Sysmic.org

OpenSSH to OpenSSL

OpenSSH private keys are directly understable by OpenSSL:

openssl rsa -in ~/.ssh/id_rsa -text
openssl dsa -in ~/.ssh/id_dsa -text

So, you can directly create certification request:

openssl req -new -key ~/.ssh/id_dsa -out mykey.csr

Notice I have not found how to manipulate ssh public key with OpenSSL

OpenSSL to OpenSSH

Private keys format is same between OpenSSL and OpenSSH, but not public key format. Nevertheless, you extract public key from private key file:

ssh-keygen -y -f id_rsa > id_rsa.pub

GnuPG to OpenSSL

Gpgsm utility can exports keys and certificate in PCSC12:

gpgsm -o  secret-gpg-key.p12 --export-secret-key-p12 0xXXXXXXXX

You have to extract Key and Certificates separatly:

openssl pkcs12 -in secret-gpg-key.p12 -nocerts -out gpg-key.pem
openssl pkcs12 -in secret-gpg-key.p12 -nokeys -out gpg-certs.pem

You can now use it in OpenSSL.

You can also do similar thing with GnuPG public keys. There will be only certificates output.

OpenSSL to GnuPG

Invert process:

openssl pkcs12 -export -in gpg-certs.pem -inkey gpg-key.pem -out gpg-key.p12
gpgsm --import gpg-key.p12

GnuPG to OpenSSH

Now, chain processes:

 gpgsm -o  secret-gpg-key.p12 --export-secret-key-p12 0xXXXXXXXX
 openssl pkcs12 -in secret-gpg-key.p12 -nocerts -out gpg-key.pem

We need to protect key, else ssh refuse it.

 chmod 600 gpg-key.pem
 cp gpg-key.pem ~/.ssh/id_rsa
 ssh-keygen -y -f gpg-key.pem > ~/.ssh/id_rsa.pub

OpenSSH to GnuPG

First we need to create a certificate (self-signed) for our ssh key:

openssl req -new -x509 -key ~/.ssh/id_rsa -out ssh-cert.pem

We can now import it in GnuPG

openssl pkcs12 -export -in ssh-certs.pem -inkey ~/.ssh/id_rsa -out ssh-key.p12
gpgsm --import ssh-key.p12

Notice you cannot import/export DSA ssh keys to/from GnuPG

Le noyau a dû supprimer le support d'Androïd du mainstream Greg K.H. annonce que c'est un coup dur pour Linux. Un résume, voici le problème:

Google a publié son patch, sous GPL, et l'a envoyé au mainstream du kernel. Le kernel a donc placé la contribution dans staging/. La contribution aurait du y rester pendant quelques versions avant d'être officiellement supportée. Néanmoins, en l'absence de support de la part de Google, le code à été supprimé et ne passera jamais en stable (c'est ce qui risque aussi d'arriver au driver Hyper-V de Microsoft). Jusque là, rien d'anormal. Cela fait partie du quotidien du développeur kernel de suivre des branches parallèles.

Là où ca se complique, c'est que le patch Android n'inclut pas simplement quelques drivers. Il touche aux mécanismes internes du noyau. Donc, si il n'est pas intégré dans le mainstream, beaucoup d'entreprises ne pourront pas non plus intégrer leur driver développé pour Android (ou bien cela demandera plus de travail).

Un de mes stagiaire à été surpris de lire sur la ligne for (;;); dans mon code. Cette ligne de code produit une boucle infinie. C'est quelque chose que l'on ne trouve que lorsqu'on travaille sur des OS. C'est alors la meilleure chose à faire quand plus rien n'est récupérable (un assert coté OS en gros). Cela permet de brancher un debuggeur (software ou hardware) et d'étudier la pile d'appel.

Cette instruction est très utile lorsque vous devez étudier l'exécution d'un morceau de code avec les moyen du bord. C'est le breakpoint du pauvre. C'est simple de la convertir en assembleur (b 0 ou jre 0) ou en opcode. Placez le dans votre code. Dès que le CPU passera dessus, il se stoppera. Incrémentez PC pour continuer.

On me demande souvent comment se gère la qualité des releases du noyau Linux. Voici une étude de cas:

Thu, 10 Dec 2009 10:10:41 +0100: Jens Axboe rapporte sur la LKML une régression sur son système contenant un "Nehalem-EX" (le processeur octo-core d'Intel actuellement en développement). Son système ne démarre plus.

Jens entreprend d'effectuer une "bisection". git bisect permet d'automatiser partiellement ou totalement la recherche d'une régression. Pour cela, on présente à git-bisect un espace de révisions à analyser. On sait que la révision la plus ancienne fonctionne et que la plus récente ne fonctionne pas. git-bisect va alors effectuer une recherche par dichotomie sur l'ensemble des patchs. A chaque étape, git-bisect présentera la version du noyau correspondante. Optionnellement, on peut automatiser le test de la régression. Classiquement, dans le cas de Jens, il pourra compiler le noyau, l'installer sur la cible et redémarrer la cible automatiquement. Il devra ensuite indiquer manuellement à git bisect si le noyau démarre ou pas. La recherche dichotomique permet de réduire le nombre de test à log(nb_patchs). Ainsi, il faut 10 test pour rechercher une régression sur plus de 1000 patchs. De plus, git-bisect gèrera automatiquement les cas ou le kernel ne compile pas.

Thu 10 Dec 2009 11:39:45 +0100: Résultats des tests pour Jens. Le coupable est b24c2a925a9837cccf54d50aeac22ba0cbc15455. Jens ajoute que le kernel fonctionne bien si on retire le commit et propose donc de le reverser. Pour faire ce test, Jens à utilisé git revert. git-revert permet retirer un commit de l'historique. Pour cela, il se place juste avant le commit et réapplique l'historique sans le commit fautif. Cette approche permet de supprimer des commit introduits il y a très longtemps.

A l'aide de git show, on peut avoir des information sur le patch problématique. Remontons dans le passé:

Tue 24 Nov 2009 02:48:18 -0800: Yinghai Lu a écrit le patch b24c2a925a9837cccf54d50aeac22ba0cbc15455. Ce patch est intégré dans le repository de l'architecture x86, maintenu par Ingo Molnar.

Thu, 3 Dec 2009 22:02:46 +0100: Nous sommes dans la fenêtre de merge pour la version 2.6.33. Cela signifie que Linus Torvald permet aux contributeurs (plus particulièrement aux mainteneurs des sous-systèmes) d'intégrer des patchs dans la future version stable du noyau. Ingo Molnar envoie un mail sur la Linux Kernel Mailing List demandant à Linus "to pull" la version de son sous-systeme qu'il a préparé pour la version 2.6.33.

Tue, 8 Dec 2009 13:27:33 -0800: Dans le commit e33c01972239fee4696679ae5f7d1f340f424999, Linus Torvalds "pull" la branche x86-mm-for-linus du repository de l'architecture x86.

Revenons à notre bug.

Thu, 10 Dec 2009 17:06:40 +0100: Réaction d'Ingo, le maintener du sous-système concerné: On peut reverter le commit de la branche stable du kernel. Cela signifie que le patch sera surement corrigé et soumit plus tard (2.6.34, par exemple).

Thu, 10 Dec 2009 09:26:45 -0800: Réaction de Yinghai, le commiter. D'après les traces, il voit d'où vient le problème, même si c'est un peu cryptique: "mptable mpc is [12 - f011]. what a BIOS !".

Thu, 10 Dec 2009 10:41:42 -0800: Réaction de Roland Dreier. Il est en relation directe avec les développeur du BIOS en question. Il demande quelques détails.

Thu, 10 Dec 2009 10:42:00 -0800: Yinghai propose un patch, sans succès.

Thu, 10 Dec 2009 13:07:22 -0800: Yinghai fait une seconde tentative.

Fri, 11 Dec 2009 09:19:02 +0100: Réponse de Jens sur le patch de Yinghai: Ca marche.

Fri, 11 Dec 2009 09:32:07 +0100: Remerciement de Ingo Molnar. Le patch sera bientôt intégré au repository de Linus. 74h après le pull, 24h après l'alerte, le problème est réglé.

En parallèle, Roland gère le problème avec le équipe de développement du Bios.

• Ajout de la gestion d'un FPGA spécifique intégrant:
• Gestionnaire d'interruption,
• Watchdog
• Quelques gpio
• Bus i2c
• Description de la carte accessible par le bus i2c
• Ajout de la gestion d'un bootloader encore non supporté par le noyau: NetBootLoader
• 4 ports ethernet avec le support de MDIO (2x100Mbps + 2x1Gbps)
• Gestion d'une mémoire Flash
• Ajout de la gestion d'un second bus i2c et sur celui-ci:
• une DRAM
• une sonde de température
• un RTC
• Gestion d'un bus PCI
• 6 ports RS232
• Gestion d'une interface IDE (lecteur de cartes compact flash)

AdamW décrit sur son blog un nouveau périphérique pouvant s'apparenter à une carte graphique (et son écran) sur USB. C'est le chainon manquant que l'on attendait. Il y avait les claviers USB, les périphériques de stockage USB, les ports ethernet sur USB, les cartes son sur USB, il ne manquait que la carte vidéo. Avec la puissance des système embarqués qui ne cessent de grimper, bientôt, je pourrais brancher toute la tripaille de périphériques USB sur mon téléphone portable et m'en servir de machine de bureau.

Je commence à véritablement détester les drivers propriétaires. Il y a toujours les arguments classiques: "C'est pas libre", "L'équipe kernel ne vous apportera aucune aide si vous avez un kernel "tainted"", etc ...

De mon point de vue, c'est surtout une catastrophe pour porter ces drivers d'une version à l'autre du noyau. Pas la peine de demander de l'aide à l'entreprise originaire du driver. Réponse classique: "On ne supporte que la version 2.6.4/gcc2.95 du noyau" ^[1]. Pire, parfois, vous n'avez qu'un .ko. Dans ce cas, il n'est mais pas envisageable de choisir un autre compilateur ou une autre version du kernel (ni certaines options de compilation). Evidement, rapidement, vous vous retrouvez sur votre système avec un driver qui ne fonctionne que en 2.6.8 et un autre que en 2.6.30. Il faut bien en porter un des deux. C'est généralement là que les choses se gâtent. On se rend compte que les auteurs ont gardé le code fermé, non pas pour préserver un soi-disant secret de fabrication, mais pour éviter qu'on les prennent pour des codeurs du dimanche ^[2]. Bref, porter un driver ça n'est pas forcément évident. Si il est mal codé, c'est pire: on risque de faire apparaitre des bugs "latents". Et si il vous n'avez ni les sources, ni les spécifications du matériel, ça devient un véritable casse-tête de comprendre les problèmes.

Par conséquent, pour avoir retarder le développement de certains de mes projets, je délationne : Fglrx, Nvidia (bien que le suivis du mainstream soit suffisament proche pour qu'il y ait peu de problèmes), DVS (fabriquant de cartes d'acquisition vidéo), Intel Poulsbo (Libre, mais personne n'est capable de comprendre ce qu'il fait), TrueFFS (Disk On Chip), etc...

How to add this kind of behavior to zsh:

 $ = 2 +4
 2 + 4 = 6

First, we need a command to do calculus. Personnaly, I love qalc command, so I use it as calculator. Nevertheless, it is not a standard command, so it is usefull to have a fallback. Zsh arithmetic expansion is great, we could use it:

function myCalculator() {
  echo $(($*))
}

Now, we need to add an alias to = command. But, alias doesn't accept syntax alias ==myCalculator. So we have to edit manualy aliases has table:

 $ # Be sure zsh/parameter module is loaded
 $ zmodload zsh/parameter
 $ aliases[=]=myCalculator

To use it, don't forget you need to type a space between = and your expression

Currently, I havn't find any solution for bash

Je viens de m'apercevoir que la syntaxe suivante fonctionnait parfaitement en shell :

true && foo() { echo ok; } || foo() { echo ko; }

Je ne sais pas si je dois trouver ça beau ou pas. Ca a un arrière goût de fonctionnel, mais pas assez pour que ça soit utilisable.