De nombreuses connexions internet ADSL ou satellite ne disposent pas d’une adresse IP publique fixe. Dès lors qu’on veut installer un serveur derrière ce type de liaison ou mettre en place un accès distant, on utilise généralement des services de DNS dynamique tels que Dyn ou no-ip. Ces services restent très limités dans leur version gratuite.

L’idée est donc de pouvoir s’en passer en utilisant notre propre serveur DNS pour tenir à jour un enregistrement DNS du type monip.mondomaine.com qui pointera sur l’adresse IP externe courante de la connexion. L’enregistrement DNS sera mis à jour de façon sécurisée par l’utilitaire DNS nsupdate.

Pré-requis

• Un serveur DNS Bind 9.2 ou plus récent connecté directement à internet. Ce serveur doit être maître pour la zone qui contiendra l’enregistrement DNS choisi :
  Pour l’enregistrement monip.onsenfout.com le serveur doit être maître pour la zone onsenfout.com.
• Une machine linux derrière la connexion à surveiller, ici j’utilise un serveur Debian Squeeze. Je l’appelle poste moniteur dans la suite de l’article.

Préparation du poste moniteur

installer les utilitaires DNS

aptitude install bind9utils dnsutils

Générer la paire de clés TSIG

Il y a 2 méthodes pour sécuriser les mises à jours dynamiques du DNS : avec des clés TSIG ou avec des clés SIG(0). Les clés TSIG sont symétriques, la même clé est utilisée par le client et le serveur. A l’inverse, les clés SIG(0) sont asymétriques, ce qui est à priori plus sécurisé, mais la version actuelle de nsupdate dans Squeeze (dnsutils 1:9.7.3.dfsg-1~squeeze4) plante avec les clés SIG(0). Je me suis donc rabattu sur TSIG en attendant que ça sèche.

La clé sera générée avec dnssec-keygen:

dnssec-keygen -a HMAC-MD5 -b 512 -n HOST monip.onsenfout.com

On obtient deux fichiers :

Kmonip.onsenfout.com.+157+?????.private
Kmonip.onsenfout.com.+157+?????.key

Le contenu du fichier Kmonip.onsenfout.com.+157+13642.private est le suivant :

cat Kmonip.onsenfout.com.+157+13642.private 
Private-key-format: v1.3
Algorithm: 157 (HMAC_MD5)
Key: BXLFFCyzbVK1OxTu+3HaJ2YytB64Rxplat738Zk3UFWDeLtkfUYIwgbX83LYR5W6z7fRgGBcwgVD191KtOErMQ==
Bits: AAA=
Created: 20120404104934
Publish: 20120404104934
Activate: 20120404104934

C’est le moment de copier la valeur de la clé (après Key: ) dans le presse-papiers, on en aura besoin pour configurer le serveur DNS.

Configuration du serveur DNS

créer un fichier /etc/bind/keys.conf et y ajouter la clé publique :

key monip.onsenfout.com {
	algorithm HMAC-MD5;
	secret "BXLFFCyzbVK1OxTu+3HaJ2YytB64Rxplat738Zk3UFWDeLtkfUYIwgbX83LYR5W6z7fRgGBcwgVD191KtOErMQ==";
};

Editer /etc/bind/named.conf.local et inclure le fichier de clé :

include "/etc/bind/keys.conf";

Côté serveur il ne reste plus qu’à définir les autorisations de mise à jour de la zone. L’instruction update-policy va nous permettre d’autoriser la clé monip.onsenfout.com à modifier l’enregistrement DNS de type A monip.onsenfout.com, et seulement celui là :

zone	"onsenfout.com" in {
	type master;
	file "db.onsenfout.com";
	update-policy {
		grant monip.onsenfout.com. name monip.onsenfout.com. A;
	};

On redémarre Bind :

/etc/init.d/bind9 restart

Test de la mise à jour dynamique

Le serveur est prêt à recevoir des mises à jour dynamiques. Nous allons pouvoir vérifier que tout fonctionne en initialisant l’enregistrement DNS avec nsupdate à partir du poste moniteur. La syntaxe de nsupdate est:

nsupdate -k <fichier clé privée> -v <fichier>

-v force l’utilisation de TCP au lieu d’UDP
fichier contient le jeu d’instructions à envoyer au serveur, s’il est omis nsupdate passe en mode interactif.

C’est ce qu’on va faire pour initialiser l’enregistrement monip.onsenfout.com avec l’adresse 0.0.0.0 et un TTL de 30. La commande show affiche la requète de mise à jour, send l’envoie au serveur :

nsupdate -k Kmonip.onsenfout.com.+157+13642.private -v
> zone onsenfout.com
> update add monip.onsenfout.com. 30 A 0.0.0.0
> show
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; ZONE SECTION:
;onsenfout.com.			IN	SOA
 
;; UPDATE SECTION:
monip.onsenfout.com.		30	IN	A	0.0.0.0
> send
> quit

On vérifie que tout s’est bien passé en regardant les logs de Bind et en faisant un dig sur le serveur DNS :

dig +nocmd monip.onsenfout.com +noall +answer
monip.onsenfout.com.		30	IN	A	0.0.0.0

Le fichier journal

Après la première mise à jour dynamique, on s’aperçoit qu’un nouveau fichier db.onsenfout.com.jnl a été créé dans le répertoire des fichiers de zones, /var/cache/bind/ chez moi. On constate aussi que la commande dig retourne bien l’enregistrement demandé, mais que celui-ci n’apparaît pas dans le fichier de zone : lors des mises à jour dynamiques, Bind modifie la zone chargée en mémoire, stocke l’information dans le fichier journal de la zone avec une extension .jnl, et attend d’être peinard pour mettre à jour le fichier de zone. C’est un point important à prendre en compte si on doit éditer manuellement une zone comportant des enregistrements dynamiques.

Dans ce cas il faut suspendre les mises à jour de la zone et forcer l’écriture du journal avec rndc freeze :

rndc freeze onsenfout.com

Editer la zone sans oublier d’incrémenter le numéro de série, rétablir les mises à jour et recharger la zone avec rndc thaw :

rndc thaw onsenfout.com

Le fichier journal n’est pas directement lisible mais l’utilitaire named-journalprint remédie au problème.

Un p’tit script pour finir

Maintenant que tout fonctionne il ne manque plus qu’un script placé en crontab, toutes les minutes par exemple :

#!/bin/bash
# Teste si l'ip publique a été modifiée et met à jour l'enregistrement DNS
# Utilise la clé TSIG
# François Grange 2012
# Inits
ADMIN="xxxx@onsenfout.com"
ZONE="onsenfout.com"
RR="monip.$ZONE."
TTL=30
LAST_IP="0.0.0.0"
LAST_IP_FILE="/var/local/lastip"
FLAG_ERR=0
ERR_FILE="/var/local/dyndns.err"
KEY_FILE="/etc/bind/keys/Kmonip.onsenfout.com.+157+13642.private"
TMP_FILE="/tmp/dyndns.tmp"
CUR_IP=`wget -q -O - whatismyip.org`
sortie() {
	# mail si erreur ou modification
	if [ $1 -eq 1 ]; then
		if [ ! -f $ERR_FILE ]; then
			touch $ERR_FILE
			cat $TMP_FILE | mail -s "Erreur de mise à jour de $RR" $ADMIN
		fi
	else
		cat $TMP_FILE | mail -s "Changement d'IP pour $RR" $ADMIN
		if [ -f $ERR_FILE ]; then
			rm -f $ERR_FILE
		fi
	fi
	exit
}
if [ "$CUR_IP" = "" ] || [ "$CUR_IP" = "unknown" ]; then
	echo "Impossible de récupérer l'IP actuelle - Abandon" > $TMP_FILE
	sortie 1
fi
if [ -f $LAST_IP_FILE ]; then
	LAST_IP=`cat $LAST_IP_FILE`
fi
if [ ! "$LAST_IP" = "$CUR_IP" ]; then
	# L'adresse a changé
	echo "IP actuelle : $CUR_IP" > $TMP_FILE
	echo "IP précédente : $LAST_IP" >> $TMP_FILE
	(
	echo "zone $ZONE"
	echo "update delete $RR A"
	echo "update add $RR $TTL A $CUR_IP"
	echo "send"
	) | nsupdate -k $KEY_FILE -v
	if [ $? -ne 0 ]; then
		echo "Echec de la mise à jour de $RR" >> $TMP_FILE
		FLAG_ERR=1
	else
		echo $CUR_IP > $LAST_IP_FILE
	fi
	sortie $FLAG_ERR
fi

Liens

Secure dynamic DNS howto
nsupdate: Painless Dynamic DNS
Mise en place d’un serveur DNS dynamique

wget -q -O - whatismyip.org

Si on a un serveur web ce service est très facile à implémenter avec une page php d’une seule ligne :

<?php print $_SERVER['REMOTE_ADDR'] ?>

La solution est d’indexer les champs qui serviront le plus souvent dans les requêtes, dans mon cas j’ai choisi Facility, Priority, FromHost, SysLogTag et DeviceReportedTime.

Voici les requêtes que j’ai exécutées sur la base Syslog :

ALTER TABLE `SystemEvents` ADD INDEX(`Facility`);
ALTER TABLE `SystemEvents` ADD INDEX(`Priority`);
ALTER TABLE `SystemEvents` ADD INDEX(`FromHost`);
ALTER TABLE `SystemEvents` ADD INDEX(`SysLogTag`);
ALTER TABLE `SystemEvents` ADD INDEX(`DeviceReportedTime`);

Autant dire qu’il vaut mieux créer les index à l’installation, j’ai perdu une bonne demie-heure de logs à faire la manip sur un serveur en prod

Ça augmente la taille de la base d’environ 15%, mais les temps de réponse de LogAnalyser sont nettement améliorés.

echo -e "ligne1\nligne2"|hexdump -v -e '"x" 1/1 "%02X" " "'
x6C x69 x67 x6E x65 x31 x0A x6C x69 x67 x6E x65 x32 x0A

En plus mémorisable il y a ça aussi :

echo -e "ligne1\nligne2"|hexdump -v -C
00000000  6c 69 67 6e 65 31 0a 6c  69 67 6e 65 32 0a        |ligne1.ligne2.|
0000000e

Liens

La manpage (courage!)
Manual on How to Use the Hexdump Unix Utility

La réplication MySQL permet de maintenir en temps réel une copie d’une ou plusieurs bases d’un serveur maître vers un serveur esclave. Ce n’est pas à proprement parler une technique de sauvegarde, mysqldump est plus adapté pour ça, mais c’est très efficace pour implémenter un système à tolérance de panne. La mise en oeuvre n’est pas très compliquée mais un peu laborieuse et demande un minimum de rigueur dans la planification des étapes.

Les tâches à réaliser seront les suivantes :

sur le serveur maître

Créer un utilisateur MySQL, ici ce sera replicuser avec le privilège « REPLICATION SLAVE », et le droit de connexion depuis le serveur esclave.

CREATE USER 'replicuser'@'serveur.esclave' IDENTIFIED BY  '<mot_de_passe>';
GRANT REPLICATION SLAVE ON * . * TO  'replicuser'@'serveur.esclave' IDENTIFIED BY  '<mot_de_passe>' ;

Configurer l’enregistrement des logs binaires dans le fichier /etc/mysql/my.cnf

[mysqld]
# Un nombre entre 1 et 2^32-1, unique dans la communauté de réplication
server-id		= 123456
# Fichier des logs binaires
log_bin			= /var/log/mysql/mysql-bin.log
# Fichier des logs d'erreur (facultatif)
log_error		= /var/log/mysql/mysql-bin.err
# Liste des bases à répliquer
binlog_do_db	= base1, base2
# Si on veut répliquer toutes les bases, on ignorera binlog_do_db
# et on exclura les bases système avec bin_log_ignore_db :
#binlog_ignore_db	= mysql, information_schema
# Durée de rétention des logs
expire_logs_days	= 10
# Taille maxi des logs
max_binlog_size	= 100M

redémarrer le serveur MySQL :

/etc/init.d/mysql restart

sur le serveur esclave

Donner un server-id dans le fichier /etc/mysql/my.cnf

[mysqld]
# Un nombre entre 1 et 2^32-1, unique dans la communauté de réplication
server-id		= 456789

redémarrer le serveur MySQL :

/etc/init.d/mysql restart

Les deux serveurs sont maintenant configurés, il ne reste plus qu’à initialiser les bases sur le serveur esclave et démarrer la réplication. Les étapes détaillées sont les suivantes :

sur le serveur maître

Verrouiller les tables en écriture :

FLUSH TABLES WITH READ LOCK;

Noter les valeurs « File » et « Position » de l’enregistrement des logs binaires avec la commande « SHOW MASTER STATUS ». Ces valeurs serviront à positionner les paramètres « MASTER_LOG_FILE » et « MASTER_LOG_POS » sur l’esclave :

SHOW MASTER STATUS;
+------------------+----------+--------------------------+------------------+
| File             | Position | Binlog_Do_DB             | Binlog_Ignore_DB |
+------------------+----------+--------------------------+------------------+
| mysql-bin.000029 |      106 | base1, base2             |                  |
+------------------+----------+--------------------------+------------------+
1 row in set (0.00 sec)

sur le serveur esclave

Recopier les bases du serveur maître avec la commande mysqldump. On suppose ici que le serveur esclave puisse faire une connexion MySQL en root sur le serveur maître :

mysqldump --host serveur.maitre --user root --password=mot.de.passe base1 | mysql --user root --password=mot.de.passe base1
mysqldump --host serveur.maitre --user root --password=mot.de.passe base2 | mysql --user root --password=mot.de.passe base2

sur le serveur maître

Déverrouiller les tables :

UNLOCK TABLES;

sur le serveur esclave

Stopper les threads esclaves :

STOP SLAVE;

Appliquer les paramètres de réplication. Les paramètres « MASTER_LOG_FILE » et « MASTER_LOG_POS » ont été récupérés précédemment sur le maître :

CHANGE MASTER TO \
	MASTER_HOST='serveur.maitre', \
	MASTER_USER='replicuser', \
	MASTER_PASSWORD='mot_de_passe', \
	MASTER_LOG_FILE='log_binaire_courante', \
	MASTER_LOG_POS=Position_log_binaire;

Lancer la réplication :

START SLAVE;

On peut vérifier l’état de la réplication avec la commande MySQL « SHOW PROCESSLIST »

sur le serveur maître

SHOW PROCESSLIST\G
*************************** 1. row ***************************
     Id: 27037
   User: replicuser
   Host: serveur.maitre:53723
     db: NULL
Command: Binlog Dump
   Time: 1172
  State: Has sent all binlog to slave; waiting for binlog to be updated
   Info: NULL

sur le serveur esclave

SHOW PROCESSLIST\G
 
*************************** 1. row ***************************
     Id: 1
   User: system user
   Host: 
     db: NULL
Command: Connect
   Time: 155886
  State: Waiting for master to send event
   Info: NULL
*************************** 2. row ***************************
     Id: 2
   User: system user
   Host: 
     db: NULL
Command: Connect
   Time: 1625
  State: Has read all relay log; waiting for the slave I/O thread to update it
   Info: NULL

L’initialisation de la réplication étant assez fastidieuse, un petit script simplifiera la vie. En voici un plutôt basique, à configurer avec les valeurs de réplication réelles, et à exécuter sur le serveur esclave. Les tests sont sommaires, je ne donne aucune garantie sur le bon fonctionnement du script dans votre environnement!

#!/bin/bash
# --------------------------------------
# Template initialisation de la réplication MySQL
# A exécuter sur le serveur esclave
# François Grange 2012
# --------------------------------------
# Inits
# User MySQL esclave avec droits root
MYSQL_LUSER="root"
MYSQL_LPASSWD="" # Saisie interactive
# Serveur maitre
MYSQL_RHOST="adresse.du.serveur.maitre"
# User MySQL maitre avec droits root
MYSQL_RUSER="root"
MYSQL_RPASSWD="" # Saisie interactive
# User MySQL de réplication
MYSQL_REPL_USER="replicuser"
MYSQL_REPL_PASSWD="mot_de_passe"
# Port SSH du serveur maitre
PSSH=22
# Bases à synchroniser
dbl="base1 base2"
 
echo "+++$(date) Debut $0"
 
# Saisie du mot de passe root local
while [ ${#MYSQL_LPASSWD} -eq 0 ]; do
	read -r -s -p "Mot de passe $MYSQL_LUSER MySQL local : " MYSQL_LPASSWD
done
 
# Test de connexion à la base mysql locale
sql="USE mysql;"
req=`mysql -u $MYSQL_LUSER -p$MYSQL_LPASSWD -e "$sql"`
if [ $? -ne 0 ]; then
	echo -e "\n(E) $(date) Impossible de se connecter à la base locale mysql avec l'utilisateur $MYSQL_LUSER. Abandon du traitement"
	exit 1
else
	echo -e "\n(I) $(date) Connexion réussie à la base locale mysql."
fi
 
# Saisie du mot de passe root distant
while [ ${#MYSQL_RPASSWD} -eq 0 ]; do
	read -r -s -p "Mot de passe $MYSQL_RUSER MySQL $MYSQL_RHOST : " MYSQL_RPASSWD
done
 
# Test de connexion à la base mysql distante
sql="USE mysql;"
req=`mysql --host $MYSQL_RHOST -u $MYSQL_RUSER -p$MYSQL_RPASSWD -e "$sql"`
if [ $? -ne 0 ]; then
	echo -e "\n(E) $(date) Impossible de se connecter à la base mysql de $MYSQL_RHOST avec l'utilisateur $MYSQL_RUSER. Abandon du traitement"
	exit 1
else
	echo -e "\n(I) $(date) Connexion réussie à la base mysql de $MYSQL_RHOST."
fi
 
# Verrouillage tables maitre
sql="FLUSH TABLES WITH READ LOCK;"
req=`mysql --host $MYSQL_RHOST -u $MYSQL_RUSER -p$MYSQL_RPASSWD -e "$sql"`
if [ $? -ne 0 ]; then
	echo -e "(E) $(date) Impossible de verrouiller les tables du serveur maitre. Abandon du traitement"
	exit 1
fi
 
# Récupération de l'état du maitre
sql="SHOW MASTER STATUS;"
req=($(mysql --host $MYSQL_RHOST -u $MYSQL_RUSER -p$MYSQL_RPASSWD -e "$sql" -B -s))
if [ $? -ne 0 ]; then
	echo -e "(E) $(date) Echec de récupération de l'état du serveur maitre. Abandon du traitement"
	exit 1
fi
MYSQL_LOGFILE=${req[0]}
MYSQL_OFFSET=${req[1]}
echo "Fichier de log courant sur $MYSQL_RHOST : $MYSQL_LOGFILE"
echo "Offset courant sur $MYSQL_RHOST : $MYSQL_OFFSET"
 
# Dump individuel des bases
for db in $dbl
do
	echo "$(date) Dump base $db en cours..."
	mysqldump --host $MYSQL_RHOST --user $MYSQL_RUSER --password=$MYSQL_RPASSWD $db | mysql --user $MYSQL_LUSER --password=$MYSQL_LPASSWD $db
	if [ $? -gt 0 ]; then
		echo "$(date) Erreur Dump base $db sur $MYSQL_RHOST"
	else
		echo "$(date) Base $db synchronisée"
	fi
done
 
# Déverrouillage tables maitre
sql="UNLOCK TABLES;"
req=`mysql --host $MYSQL_RHOST -u $MYSQL_RUSER -p$MYSQL_RPASSWD -e "$sql"`
if [ $? -ne 0 ]; then
	echo -e "(E) $(date) Impossible de déverrouiller les tables du serveur maitre."
fi
 
# Arret des threads esclaves
sql="STOP SLAVE;"
req=`mysql -u $MYSQL_LUSER -p$MYSQL_LPASSWD -e "$sql"`
if [ $? -ne 0 ]; then
	echo -e "(E) $(date) Impossible de mettre fin à l'esclavage :-("
	exit 1
fi
 
# Application des paramètres de réplication sur l'esclave
sql="CHANGE MASTER TO \
	MASTER_HOST='$MYSQL_RHOST', \
	MASTER_USER='$MYSQL_REPL_USER', \
	MASTER_PASSWORD='$MYSQL_REPL_PASSWD', \
	MASTER_LOG_FILE='$MYSQL_LOGFILE', \
	MASTER_LOG_POS=$MYSQL_OFFSET;"
req=`mysql -u $MYSQL_LUSER -p$MYSQL_LPASSWD -e "$sql"`
echo $req
if [ $? -ne 0 ]; then
	echo -e "(E) $(date) Impossible d'appliquer les paramètres de réplication."
	exit 1
fi
 
# Démarrage de la réplication
sql="START SLAVE;"
req=`mysql -u $MYSQL_LUSER -p$MYSQL_LPASSWD -e "$sql"`
if [ $? -ne 0 ]; then
	echo -e "(E) $(date) Impossible de démarrer la réplication."
fi

Lien

La doc officielle

Depuis le temps je m’étais fait une raison, je trouvais presque normal d’avoir ce genre de ligne dans mon interface web Nagios :

SMTP OK - 0,012 sec. de temps de réponse

Je suis tombé au hasard du web sur LA solution simple et efficace pour résoudre le problème, un grand merci à Silverlake:

1. S’assurer que dans le fichier /etc/apache2/conf.d/charset la ligne « AddDefaultCharset UTF-8 » soit bien décommentée.
2. Dans le fichier /etc/nagios3/cgi.cfg rechercher la ligne « escape_html_tags » et passer la valeur de 1 à 0.

Redémarrer apache et nagios

SMTP OK - 0,012 sec. de temps de réponse

C’est plus joli comme ça, non?

Pour 4 personnes

• 1 lapin coupé en morceaux
• 1 chou blanc
• 4 pommes
• 2 oignons moyen
• 200g de lardons fumés
• 2 feuilles de laurier
• 1 tablette de bouillon de volaille
• 40cl de cidre brut
• 1 petit verre de Calvados (facultatif, mais tellement meilleur!)
• un peu d’huile
• Sel, poivre

1. Couper le chou en lanières et le blanchir 5mn à l’eau bouillante salée
2. Dans une cocotte en fonte faire revenir les lardons, réserver
3. Faire dorer les oignons dans la graisse des lardons, réserver
4. Ajouter si besoin un peu d’huile et faire revenir les morceaux de lapin, flamber au Calva si l’option a été retenue, saler, poivrer et réserver
5. Mettre le chou bien égouté dans la cocotte, ajouter les oignons, les lardons, le cidre, le laurier, la tablette de bouillon émiettée, sel poivre. Mélanger et laisser mijoter 15mn à couvert, on en profite pour éplucher les pommes et les couper en lamelles
6. Ajouter les pommes au chou, mélanger, et poser sur le lit de chou les morceaux de lapin. Continuer la cuisson 25-30 mn à couvert

J’ai eu cette erreur dernièrement sur plusieurs machines en voulant accéder à la configuration de la VM, cela quelque soit l’OS de la VM. L’USB ne fonctionne alors pas sur la VM.

Le code d’erreur est :

NS_ERROR_FAILURE (0x00004005)

Le remède :

L’utilisateur actif doit faire partie du groupe vboxusers, et d’un groupe du même nom que l’utilisateur. Editer /etc/group et redémarrer la machine.

Lien

NS_ERROR_FAILURE (0×00004005) on natty ubuntu

control keymgr.dll

Ça ouvre une interface graphique qui permet d’ajouter, modifier ou supprimer les identifiants d’accès aux ressources réseau. Bien pratique lorsque la case « Mémoriser les informations » a été cochée par erreur.

La commande fonctionne sous Windows XP, Vista et Windows 7, avec des interfaces légèrement différentes :

sous Windows XP

sous Windows 7

Pour 4 personnes

• 1 chou pointu
• 1 chorizo
• 1 oignon moyen
• 3 gousses d’ail
• 1 botte de cives ou de ciboulette
• 2 càs de vinaigre de Xérès
• 4 càs de bonne huile d’olive
• Sel, poivre, piment doux (facultatif)

1. Couper le chou en 4, enlever le coeur et les feuilles abîmées, et le couper en lanières. Émincer l’oignon, hacher finement les gousses d’ail. Couper le chorizo en petits cubes.
2. Dans un Wok ou une sauteuse faire revenir le chorizo à feu moyen pour qu’il rende sa graisse. Égoutter et réserver.
3. Faire revenir l’oignon dans la graisse du chorizo jusqu’à ce qu’il soit transparent. Ajouter le chou, le chorizo, l’ail et faire revenir quelque minutes pour que le chou s’attendrisse tout en restant croquant. En fin de cuisson ajouter le vinaigre, sel, poivre et piment doux, faire cuire une minute de plus. Ajouter l’huile d’olive et laisser refroidir.
4. Avant de servir parsemer de cives hachées.