OpnSense & ACME & NSUpdate (bind9 journal problem)

If you need to use ACME plugin to register certificate (by using nsupdate (RFC2136)), you could be faced on the problem below

Nov  6 07:58:24 Sagitarius named[121]: client @0x7f68640c70d0 10.20.3.1#50544/key opnsense: signer "opnsense" approved
Nov  6 07:58:24 Sagitarius named[121]: client @0x7f68640c70d0 10.20.3.1#50544/key opnsense: updating zone 'clucas.fr/IN': adding an RR at '_acme-challenge.cloud-home.clucas.fr' TXT "-_UEEMEIYvUxwoHWhBbdxiSzil62dgNoHCBfZJCzIiE"
Nov  6 07:58:24 Sagitarius named[121]: /etc/bind/clucas.fr.zone.jnl: create: permission denied
Nov  6 07:58:24 Sagitarius named[121]: client @0x7f68640c70d0 10.20.3.1#50544/key opnsense: updating zone 'clucas.fr/IN': error: journal open failed: unexpected error

You can try to ‘touch’ this file, here “clucas.fr.zone.jnl”. Even if you change owner, permission (even 777), you will not ble able to make it work. You will be face this time on :

Nov  6 11:55:25 Sagitarius named[121]: client @0x7f68640d5860 10.20.3.1#59062/key opnsense: signer "opnsense" approved
Nov  6 11:55:25 Sagitarius named[121]: client @0x7f68640d5860 10.20.3.1#59062/key opnsense: updating zone 'clucas.fr/IN': adding an RR at '_acme-challenge.cloud-home.clucas.fr' TXT "eOTvsiOSI0I0eenYb2hfiD0KAAf2kXSPZjDo_5IY1yQ"
Nov  6 11:55:25 Sagitarius named[121]: client @0x7f68640d5860 10.20.3.1#59062/key opnsense: updating zone 'clucas.fr/IN': error: journal open failed: no more

I have read lot of blog posts, reddit post, and so on. The only solution I found is to change directory of journal file by means if :

include "/etc/bind/keys/opnsense.key";
[...]
zone "clucas.fr" {
       type master;
       file "/etc/bind/clucas.fr.zone";
       journal "/var/lib/bind/clucas.fr.jnl";
       also-notify { 217.169.242.186 port 53; 51.222.24.32 port 53; };
       allow-transfer { 217.169.242.186; 51.222.24.32;};
       notify yes;
       allow-update {
              key "opnsense";
       };
};

From an OpnSense point of view you will be have something like this :

  1. A Let’s Encrypt account in my case ;
  2. A challenge type : configured to use NSUPDATE ;
  3. A certificate generated by using the two above ;

 

In my case, even if as you could probably have seen I have a master bind9 and this one notify two slaves bind9 server, I have configured a 5 minutes (300 seconds) sleep time to be sure DNS propagation is OK.

 

 

When you will (re)cert you will normally see this :

It’s time to act

Si vous n’êtes pas insensibles au sujet du climat, merci de prendre 1 min pour ce post 💚
(le lien : https://www.eventbrite.fr/e/billets-time-for-the-planet-change-de-dimension-214694726707)

Big news : le 20 décembre, à 21h, l’aventure @time for the planet (dont je suis associé), change de dimension.

Il y a bientôt 2 ans, Time for the Planet prenait vie à partir de rien, autour d’une ambition un peu folle : 

créer un immense mouvement citoyen non lucratif pour rassembler progressivement 1 milliard d’euros afin de déployer 100 innovations majeures et open source partout dans le monde, capables de nous aider à décarboner massivement nos sociétés. 

« Puisque personne ne viendra nous sauver, on va se sauver nous-mêmes. » 
Parce que face au changement climatique, nous ne sommes pas résignés. 

Chaque petit geste pour la planète compte mais, tous ensemble, nous avons le pouvoir d’aller plus loin. 

Collectivement, nous nous sommes donc fixé un objectif : réussir à lancer officiellement les 3 premières boîtes Time for the Planet avant fin 2021.

Un pari relativement fou, sachant que nous n’avions aucune idée des chances de succès de ce projet titanesque. 

Et pourtant, depuis : 

– En nous regroupant à plus de 31 000 associé·es, nous avons réuni 6,2 millions d’euros. Sans argent et sans être très nombreux, nous ne pouvons rien faire (ni attirer des innovations majeures, ni faire venir des entrepreneurs de renom pour déployer les entreprises). Chaque nouvel associé·e compte. 

– Nous avons mis en place un processus de sélection basé sur plus de 4 000 évaluateurs, que nous avons formés, ainsi qu’un Comité scientifique d’experts reconnus et bénévoles qu’il a été possible de faire venir, entre autres, parce que nous étions nombreux et que nous avions fait du bruit tous ensemble. 

– Nous avons reçu plus de 600 innovations et challengé plusieurs centaines d’entre elles. 

– Nous avons organisé une communauté de plus de 3 000 associé·es actifs et bénévoles (🥰), préparé la suite pour être capables de lever plusieurs dizaines de millions d’euros auprès de grands investisseurs et préparé également l’internationalisation de Time for the Planet. 

Et, un beau jour, ce qui n’était qu’un projet collectif fou devient une réalité. 

Le 20 décembre à 21h, en plateau télé, nous présentons la version concrète de notre grande aventure collective : toutes les premières boîtes #timefortheplanet, en détails. 

 L’émission sera diffusée en live sur YouTube pour qu’un maximum de gens puisse y assister.

Je vous invite donc chaleureusement à vous inscrire à l’événement pour découvrir cette aventure et, je l’espère, nous rejoindre : https://www.eventbrite.fr/e/billets-time-for-the-planet-change-de-dimension-214694726707

Nous réussirons tous ensemble, ou nous échouerons. 
Rdv le 20 décembre, ce moment est le plus important depuis la naissance de Time for the Planet. 

#timefortheplanet 💚🌎 

Some bashblog tests.

For now I will not move from this blog motor, but I have tested bashblog because I have made some search of my really old blog post and it make me think about nanoblogger which is not ever maintained now. So I search only for curiosity if there is now this kind of project. Bashblog is this kind of work. Only some bash and a quick result.

It is simple, just configure EDITOR variable and let’s go :

clucas@eris:~/public_html/blog-test$ ./bb.sh list
1 Bashblog tests November 13, 2021
2 First post to test bashlog November 13, 2021
clucas@eris:~/public_html/blog-test$

To create a new blog post :

clucas@eris:~/public_html/blog-test$ ./bb.sh post

Really simple 🙂

You could check it here : http://eris.clucas.fr/~clucas/blog-test/

It make me think about my original post, when m blog posts was written with only “vi” in static HTML. It was in 2005

http://eris.clucas.fr/~clucas/blog_old/blog.html

Blog, bsd, apache2, certbot and fun

It was long time ago I used a FreeBSD system. I was really impressed by the way it great evolved. It is easy to add package due to “pkg” tool and “portsnap”.

After :

pkg install apache24 mysql57-server mod_php73 php73-mysqli php73-xml php73-hash php73-gd php73-curl php73-tokenizer php73-zlib php73-zip

I have a really fast install of an HTTP server as I can do with “apt-get”.

I have needed to load some modules by editiing /usr/local/etc/apache24/httpd.conf such as : 

[...]
LoadModule rewrite_module libexec/apache24/mod_rewrite.so
LoadModule php7_module libexec/apache24/libphp7.so
LoadModule ssl_module libexec/apache24/mod_ssl.so
[...]

Some more work width certbot for Let’s Encrypt SSL certificate :

root@ns326804:/usr/ports/security/py-certbot # make install clean
root@ns326804:/usr/ports/security/py-certbot-apache # make install clean
root@ns326804:/usr/ports/security/py-certbot # rehash

I can now install my SSL certificates with :

certbot --apache -d clucas.fr
certbot install --cert-name www.clucas.fr
certbot install --cert-name blog.clucas.fr

I have moved my SQL data to my fresh FreeBSD install and try yo access my blog (it is using wordpress)… It was a FAIL. It lacks some PHP module : 

pkg install php73-json php73-filter php73-ctype

It was some tips. I have not listed all the tasks I have done but only the one I think which can give you some information. By the way I was really pleased to move some of my contents on this fresh-installed FreeBSD server. Lot of fun to do this.

And Voilà you can read this blog’s post now 🙂


July 15, 2021 01:35pm :

Update : Don’t forget to add AllowOverride on your data directory so that mod_rewrite can do his job correctly such as :

    <Directory "/usr/local/www/apache24/data/blog.clucas.fr">
        AllowOverride All
    </Directory>

06/06/19 – D-Day

In memory of all the soldiers who paid with their life the cost to peace and democracy in Europe. Please read these words and keep it in mind.

https://lyricstranslate.com/en/n%C3%A9-en-17-%C3%A0-leidenstadt-born-1917-leidenstadt.html

If I 'd been born in 1917 in Leidenstadt
On top of ruins, in a battlefield
Would I have behaved better of worse than those people
If I'd been German?
 
Born into humiliation, hatred and ignorance
Fed on dreams of revenge
Would I have been one of those unlikely beings with a conscience
Like some teardrops in the midst of a flood?
 
If I'd grown up in the docklands of Belfast
Soldier of a faith, of a class
Would I have had the strength to withstand and fight against my Own kind: to betray, to hold out a hand in friendship?
 
If I'd been born white and rich in Johannesburg
Between the power and the fear
Would I have heard the cries carried by the wind?
Nothing will be like it was before.
 
One never knows what one really has in one's guts,
Hidden behind our appearances
The soul of a brave man, an accomplice, an executioner?
The worst or the best?
Would we be one of those who resist or just those who follow like sheep
If it was a question of more than just words?
 
(Refrain)
If I 'd been born in 1917 in Leidenstadt
On top of ruins in a battlefield
Would I have behaved better of worse than those
If I'd been German?

R.I.P Jieff

You will be for me the guy who wrote this kind of post and talk technology with Remy Card (ext2).

Path: bga.com!news.sprintlink.net!pipex!oleane!univ-lyon1.fr!ensta!itesec!frmug.fr.net!renux.frmug.fr.net!marouchka.gna.org!not-for-mail
From: ji...@marouchka.gna.org (Jean-Francois Monnet)
Newsgroups: fr.comp.os.linux
Subject: Re: LINUX ET E-IDE
Date: 23 Nov 1994 08:43:22 +0100
Organization: Marouchka, A Private Linux Site, France
Lines: 23
Distribution: world
Message-ID: <3aurqq$3mb@marouchka.gna.org>
References: <3asg5c$sp0@imag.imag.fr>
Reply-To: mon...@dir.univ-rouen.fr (Jean-Francois Monnet)
NNTP-Posting-Host: marouchka.gna.org
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
X-Newsreader: TIN [version 1.2 PL2]

Yves Arrouye (arr...@petole.imag.fr) ecrit:

> Tu vas peut-etre pouvoir m'aider : je veux mettre un 3e disque (sur un 2e
> controleur). Mon 2e controleur ne tourne que sur irq 14, mais on peut changer
> les adresses des disques (il en a deux plages). Je n'arrive pas a ce que le
> patch reconnaisse gentiment mon 3e disque, quelque soit la config. Au secours
> ! Help !

	Chez moi, le deuxieme controleur n'a ete bien reconnu qu'a partir
du moment ou j'ai pris le fer a souder et devie la piste IRQ 14 -> IRQ 15,
comme explique dans la doc de l'archive atdisk2-0.9.tgz (ancien patch pour
gerer deux cartes controleur IDE). Je crois que cette doc n'est plus
fournie avec les patches ide-x.x*. Je peux te l'envoyer si tu ne trouves
pas l'archive atdisk. Car, meme avec deux adresses I/O differentes pour les
cartes, l'utilisation de la meme IRQ avec plus de 2 disques peut poser des
problemes.

> (Linux 1.1.64 + ide-2.5.patch-64+)

	Je tourne en 1.1.61 + ide-2.01.patch.61+.gz et ca roule sans pbs pour
l'IDE.
-- 
Marouchka - 76 Rouen

And a great linux kernel programmer (Telsat Turbo), rock’n roll & Nina Hagen fan.



Have fun with luxman…

++Jieff :-/


~Christophe

Les grandes grandes vacances : enfin un vrai dessin animé pour nos enfants…

Désolé pour les lecteurs anglophones, cela sera un article pour une fois en français et loin des sphères concernant Cisco et la certification CCIE.

Les grandes grandes vacances” est un dessin animé réalisé par la maison de production “Les armateurs“.

Cette série animée traite de la seconde guerre mondiale et de la résistance française. Le fait que les évènements se passent près de Dieppe en Normandie, rajoute à mon intérêt.

Je suis tombé dessus avec mes enfants. Ils sont encore petits et ne comprennent pas tout ce qu’implique ce dessin animé. Mais ce dernier est vraiment de qualité et permet je l’espère aux enfants d’aujourd’hui de comprendre l’époque évoqué, soit la seconde guerre mondiale, la résistance, et la liberté.

Cette époque résonne particulièrement en moi et je voulais partager cet extraordinaire travail et j’espère que ce dessin animé sera utilisé afin d’éduquer nos enfants et donc que cette période de notre histoire reste toujours ancré en nous. Ceci est nécessaire. Vu l’époque difficile où la nous vivons, cette piqure de rappel est vraiment importante.