed, 22 Jan 2025 22:35:11 +0100

Le BGP est un protocole de routage dynamique qui se base historiquement sur la confiance. En théorie, n’importe qui peut plus ou moins annoncer n’importe quoi, et ça sera pris en compte. En pratique, les peerings BGP sont protégés par des prefix-lists afin de ne propager que ce …

mautrix-signal ⚠ Your message may not have been bridged: 110: Verification failure in zkgroup

alarig — Wed, 29 May 2024 11:45:56 +0200

Pour éviter d’avoir plein d’applications de messagerie instantanée sur mon téléphone, je bridge tout dans matrix et je n’utilise directement que matrix. Ma machine matrix était sur une infra d’hypervision que je n’ai plus vraiment envie d’utiliser, et j’ai depuis une plus grosse …

Le concept d’empty non terminal (ENT) en DNS, et son interaction avec les wildcards

alarig — Fri, 19 May 2023 21:08:11 +0200

Cet article est écrit en collaboration avec Axel Viala. Tout au long de l’article nous parlons de serveurs faisant autorité, les révolveurs n’ayant pas ce cas à gérer.

Sur un nom de domaine, on peut se retrouver avec des sous-domaines vides mais ayant des enfants. Nous appelons cela …

Faire tenir la charge à une instance mastodon malgré Musk

alarig — Wed, 16 Nov 2022 11:29:29 +0100

Si vous lisez ce blog, vous savez sûrement qu’un riche mégalomane étasunien a racheté twitter, et qu’on en attendait pas moins de son mode de gestion. Cela a entraîné un exode vers mastodon, qui ronronnait tranquillement dans son coin jusqu’ici.
Je vais ici partager les différentes actions …

Avoir une sorte de flowspec sous linux avec ipset

alarig — Sun, 10 Apr 2022 16:45:38 +0200

Internet étant truffé de machines plus ou moins vérolées qui scannent le monde entier, j’ai eu envie de les bloquer à l’échelle complète de mon réseau ; un genre de fail2ban2bgp.
Avec netfilter il n’existe pas de mécanisme pour avoir des règles dynamiques, et donc pas de moyen …

Remonter le constructeur et le modèle d’un serveur en SNMP

alarig — Tue, 10 Aug 2021 16:12:06 +0200

Par défaut, la configuration de net-snmpd ne remonte pas le constructeur et le modèle d’un serveur, ce qui fait que LibreNMS (ou Observium) vont afficher « Generic x86 64-bit » là où on pourrait avoir « Dell Inc. [PowerEdge R510] » ou « HP [ProLiant DL320e Gen8] », ce qui rend plus facile l’inventorisation …

Installer son instance mastodon sous Gentoo

alarig — Sun, 31 Jan 2021 11:42:32 +0100

Suite à l’annonce de Valère d’arrêter les services hostux, et donc l’instance mastodon, j’ai décidé de monter la mienne. La principale raison est que je n’ai pas trouvé d’autre instance en Europe avec un TLSA. Je ne vais pas ici expliquer toute l’installation …

Désactivation de la souris pour urxvt et terminator (et autres terminaux basés sur VTE)

alarig — Sun, 09 Feb 2020 11:37:38 +0100

Depuis quelques temps, le support de la souris est activé par défaut sur certaines applications CLI, notamment vim. Ceci empêche d’utiliser le presse-papier « clic milieu » et ne sert en outre à rien, c’est donc fort ennuyeux.

J’ai un peu cherché comment désactiver le support de la souris …

Vérification RPKI avec routinator, bird et IOS-XE

alarig — Mon, 13 Jan 2020 18:47:55 +0100

Quand on fait partie de la DFZ, on peut en gros annoncer n’importe quel préfixe tant que ça passe les filtres de nos pairs, et on est censé leur faire plus ou moins confiance. Sauf que croire encore à ce système de la confiance en 2020, c’est aussi …

Remplir la table SNMP ifAlias sous Linux

alarig — Sun, 20 Oct 2019 16:57:13 +0200

Il m’arrive encore de jouer avec des routeurs soft, et comme à chaque fois il faut bricoler pour avoir ce que l’on veut, ici avoir une table ifAlias correcte. À une époque je le faisais avec FreeBSD, et j’avais trouvé la parade en utilisant un proxy vers …

Afficher correctement les AS 32 bits avec mtr

alarig — Tue, 25 Sep 2018 11:57:25 +0200

mtr est un outil très pratique qui permet de faire un traceroute, mais en mieux. La sortie est beaucoup plus lisible, et ça utilise de l’ICMP par défaut (au lieu de l’UDP sous Linux/*BSD). Seulement, dans les anciennes versions, les AS 32 bits sont mal gérés : ils …

Sauvegarder la configuration de ses switches et routeurs avec expect

alarig — Sat, 18 Aug 2018 20:50:55 +0200

Si vous ne connaissez pas expect, c’est un outil qui permet d’écrire des scripts en TCL qui iront interagir avec telnet/ssh et d’autres trucs du genre, sans que vous ayez à le faire vous même. C’est donc très pratique pour écrire des scripts qui seront …

Utiliser socat pour contourner les limiations SSL d’un navigateur moderne

alarig — Mon, 30 Jul 2018 22:41:19 +0200

Depuis quelque temps, les navigateurs bloquent les requêtes SSL/TLS utilisant des versions de protocoles et suites cryptographiques jugées trop faibles.

Cependant, on peut avoir besoin de se connecter à de vieux équipements qui eux ne supportent que ces vielles versions ; en l’occurrence, un PDU. En théorie, ils supportent …

Proxy SNMP pour une table précise (ifAlias)

alarig — Fri, 27 Apr 2018 21:54:57 +0200

État des lieux

Sous FreeBSD nous avons le choix entre deux implémentations SNMP : bsnmp et le classique net-snmp. Le premier a des soucis sur les modèles de CPU et ne remonte pas les IPv6 des interfaces, alors que le second ne remonte pas la description des interfaces.
En clair, on …

Ebuild pour la suite de tests blaeu pour les sondes RIPE Atlas

alarig — Tue, 17 Apr 2018 16:37:01 +0200

Blaeu

Blaeu permet de créer des tests en utilisant l’API d’Atlas puis d’afficher le résultat de manière lisible pour un humain ou une machine.
Une description complète est disponible dans le README du répertoire git .

L’installation sous gentoo

L’ebuild est dans mon overlay personnel, il …

Le nœud AS112 chez grifon et Breizh-IX

alarig — Sun, 10 Dec 2017 15:29:47 +0100

Le rôle de l’AS112

Cet AS est assez spécial, il sert de trou noir du DNS. C’est aussi l’une des premières utilisations de l’anycast.

En regardant la charge des serveurs racines du DNS, les administrateurs se sont rendu compte qu’une quantité non négligeable de requêtes …

De l’IPv6 dans du PPP

alarig — Thu, 28 Sep 2017 23:09:33 +0200

Que j’aurais aussi pu titrer « Pourquoi aucun opérateur ne fait de collecte IPv6 en PPP ».

Tout d’abord, un rappel du fonctionnement d’une collecte PPP s’impose

L’abonné entre ses identifiants PPP dans son modem,
De l’autre côté, le BAS regarde le realm, et l’envoie …

Configuration dhcpcd pour le DHCPv6 de online

alarig — Mon, 22 May 2017 09:22:07 +0200

En voulant faire un peu de ménage sur mon disque dur, je suis tombé sur une vielle sauvegarde d’une gentoo que j’avais chez online. Cela m’a permis de tomber sur une configuration DHCPv6 pour dhcpcd (le daemon DHCP « par défaut » de gentoo) fonctionnelle chez online. La configuration …

Monitoring des sessions BGP de bird via NRPE

alarig — Wed, 10 May 2017 13:15:22 +0200

Présentation

Toujours pour l’association grifon, j’ai eu besoin d’écrire un script afin de pouvoir remonter l’état de nos session BGP dans notre monitoring, c’est à dire un icinga2. Comme icinga est un fork de nagios, ça devrait marcher avec tous les outils de monitoring compatibles …

CARP IPv6 avec FreeBSD

alarig — Mon, 01 May 2017 17:25:16 +0200

Introduction

CARP est un protocole permettant à plusieurs machines de partager une même adresse IP sur un segment IP. Chez grifon nous l’utilisons entre nos deux routeurs afin d’être tolérant à leurs pannes.
Nous mettons une IP en gateway sur les machines de nos adhérents (89.234.186 …

Plugin munin pour grapher les routes de bird

alarig — Thu, 30 Mar 2017 09:51:47 +0200

Présentation

Voici un script que j’ai écrit dans le cade de l’association grifon afin de savoir quel est le nombre de routes que nous avons pour chaque transitaire (chacun représenté par une session BGP), et de voir l’évolution dans le temps. Nous avons déjà un munin, j …

Comment monter un point d’échange, partie technique : un serveur de routes avec bird

alarig — Mon, 20 Mar 2017 11:47:56 +0100

Présentation d’un point d’échange

Sur Internet, il y a globalement deux façons de parler aux autres opérateurs : soit en passant par du peering, soit en passant par un transitaire.
Un transitaire est un opérateur branché à beaucoup de monde qui se charge d’acheminer nos paquets vers le …

Du DNSSEC sur ses reverses

alarig — Thu, 16 Mar 2017 19:31:28 +0100

Parce que bon, soyons franc, c’est inutile donc indispensable (presque autant que le module puzzle de VLC).

Je ne vous rappelle pas comment jouer avec DNSSEC, je l’ai déjà fait pour knot et nsd. Dites vous juste qu’une zone reverse est exactement la même chose que tout …

BGP avec bird : favorisation d’un fournisseur par rapport à un autre en cas d’égalité sur l’AS path

alarig — Thu, 09 Mar 2017 15:25:38 +0100

Introduction à BGP

C’est la première fois que je parle de BGP, ça me semble donc être une bonne idée de dire ce que c’est. Il s’agit d’un protocole de niveau 7 se basant sur TCP et permettant un échange dynamique de routes entre des entités …

knot : reverse automatique et DNSSEC

alarig — Sat, 10 Dec 2016 12:38:50 +0100

Reverse simple

Il peut arriver, pour une raison X ou Y, que vous ayez envie de servir des reverses DNS sur une grande plage d’adresses IP. Par exemple, admettons que votre FAI vous route tout un bloc, vous n’allez pas entrer chaque reverse pour chaque machine qui reçoit …

Comprendre les grands principes du SSL/TLS

alarig — Sun, 11 Sep 2016 21:54:12 +0200

Histoire et terminologie

SSL est un acronyme anglais voulant dire Secure Sockets Layer. Il a été initialement développé par Netscape Communications (qui a développé Netscape Navigator qui a servi de base à Mozilla pour firefox). Il existe en trois versions : SSLv1, SSLv2 et SSLv3. Aucune de ces versions n’est …

Script de regénération d’un certificat let’s encrypt à la création d’un site sur wordpress

alarig — Mon, 29 Aug 2016 16:28:12 +0200

Dans le cadre de gozmail, nous proposons également l’hébergement de blogs pour nos adhérents. Nous utilisons wordpress car il dispose d’une fonctionnalité qui permet de créer un réseau de sites. Ainsi, chaque adhérent dispose de sonsite.log.bzh et ne peut pas aller fouiner chez son voisin.

Au …

Mettre en œuvre BCP38 avec un routeur FreeBSD en utilisant pf

alarig — Mon, 22 Aug 2016 18:18:00 +0200

BCP38 (pour Best Current Practice numéro 38) est un document de l’IETF qui présente les bonnes pratiques en matière de filtrage de trafic, notamment vis à vis de l’IP source. En effet, par défaut un routeur ne regarde que les IPs de destinations afin de savoir vers où …

Gestion automatique de DNSSEC avec OpenDNSSEC et nsd

alarig — Thu, 21 Jul 2016 12:59:00 +0200

Introduction

J’avais déjà parlé du DNSSEC avec knot. Ici l’article sera similaire mais utilisera deux daemons différents, nsd pour le serveur faisant autorité et OpenDNSSEC pour la gestion du DNSSEC.
Alors là, il va y avoir des petits malins qui vont me dire « oui mais tu sais déjà …

Le MTU et le MSS

alarig — Tue, 24 May 2016 20:01:50 +0200

En théorie

Le MTU est la taille maximale qu’un paquet peut avoir lors de son transport sur le réseau. Elle est généralement de 1500 octets. À partir de ce MTU, nous calculons le MSS, c’est à dire la quantité maximale de données que nous pouvons atteindre dans un …

Gestion automatique de DNSSEC avec knot

alarig — Wed, 02 Mar 2016 12:55:10 +0100

Depuis quelques temps, je me suis mis au DNSSEC. Comme je suis feignant, je n’ai pas envie de re-signer ma zone à la main tous les jours :) Comme j’ai vu que knot savait gérer la signature DNSSEC comme un grand, je me suis dit que ça serait une …

Complétion de dig avec zsh

alarig — Thu, 31 Dec 2015 12:53:08 +0100

J’utilise zsh comme shell par défaut sur mon laptop. J’en suis satisfait, sauf que je n’avais pas de complétion pour la commande dig(1).
En demandant comment utiliser la complétion de bash pour cette commande, un gentil monsieur a tout simplement écrit un script de complétion pour …

Problèmes avec systemd et pourquoi j’aime l’init de BSD

alarig — Tue, 22 Dec 2015 18:40:46 +0100

Préambule

Ceci n’est pas un article que j’ai écrit, mais une traduction de “Problems with Systemd and Why I like BSD Init” écrit par Randy Westlund. Tout « moi » est donc en fait lui.

La traduction

Dans le le premier article de mon blog, je disais que systemd était …

Mise en place d’un tunnel L2TP chiffré avec IPsec autentifié avec radius

alarig — Wed, 02 Dec 2015 16:57:25 +0100

Cette infrastructure a été mise en œuvre au sein de grifon afin de fournir un VPN le plus proche possible de la collecte ADSL.

Côté serveur

Le radius

Le radius sert à authentifier les utilisateurs et à donner les autorisations qui leur sont relatives (comme par exemple, quelle adresse IP …

Réplication master/master entre deux serveurs mail avec dovecot-dsync

alarig — Fri, 28 Aug 2015 15:59:24 +0200

En gros, ça sert à éviter de faire exploser votre queue de mails

Peut-être avez-vous déjà un serveur mail secondaire pour votre domaine, qui discutent entre eux avec du SMTP tout simple. Cela fonctionne très bien tant que le serveur principal n’est pas trop longtemps dans le noir, sinon …

Router son bloc IPv6 /48 pour ses VMs chez online.net

alarig — Wed, 29 Apr 2015 21:07:06 +0200

Jusqu’à aujourd’hui je n’utilisais qu’une IPv6 chez online, tout tournait sur la même machine. Puis, je me suis dit que ça serait pas mal de séparer un peu les choses, simplement parce que je ne savais pas le faire.
Je suis parti sur des containers LXC …

Installer son propre résolveur DNS pour contourner la censure du gouvernement

alarig — Tue, 17 Mar 2015 17:07:06 +0100

Contexte

Vous le savez peut-être déjà mais le gouvernement a fait voter une loi qui lui permet de censurer n’importe quel site s’il ne correspond pas à ses attentes. Feu islamic-news.info vient d’en faire les frais. La question ici n’est pas de déterminer si ce …

Le source-specific routing sous linux 3.12 et supérieur

alarig — Sat, 21 Feb 2015 14:46:17 +0100

D’abord définissons ce qu’est le source-specific routing

Le source-specific routing se traduit en français par « routage en fonction de la source ». En termes moins barbares, cela veut dire que l’on enverra nos paquets via une route différente en fonction de leur provenance. Cela sert par exemple quand …

Pas de ssl en localhost avec spampd et postfix

alarig — Thu, 24 Jul 2014 18:16:22 +0200

J’utilise postfix comme serveur mail et spampd pour filtrer les spams. Il y a peu j’ai eu envie de me mettre au TLS/SSL. J’ai alors rencontré un problème de timeout sur localhost:10025, les logs disaient « Cannot start TLS: handshake failure » et « SSL_connect error to 127 …

Avoir du mail propre

alarig — Fri, 11 Jul 2014 18:11:12 +0200

Par propre, j’entends ne pas se faire voler ses correspondances en toute impunité par des services d’espionnage.

Les enjeux

Dans un monde où la surveillance généralisée (PRISM, Echelon, loi de programmation militaire, etc.) devient monnaie courante et où presque toutes nos communications se font via des moyens de …

XMPP et OTR avec irssi

alarig — Wed, 02 Jul 2014 00:01:00 +0200

Introduction à XMPP

Je vais reprendre la présentation que j’ai faite pour gozmail.net.
XMPP (ou Jabber) est un protocole de discussion instantanée, un peu comme IRC ou MSN à son époque. Par rapport à MSN, il a le gros avantage d’être libre et par rapport à IRC …

L’auto-hébergement ou comment avoir son serveur à la maison

alarig — Tue, 27 May 2014 00:01:00 +0200

Qu’est-ce que l’auto-hébergement ?

Si l’on se réfère à la page wikipedia, c’est le fait d’héberger les services que nous utilisons le plus (ou que nous voulons offrir) sur sa propre machine, au lieu de le faire gérer par une boîte. Dans cet article, je vais …

Login impossible des utilisateurs virtuels avec vsftpd

alarig — Fri, 10 May 2013 00:01:00 +0200

Si comme moi vous venez de mettre à jour Debian 6 (squeeze) vers Debian 7 (wheezy) et que vous ne pouvez plus vous connecter à votre daemon vsftpd en utilisant des utilisateurs virtuels, ceci vient certainement du fait que /lib/security/pam_userdb.so a été déplacé en /lib/x86_64-linux-gnu/security …

Belyscendre, un groupe qui vous fera aimer la musique trad'

alarig — Wed, 26 Dec 2012 00:01:00 +0100

En 2007 je découvrais Belyscendre via la première partie d'un concert du Naheulband à la loco. Déjà à l'époque j'étais attiré par la musique folklorique, seulement rebuté par la mélancolie de certains chants irlandais. Le Naheulband apportait alors la joie qu'il y manquait.
J'ai ensuite voulu revenir à des textes …

Mise en place d’un flux RSS et d’un réseau IRC

alarig — Wed, 17 Oct 2012 00:01:00 +0200

Bonjour tout le monde,
La news d’aujourd’hui sera très courte puisqu’elle juste là pour vous dire de vous abonner au flux RSS que je viens de mettre en place.

Pour ceux qui ne savent pas, les flux RSS sont des document XML contenant une liste de parution …

Qu’est-ce que la neutralité du net ? Et pourquoi est-ce important de la préserver ?

alarig — Thu, 04 Oct 2012 00:01:00 +0200

Vous avez certainement dû en entendre parler un jour ou l’autre. Beaucoup d'acteurs des Internets en parlent. Même certains politiques s’y mettent pour savoir s’il faut créer, ou non, une loi à ce propos.

Mais qu'est-ce que c'est que ce truc ? Et pourquoi en parle-t-on autant ?

Résumons …

Si vous voulez découvrir une nouvelle série médiévale, regardez Game of Thrones

alarig — Sat, 14 Apr 2012 00:01:00 +0200

Aujourd'hui, nous allons parler de télévision. Bien que beaucoup d’émissions manquent d’intérêt, certaines (très rares) sont à ne pas manquer.
La série dont je vais parler est Game of Thrones, plus connue en France sous le nom du Trône de fer. L’histoire est tirée des livres de …

Trine, un jeu vidéo trop méconnu

alarig — Thu, 05 Apr 2012 00:01:00 +0200

Une fois n’est pas coutume, je vais parler de jeux vidéo. N’étant pas très joueur, vous me verrez rarement en parler. Cependant, il y en a un qui mérite bien une news.
Il s’agit d'une suite de jeux de plateforme, d’énigme et d’action très bien …

What about me? Intel vous dit comment on vous voit depuis les réseaux sociaux.

alarig — Mon, 19 Mar 2012 00:01:00 +0100

Intel a développé une application web nommée What About Me?. Elle permet d’analyser comment vous êtes vu sur les réseaux sociaux twitter, YouTube ou Facebook (ou les 3 en même temps si vous voulez) et de vous l’afficher sous forme d’une infographie sympa.

Pour ma part, j …