Rendez-vous sur Arrakis

C'est lorsque nous croyons savoir quelque chose qu'il faut justement réfléchir un peu plus profondément. F. Herbert

Ce site est désormais hébergé avec openBSD

Suite à des problèmes avec mon routeur, des resets, des reconfigurations, d'autres reset, des tests ici et là, j'ai pris la décision de tout reprendre à zero. Alors que le routeur va mieux, le site yeuxdelibad est maintenant hébergé sur un système openBSD.
Et là je me dis : "Mais pourquoi je ne l'ai pas fait avant?".

Car qu'on se le dise, openBSD, c'est simple!!!

Par exmeple, pour le courrier électronique. Alors que la configuration d'un serveur de mail devient vitre une véritable prise de tête avec postfix, c'est d'une simplicité étonnante avec opensmtpd.

Et là, incroyable!
La configuration de postfix tient en 2 fichiers contenant, sans les commentaires, 130 lignes :

cat /etc/postfix/main.cf /etc/postfix/master.cf  |egrep -v "^#" |wc -l
 130
 

Celle d'opensmtpd tient en 1 seul fichier de 24 lignes :

 cat /etc/mail/smtpd.conf  |egrep -v "^#" |wc -l
 24
 

Sachant que avec ça, j'ai le dkim, l'antispam et tout le tintouin... Fou non?

Pour http, comment dire? Quand je vois que j'arrive à avoir un A+ sur ssllab avec 1 seul fichier et très peu de lignes de conf, ben...

Bon, il me reste encore des petites choses à régler bien sûr, mais c'est nettement plus agréable de gérer son serveur avec openBSD!

le 06/05/2016 à 08:35:04, Starsheep a dit :

\o/

Ça aurait été rigolo de faire une benchmark tiens.

PS : Scarlett loves that!

le 06/05/2016 à 09:07:54, uTux a dit :

Salut,
Pour http, comment dire? Quand je vois que j'arrive à avoir un A+ sur ssllab avec 1 seul fichier et très peu de lignes de conf, ben...

Avec quel serveur web ?

le 06/05/2016 à 09:12:26, Thuban a dit :

@Starsheep : ah oui tiens! Il faut que je me renseigne sur les outils pour ce genre de choses ;)


@uTux : C'est avec httpd : http://bsd.plumbing/ .
En gros, un serveur web minimaliste que des gars chez openbsd on décidé d'écrire. Et vu que je n'ai rien besoin d'autre que de servir des sites web, il est largement suffisant pour moi. Et moins il y a de lignes de codes, moins il y a de risques qu'il y ait une faille de sécurité ;)

le 06/05/2016 à 09:26:41, uTux a dit :

@Thuban : Ok, je n'ai jamais essayé httpd, je suppose que c'est du php-fpm derrière. J'espère que OpenBSD est réactif sur la mise à jour de ce dernier...

le 06/05/2016 à 09:52:45, Angristan a dit :

Sympa ! J'avais été agréablement surpris par opensmtpd. Du coup ça me donne envie d'aller voir du côté d'OpenBSD/FreeBSD et de httpd ^^
Ta conf HTTPS tue, mais t'as oublié d'enlever 3DES et de faire la redirection http -> https

le 06/05/2016 à 09:56:27, fredg a dit :

Bien joué. Tu es en hébergement @home ?

J'aimerai bien faire de même sur mon kimsufi mais ça n'a rien d'évident (à base d'image qemu...). Je n'ai eu ni le temps ni surtout le courage de m'y pencher.

++

le 06/05/2016 à 10:59:53, Thuban a dit :

@uTux : Aha, niveau sécurité, je ne m'inquiète pas pour openBSD. Il suffit de suivre les annonces à ce sujet. Car oui, c'est bien du php-fpm, comme avec nginx finalement.

@Angristan : Ah oui, opensmtpd est vraiment étonnant.
Il y a certainement des choses à améliorer au niveau de la config de httpd. Par exemple pour 3DES, j'ai laissé la valeur "auto" pour ecdhe. Pour la redirection http-> https, c'est volontaire à vrai dire. Mon si peut être consulté des deux façons, le https c'est avant tout pour moi et le mot de passe utilisé pour me connecter à ce blog en fait.
Mais oui, ça serait mieux pour que les FAI des visiteurs ne sachent pas le contenu visible sur mon site... Mais pour l'instant, je n'ai pas vu de choses sensibles sur mon site (oui, ce n'est pas *du tout* une bonne excuse)


@fredg : Oui, c'est auto-hébergé ;)
Sur un kimsufi? Ah oui, là c'est une autre paire de manches! :)

le 06/05/2016 à 13:53:12, Spartiate a dit :

Bravo Thuban!! Tu vas super vite pour migrer d'un système à un autre!!

Tu as donc laissé tomber nginx!! A priori ce "relayd" semble ne pas t'avoir fait perdre en rapidité pour servir tes pages web ;)

le 06/05/2016 à 14:12:53, Spartiate a dit :

Tu n'as donc plus aucune machine sous Debian ?

le 06/05/2016 à 16:43:11, Thuban a dit :

@Spartiate : Alors ce n'est pas relayd le serveur, mais httpd :) relayd il permet de faire encore d'autres trucs, comme de la répartition de charge ou encore proxy. Ce sont les mêmes développeurs cela dit :)
Et si, j'ai toujours mon pc portable principalement sous handylinux (debian quoi). J'ai openBSD sur un disque dur externe pour me faire la main sur une utilisation bureau :)

Vite? nooon, il me reste encore pleins de choses à faire. Mais je suis épaté par OpenBSD. Tiens, pour sauvegarder mon serveur :
- monter un disque externe sur /altroot avec le /etc/fstab
- ajouter une ligne dans le /etc/daily.local . Résultat, toutes les nuits, mon serveur est sauvegardé!

Pareil, pas besoin d'installer logwatch. J'ai découvert que par défaut, openBSD m'envoie un rapport toutes les nuits par défaut :)

le 06/05/2016 à 21:29:19, sogal a dit :

Excellent, c'est quand même quelque chose de migrer mais encore plus avec un OS que tu découvres depuis peu, chapiteau !
Par curiosité, c'est quel matériel ton serveur ? J'aimerais trouver un pti PC consommant très peu d'énergie et moins gavé de firmware en complément du Pi.

le 06/05/2016 à 23:47:27, gilgam a dit :

D'où le site down pendant 2 jours. Je me disais aussi...
Bravo.

On attend un petit tuto :-)

le 07/05/2016 à 00:02:39, PengouinPdt a dit :

@thuban: tu ne te doutes pas comment tu me fais "envie" ...
Mais il faut que j'en apprenne vraiment plus sur OBSD.

le 07/05/2016 à 10:04:59, Thuban a dit :

@sogal : Alors mon serveur, c'est un mini-pc dont j'ai totalement oublié le modèle exact 😋.
J'avais récupéré une sorte de Brix intel : http://www.ldlc.com/informatique/ordinateur-de-bureau/barebone-pc/c4247-b000000990/

@gilgam : eh oui. Mon routeur m'a lâché, puis j'ai décidé de tout reprendre à zéro ensuite. Mais c'est finalement le routeur qui m'aura pris plus de temps quand j'y pense.
Le tuto arrive, patience 😉

Et non, il n'y a pas de miracle. Vraiment, OpenBSD est très bien expliqué!

@PengouinPdt : Ça va venir plus vite que tu ne le penses j'en suis sûr!

le 07/05/2016 à 13:09:22, spartiate a dit :

Tu parles rapidement de sauvegarde, pour le coup tu utilises rsync? c'est ce que j'emploie perso mais bon si il existe une solution qui mérite le coup d'être vu.....

Ton serveur reçoit donc des emails de la part du système (genre root@ipserveur) comment les récupères tu sur ton PC de "bureau"??

J'avais pensé à rediriger les mails du serveur vers un pc de bureau via un changement de conf dans le /etc/hosts mais je n'arrive à rien :(

Perso, sur mon PC de bureau j'utilise mutt.... rien trouvé de plus "cool"

le 07/05/2016 à 17:39:30, PengouinPdt a dit :

Le tuto, le tuto, le tuto ! :p

Faut que je comprenne l'équivalent de Raid 10, LVM ...
Et, puis, aussi créer un dépôt mirroir - mais ça c'est pour plus tard - parce que, quand j'aurais basculé mes stations dessus ... j'ai pas envie d'alourdir ma bande passante.

C'est juste les finances qui ne suivent pas :p
Une motherboard, si possible Micro-ITX, sinon Micro-ATX, deux HD 2"5, un peu de ram (4Go) ... et zou, n'est-ce pas ! :p

le 07/05/2016 à 19:09:02, Thuban a dit :

@spartiate : La sauvegarde est directement gérée par openbsd. Il s'agit ici d'un "dd", qui permet de récupérer un système en rebootant sur la partition de sauvegarde en cas de pépin. Ça c'est la sauvegarde du serveur. J'utilise aussi rsync pour mes sauvegardes persos que j'envoie sur le serveur, c'est plus fiable qu'owncloud.

Pour récupérer les mails, j'utilise un client imap. C'est fdm que j'utilise, pour les lire ensuite avec mutt. Mais thunderbird fait l'affaire aussi :)
Ah, et j'ai juste eu à rajouter ça dans /etc/mail/aliases pour que les mails envoyés à root soient envoyés à mon compte utilisateur :

root: xavier

@PengouinPdt : Ah il va falloir me laisser plusieurs semaines quand même, le temps que je vérifie mes sources et que j'écrive :D
Et ça ne parlera pas de LVM ni de dépôt miroir. En tout cas pas tout de suite. Mais j'ai vu que tu participais au wiki, donc je compte sur toi 😋

Tu as vraiment besoin d'une telle configuration? Un vieux pc récupéré à la décharge, ou qui vient d'une entreprise qui renouvelle son parc informatique... Il y a des assos un peu partout qui s'en chargent, renseigne-toi près de chez toi :)

le 07/05/2016 à 20:35:39, PengouinPdt a dit :

@thuban: beh, c'est la config de mon serveur $buntu actuel ;-)
Que veux-tu j'aime me faire plaisir ... et encore, c'est un souhait minima ...

Dans ma campagne 47, ça va être dur, dur de trouver :p

Sinon, vraiment sympa, ta nouvelle esthétique des commentaires - j'aime mieux :D
Autrement, pour LVM, Raid 10, dépôt mirroir - non, je ne te le demande pas ;-)
Mais, oui, quand je serais prêt, et que ce sera fait, je le restituerai ...