Du libre, du code, des idées, du mélange d’ArraKISS…

De l’épice pour la pensée

C'est en lisant une proposition de création de paquet YUnoHost pour blogotext que j'ai eu envie de creuser l'idée. Comment faire pour porter une application sur YUNoHost.
Eh bien je ne suis pas du tout convaincu.

alt

Prenons Blogotext par exemple. Afin de l'installer, la procédure habituelle consiste à décompresser une archive zip, la déposer sur un serveur web puis en 3 clics c'est installé.
Les mises à jours se déroulent de la même façon.
Si une mise à jour est disponible, on est averti dans l'interface d'administration, c'est simple et ça marche bien.

Avec YUNoHost, il faut créer un paquet. Les instructions sont en ligne. Je ne suis pas habitué, donc des trucs ne me paraissent pas clairs...

  • Le fichier manifest.json. C'est facile de changer l'exemple, en gros on laisse la plupart des choses par défaut.
  • Le dossier "scripts" contient divers fichiers. Là, c'est plus délicat et je ne m'en sors pas. Il est dit de les modifier, mais je ne vois pas quoi dedans. Entre les modifications du parefeu oO, la gestion de systemd... Je suppose qu'il ne faut pas trop y toucher. Il y a bien des variables "EXAMPLE", mais sont-elles automatiquement modifées par ce qui est renseigné par l'utilisateur ou pas?

Il y a quelques boutons dans la doc ci-dessus, mais ils pointent sur des liens vides pour certains :s
Du coup je suis un peu déçu, j'aurais bien aimé aider à la diffusion de blogotext, mais je risque de faire un truc tout cassé ou bancal. Un exemple concret pas à pas, ça serait chouette. J'ai peut-être mal cherché.

J'avais créé un script qui s'appelait "hostathome" il y a longtemps. Il faisait à peu près la même chose que YUNoHost (en moins bien), mais ses défauts se retrouvent dans YUNoHost dans une certaine mesure :

  • Il faut faire confiance au mainteneur :
  • Les mises à jour sont dépendantes du mainteneur ;
  • Ça restreint énormément la configuration ;
  • On ne sait pas très bien ce qui se passe, et c'est vraiment problématique le jour où il y a un pépin.
  • Le système de base n'est pas très sécurisé car n'utilise pas OpenBSD ()

YUNoHost est une excellente initiative. Cependant, je crois que c'est une solution à court terme, puisque elle pose des contraintes plus que des libertés pour les raisons sus-citées. De plus, en cas de souci, l'utilisateur ne sait pas ce qui se passe, à moins d'être développeur chez YUNoHost, et je crains que ça ne soit trop décourageant et fasse abandonner la bonne idée de s'auto-héberger.

Avis mitigé donc, je suis curieux de connaître l'avis des utilisateurs convaincus de YUNoHost qui s'en servent depuis longtemps.

Avec les copains geeks, on fait tourner sur mon serveur un CHATONS depuis 6 mois environ. Mais non, pas un "chaton" 🐱, un CHATONS, initiative lancée par Framasoft pour décentraliser le web et permettre à chacun de proposer des services.

logo chatons

Nous nous orientons principalement sur l'hébergement de mails, avec un accent sur la confidentialité puisque le webmail est accessible via un service caché tor. Il y a aussi des salons de discussion et des pastebins chiffrés. Deux domaines sont gérés : 3hg.fr et ouaf.xyz selon le degré de sérieux souhaité. Un domaine sobre et un domaine pour les chatons qui veulent passer incognito :P

À ce jour, il y a 121 comptes. 121 !!! oO

À ceux qui hésitent à lancer leur propre service CHATONS, voici quel investissement cela demande (en gros).

Au début :
Il faut mettre en place le serveur. C'est le plus long et le plus fastidieux. Selon les choix que vous faites, entre du tout prêt (YUNOHOST) ou quelque chose de plus pointu correspondant à ce que vous souhaitez proposer (chiffrement du disque, hébergement du nom de domaine, accès chiffré...), il faut compter entre une semaine et un mois. Ça dépend aussi de votre aisance avec ces notions.

Quotidiennement :
Tous les jours, autant que possible, il faut essayer de réaliser ces tâches :

  • Vérifier si des mises à jour de sécurité sont disponibles et les appliquer : de 5 à 10 minutes en moyenne.
  • Répondre aux questions des utilisateurs qui rencontrent un souci pour paramétrer leur compte ou autre : 5 minutes en moyenne.
  • Inscrire un nouvel utilisateur s'il y a demande : 3 minutes en moyenne par demande d'inscription.
  • Vérifier quels serveurs sont mis en attente par spamd qui fait du greylisting et peut refuser des mails légitimes si l'expéditeur n'a pas toujours la même adresse IP. C'est rare, mais lorsque ça arrive il faut ajouter l'IP sur liste blanche à la main. C'est un antispam redoutable, d'autant plus efficace lorsqu'il est associé à spamassassin (qui tourne lui aussi sur le serveur), mais il demande un certaine veille. Il faut environ 5 minutes en moyenne.
  • Lire les rapports quotidiens générés par le serveur sur sa bonne santé : 2 minutes en moyenne.

Bien sûr, parfois c'est plus, parfois c'est moins, mais vous vous en doutez ;)

De temps en temps :
Vérifier que la zone DNS se porte bien, puisque j'ai choisi de l'héberger afin de respecter encore plus la vie privée des utilisateurs. Les demandes de résolution vers les domaines du CHATONS font autorité chez moi. Il y a eu un peu de cafouillage au début, mais le travail de 22decembre est maintenant rodé, et il suffit de regarder environ tous les mois sur dnsviz que DNSSEC est bien correct.

Faire des sauvegardes supplémentaires au cas où, tous les mois aussi pour les mails.

Les mises à jour de sécurité sont à réaliser aussi vite que possible. Tous les 6 mois, une nouvelle version d'OpenBSD est publiée et je me donne l'objectif de le faire au plus vite, sans tout casser non plus ;). Il faut entre 15 et 30 minutes pour ça, tout dépend.

Performances

Actuellement, seulement 1,1G d'espace disque est utilisé. Merci aux utilisateurs qui récupèrent directement leurs mails sur leur ordinateur. À ce rythme, on a vraiment de la marge.
La charge du système est très faible et le service mail ne consomme quasiment aucun temps de calcul de mon petit serveur. Même le filtre spamassassin se fait oublier. J'ai un serveur très modeste, et en regardant la charge système, c'est comme si le démon mail+antispam n'existait pas. :)
Il faut dire que le parefeu rejette pas mal de bruit (avec BlockZones et vilain), tout comme spamd, ce qui préserve le serveur.

Et alors?

À l'heure où la neutralité du net est encore mise à mal, notamment aux USA, je suis ravi que nous nous soyons lancé à l'aventure, puisque ça marche bigrement bien :)

Tout ce blabla pour dire merci à ceux qui nous font confiance et nous aident généreusement à maintenir ce service, notamment via liberapay ou par de gentils messages.
L'aventure n'est pas prête de s'arrêter :D

image de NPH content

J'ai l'immense plaisir de vous annoncer la publication d'une nouvelle édition du manuel pour apprendre à (auto-)héberger son serveur à l'aide d'OpenBSD accompagné d'un "bonus". C'est, je crois, le travail le plus abouti que j'ai pu mener. Ce manuel s'est enrichi au fil du temps et est arrivé à maturation pour plusieurs version d'OpenBSD. Les bénéfices des ventes me permettent aujourd'hui de publier cette nouvelle version. Cliquez sur les images ci-dessous pour en voir plus.

Ça a un peu traîné car il fallait que 22decembre termine ldnscripts, que je puisse le tester suffisamment, puis ensuite l'éditeur était débordé et ne savait pas bien comment faire un ebook qui ressemble à ce que je voulais.
Sur la forme, il y a peu de changements, puisque j'adoooore le travail que Péhä a fait. J'ai ajouté quelques éléments qui donnent une identité propre au livre.

aperçu 1 du livre auto-hébergement avec openbsd
aperçu 3 du livre auto-hébergement avec openbsdaperçu 2 du livre auto-hébergement avec openbsd

Cependant, plusieurs modifications sont à noter sur le fond :

  • Mise à jour des versions des logiciels et passage à OpenBSD 6.2.
  • L'utilisation de certificats SSL (pour du https) en utilisant relayd pour filtrer les en-têtes est plus correcte. La sécurité n'en est que renforcée.
  • Grâce à kuniyoshi qui m'a fait des retours réguliers en mettant en place son serveur mail, les explications sont normalement plus claires.
  • Les chapitres sont légèrement réorganisés pour faciliter la lecture et la cohérence.
  • Des astuces dans l'utilisation d'OpenBSD sont ajoutées.
  • Vous pourrez constater de nombreuses petites modifications/ajouts/précisions pour expliquer le mieux possible comment faire.
  • Grâce aux retours reçus, j'ai pu corriger plusieurs coquilles.
  • Après des tas de relectures, je pense être venu à bout de toutes les erreurs/maladresses qui trainaient.
  • Ajout d'exemples de configuration supplémentaires.
  • La gestion DNSSEC est réalisée par un set de scripts écrits par 22decembre qui a largement contribué à toute la partie gestion de zones DNS du manuel. Cela évite d'utiliser des outils très compliqués ou surchargés et permet aussi de bien comprendre le fonctionnement. Ces notions sont sans doute les plus compliquées, il a donc été difficile d'aménager les explications.

Pour accompagner ce manuel, je publie au format numérique un ensemble de fiches courtes à 3,5€ qui résument rapidement l'essentiel du livre (disponible aussi sur Amazon, mais plus cher, ils s'embêtent pas les gars...).
Dans mon entourage, on m'a dit "Ça a l'air super intéressant, et ça me tente bien d'héberger mes services. Mais lire plus de 200 pages, pfouh, je n'ai pas le courage !". Ça se comprend. L'idée de l'ebook était née.
Chaque partie, de l'installation d'OpenBSD à l'hébergement des mails en passant par le site web est résumée en maximum 4 pages. MAXIMUM, c'est souvent moins. Il y a quelques astuces au passage.
Ce document a pour but de constituer un "aide-mémoire" et aussi donner envie d'aller plus loin si besoin. (42 pages sont détectées. Coïncidence? ;P ).

Dans tous les cas, je garde sur mon site la version html du présent manuel pour ceux qui n'aiment pas la version papier, ne veulent pas de l'epub ou n'ont pas les moyens ou l'envie de payer pour lire ce travail.

En parlant de prix, le manuel papier est moins cher à l'achat :) . Je ne l'ai pas référencé en librairie. Seul atramenta peut le vendre. C'est aussi bien, puisque seul 1 exemplaire a été vendu en librairie.
Notez que si vous souhaitez commander plusieurs exemplaires d'un coup, je peux vous avoir des prix plus avantageux, il suffit de m'en parler ;) .

Si vous vous lancez, vous n'êtes pas seul puisque je fais de mon mieux pour répondre aux mails qui me sont envoyés, et le forum obsd4a est créé pour ça ;) .

J'espère que la lecture vous plaira et permettra d'accompagner nombre d'entre vous dans le projet d'héberger vos sites et mails. C'est le seul moyen de reprendre le contrôle de vos données. N'hésitez pas à vous y prendre à plusieurs : un serveur par quartier par exemple ;)

Enfin, si vous avez la possibilité de parler autour de vous de ce manuel, c'est très gentil à vous ;) Pensez à votre entourage 🎅.