Mandriva

At the end of the month Mandriva is celebrating it’s 10 year anniversary. I didn’t think I was going to be able to get to come, but it turns out that I am (thanks Anne!). This is very cool for me because in June I’ll be celebrating two anniversaries of my own… 12 years married and 8 years working for Mandriva.

So, for the first time in 8 years, I’ll be getting to meet some of the folks I’ve been working with for years.

I’ll be landing, and most likely getting utterly lost, in France on the 29th of the month and leaving June 3rd. Hopefully I’ll get to meet lots of people that I’ve yelled^Wtalked to on the mailing lists and such as well as the Mandriva employees.

I hate flying, but I think this is pretty exciting stuff. I’m stoked!

Found this interesting comic today.. Fred linked to it in IRC and I just had to share.

Whereas Mandriva did not integrate the patch which make the debian based system being vulnerable to dictionary attacks, Mandriva users should also check their system to see if they are not eventually using of the vulnerable keys. As explained in this blog, Debian have include a tool to check if the user is using a known vulnerable SSH key by using a blacklist database : ssh-vulnkey.
More information on this utility can be found in the debian page dedicated to this issue.

Mandriva users are encouraged to check their SSL keys, and notably their SSH keys to see if eventually they not end up with a known vulnerable key. To do this, they can use the dowkd.pl perl utility. Here are the instructions to use it and test it as root :

• Install the downkd.pl utility : urpmi perl-File-Temp perl-DB_File cd /tmp wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz gunzip dowkd.pl.gz
• test your SSH Server Host Key : perl dowkd.pl host localhost
• Test ssh key for user root : perl dowkd.pl user root
• Do the same for any other user connecting with SSH, for example for the user named joe : perl dowkd.pl user joe

• First, download and install it : urpmi python-paramiko cd /tmp wget http://itsecurity.net/debian_ssh_scan_v3.tar.bz2 tar -jxvf debian_ssh_scan_v3.tar.bz2 cd debian_ssh_scan_v3
• Then, to check if the remote host with the IP 10.128.15.110 is vulnerable : ./debian_ssh_scan_v3.py 10.128.15.110

The new Linux game turned out to be Sacred: Gold an action-RPG similar to Blizzard’s Diablo 2. The package includes the original Sacred, a free (official) expansion pack called Sacred Plus and the Sacred: Underworld expansion pack.

I for one can’t wait for this port to be released.

Il est rare que mon blog parle de faille de sécurité, mais cette info mérite d’être relayée dans le monde linux et surtout en français.

La faille enregistrée CVE-2008-0166 touche OpenSSL (plus d’info sur le site états-unien NIST). Les clés pour SSH et OpenVPN sont générées en utilisant des fonctions de cette bibliothèque. Un patch a été appliqué sur celle-ci dans Debian et ses dérivées (Ubuntu comprise) qui augmente anormalement la probabilité d’apparition de certaines clés.

Autrement dit, si vous avez déjà généré une clé SSH ou OpenVPN sous une distribution basée sur Debian, il est possible que plusieurs personnes aient la même que vous ou qu’un pirate informatique puisse se faire passer pour vous plus facilement que la normale.

Infos supplémentaires : votre clé SSH peut aussi avoir été compromise même si elle n’a pas été générée sous une distribution basée sur Debian. Ceci sous deux conditions : il s’agit d’une clé DSA et elle a été, un jour, utilisée sur une machine basée sur Debian. Cette deuxième cause impacte certainement beaucoup plus de personnes que la première cité ci-dessus. Voir le commentaire et le billet de Roland ci-dessous pour plus d’explications.

Un programme a été créé pour tester si votre clé est l’une de ces clés “fréquentes” ou non. Attention car il ne comporte qu’une partie de ces clés et pas toutes. Pour vérifier la clé ssh de tous les utilisateurs locaux de la machine, on le lance ainsi en tant que root :

Si il n’affiche rien, c’est que votre clé est sûre ou qu’elle n’est pas dans la base de donnée de clés publiques de “dowkd.pl”.

Yes ! I’m not a maintainer, but yesterday was the first time I got a bug assigned to me for the stable 2008 Spring ! I still don’t understand why as I didn’t upload the package to Mandriva and was not the last one to make a modification in this package, according to the changelog.

Whatever, I’m glad it has been solved in less than a day and this is thanks to the reporter which actually gave the solution in the bug report and Adam which uploaded the package and made some clever modifications to the SPEC.

The only thing needed was a rebuilt from the svn repository which fixed the compilation problem. The package is now in the official update repository.

Décidément cette journée fut très positive pour moi :) En plus de diverses choses positives ou encourageantes qui me sont arrivées dans la journée, je dois avouer que je suis en train de devenir un grand fan de NRJ12 avec The Beauty and the Geek ( saison 4 ), mais surtout ... Battlestar Galactica. L'une des meilleures série de S.F de ces dernières années enfin accessible au plus grand nombre via la TNT ! J'ai déjà eu l'occasion de voir la série ( 1ère saison, et début 2ème saison ) sur internet, et c'est vraiment une bonne série. Maintenant si une chaine voulait bien diffuser Farscape, autre très bonne série que j'ai eu l'occasion de découvrir sur Série Club, ce serait vraiment top.
Message subliminal pour M6, dont la qualité ( et les audiences ) de la trilogie du samedi soir se dégrade : Farscape ! Farscape ! Farscape !

AMHA, Plasma et KDE 4 devrait permettre d'offrir des interfaces personnalisées et adaptées aux low costs PC ( faible résolution ) et PDA, tout en s'appuyant sur des fondations solides ( Solid, Phonon, ... ) et standards du bureau KDE. En effet, il suffit de changer le container du bureau pour qu'il offre par défaut une navigation d'une sélection de programmes par défaut, ainsi que la navigation au sein du système de fichier. C'est déjà possible en partie, car Raptor, ou Kickoff sont des plasmoïds. De même il existe des plasmoïd pour naviguer au sein du système de fichier. Maintenant imaginons ceci :

1. Le shell ( bureau ) par défaut serait un mix de Raptor et Kickoff en full screen.
2. Au niveau du shell, un système d'onglet ( un peu comme dans Kickoff ) donne les options suivantes : liste des applications par catégories ( pas de sous menus, par contre, c'est une liste affichant tout d'un seul coup classé par catégorie ), accès au dossier personnel ( avec possibilité d'y naviguer ), accès au système ( un peu comme l'onglet "Ordinateur" actuel de Kickoff ), accès aux informations sémantiques avec Nepomuk ( dossiers virtuels avec liste de toutes les images, toutes les vidéos, tous les documents, toute la musique, tout les contacts ).
3. Une barre en bas permet d'accéder à la liste des applications lancées, l'heure et quelques applets ( plasma panel ).
4. La touche Windows permet à tout moment de faire passer le shell en premier plan, ainsi si on lance une application, mais que l'on veut en lancer une autre : Windows -> sélection de l'application. Ce serait la fonction Exposé, mais pour mettre en avant le shell du bureau.
5. La touche Windows+E permet d'avoir une fonction Exposé, mais pour les applications ouvertes.
6. Une fonctionnalité qui peut se révéler intéressante, mais Kwin ne le supporte pas : grouper les différentes fenêtres d'une même application via un système d'onglet. Ainsi si on lance plusieurs fenêtres d'OpenOffice.org, elles se retrouvent regroupées au niveau de la barre de titre dans des onglets, ce qui permet un accès plus rapide, et évite de devoir baisser les yeux, cliquer sur al liste des fenêtres groupées en bas pour sélectionner une autre fenêtre de la même application
7. On peut même imaginer au niveau du shell du bureau un onglet supplémentaire qui permette d'accéder directement à Internet, ou à certains sites partenaires/préconfigurés. Ceci pourrait être possible grâce à l'intégration de Webkit dans Qt, et la possibilité avec Qt4.4 d'embarquer Webkit dans un Plasmoïd.
8. Un bouton dans la barre du bas permet de repasser simplement au mode "normal", i.e l'interface par défaut d'un KDE 4.
9. On remarque qu'avec les fonctionnalités 4,5,6, on pourrait presque se passer de la barre des taches en bas. Subsiste le problème pour afficher l'heure, et les applets nécessaires. Peut être un onglet supplémentaire dans le Shell ? ou une partie réservée à cela ( zone notification ) dans le bas du shell ? On gagne ainsi en espace disponible au niveau de l'écran.

Ce concours Lépine de cette année a récompense avec le 1er prix, un PC dédié aux séniors fonctionnant sous ... Linux Mandriva ! Le poste client et le serveur associé fonctionnent sous Linux Mandriva. Le PC se composent d'un écran tactile et d'une webcam. Il n'y a ni unité centrale, ni clavier : tous le pilote se fait via de grosse icônes différenciées par des couleurs sur l'écran. Cela permet aux personnes âgées de profiter d'une interface simplifiée, et adaptée notamment à leurs problèmes de vue. De plus la synthétisation vocale est disponible ce qui permet d'écouter ses emails par exemple.

Je souhaite du succès à Magui, et je reste renforcé par le fait que pour certains usages, l'interface classique ( notamment fortement inspirée de Windows ) n'est pas adaptée, et qu'il vaut mieux fournir des interfaces spécifiques. C'est le cas dans les téléphones portables, dans les PDA ( hormis Windows CE/ME qui ressemblent fortement à la version desktop, bien qu'il y ait quelques différences ). Je pense aussi que le succès de l'Asus Eee PC est aussi due à l'interface simplifiée fournie par Xandros.
Le concours Lépine 2008 récompense un PC Linux pour les seniors

As said by Vincent, Firefox 3 package is in Cooker main/testing repositories. So people willing to test it are free to do it. However, the SQLite usage for the bookmark history may make your system unresponsive by excessive fsync calls. This is especially problematic for people having many I/O request on their filesystem, or for people using NFS home directories. So you should install and use FF3 with care.
BMO #421482 : Firefox 3 uses fsync excessively
BKO #9546 : Huge latency in concurrent I/O when using data=ordered

Certains diront qu’il était temps… mais bon, une première version de paquetage pour firefox 3 est disponible dans cooker.

Il a été mis dans le dépôt main/testing car il s’agit uniquement de cela pour l’instant : un test (et il pose déjà certains problèmes). Le but est d’obtenir à terme un paquetage qui permette à firefox 2 et 3 de coexister.

Il y a toujours un débat qui fait rage depuis longtemps sur la manière d’empaqueter correctement firefox. Firefox est composé, pour simplifier, de l’interface graphique et du moteur de rendu : gecko. Le problème est que d’autres logiciels se basents sur gecko. C’est le cas notamment d’epiphany, le navigateur de GNOME qui utilise le même moteur, mais une autre interface, plus “gnomisée”. Lors d’une mise à jour de firefox (gecko est généralement mis à jour aussi), il faut bien s’assurer qu’il n’y a pas de problèmes pour les autres applications utilisant gecko. C’est une vraie plaie pour l’équipe sécurité de Mandriva qui doit lancer une batterie de tests énorme pour vérifier qu’il n’y a pas de régressions sur tous les logiciels se basant sur gecko.

L’arrivée de firefox 3 complique encore ce système et va demander du travail de la part des dévelopeurs Mandriva. Cela explique la lente arrivée de ce navigateur.

Personnellement, j’utilise depuis quelques semaines le binaire de la beta 5 fourni par firefox, installé dans mon répertoire personnel et j’en suis plutôt satisfait (par contre, je n’ai plus de plugins, inconvénient que l’on ne peut résoudre qu’en utilisant le paquetage Mandriva). Je ne vois pas d’amélioration qui casse des briques par rapport à firefox 2, mais pour avoir suivi un peu l’actualité sur firefox 3, je m’y attendais.

now that kde team have finished the big break, kde3 is completly  moved to /opt and kde4 on / . The next steps are to finish to fix all conflicts ( for the migration 2008.0/2008.1 -> 2009.0 ) and to personalize a little our kde4 .

Testers you can now update your cooker and report bugs ( bugs = migration bugs because missing functionnality must go on upstream bugzilla ).

I spent 5 great days in Saint Petersburg this week!

This was my first visa and I was worried about the needed paperwork (insurance, hosting certificate, ...), and then the registration after arriving. Getting the visa was not easy as you need to go to the embassy on Monday, Tuesday or Thursday between 9:00 and 12:00 and spend some time there (queuing 3 times...). Then you can chose to get the visa as soon as it is ready (the same day) for 70 euros, or wait 7 days before picking it up and only pay 35 euros...

At the airport I was welcomed with huge queues for passport checks (I think I spent about 30 minutes there) and then by Ирнина which was better :)

Apart from usual buildings and museums (I admit I haven't visited some major ones), I visited a great bar/club on the first evening, which I enjoyed even if I had not slept the night before (We went there again the next day and it was much better :) ).

I can now pronounce most letters (not all) and often understand the word when it sounds like French or English (or other, like CYШИ for sushi) but reading letter by letter is so slow... And I can't manage to read anything hand written :(

I hope I'll have the opportunity to go there again!

Photos are already online!

This week’s TechMail is about one of my favourite programs, runit: Use runit to supervise Linux services. I can’t recommend runit highly enough, but ever since I started with qmail years ago and djb’s daemontools, supervised services have been a bit of a thing for me. Can’t live without them.

As a result, I’ve been putting a few packages into current contrib so that with Mandriva 2009 you’ll be able to (easily) run supervised services with my Annvix run scripts (using execline so there is an extremely small memory footprint).

Too bad Mandriva’s dietlibc is so broken that runit has to be built static with glibc, making it far larger than it should have to be. =(

Last week’s TechMail tip was Learn to use the openssl command-line program which goes into the use of… openssl… on the command-line. Stuff like generating hashes, doing general file encryption, etc.

Today I was upgrading my HTPC, which turned into a predictably painful experience. I’m upgrading from an Athlon XP 2500+ to a Pentium D 2180, adding a spiffy GeForce 9600GT, and three 500GB hard disks to form a RAID5 array.

So I get all the stuff home and realize the motherboard I bought only has two SATA ports, but I need four. D’oh. Back to the store (different one, actually) to pick up a PCI SATA controller card. SATA controller card doesn’t work. Double d’oh. Back to the original store to buy a DIFFERENT card. About to break screen when boot up with new card and find it reporting a PCI ID that does not exist. Fortunately, switching PCI slots makes it behave. Finally, all hardware is working. Frankly I think this combination of hardware is also teetering on the brink of my 380W power supply’s capabilities, but it seems to be holding up so far. So now the system is checking for bad blocks on the newly created RAID array. 1.5TB of bad block checks takes…a while. I’m estimating five hours at the moment…

Voilà une intéressante nouvelle : la Mandriva Linux 2008 Spring pourrait bénéficier prochainement du support de l’UDF 2.50 (aussi appelé format universel de disque). L’UDF est censé être le successeur du fameux ISO 9660, format tant utilisé pour graver les CD, mais comportant tant de limitations (qui sont partiellement comblées par les extensions : Joliet, El Torito et RockRidge).

L’UDF 2.5 permet notamment l’accès aux disques Blu-ray, impossible autrement. Il permet aussi la gravure au format UDF, qui offre un mécanisme de contrôle des erreurs et est plus économique en terme de place lorsque l’on effectue des sauvegardes.

Ce support sera disponible dans une prochaine version du noyau Mandriva-Turbolinux (et oui, maintenant, il est commun à ces deux distributions) : il s’appelera probablement “2.6.24.5-1mnb”, après avoir été testé par la communauté. D’ailleurs, si vous désirez le tester, on peut le trouver sur le site de Thomas Backlund (mais attention, ce noyau n’est pas supporté pour l’instant ! à vos risques et péril !).

L’excellentissime gestionnaire de bureau Xfce auquel je donnerais volontiers le surnom de “bureau qui a ce qu’il faut là où il faut” a le vent en poupe. Tant et si bien qu’une réelle communauté Xfce sévit désormais au sein de Mandriva et de Cooker. Et son travail est généralement apprécié, voire beaucoup apprécié.

Bon, tout cela pour déclarer que vous pouvez désormais télécharger une version One de Mandriva Linux 2008 Spring comprenant Xfce comme bureau. Il faut pour cela, aller dans le sous-répertoire correspondant à votre architecture, puis votre groupe de langue (pour le français, c’est “int”, pour les autres, la liste des langues est disponible sur la page wiki de la Mandriva Linux 2008 Spring).

Went with noah to see that Euro Disney thing and he seems to really enjoyed it. I am not a big fan of Eurodisney personally but the kid was so enjoying it. Last time i was there was like 11 years ago, things got way more expensive now  as well.

Went with noah to see that Euro Disney thing and he seems to really enjoyed it. I am not a big fan of Eurodisney personally but the kid was so enjoying it. Last time i was there was like 11 years ago, things got way more expensive now  as well.