Category Archives: Internet

Proxmox / OpenVZ : réseau public + privé

Logo Proxmox

Proxmox Virtual Environment est un serveur open source de virtualisation, basé sur KVM et OpenVZ.

Il permet ainsi sur un serveur (host) physique de disposer de plusieurs machines virtuelles (VM). Dans le cas d’hébergement web, on mettra par exemple 1 VM pour Apache/PHP, 1 VM pour MySQL, etC.

Si vous utilisez ce mode de fonctionnement sur internet (et non en réseau local), un inconvénient majeur est le fait de nécessiter une IP publique pour chaque VM si vous souhaitez pouvoir y accéder directement depuis l’extérieur.

C’est le cas par exemple pour un serveur dédié que vous pouvez louer chez OVH (Kimsufi inclus) ou autre : vous disposerez dans le meilleur des cas, outre l’IP du host physique, de 3 IP (failover) pour vos VM. Dépassées ces 3 VM, vous ne pourrez donc plus leur assigner d’IP publique.

La meilleure solution consiste alors à utiliser du NAT (oui, le même que sur vos routeurs à la maison) : il est possible grâce à iptables de définir des redirections de ports depuis le host physique vers des VM sans IP publique.

Configuration initiale

Il vous faut tout d’abord choisir une plage d’IP non routées sur Internet type 192.168.x.x. Partons avec 192.168.0.0/24 (soit 192.168.0.1 à 192.168.0.255).

Configurez votre VM en mode « réseau virtuel » VENET avec l’IP de votre choix définie dans la range définie précédemment, prenons 192.168.0.11.

Démarrez votre VM : vous devriez pouvoir y accéder depuis votre host (ping, connexion SSH si serveur installé).

Il vous reste deux dernières commandes à lancer pour permettre à vos VM de communiquer avec l’extérieur :

echo 1 > /proc/sys/net/ipv4/ip_forward # On autorise le host à transmettre des données extérieures aux VM internes
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o vmbr0 -j MASQUERADE # On active le NAT, en sortie via l'interface vmbr0 (à modifier si besoin)

Redirection de ports

Il vous reste à mettre en place les redirections de ports souhaitées. Par exemple, si nous souhaitons que le port 8080 de notre host redirige vers le port 80 de notre VM 192.168.0.11 :

iptables -t nat -A PREROUTING -i vmbr0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.11:80

Si vous avez un serveur qui écoute sur le port 80 de votre VM, essayer maintenant d’accéder à votre host sur le port 8080.

Reverse Proxy

Malheureusement, la redirection de ports sera très vite limitante si vous souhaitez par exemple avoir plusieurs VMs hébergeant un serveur web.

Dans ce cas de figure, une solution existe : l’utilisation d’un reverse proxy (type Apache).

Son fonctionnement est simple : il est positionné en frontal HTTP et/ou HTTPS sur votre host, et redirige les requêtes vers les différentes VM (sur leurs IP locales) en fonction du nom de domaine.

Pour mettre en place un reverse proxy de ce type, rien de plus simple également ; nous allons utiliser le serveur HTTP Apache. Première étape, l’activation du mod_proxy :

sudo a2enmod proxy

Créez maintenant un fichier /etc/apache2/sites-available/monsite :

<IfModule mod_ssl.c>
 <VirtualHost *:80>
  ErrorLog /var/log/apache2/error.log
  CustomLog /var/log/apache2/access.log combined
  <Proxy https://192.168.0.11/>
   Order Deny,Allow
   Allow from all
  </Proxy>
  ServerName mon.domaine.fr
  ProxyRequests Off
  ProxyPass / https://192.168.0.11/
  ProxyPassReverse / https://192.168.0.11/
 </VirtualHost>
</IfModule>

Enregistre le fichier puis activez le site nouvellement créé et redémarrez Apache :

sudo a2ensite monsite
sudo service apache2 restart

Il ne vous reste plus qu’à tester dans votre navigateur que le domaine défini dans votre fichier de configuration Apache redirige bien vers le serveur web de votre VM.

Microchip MCP23008 : multiplexage 8-bits I2C

Lors de la réalisation de circuits à base de microcontrôleurs (Arduino Uno avec µC ATMega 328 par exemple), il arrive très fréquemment d’être limités par le nombre de pins d’entrées/sorties, et particulièrement dans le cas d’accessoires communiquant en parallèle (keypad, écran LCD, etc.), utilisant ainsi de nombreux pins sur nos µC.

Une des solutions afin de réduire significativement le nombre de pins nécessaires est d’utiliser un « port expander » afin de multiplexer les signaux : nous parlerons ici du MCP23008 de Microchip, fonctionnant sur le bus I2C.

Microchip MCP23008

Caractéristiques principales

MCP23008
Pins 18
Tension de fonctionnement 1.8 à 5.5V
Bus I2C
Entrées / sorties 8
Débit maximal 1700 kb/s

Connexion à votre microcontrôleur

Pin MCP23008 Pin Arduino Uno Pin ATMega328P
1 (I2C clock) 5 28
2 (I2C data) 4 27
3, 4, 5 (address) GND GND
6 (power), 18 (reset) VCC VCC
9 GND GND
10 à 17 (GP0 à GP7) I/O pin I/O pin

Attention à bien utiliser la même tension entre votre µC et le MCP23008, ou un convertisseur de niveau.

Mapping pins Microchip MCP23008

Librairie Adafruit MCP23008

Si vous souhaitez utiliser le MCP23008 avec votre Arduino (testé avec un Uno) ou µC ATMega avec bootloader Arduino, Adafruit met à disposition sur GitHub une librairie prête à l’emploi, à installer dans votre dossier « libraries » de l’IDE Arduino.

Cette librairie est fournie avec 2 exemples : button et toggle. Son utilisation est très simple, voici un exemple (inspiré de « toggle ») pour faire clignoter en alternance 2 LED connectées aux E/S GP0 (pin 10) et GP1 (pin 11) du MCP23008 :

#include <Wire.h>
#include "Adafruit_MCP23008.h"

Adafruit_MCP23008 mcp;

void setup() {
  mcp.begin();      // Utilisation de l'adresse "0" par défaut
  mcp.pinMode(0, OUTPUT);
  mcp.pinMode(1, OUTPUT);
}

void loop() {

  mcp.digitalWrite(0, HIGH);
  mcp.digitalWrite(1, LOW);
  delay(1000);
  mcp.digitalWrite(0, LOW);
  mcp.digitalWrite(1, HIGH);
  delay(1000);
}

Interruptions

Comme nous venons de le voir, il est très simple d’utiliser le MCP23008 pour gérer des sorties.

Dans le cas de l’utilisation des pins GPIO en tant qu’entrées, deux cas de figure se présentent :

  • Vous souhaitez lire des états à intervalles réguliers ou lors d’une action en particulier
  • Vous souhaitez détecter un changement d’état, pour gérer un keypad ou des boutons par exemple

Dans le premier cas, il vous suffira d’utiliser quand nécessaire la méthode digitalRead de la librairie Adafruit MCP23008.

Dans le second cas, vous serez obligé de lire constamment l’état du ou des pins afin de détecter un changement d’état : votre programme ne fera donc que ça, comme le montre l’exemple ci-dessous :

#include <Wire.h>
#include "Adafruit_MCP23008.h"

Adafruit_MCP23008 mcp;

volatile int pinState = 0;

void setup() {
  mcp.begin();      // Utilisation de l'adresse "0" par défaut
  mcp.pinMode(0, INPUT); // Pin GP0 en entrée
  pinState = digitalRead(0); // On initialise la variable d'état du pin GP0
}

void loop() {
  if(mcp.digitalRead(0) != pinState) {
    // do something ...
    pinState = !pinState;
  }
  delay(5);
}

A noter que dans le cas de pins définis en entrée sur votre MCP23008, il est possible de les « tirer vers un état haut » à la manière d’une résistance de pull-up, avec la méthode pullUp.

Si le programme réalisait d’autre opérations au moment où l’on presse un bouton par exemple, il se pourrait qu’un changement d’état ne soit pas « capturé » par mcp.digitalRead(0).

Une des solutions à ce problème est d’utiliser le mécanisme d’interruptions présent dans le MCP23008 (pin 8 / INT). Malheureusement, la librairie Adafruit ne supporte pas (encore) les interruptions ; vous pourrez toutefois télécharger à la fin de cet article une version modifiée de cette librairie gérant les interruptions.

Les registres suivants (sur 8 bits) sont utilisés dans le MCP23008 pour gérer les interruptions :

  • GPINTEN (0x02) : permet de définir si les interruptions sont activées (1) ou non (0) sur un pin
MCP23008 GP7 GP6 GP5 GP4 GP3 GP2 GP1 GP0
Valeur par défaut 0 0 0 0 0 0 0 0
Mode R/W R/W R/W R/W R/W R/W R/W R/W

Ainsi, si l’on souhaite activer la détection des interruptions sur le pin GP0, il faudra définir le registre à : 0b00000001 soit 0x01.

A noter que ce les registres DEFVAL et INCON doivent également être définis pour les pins définis à 1 dans GPINTEN (détection des interruptions activée).

  • INTCON (0x04) : définit si l’interruption doit être déclenchée par un changement d’état d’un pin par rapport à une valeur par défaut dans DEFVAL (1) ou par rapport à son état précédent (0)
MCP23008 GP7 GP6 GP5 GP4 GP3 GP2 GP1 GP0
Valeur par défaut 0 0 0 0 0 0 0 0
Mode R/W R/W R/W R/W R/W R/W R/W R/W
  • DEFVAL (0x03) : utile quand INTCON est à 1 pour un pin donné, définit l’état par défaut d’un pin
MCP23008 GP7 GP6 GP5 GP4 GP3 GP2 GP1 GP0
Valeur par défaut 0 0 0 0 0 0 0 0
Mode R/W R/W R/W R/W R/W R/W R/W R/W
  • IOCON (0x05) : registre de configuration du MCP23008 ; le bit intéressant ici est le 1 (INTPOL) : s’il est défini à 1, le pin INT sera « active-high », s’il est à 0, le pin INT sera « active-low », ce qui correspond à l’état sur ce pin quand une interruption sera déclenchée.
MCP23008 SEQOP DISSLW HAEN ODR INTPOL
Valeur par défaut 0 0 0 0 0
Mode R/W R/W R/W R/W R/W

Attention, par défaut le pin INT est « active-low » et sera donc à un état haut tant qu’une interruption n’est pas envoyée. Si vous décidez de changer ce paramètre à 1, le pin INT au démarrage du MCP23008 sera tout de même durant quelques millisecondes en état haut (active-low) avant de passer en état bas (active-high). Si vous écoutez une interruption de type « CHANGE » sur votre Arduino/µC, celle-ci sera alors déclenchée. Une solution consiste à « attacher l’interruption » (attachInterrupt()) qu’après avoir configuré le MCP23008 dans son setup().

  • INTF (0x07) : ce registre indique quels pins (actifs [1] dans GPINTEN) ont déclenché une interruption
MCP23008 GP7 GP6 GP5 GP4 GP3 GP2 GP1 GP0
Mode R R R R R R R R
  • INTCAP (0x08) : ce registre est une capture de l’état des pins (1 = haut, 0 = bas) lors du déclenchement d’une interruption
MCP23008 GP7 GP6 GP5 GP4 GP3 GP2 GP1 GP0
Mode R R R R R R R R

Les registres INTF et INTCAP sont « nettoyés » (= remis à 0) lors de la lecture du registre INTCAP ou du registre GPIO. Pour plus de détails sur ce point précis, n’hésitez pas à vous référer à la page 19 de la datasheet (lien ci-dessous).

Un exemple concret

Prenons un cas concret : vous souhaitez générer une interruption lors de passage à l’état haut bas (0) du pin GP0 (qui sera donc par défaut à l’état haut) du MCP23008.

Les valeurs des différents registres seront les suivantes :

  • GPINTEN = 00000001 = 0x01 = 1 : on active les interruptions pour le pin GP0 (bit 0 mis à 1)
  • INTCON = 00000001 = 0x01 = 1 : l’interruption sera déclenchée par un changement d’état par rapport à la valeur par défaut
  • DEFVAL = 00000001 = 0x01 = 1 : la valeur par défaut de GP0 est 1 (état haut)
Lorsque GP0 passera à un état bas, une interruption sera déclenchée et nous aurons :
  • INTF = 00000001 = 0x01 = 1  : c’est le pin GP0 qui a déclenché l’interruption
  • INTCAP = 00000000 = 0x00 = 0 : le pin GP0 (comme tous les autres) était à l’état 0 (bas) au moment de l’interruption

Version modifiée de la librairie Adafruit

La librairie fournie par Adafruit n’offrant malheureusement pas le support des interruptions pour le MCP23008, j’y ai apporté quelques modifications dans cette version.

Outre les méthodes standard de la librairie d’origine, voici les méthodes disponibles pour gérer les interruptions :

void Adafruit_MCP23008::pinIntPolarity(uint8_t p);

Définition de l’état actif  (active-state) du pin INT du MCP23008.

uint8_t p : polarité (1 = HIGH, 0 = LOW)

 
void Adafruit_MCP23008::pinInt(uint8_t p, uint8_t m);

Activation des interruptions sur des pins du MCP23008.

uint8_t p : port (0 à 7)
uint8_t m : mode (1 = actif, 0 = inactif)

 
void Adafruit_MCP23008::pinIntControl(uint8_t p, uint8_t c);

Comparaison de l’état d’un pin avec son état par défaut (DEFVAL) ou sa valeur précédente.

uint8_t p : port (0 à 7)
uint8_t c : control mode (1 = DEFVAL, 0 = valeur précédente)

 
void Adafruit_MCP23008::pinIntDefval(uint8_t p, uint8_t v);

Valeur par défaut du pin pour comparaison.

uint8_t p : port (0 à 7)
uint8_t v : valeur (1 = HIGH, 0 = LOW)

 
uint8_t Adafruit_MCP23008::readIntFlag(void);

Lecture du registre INTF indiquant le/les pin(s) ayant déclenché l’interruption.

Cette méthode ne retourne pas le n° du pin (0 à 7) mais la valeur du registre.

 
uint8_t Adafruit_MCP23008::readIntCapture(void);

Lecture du registre INTCAP indiquant l’état des pins au moment de l’interruption.

Liens utiles

Authentification en 2 étapes sous Linux (SSH/PAM) avec Google Authenticator

Logo Google Authenticator

Logo Google Authenticator

Depuis plusieurs mois déjà, les utilisateurs d’un compte Google ont la possibilité de mettre en place une vérification en 2 étapes lors de leur connexion (2-steps authentication), en passant par cette page, permettant ainsi d’ajouter une couche de sécurité supplémentaire à leur compte.

La méthode la plus simple afin de générer le code temporaire nécessaire à la 2ème étape d’authentification est d’utiliser l’application mobile (Android, iOS et Blackberry) open source Google Authenticator.

Google propose également un module PAM permettant de mettre en place une authentification en 2 étapes sur un poste Linux / Ubuntu.

Connectez-vous à votre poste avec le compte que vous souhaitez sécuriser et depuis une console téléchargez libpam : http://code.google.com/p/google-authenticator/downloads/list puis décompressez l’archive.

Quelques librairies sont à installer afin de permettre la compilation du module et la génération d’un QR Code :

sudo apt-get install libpam0g-dev libqrencode3
cd libpam-google-authenticator-*
make
sudo make install

Lors de l’installation, plusieurs questions vous serons posées, lisez-les avec attention afin de sélectionner l’option adaptée à votre contexte pour chacune d’entre elles.

Installez l’application mobile Google Authenticator sur votre téléphone (version Android sur Google Play, version iOS sur l’App Store) puis ajoutez votre compte en scannant le QR Code qui est apparu dans votre console (ou visible depuis le lien qui vous a été fourni) : une nouvelle ligne apparaît donc dans votre application mobile avec un nouveau code toutes les 30 secondes.

Reste maintenant à rendre obligatoire l’utilisation du module libpam-google-authenticator lors d’une connexion avec votre compte.

Le plus simple ici est d’ajouter la ligne suivante à la fin de votre fichier /etc/pam.d/common-auth (sans oublier d’en faire une copie de sauvegarde au préalable) :

auth required pam_google_authenticator.so

Si vous vous connectez à votre poste via SSH, il est également nécessaire de modifier les deux paramètres de configuration suivants dans votre /etc/ssh/sshd_config :

ChallengeResponseAuthentication yes
UsePAM yes

Redémarrez ensuite votre serveur SSH.

Par défaut, les codes générés sont basés sur l’heure, il est donc impératif que votre téléphone (sur lequel sera généré le code) et votre ordinateur soient à la bonne et même heure (synchronisation NTP). Veillez également par sécurité à noter les codes de secours forunis permettant de se connecter en cas de perte de votre mobile par exemple.

Vous pouvez désormais tester cette authentification en 2 étapes en vous connectant via une console, SSH ou Gnome (GDM) par exemple, qui vous demdanderont le code de vérification. Par défaut, il vous sera également demandé lors d’un sudo.

Deux petites remarques pour l’instant d’après mon expérience :

  • Si vous utilisez une clé SSH pour vous connecter (avec mot de passe, pas testé sans), le code de vérification ne vous sera pas demandé
  • Cette authentification en 2 étapes peut ne pas être supportée par certains clients ou avoir des comportement hasardeux, comme avec Proftpd par exemple qui se contente du seul mot de passe

Attention, en cas de mauvaise manipulation, votre accès pourrait être bloqué. Je ne pourrai en aucun cas en être tenu pour responsable.

Premier billet de ce blog

Combien de fois me suis-je demandé pourquoi ne pas avoir noté quelque part ces fichues lignes de configuration de tel ou tel outil ? Pourquoi ne pas avoir mis dans mes favoris ce lien qui me serait si utile maintenant ? Pourquoi ne pas avoir gardé ce bout de code indispensable ?

C’est partant (entre autres) de ces constats que je me suis décidé. Ca y est. Je lance un blog.

Passionné comme beaucoup d’informatique et nouvelles technologies en général, je souhaite partager à travers ce modeste blog mes morceaux de codes, tutoriaux, et autres trouvailles du net.

J’y parlerai notamment beaucoup du monde de l’Internet en général, de ses grands acteurs comme Google, de l’open source en général, de développement PHP, de Linux, et tant d’autres sujets.

A très vite !

Logo Google

Logo Google