Colibrix.info

Après plusieurs mois de développement, les développeurs de Debian Squeeze ont annoncé lors de la DebConf10, qui se tient actuellement à new York, le gel de Debian 6.0 Squeeze. Ce gel signifie que le développement est passé dans une nouvelle phase avec la correction des bogues et une amélioration de la distribution pour qu’elle soit prête pour sa sortie définitive. Il est maintenant possible de connaitre les principales caractéristiques de Debian 6.0 Squeeze. Elle incluera le noyau Linux 2.6.32. Côté environnement de bureau, on retrouvera KDE 4.4.5, GNOME 2.30.0, LXDE 0.5.0, XFCE 4.6.2, X.Org 7.5, OpenOffice 3.2.1. Parmi les applications serveur, Apache 2.2.16, PHP 5.3.2, MySQL 5.1.48, PostgreSQL 8.4.4 et Samba 3.4. Les développeurs découvriront Python 2.6 et 3.1, Perl 5.10, GHC 6.12 et GCC 4.4. Pour en savoir plus, vous pouvez lire l’annonce.

Dans mon travail, il m’a été demandé de trouver une solution pérenne et surtout plus pratique pour les connexions nomades à internet. A chaque fois, il faut rentrer une clef WPA pour permettre le surf. Cela implique de faire le paramétrage pour ceux qui ne savent pas le faire. Chaque année par mesure de sécurité, la clef est changée, le travail de paramétrage des machines nomades…. et seul le service informatique est habilité à appliquer cette procédure pour les utilisateurs (question de sécurité). Je m’arrête là, vous comprenez bien le soucis et le casse tête.
Après avoir étudié différentes solutions, la solution retenue est un portail captif (pfSense) couplé à un annuaire radius (installé sous Debian/GNU Linux ou Ubuntu). Je n’expliquerai pas l’installation ni la configuration de pfSense, différents tutoriaux sur la toile vous le permettront. Je n’adorderai que l’installation de l’annuaire freeradius couplée à daloradius sous notre distribution préférée.

Prérequis

Apache2, MySQL, Php et PhpMyAdmin (pour gérer vos bases de données) doivent être impérativement installé au préalable. Vous devez donc disposer d’un serveur web complet.

Configuration de MySQL

# echo “create database radius;” | mysql -u root -p
# echo “grant all on radius.* to radius@’%’ identified by ‘motdepasse_sql’; flush privileges;” | mysql -u root -p
# mysql -u root -p radius < /etc/freeradius/sql/mysql/schema.sql
# mysql -u root -p radius < /etc/freeradius/sql/mysql/nas.sql

Installation de Freeradius

apt-get install freeradius freeradius-utils freeradius-mysql

Configuration de Freeradius

- Modifier le fichier /etc/freeradius/sql.conf

sql {
database = “mysql”
driver = “rlm_sql_${database}”
server = “localhost”
login = “radius”
password = “motdepasse_sql”
radius_db = “radius”

acct_table1 = “radacct”
acct_table2 = “radacct”

postauth_table = “radpostauth”

authcheck_table = “radcheck”
authreply_table = “radreply”
groupcheck_table = “radgroupcheck”
groupreply_table = “radgroupreply”
usergroup_table = “radusergroup”

deletestalesessions = yes

sqltrace = no
sqltracefile = ${logdir}/sqltrace.sql
num_sql_socks = 5

connect_failure_retry_delay = 60

readclients = yes
nas_table = “nas”

$INCLUDE sql/${database}/dialup.conf
}

- Modifier le fichier /etc/freeradius/radiusd.conf : décommenter les 2 lignes suivantes :

$INCLUDE sql.conf
$INCLUDE sql/mysql/counter.conf

- Modifier le fichier /etc/freeradius/sites-available/default (les lignes “files” doivent être commentées)

authorize {
preprocess
chap
suffix
sql
expiration
logintime
pap
}

authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}
eap
}

preacct {
preprocess
acct_unique
suffix
}

accounting {
detail
radutmp
sql
}

session {
radutmp
sql
}

post-auth {
sql
# sql_log
exec
Post-Auth-Type REJECT {
attr_filter.access_reject
}
}

- Lancer freeradius en mode console pour tester si tout fonctionne bien et voir les messages :

# /etc/init.d/freeradius stop
# freeradius -X
[...]
Listening on authentication address * port 1812
Listening on accounting address * port 1813
Listening on proxy address * port 1814
Ready to process requests.

- modifier dans le fichier /etc/freeradius/clients.conf le secret partagé entre le NAS (pfSense) et le serveur radius (Debian) :

client 10.10.10.10 {
ipaddr = 10.10.10.10
secret = monsecret_nasradius
nastype = other
}

10.10.10.10 correspond à l’adresse ip de votre pfsense.

- Redémarrer Freeradius

# /etc/init.d/freeradius start

Vous disposez désormais d’un annuaire freeradius installé et fonctionnel.

Installation de Daloradius

La bibliothèque php-db doit être installé pour que daloradius fonctionne correctement.

apt-get install php-db

Se rendre sur le site pour télécharger l’archive http://sourceforge.net/projects/daloradius/

- Extraire daloradius.tar.gz dans /var/www

tar -zxvf daloradius.tar.gz
cp daloradius/ /var/www -R

- Il nous faut maintenant changer les permissions des fichiers et dossiers correspondants :

chown www-data:www-data /var/www/daloradius -R
chmod 644 /var/www/daloradius/library/daloradius.conf.php

Installation de la base de donnée

- Si vous disposez d’un schéma de base :

cd /var/www/daloradius/contrib/db
mysql -u root -p radius < mysql-daloradius.sql

- Si vous installez sans schéma de base (nouvelle installation):

mysqladmin create radius

Deux options s’offre à vous :

A. Si vous disposez de FreeRADIUS 1.X then:

mysql -u root -p radius < fr1-mysql-daloradius-and-freeradius.sql

B. Si vous disposez de FreeRADIUS 2.X then:

mysql -u root -p radius < fr2-mysql-daloradius-and-freeradius.sql

Nous mettons les informations de la base dans le fichier de configuration :

cd library/
vi daloradius.conf.php

Utilisation de daloradius

Connectez-vous sur votre annuaire http://votreip/daloradius

Login:
username: administrator
password: radius

N’oubliez pas de changer immédiatement le mot de passe de connexion par défaut. Pour cela connectez-vous à votre base avec phpMyAdmin puis allez dans la section “Operators”.

L’accès SSH doit être ouvert sur votre fonera. Si ce n’est pas encore fait, suivez ce tutorial.

L’accès SSH maintenant ouvert, il faut maintenant pouvoir modifier le bootloader afin de le rendre accessible. Pour cela il faut charger un noyau qui donnes accès en écriture a la partition contenant Redboot.

Télécharger sucessivement sur votre machine ces deux fichiers :

- out.hex
- openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma

Ouvrez un terminal dans le repertoire ou sont présent ces deux fichiers et charger le noyau :

scp openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma root@169.254.255.1:/tmp/

On se connecte via ssh

root@169.254.255.1

On ecrase l’ancien noyau

cd /tmp
wget http://169.254.255.2/Fonera/openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma
mtd -e vmlinux.bin.l7 write openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma vmlinux.bin.l7

L’écriture du noyau va se faire :

Unlocking vmlinux.bin.l7 …
Erasing vmlinux.bin.l7 …
Writing from openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma to vmlinux.bin.l7… [w]

puis

reboot

On se reconnecte via ssh

root@169.254.255.1

On peut alors ecraser la partition redboot.

cd /tmp
wget http://169.254.255.2/Fonera/out.hex
mtd -e “RedBoot config” write out.hex “RedBoot config”
reboot

Maintenant que le Redboot est accessible, il va nous permettre de flasher directement et de repartitionner la Fonera. Cette étape est assez longue et complexe, comme vous pouvez le voir sur le wiki d’openwrt .
Pour faire plus simple, SvenOla du projet Freifunk nous a concocté un petit utilitaire qui permet de ne pas avoir à configurer l’interface réseau de votre machine puisqu’il travaille en bas niveau grâce à la libpcap qui doit être installé sur votre système.

Récupérez sur votre machine l’outil AP51 :

Placez dans le même repertoire que l’outil le rootfs et le kernel de Openwrt kamikaze 8.09.2 ( la dernière stable en date )

Lancer ensuite l’outil en root via votre terminal ( si votre carte ethernet est eth0 et qu’elle est activé ):

./ap51-flash-fonera-1.0-42 eth0 atheros/openwrt-atheros-root.squashfs atheros/openwrt-atheros-vmlinux.lzma

Vous pouvez alors mettre la fonera sous tension, la procédure prend 15 min….

Voici fini mon premier reflashage complet, en un peu moins de 15 minutes. Lors d’un prochain article, je vous parlerai de la configuration de ce firmware alternatif aux possibilités insoupçonnées.

Cet article a pour but de présenter rapidement la mise en place d’un serveur NFS v4 sous Debian Lenny avec des clients sous Ubuntu 9.10. D’autres articles suivront peut-être pour agrémenter ce document si je trouve le temps.

Mise en place de partages NFS v4 :

NFS v4 est la nouvelle version du protocole de partages de fichiers historique pour *NIX Cette version apporte de nombreuses améliorations telles que :

sécurité via l’utilisation de kerberos pour l’authentification

la fiabilité avec l’utilisation de TCP par défaut

le passage à travers un firewall est beaucoup plus simple en utilisant par défaut le port 2049

le support de l’ipv6

réplication, failover et récupération des sessions en cas de panne du serveur

Cette version du protocole est incompatible avec les anciennes versions mais, cette incompatibilité est largement compensée par les améliorations apportées et la migration de l’une à l’autre est relativement simple à effectuer.

Mise en place sur serveur :

Le serveur NFS tourne sur une Debian Lenny à jour (5.0.4), les versions des outils utilisés sont tout simplement celles contenues dans les dépôts.

apt-get install nfs-kernel-server nfs-common portmap

NFS 4 permet de monter des partages en fonction d’une racine virtuelle. Ce partage racine est remarquable dans le fichier /etc/exports car il contient fsid=0. Par exemple pour définir la racine des répertoires NFS partagés sous /music il faut ajouter dans le fichier /etc/exports :

/music *(rw,fsid=0,insecure,no_subtree_check)

La grande différence entre NFS v3 et NFS v4 est là, pour monter sur un client la racine des partage en NFS v3 il fallait faire :

mount -t nfs server:/multimedia /mnt

alors qu’avec NFS v4 la commande devient :

mount -t nfs4 server:/ /multimedia

Chaque sous-répertoire du répertoire /music sera partagé en fonction de la racine virtuelle. Donc pour partager un répertoire à l’extérieur de cette racine virtuelle, vous pouvez utiliser l’option –bind de mount(1). Par exemple pour partager les répertoires utilisateurs, utilisez la commande suivante pour ajouter le répertoire à la racine virtuelle :

mount –bind /home /multimedia/films

un répertoire /export/home est alors présent dans /export. Pour exporter ce répertoire, vous pouvez utiliser la syntaxe habituelle des exports NFS.

Configuration du client :

On commence par installer les paquets :

apt-get install nfs-common portmap

Pour monter un partage NFS, en supposant que les partages du serveur se situent dans /multimedia, il faut utiliser la commande :

mount -t nfs4 serveur:/ /multimedia

alors qu’avec NFS v3 et inférieure la commande aurait été :

mount -t nfs server:/export /multimedia

Dans le fichier /etc/fstab le point de montage sera de cette forme :

serveur:/ /mnt nfs4 wsize=32768,rsize=32768 0 0

Voilà, vous avez un serveur NFS fonctionnel. A consommer sans modération !

OpenFire est un serveur XMPP (cad. Jabber) écrit en Java. Il a de nombreux avantages, dont celui d’être facilement configurable et administrable via une interface Web. Pour ma part, je pense qu’il s’agit du meilleur serveur Jabber disponible dans le domaine libre. Cet article vous aidera à installer et à configurer OpenFire sur une Debian 5.0 Lenny

Prérequis
Pour fonctionner Openfire exige au préalable d’avoir un serveur de base de donné sur votre machine. Je conseille l’installation de MySQL qui est installable facilement via cette commande :

apt-get install mysql-server mysql-client libmysqlclient15-dev

Installation de OpenFire
En premier lieu, il nous faut installer la machine virtuelle Java de Sun :

apt-get install sun-java6-jre

Et nous la déclarons comme machine virtuelle par défaut :

update-java-alternatives –set java-6-sun

Nous renseignons la version que nous souhaitons installer:

VERSION=3.6.4

Remarque: Rendez vous sur le site officiel d’Openfire pour connaître la dernière version.

Nous téléchargeons ensuite le paquet Debian de OpenFire :

/usr/bin/wget http://www.igniterealtime.org/downloadServlet?filename=openfire/openfire_3.6.4_all.deb \
–output-document=/tmp/openfire.deb

Et nous installons OpenFire:

dpkg -i /tmp/openfire_3.6.4_all.deb

Démarrez OpenFire si nécessaire:

/etc/init.d/openfire start

Configuration de votre pare-feu
Un certain nombre de ports doivent être ouvert pour que notre serveur Jabber soit joignable de l’extérieur. Je vous donne simplement la partie de mon fichier de configuration qui concerne Openfire

# Décommentez les lignes suivantes pour que le serveur Jabber éventuel
# soit joignable de l’extérieur.
-A INPUT -p tcp –dport 3478 -j ACCEPT
-A INPUT -p tcp –dport 3479 -j ACCEPT
-A INPUT -p tcp –dport 5222 -j ACCEPT
-A INPUT -p tcp –dport 5223 -j ACCEPT
-A INPUT -p tcp –dport 5229 -j ACCEPT
-A INPUT -p tcp –dport 7070 -j ACCEPT
-A INPUT -p tcp –dport 7443 -j ACCEPT
-A INPUT -p tcp –dport 7777 -j ACCEPT
-A INPUT -p tcp –dport 9090 -j ACCEPT
-A INPUT -p tcp –dport 9091 -j ACCEPT

Configuration Openfire

Nous devons maintenant configurer OpenFire, pour ce faire, connectez vous en HTTP à votre serveur sur le port 9090. Par exemple :

* http://localhost:9090

Et lancez-vous dans les différentes étapes de configuration.

Remarque : La même URL vous permet d’accéder à votre interface d’administration.
Paramètres du serveur

* Domaine : Saisissez le domaine Jabber que vous comptez associer à votre serveur. Vos utilisateurs Jabber seront de la forme name@domaine

Lors d’un changement de matériel (que ce soit carte mère avec interface réseau, ou carte réseau), il peut arriver que l’interface réseau eth0 ne soit plus accessible. Voici comment résoudre ce problème.

La mésaventure m’est arrivé deux fois, la première fois lors d’une installation à partir de deux ordis identique en changeant le disque dur de l’un à l’autre, la seconde lors d’un changement de carte mère. Ce problème qui existait déjà sous Etch demeure aussi sous Lenny. Pour pallier à la perte de temps, je note la solution.

Udev, ce petit blagueur, gère un cache des adresses mac des cartes réseaux. Pour résoudre le problème de disparition de l’interface eth0, il suffit de vider le cache des adresses Mac de Udev.

Pour ce faire, vous disposez de 2 solutions.

1. Modifier manuellement le fichier /etc/udev/rules.d/z25_persistent-net.rules, et effacer les lignes qui posent problème.
2. Écraser à la sauvage ce même fichier:

/bin/echo “” > /etc/udev/rules.d/70-persistent-net.rules

XCache est un outil permettant d’accélérer l’exécution de vos scripts PHP

Installation
En premier lieu, installez les dépendances nécessaire à la compilation du logiciel:

apt-get install php5-dev make

Renseignez le numéro de la version de XCache que vous souhaitez installer:

VERSION=1.3.0

Une fois ceci fait, téléchargez les sources de XCache:

wget http://xcache.lighttpd.net/pub/Releases/$VERSION/xcache-$VERSION.tar.gz \
–output-document=/tmp/xcache-$VERSION.tar.gz

Décompressez l’archive obtenue:

tar –directory=/tmp -xzf /tmp/xcache-$VERSION.tar.gz

Et placez-vous dans le dossier créé:

cd /tmp/xcache-$VERSION

Lancez la compilation:

phpize –clean
/usr/bin/phpize
./configure –enable-xcache
/usr/bin/make
/usr/bin/make install

Une fois ceci fait, configurez PHP pour utiliser ce module:

cp /tmp/xcache-$VERSION/xcache.ini /etc/php5/conf.d/xcache.ini
/bin/sed -i -e ’s/^zend_extension_ts.*/; \0/’ \
-e “s|^\(zend_extension =\).*|\1 $(/usr/bin/find /usr/lib/php5 -name xcache.so | /usr/bin/head –lines=1)|” \
/etc/php5/conf.d/xcache.ini

Et configurez la quantité de mémoire que vous souhaitez utiliser pour le cache:

sed -i -e ’s/^\(xcache\.size[ ]*=\).*/\1 64M/’ \
-e ’s/^\(xcache\.var_size[ ]*=\).*/\1 64M/’ \
/etc/php5/conf.d/xcache.ini

Enfin, redémarrez votre serveur Web :

/etc/init.d/apache2 force-reload

Je suis un fan de musique surtout pendant que je travaille sur un logiciel ou que j’administre l’un de mes serveurs . Je cherchais une solution simple, ne consommant pas beaucoup de ressources. Comme souvent avec les logiciels libres, j’ai fini par trouver cette perle rare. C’est avec une grande joie que je vous partage cette découverte. A consommer sans modération……...

Nous allons d’abord nous assurer que vous disposez des packages nécessaires pour le faire tourner…

Avec Synaptic, assurez vous que vous avez les packages suivants d’installés :

• ffmpeg
• mplayer
• mimms
• w32codecs
• wget

vous pouvez télécharger dans votre répertoire le script à cette adresse.

Pour lancer le script :

Suite à de passionnants échanges dans ce forum, différentes pistes ont été trouvées :

tout d’abord :

• Rendre le fichier exécutable
• Faire un clic droit sur le fichier
• Sélectionner Propriétés
• Avec Ubuntu, allez dans l’onglet “Permissions” est cochez “Exécution”
• Avec Kubuntu, allez dans l’onglet “Droits d’accès” et cocher “est exécutable”

Ouvrir une console (terminal gnome ou Konsole) et tapez à l’invite :

ls

si le fichier radios.sh est dans votre répertoire perso, vous devriez le voir dans la liste :)

on va le mettre dans /usr/local, prêts ?

sudo mv radios.sh /usr/local

La commande mv (move) sert à déplacer (entre autres).

Nous allons maintenant créer un lien symbolique pour démarrer le script plus rapidement :

sudo ln -s /usr/local/radios.sh /usr/local/bin/radios

Enfin, lancer la première fois le script pour récupérer la liste des radios :

radios

et accepter de télécharger la liste des radios en saisissant “o”.

La liste des radios est alors disponible dans le fichier “radios.csv” du dossier “.radios” de votre compte utilisateur, vous pouvez modifier cette liste à votre guise avec une des commandes ci-dessous :

kedit ~/.radios/radios.csv
gedit ~/.radios/radios.csv
pico ~/.radios/radios.csv

Ce document est basé sur la dernière version Debian (5.0 / Lenny), ce qui devrait lui assurer une bonne durée de vie . Toutes les applications utilisées sont disponibles sous forme de packages officiels (c’est plus simple pour les mises à jour).

Les pré-requis sont les suivants :

• Une distribution Linux Debian 5.0 fonctionnelle ;
• Un serveur Postfix en état de fonctionnement et configuré selon vos besoins (ce document ne traitera pas de la configuration de Postfix – mais si vous avez des questions je pourrais peut être vous aider …).

Petit rappel sur les différents éléments utilisés :

• ClamAV : anti-virus Open Source (plus d’infos ICI)
• SpamAssassin : anti-spam Open Source (plus d’infos ICI)
• Amavisd-New : module réalisant l’interface entre Postfix les modules de filtrage SpamAssassin et ClamAV (plus d’infos ICI)

C’est parti …

• Installation Amavisd-New et ClamAV

apt-get install amavisd-new clamav clamav-daemon

L’installeur va vous poser des questions, normalement les réponses par défaut devraient convenir.

• Il faut ajouter l’utilisateur clamav au groupe amavis

addgroup clamav amavis

• Il faut modifier le fichier /etc/amavis/conf.d/15-content_filter_mode

• Décommentez les deux lignes suivantes (pour autoriser le filtrage anti-virus) :

@bypass_virus_checks_maps = (
\%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);

• Et celles-ci (pour autoriser le filtrage anti-spam) :

@bypass_spam_checks_maps = (
\%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);

• Téléchargez et installez “spamassassin“

apt-get install spamassassin

• Dans “/etc/default/spamassassin“

modifiez “ENABLED=1″
modifiez “OPTIONS=”–max-children 5 –helper-home-dir” (remplacez 5 par le nombre de process de “spamd” devant fonctionner simultanéement)

• Ajoutez la ligne suivante dans le fichier “/etc/postfix/main.cf”

content_filter = smtp-amavis:[127.0.0.1]:10024

• Ajoutez les lignes suivantes dans le fichier “/etc/postfix/master.cf“

(attention à bien conserver un espace avant chaque “-o”)

smtp-amavis unix - - y - 2 smtp
      -o smtp_data_done_timeout=1200
      -o disable_dns_lookups=yes

127.0.0.1:10025 inet    n       -       y       -       -       smtpd
      -o content_filter=
      -o local_recipient_maps=
      -o relay_recipient_maps=
      -o smtpd_restriction_classes=
      -o smtpd_client_restrictions=
      -o smtpd_helo_restrictions=
      -o smtpd_sender_restrictions=
      -o smtpd_recipient_restrictions=permit_mynetworks,reject
      -o mynetworks=127.0.0.0/8
      -o strict_rfc821_envelopes=yes

• Et enfin pour bénéficier de toutes les fonctionnalités d’Amavis, il faut lui indiquer le (ou les) domaines gérés sur ce serveur (en terme de courrier bien sûr)

• Ajouter dans le fichier “/etc/amavis/conf.d/05-domain_id” :

@local_domains_maps = ( [ '.domain1.com', '.domain2.com', '.domain3.com' ] );

• On relance tout le bazar :

/etc/init.d/spamassassin restart
/etc/init.d/clamav-daemon restart
/etc/init.d/amavis restart
postfix reload

• Pour s’assurer qu’Amavis prenne bien en charge ClamAV et Spamassassin, aprés avoir relancé Amavis (étape précédente) on doit retrouver les lignes suivantes dans les logs du serveur de mail (normalement /var/log/mail.info)

Jul 15 11:44:37 hostname amavis[26709]: ANTI-VIRUS code loaded
Jul 15 11:44:37 hostname amavis[26709]: ANTI-SPAM-SA code loaded
Jul 15 11:44:37 hostname amavis[26709]: Using internal av scanner code for (primary) ClamAV-clamd
Jul 15 11:44:37 hostname amavis[26709]: Found secondary av scanner ClamAV-clamscan at /usr/bin/clamscan

• Il est également plus prudent de tester un envoi de mail avec la chaîne de test “EICAR” (allez faire un tour sur www.eicar.com), puis allez jeter un oeil sur les logs de Postfix :

Jul 15 14:02:41 hostname amavis[13251]: (13251-01) Blocked INFECTED (Eicar-Test-Signature), [192.168.0.1] <nom@domaine.fr> -> <test@testmail.fr>, quarantine: virus-lFDtkSo0b4vz, Message-ID: <20070509120235.D8AF02AA74@hostname>, mail_id: lFDtkSo0b4vz, Hits: -, 125 ms

• On peut également tester l’anti-spam avec l’envoi d’un message contenant la chaine de test suivante : XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

On doit retrouver un truc comme ça dans les logs de Postfix :

Jul 15 14:24:45 hostname amavis[6446]: (06446-02) Blocked SPAM, [192.168.0.1] <nom@domaine.fr> -> <test@testmail.fr>, quarantine: spam-atCf69YINh+q.gz, Message-ID: <20070509122435.87ED32AA74@hostname>, mail_id: atCf69YINh+q, Hits: 1004.184, 2128 ms

Vous disposez désormais d’une solution de filtrage anti-virus et anti-spam fonctionnelle !