FOSDEM 2007

Vidéos

Les vidéos des confs importantes commencent à arriver sur les serveurs du FOSDEM.

http://ftp.belnet.be/mirrors/FOSDEM/2007/

Sont bien ces gens du FOSDEM.

Photos

Poster ici les URLs vers ce bel événement ?

gaston : http://gcu.info/~gaston/pics/Fosdem07

yota : http://yota.smugmug.com/gallery/2523344

Compte Rendu

Proposition: compte-rendu, liens et impression diverses, essayons de garder un aspect vaguement chronologique histoire de pouvoir retrouver facilement une info.

One Laptop Per Child

Présentation du projet OLPC, bien connu, on ne revient pas dessus. Les points intéressants qui ont été dits à la conférence ou autour de la conférence (oui, ce sont des éléments de propadange, et j'ai aimé cela).

* vastitude des domaines de réfléxion touchés par le prj: hardware, software, design, gestion de l'énergie, sécurité, réseau … Il faut environ tout penser différemment. Chaque point «qui va se soi» doit être revu: pas d'électricité (manivelle), pas d'accès à un réseau (mesh), pas de consultation dans des endroits fermés (écran spécial), pas de protection ou d'administration (sécurité)… Chaque micro points ouvre une tonne de questions. Chaque réponse à cette question ouvre une autre tonne de questions. C'est donc un sujet captivant :)

* bon catalyseur de prj opensource et de visibilité de la communauté oss: ce truc pourrait tout simplement enterrer les millions de la fondation Gates :)

* «Les enfants ont besoin de survivre, pas de faire des mickeys avec un LOLappy». certes mais (a) c'est un outil d'apprentissage («ne donne pas un poisson à qui meurt de faim, apprends-lui à pêcher») (b) «les déséquilibres du monde me préoccupent, je suis programmeur, je fais un ordinateur. Si tu es paysan, tu peux aider autrement, moi, c'est comme cela».

* «et l'écologie ?» il est possible que l'OLPC est plus écologique que la somme de manuels et de cahiers à produire et à transporter pour mettre l'information à la portée des enfants des pays en voie de développement.

* «et les sous ?» RedHat et d'autres donnent de l'argent et des moyens. L'ONU serait aussi dans la course. Idée aussi de vendre des OLPC plus musclés pour les pays développés, à 400$, mais cette meilleure et tentante machine payerait les 100$ d'une machine pour un enfant d'un pays en voie de dév. La production de masse devrait commencer mi-2007.

Quelques notes marrantes: «les icones n'ont pas la même signification dans tous les pays»: ce qui veut dire qu'il faut faire une sorte d'espéranto mondial pour l'OLPC.

Liberating Java

Un peu de flan, beaucoup de plaisirs, quelques pointes dans cette présentation.

Flan (mais quand même bien).

* Idée qu'on passe, avec l'internet et le FLOSS, de l'âge de la consommation à l'âge de la participation (consumer society to participator society). The Mesh Model, plusieurs pôles qui oeuvrent en commun, pour un bien commun.

* Michel Drucker: Sun, OSS depuis toujours, rappelez-vous, BSD, haha, on y était.

* on en a une grosse: 26% du code d'une install Debian est contribuée par Sun (ex: GNOME Orca, mozilla i18n, OOo)…

Bien:

* Pourquoi participer à l'oss ? parce que pour grandir, sur le marché de l'it, vous devez embaucher des gars bien. Et vous ne pouvez pas embaucher tous les gars bien. En étant exclusif, vous avez bcp de gars bien contre vous. En participant à un projet commun, tous les gars bien travaillent sur le même projet.

* En conséquence, la manière de faire des programmes change. Le modèle commercial change. Sun propose un modèle dans lequel la compagnie paie au déploiement, pas à l'acquisition. L'acquisition est une partie marginale de la valeur, elle va donc disparaître. The advent of choice.

Les belles phrases

* «keeping the sources secret is not a competitive advantage»

* A propos de la libération de Java et des risques associés: «We are optimistic that incompatible derivatives won't gain attraction». Cela sous-entend néanmoins qu'il faut bel et bien une masse critique pour que le jeu fonctionne (ce qui valorise la position d'un sun, évidemment).

* «business is best served in a open room»

Les trucs plus compliqués

* Les brevets. L'argument est étrange, à la fois percutant et fallacieux. Les brevets aux US sont comme les armes à feu. «Les Américains achètent des armes à feu parce que les Américains achètent des armes à feu». Et Sun dépose des brevets parce que tout le monde dépose des brevets et que sans l'arme des brevets qu'on possède, on peut se faire tuer par un brevet sous-marin dont on peut être forcément victime dès qu'on écrit du software. Cet argument est intéressant parce qu'il va dans le bon sens de la communauté («les brevets, c'est mal, il faut réformer le système») mais à la fois, il justifie pleinement la course aux brevets débiles et l'instrumentation armée de la chose. Note: visiblement, Miguel de Icaza a utilisé un argumentaire assez proche lors de ses conf Mono.

Python Test and Documentation Driven Development

A creuser, c'était bonheur. docutils et testutils, suite d'outils python conviviaux pour réaliser doc et tests dans ses programmes (avant même de faire le boulot, faire les tests qui évalueront le boulot que le programme doit accomplir).

Les tests ainsi menés permettent au programme de sortir de sa propre tête / de sa vision de l'implémentation et de voir les vrais difficultés que rencontrent son utilisateur. La doc permet la meme chose, mais d'un point de vue conception/réflexion («pensez qu'une personne que vous aimez bien va lire votre idée»).

Trois types de tests:

* tests unitaires (chaque fonction, via magie python incluse) * tests d'intégration (entre chaque module, via magie python incluse) * tests fonctionnels, là, on peut/doit sortir de la magie ailleurs que dans python, notamment Selenium, qui permet avec du JavaScript d'animer automatiquement un navigateur et de processer un enchaînement d'évenements.

J'ai ajouté à cette liste DogTail. Selenium fait ce que JavaScript peut faire (poster un formulaire, tester la présence d'un mot, etc.) Mais des trucs ne peuvent pas être faits en JavaScript: ouvrir la boite de préférence du proxy, déposer un fichier sur le bureau de l'utilisation, incoroporer un PKCS#12 dans le keystore … DogTail est un client lourd qui permet cette magie, à l'extérieur du navigateur.

X.org

La conférence de Papa Keith était assez bien gaulée, au début, pensions-nous. Il montrait les photos de vacances de ses beaux, frais, svletes et jeunes collaborateurs sur Xorg avec humour puis détaillait la contribution dudit monsieur dans le prj. Sauf que ca a un peu fait soirée diapo et pas trop avalanche de poils.

AIGLX

On s'attendait à une brouette de *zuip* *zuuuiiIIiip* multimédia. On a eu des slides avec une fonte en taille 4, détaillant tous les points imaginables (que se passe-t'il quand on introduit une souris ibm dans le sens inverse quand on est en indirect rendering ? haha, qui a la réponse ?). Alors avec Prae on a commencé à faire des dessins, puis on est parti quand nos feutres de couleur étaient tout secs.

SE Linux

J'attendais bcp cette conf, pfiouu, un peu déçu, par le système, par la conférence. La conf était très statique («vous faites comme cela, vous aurez cela») avec des exemples un peu cucul (à mon goût). SELinux est une initiative intéressante, mais la mise en oeuvre me semble bien reloutante.

SELinux est un système qui vise à établir une galaxie de gestion des privilèges plus fine, plus drastique et plus étendue que les permissions Unix, qui ont pris un bon coup de vieux. Il s'agit aussi de gérer des autorisations sur des choses qui ne sont pas des fichiers.

D'où SELinux: Mandatory Access Control (MAC, vs. DAC), mandatory et non discrete et RBAC (Role Based Access Control). Mais l'idée est de ne pas casser les éléments Unix/POSIX et donc se comporter comme les programmes s'attendent à ce qu'on le fasse.

Cependant, à l'issue de la conférence, l'établissement des Roles, des types, de policies, des policies type, des vectors, des references et du policy language entraine une complexité importante. Cela appelle plusieurs points de réflexion

* comment maintenir un système ? est-ce conçu pour les serveurs mono-applications (genre mon serveur WWW ou DNS, point barre ?). SELinux n'est pas aiser à manier, je sens le serveur qu'on configure aux oignons pendant deux semaines, qu'on isole et auquel on ne peut plus toucher six mois après car le truc est sanglé dans des règles difficilement maintenables.

* création d'outils pour aider à manier syntaxe et règles (GUI d'établissement et de réplication des règles, etc.). Sauf que sur un Unix, ne plus être dépendant du seul vi(m), less et grep pour se tirer des mauvais pas est un risque important.

* création de policies references toutes faites, en gros, si j'ai bien tout compris (ce qui n'est pas forcément évident) il s'agit d'une liste de règles de bon goût, nourries, élevées et fournies par des éleveurs de champion. Cela me chagrine aussi un peu car l'idée de devoir faire appel à des trucs externes pré-machés pas forcément super bien adaptés à mon problème PEUT introduire un faux sentiment de sécurité («ouais, ma porte est super blindée quoi ? mais ma fenêtre est grande ouverte ?!»). Oui, je vois le mal partout, mais les lendemains d'abus, ca me fait toujours ca.

Mais bon, en dépit de ces menues mesquineries de ma part, SELinux mérite sans doute qu'on secoue un peu plus le biniou pour voir plus en détail la gestion de ces points.

Actuellement, SELinux est maintenu, après l'initiative de la NSA américaine, par des Universités, et des mainteneurs de distro Linux, en particulier RedHat (mais également Slack et Ubuntu travailleraient dessus).

apt-get me faster

Une conf «debian internal» bien sympathique sur le fait qu'un apt-get update prend toujours 4Mb sur le réseau (Packages.gz) et qu'une petite optimisation serait la bienvenue.

Etch dispose maintenant d'une gestion des diff, ce qui est déjà très bien, mais cela ne peut s'appliquer qu'aux Sources.gz et Packages.gz et point au deb ou autre. L'occasion d'aller plus loin est donc là, avec l'aide d'un SoC d'ailleurs, qui a donné aptsync, truc en mython, qui s'appuie sur zsync pour toujours plus de convivialité.

Les idées échangées s'appuient sur une réflexion de contrôle des morceaux «à la bitorrent» (empreintes non du fichier, mais des morceaux du fichier (hahaha emacs21-bin-common même plus peur) ou rsync, mais dans le but de bien épargner la bande passante du client et du serveur mais AUSSI le CPU du serveur. Sending less bits, with less CPU. Donc, cela serait au client de calculer les morceaux manquants.

VoIP Debian

Une explication conviviale sur la VoIP, pas vraiment debian-specific, mais qui causait d'un autre qui s'appelle ReSIProcate. La conférence a détaillé le fonctionnement de SIP, le protocole, la communication, comment cela devait fonctionner, etc. avant de se focaliser sur l'outil en question. Si j'ai bien tout suivi, Asterisk, l'amour de nos nuits, est un truc qui fait tout. ReSIProcate fait juste du SIP. A creuser, donc, pour des nuits encore plus loooOOoongues.

http://www.resiprocate.org/

zzuf

Sam était en retard à son lightening talk@#$%, à 9h20 du *matin*, le dimanche, alors que je m'étais levé. HAN. On a pu avec un petit bout, qui a mis plein d'appétit.

zzuf est un fuzzer pour les applications. Les slides expliquent tout.

http://sam.zoy.org/zzuf/ http://sam.zoy.org/zzuf/zzuf-20070225.pdf

Security Testing

Suite de conf sur la sécurité, à Janson.

OSTMM: méthodologie Open Source pour évaluer les enjeux de sécurité.

Moto: la sécurité informatique, c'est compliqué, et c'est idiot de confier cela à quelqu'un ou quelque chose d'autre: il n'y a pas de produits, il n'y a pas de conseil qui soit assez fort pour l'être tout le temps [ca, c'est pas lui qui l'a dit, c'est de Rousseau, mais j'aime bien rajouter des trucs pour faire croire à ceux qui y étaient aussi qu'ils n'ont pas tout bien compris, haha, cte déconne.]

qui est le bon interlocuteur pour faire de la sécurité informatique ?

* pas forcément un consultant extérieur

* pas forcément le développeur d'un programme (avec des phrases comme «we design program as we want it to be»)

* truc vraiment intéressant: tests & dev interviews are biassed. Security is subective. Il a utilisé, pour cela, une image intéressante: tomber d'un avion à toute vitesse vers le sol est un vrai enjeu de sécurité pour moi. Un amateur de parachutisme ne verra pas les choses de la même manière. Cf infra.

* les outils et les procédures sont «trop attendus» (ie. conventionnels ?)

* la sécurité a (parfois trop) à voir avec le CYA syndrom: COVER YOUR ASS syndrome. A savoir l'audit n'est pas là pour résoudre les choses, mais juste pour avoir un bout de papier pour dire «nous sommes sécurisés, haha».

* en matière de sécurité, une réponse correcte est une nouvelle question (correct answers are new questions – ouais, là, celle-là, je l'ai bien aimée).

L'objectif de l'OSSTMM truc, là est de:

* repenser les tests

* établir une meilleure métrique de la sécurité

* être practical pour les développeurs et les auditeurs

* ne PAS être une suite de bonnes pratiques

* être concentré sur les opérations, pas nécessairement sur les assets (et pan dans la gu. des critères communs, qu'il a pourtant cité, avec déférence, dans la conf, j'ai pas bien compris ?) – il doit y avoir un truc important là dessous, la phrase clef était peut-être: we don't care what you have, we care how it works. A creuser.

* risk analysis is biased @~#{@!

Je vais éviter de dire trop de conneries sur ce sujet, cela a été filmé, j'ai peur qu'on se fasse repérer.

Metasploit

C'était très drôle et réjouissif, sauf que. Donc, détaillons.

Histoire de mettre l'ambiance, Moore a commencé par une petite mise au point remplie de trolls touffus, personne ne semble les avoir vus, c'est pas juste, les voici.

* pour qu'un prj OSS marche bien, il ne faut pas se passer de la base des utilisateurs Windows, il faut donc toujours penser au portage ou à son utilisation sous windows, c'est capital, puisque 95% de la base, ce sont eux.

* Scripts kiddies are good (ok, sourire crispé en entendant cela) …

* abondante *bav* sur Perl (du fait du switch vers Ruby)

Bon, maintenant, j'étais un monsieur innocent, et Moore montre mon metasploit framework tout joli, qui doit être releasé très prochainement, avec lequel, en gros, tu as

* un environnement pour développer des exploits;

* un environnement pour utiliser les exploits.

Je résume la partie un: hop je fais mon environnement qui me pré-mâche tout le boulot en terme de socket / brute-force / proxy / forwarding / IPS evasion / insert-your-problem-here et paf, je me concentre que sur la charge utile.

Je résume la partie deux: clic tu ouvres l'outil convivial, click tu dis quel est l'hôte que tu veux r0oter, click tu devines ou click tu précises quel os c'est, click tu choisi ton attaque, ton shellcode et hop, tu es roOt, sous windows, tu mets tes process et tu joues et tu joues et tu joues.

Le truc est impressionnant.

Alors, qu'en penser. Les avis sont partagés, entre personnes et d'ailleurs dans une même personne même.

Le coût d'accès à une attaque est faible. Est-ce que c'est metasploit qui produit cet état de fait ou est-ce que c'est metasploit qui l'illustre, c'est la question. En tout cas, une machine peu à jour peut être ruinaiz du sol au plafond en une 10aine de minutes par Madame Michu avec metasploit, sans connaissance préalable. Et ca, putain, c'est toujours bon de le savoir.

J'imagine la peine des sysadmin qui vont, avec metasploit, avoir des zillions de tites naqueurs qui vont remplir les logs («LOLE le string encoding exploit d'IIS 4.0 ne marche pas sur BéHayssDé, essayons le suivant»).

Ceci dit, j'imagine, en même temps, la force de conviction de cet outil, de cette illustration, auprès de personnes peu informées. J'ai déjà essayé d'expliquer la vertu des mises à jour de sécu à des responsables (de budget des services de l') informatique. Avec une faible réussite. C'est vrai qu'avec trois clics dans metasploit, on pourrait leur faire une sensibilisation autrement plus convaincante.

Voila, le coeur du propos est là: illustration ou complaisance. Et, en fait, je me demande si ce n'est pas un peu pareil avec les scripts kiddies: heureusement qu'ils font un peu de bruit à nos oreilles pour qu'on protège nos données que des vrais méchants pourraient convoiter avec plus d'appétit si on n'y faisait pas trop gaffe.

Bacula

Bacula est un outil de backup de la bombe. Sauf que si on le savait déjà, la confi était un peu reloutante, puisqu'elle expliquait juste ce que c'était et comment cela marchait. J'ai bien aimé, mais ce n'était pas passionnant.

Kernel and DI in Debian

Encore un petit coup de Debian, ca cognait un peu dur au sujet des noyaux, comment être à la fois réactif et ne pas tout pêter régulièrement dans le debian installer ou dans les applications en dessous. La proposition qui était faite était de maintenir un pool séparé, par exemple kernel/ avec un jeu de 3-4 noyaux différents, qu'on éjecte dès qu'ils ne sont plus utilisés.

Ce qui était intéressant ici était le fait qu'on voyait une communauté en marche, avec des tensions, ses moyens, aussi en se rencontrant, d'aller plus loin, d'avancer, d'exposer des arguments. C'était fort urbain.

Running Debian on inexpensive storage devices

Le point: tout le monde veut chez soi une mini distro à tout faire sur une machine qui ne fait pas de bruit, qui consomme peu et qui est assez polyvalente. Or en ce moment, les NAS entrée de gamme et grand public commence à avoir assez d'intelligence pour qu'on envisage de coller une Debian dedans.

Quelques indications pour les matos avec une belle communauté.

* Linksys NSLU2, intel IXP42X, 32Mb, 8Mb flash, Eth, env. 85EUR, miam. Le problème est que c'est une machine LENTE et aux possibilités assez limitée, mais avec une très grande communauté autour. On peut brancher un disque extérieur. Debian s'installe bien dessus, aucune pièce mobile, peu de chaleur.

* Thecus N2100, 2 SATA, eth Gb, 350 EUR ou U$270 (khof). Attention, bruyant et très mal ventilé.

Des heures de jeu en perspective :).

Voir aussi les machines de Wim pour jouer (kd85.com).

KDE 4

Perspective de KDE 4. Intéressant parce qu'on voit la progression des projets.

* passage à QT4

* phonon la base multimédia

* solid pour la découverte du matériel

* threadweather pour la gestion multithread

* kross pour la collaboration entre langages d'extension de kde

* akonadi pour le pim et les widgets

* decibel pour la voip et le chat

* sonnet pour la gestion des langues et des dico (?)

* strigi pour le moteur de recherche personnel

* plasma pour la nouvelle interface

* dolphin pour la gestion des fichiers personnels et la manipulation

* oxygen et la gestion svg pour le look

* okular comme outil unifié d'ouverture des fichiers sous kde (pdf, odf, images …) etc.

par contre, pas de démo, peu de scrinchottes (alors que sur gcu, on aime telllllement ca) et pas de calendrier. Mais kiff0rz quand même un peu.

Samba

En fait, y'avait atelier bière au bar en même temps, donc c'était un peu compliqué de comparer les avantages de la Chimay bleue et de la Jup et de suivre la conf (note pour ceux qui ont raté: la Chimay Bleue se mâche, c'est la nourriture, comme ca donne soif, faut une Jup pour aller avec, forcément).

Ceci dit, quelques points intéressants / à discuter ont été évoqués lors de cette conf.

* l'environnement Open Source a du succès et va donc monter en gamme. Actuellement, l'environnement utilisateur de base, c'est Windows, c'est CIFS. La gestion de ce protocole est une chose importante pour l'OSS. «We have to handle the fact that CIFS is going to be there as Unix grows».

* «POSIX needs fixing». *Kh*.

* samba 4 cherche à intégrer/remplacer un Active Directory. Or, AD n'est pas un outil ou un protocole, mais une suite de protocoles. AD, c'est: LDAP + DNS + DHCP + Kerberos + DCE/RCP … Tous ces composants existent dans Samba, mais ils n'existent pas intégrés comme l'est AD. Et les intégrer est/serait un gros boulot.

* Le projet Samba est aidé par Apple (un commiter), mais le nombre de dév. est très réduit pour ce projet (il a évoqué, si j'ai bien suivi, entre 5 et 10 contributeurs sérieux et réguliers!). Pour parvenir à donner l'équivalent d'AD, il faudrait une force de développement bien supérieure et l'équipe Samba n'a juste pas le pouvoir de le faire.

Alors, tout cela a fait plein d'échos dans ma tête (MAIS SORTEZ DE MA CHAMBRE@#~ ©). Première réaction «mais qu'est-ce qu'on en a à branler d'un AD #@». Après quelques secondes de réflexion, il n'existe pas, à ma connaissance, de système pour gérer correctement 50.000 ou 80.000 postes utilisateurs magiquement en libre. AD, le permet. Mal, coûteusement, tout ce que vous voulez, mais ca le fait. Et complètement: utilisateurs, groupes, partages de fichiers, GPO, messagerie, policies, etc.

Évidemment, l'argument du «filez-moi 10% du budget mondial des licences AD et je vous pète tout en libre» vaut. Néanmoins, avoir un système de gestion de parc, d'appli, de sécurité, de stratégie, de messagerie avec plein de kikoo-lol, ca fait carrément sens. Et le projet Samba s'y intéresse. Et nous propose de s'y intéresser.

Après avoir donné une vraie alternative au serveur d'infrastructure, au serveur d'application, au système de sécurité, au bureau applicatif, c'est bien de monter la bataille de l'open source et des normes ouvertes vers la gestion, massive, complète, de postes et d'environnement.

Thanks, samba team. 'n' go get them !

fosdem07.txt · Last modified: 2010/01/12 13:29 (external edit)