Andre Rodier a écrit 361 commentaires

merde

L'agenda du libre, c'est bien, mais je n'ai pas vu passer d'information sur l'"Open Source Summit Europe, à Édimbourg".

Je n'ai pu me libérer que pour les deux derniers jours, pour le Security Summit, et j'ai trouvé ça très intéressant.

Quelle est la raison pour laquelle cet événement majeur n'étais pas dans les listes?

Quid du Cyber Europe le 29 Novembre, à Londres. Il y a pourtant un invité de marque.

Merci, je viens de le rajouter. Et en plus, c'est beaucoup plus simple sous Debian:

https://unix.stackexchange.com/questions/411945/luks-ssh-unlock-strange-behaviour-invalid-authorized-keys-file

Les clés publiques sont partagées entre OpenSSH et Dropbear, il n'y a pas de warning lorsque l'on passe d'une connexion de l'un à l'autre.

Encore une fois, Merci!

Il y a plusieurs manières de faire ce que tu veux, comme lire la clé de chiffrage à partir d'une clé USB, par exemple.
L'inconvénient est évidemment la sécurité.
Cela dit, j'ai 2/3 idées en tête pour résoudre ce souci.

Non, pour démarrer le serveur, il faut bien sûr entrer la phrase de passe.

C'est un compromis entre la sécurité que je suis prêt à faire. En même temps, le serveur ne redémarre que très rarement, par exemple après une mise à jour du noyau.

Les mises à jour noyau sont laissées à l'appréciation de l'administrateur. Personnellement, je ne le fais que dans les cas extrêmes, par exemple exploitable à distance, Spectre / Meltdown / etc.

Une mise à jour de sécurité qui concerne une faille exploitable avec un shell, c'est déjà moins grave.

*1 quid en cas de mises a jours ? Quid en cas de jbod/raid ? Quid si a un moment ca bug ? Quid si on oublie la clés de chiffrement ? Quid si le système de fichiers a des erreurs ? Quid si le cambioleur se barre avec la machine ? Quid de l'impacte machine sur x64 et ARM ? Quid de l'utilisation sur SSD, uSD ? 

LUKS peut être vu comme une "couche de chiffrage" au dessus des pilotes de disque. En conclusion, rien n'est visible pour les divers programmes en espace utilisateur (JBOD/RAID)
Tu peux tout de même accéder à ton système avec un live CD moderne, du moment que tu entres ta phrase de passe. Idem si le système de fichier à des erreurs. Elles seront réparées par ext4 / btrfs / etc qui n'auront pas de connaissance de la couche de chiffrement.

Si tu pers ta phrase de passe, il y a une possibilité de backup là aussi chiffré. La clé de chiffrement est générée dynamiquement, et automatiquement stockée sur l'ordinateur qui a lancé le déploiement, avec Ansible.

Si le cambrioleur « se barre avec la machine », il pourra lire le contenu, dans le case suivants:
- Il connaît la phrase de passe,
- Ta phrase de passe est trop simple, et il dispose de moyens suffisants pour la casser…
- Il viens du futur, et les algorithmes de chiffrement se cassent avec des ordinateurs quantiques
- Ou bien:

Dans la majorité des cas, ton matériel se retrouve tout simplement sur eBay ou d'autres sites de vente en ligne…

Côté impact sur les performances, je n'en ai pas vu, et je ne pense pas que le disque d'un serveur de mail personnel soit le goulot d'étranglement du système.

Merci,

N'hésite pas a en faire un tuto section wiki, avec des nimages et de bons retours d'expérience détaillé (*1) :) 

Je dois pouvoir améliorer la documentation déjà existante, mais le projet que j'ai crée simplifie énormément la tâche. En gros, on a un fichier YAML de départ, un script Ansible qui lance une image docker et crée une image ISO Debian personnalisée, avec la phrase de passe déjà configurée.

https://homebox.readthedocs.io/en/latest/preseed/

C'est en Anglais, mais assez facile à comprendre. Je n'ai pas eu le temps de traduire.

Je compatis dans ton malheur.

Est-ce que tes machines étaient protégées contre le vol de données également?
En d'autre termes, est-ce que tes disques durs sont chiffrés avec LUKS ou même Cryptfs?

Le vol d'identité est également quelque chose de très lucratif, malheureusement.

Par exemple, le serveur d'emails que j'ai chez moi est chiffré avec LUKS.
je le conseille à tous ceux qui sont auto-hébergés, d'ailleurs, c'est quand cela arrive que c'est trop tard.

Bonjour Saltimbanque,

La théorie des croyances collectives ne constitue pas un passage à proprement parler, mais plutôt un des éléments formant la trame de fond de l'histoire de l'humanité.

Je n'ai pas trouvé de point où je suis en désaccord avec l'auteur, sauf peut être au début de lecture, lorsqu'il qualifie de religion certains courants politiques comme le capitalisme ou le communisme. Mais, je cite:

Si l'appellation religion vous choque pour qualifier les courants politiques, alors il faut cesser d'appeler religions des courants de pensées comme Taoïsme et Bouddhisme.

Dans l'ensemble, j'ai trouvé le livre intéressant, divertissant et facile d'accès.

L'auteur ne se prends pas non plus au sérieux sur ses visions futures de l'humanité, expliquant qu'il s'agit d'une théorie parmi d'autres. Je cite encore:

Quoi qu'il en soit, avec les progrès technologiques, sociologiques et génomiques, l'humanité en l'an 2500 sera probablement très différentes de toutes les visions futuristes contemporaines que nous essayions vainement d'approcher…

C'est une personne extrêmement intelligente, et humble.

Je conseille la lecture sans hésitation, car on y apprends aussi des faits passées et actuels surprenants.

Ce n'est pas parce qu'on ne fait pas quelque chose qu'on n'est pas à même de le critiquer…

Le passage que j'ai cité «élucubrations de ce vulgarisateur de prisunic» ne constitue pas une critique, mais une attaque personnelle totalement gratuite sur un auteur mondialement reconnu.

À mon sens, il y a mieux à faire de son temps que de lire les élucubrations de ce vulgarisateur de prisunic.

Tu as raison, je vais plutôt lire tes nombreuses publications, traduites dans de nombreux langages. À commencer par les nombreuses dépêches et journaux publiés sur Linuxfr…

Je vote pour la Principauté de Sealand…

Voici bientôt quatre longues semaines que les gens normaux, j'entends les gens issus de la norme, avec deux bras et deux jambes pour signifier qu'ils existent, subissent à longueur d'antenne les dégradantes contorsions manchotes des hordes encaleçonnées sudoripares qui se disputent sur le gazon l'honneur minuscule d'être champions de la balle au pied. Voilà bien la différence entre le singe et le footballeur. Le premier a trop de mains ou pas assez de pieds pour s'abaisser à jouer au football.

Le football. Quel sport est plus laid, plus balourd et moins gracieux que le football ? Quelle harmonie, quelle élégance l'esthète de base pourrait-il bien découvrir dans les trottinements patauds de vingt-deux handicapés velus qui poussent des balles comme on pousse un étron, en ahanant des râles vulgaires de boeufs éteints. Quel bâtard en rut de quel corniaud branlé oserait manifester sa libido en s'enlaçant frénétiquement comme ils le font par paquets de huit, à grand coups de pattes grasses et mouillées, en ululant des gutturalités simiesques à choquer un rocker d'usine ? Quelle brute glacée, quel monstre décérébré de quel ordre noir oserait rire sur des cadavres comme nous le vîmes en vérité, certain soir du Heysel où vos idoles, calamiteux goalistes extatiques, ont exulté de joie folle au milieu de quarante morts piétinés, tout ça parce que la baballe était dans les bois ?

Je vous hais, footballeurs. Vous ne m'avez fait vibrer qu'une fois : le jour où j'ai appris que vous aviez attrapé la chiasse mexicaine en suçant des frites aztèques. J'eusse aimé que les amibes vous coupassent les pattes jusqu'à la fin du tournoi. Mais Dieu n'a pas voulu. Ca ne m'a pas surpris de sa part. Il est des vôtres. Il est comme vous. Il est partout, tout le temps, quoi qu'on fasse et où qu'on se planque, on ne peut y échapper.

Quand j'étais petit garçon, je me suis cru longtemps anormal parce que je vous repoussais déjà. Je refusais systématiquement de jouer au foot, à l'école ou dans la rue. On me disait : «Ah, la fille !» ou bien : «Tiens, il est malade», tellement l'idée d'anormalité est solidement solidaire de la non-footabilité. Je vous emmerde. Je n'ai jamais été malade. Quant à la féminité que vous subodoriez, elle est toujours en moi. Et me pousse aux temps chauds à rechercher la compagnie des femmes. Y compris celles des vôtres que je ne rechigne pas à culbuter quand vous vibrez aux stades.

Pouf, pouf.

Pierre Desproges

Entendu dans un interview d'une spécialiste de l'intelligence artificielle, Londres, 2018:

Question: Are you afraid of the possible outcomes of Artificial Intelligence?
Answer: Actually, I am more concerned by natural stupidity.

…

J'ai eu la même approche que toi, avant de passer au BT 4.2.

Mon téléphone (bluetooth 4.2) et mon casque (idem) me permettent de le faire de façon plus simple.
Le casque est connecté au téléphone et lorsque j'arrive à mon travail, je connecte le casque au PC, en utilisant l'interface normale (profil audiosink). Le casque est donc connecté au téléphone et au PC.
Lorsqu'un appel arrive, la musique se met en sourdine (ou pause, je sais plus) et je peux répondre à mon appel. Une fois raccroché - ou si j'ai refusé l'appel, la musique recommence.

Idem pour moi, mais uniquement sur certaines adresses. Par exemple, alice@hotmail.com ne recevra pas mes emails, mais bob@hotmail.com les reçois sans problème.

J'en ai conclu qu'ils ont une batterie de serveurs avec des configurations hétéroclites. Je ne prends soin de remplir les formulaires en ligne de que lorsque je dois vraiment contacter une personne, et qu'elle est bloquée sur une adresse MS…

Du coup, je milite et propose d'autres hébergeurs, plus respectueux des standards (gmail pour l'instant).

Suis-je le seul à utiliser uniquement un clavier Qwerty ?

Je n'ai pas encore essayé Dvorak ou Bépo, mais je trouve le clavier Qwerty plus épuré, plus simple, et parfait pour la programmation. De toute façon, tous les accents français - et autre - peuvent se faire à l'aide de la touche compose.

Je trouve plus intuitif d'utiliser 'O' et 'E' pour faire Œ en majuscule ou minuscule, ou 'e' et '=' pour faire €, c'est apparemment un luxe de pouvoir faire des lettres comme Ï et Â, ou même Ñ et ß. Quant aux symboles, dites-moi où sont les touches pour / → / « / » / … / ‽ / ⇒ / ⋄ / ± / etc…

Sinon, c'est vrai que je n'écris peut être pas assez souvent en français pour me rendre compte de la perte de temps.

En plus, même si on ne va pas trop vite pour ne pas froisser les académiciens encore vivants, je vois bien que l'on est en train de simplifier la langue française et de supprimer les accents. Il suffit de lire des articles journalistiques sur internet pour se rendre compte que les gars ne se font plus chier à faire tous les accents.

Exercice: Écrivez ceci avec un clavier Français: Ma sœur a une nièce nommée Maï qui habite à Aÿ.
Copiez-coller interdits.

Dans le cas ci dessus, nginx est configuré pour utiliser SNI (https://fr.wikipedia.org/wiki/Server_Name_Indication):

Avec le protocole SNI, le client indique le nom de l'hôte (hostname) avec lequel il tente de démarrer une négociation TLS…

Apache peut aussi le faire: https://en.wikipedia.org/wiki/Server_Name_Indication#Implementation

Avant SNI, il était effectivement très difficile d'héberger plusieurs sites https à la même adresse IP.

Pour moi, Sogo est la seule suite collaborative open source qui vaille la peine d'être utilisée et ne sois pas "vendor lock-in". Vous avez fait le choix d'une très bonne intégration avec les logiciels et les standards déjà existants, sans devoir acheter une solution complète ou installer des greffons propriétaires et/ou changer complètement son serveur de mail.

En plus, c'est intégré dans Debian. J'espère que vous continuerez à prospérer.
Je suis cela d'assez près.

Encore merci.

Bonne idée, je n'ai pas testé avec eux, est-ce que vous avez une adresse email, que je puisse tester?

Pas mal, merci.

J'utilise aussi https://mxtoolbox.com/ et en ligne de commande, rblcheck.

J'ai eu effectivement quelques soucis il y a longtemps, par exemple avec mail.ru, qui blacklistait et rejetait mes emails (bounce). Après quelques échanges, j'ai eu confirmation qu'ils refuseraient les emails d'IP résidentielles, même si ils étaient signés et le SPF était valide.

C'était une des raisons pour laquelle j'avais migré vers un serveur OVH.

Cependant, j'ai l'impression que ça a changé, mes emails sont maintenant acceptés à partir de mon adresse IP.

Peut être que c'est plus coûteux de maintenir à jour des plages d'adresse IP que d'utiliser des outils standard de vérification automatique open source.

Je compatis, toutes mes condoléances.

Concernant laposte.net, j'avais testé la qualité de leur service il y a plusieurs années, et pour être franc, si j'avais des amis ou des contacts sur cet hébergeur, je pense que j'aurais plus de plaisir à les convaincre de changer pour GMail qu'à les contacter pour "whitelister" mon adresse IP.

D'autant plus que l'on peut configurer GMail pour récupérer ses emails chez son ancien hébergeur, et même en envoyer de GMail en gardant son adresse email, pour une transition "douce". J'ai utilisé ça pour ma sœur, qui était chez free, et est maintenant très satisfaite, surtout sur la gestio des spams. Qui plus est, la plupart on un compte Google pour utiliser leur Android…Une fois que l'on a démontré une expertise dans ce domaine, c'est beaucoup plus facile de leur parler d'auto-hébergement.

Je suis auto hébergé depuis environ 10 ans, avec de brèves périodes de basculement temporaire vers Zoho (assez bon, d'ailleurs) ou Gandi, lorsque OVH était dans les choux.

La plupart des emails que j'envoie sont professionnels, vers des entreprises, et dans l'ensemble, ça marche très bien. Le DSN est vraiment un plus qui convainc d'ailleurs assez facilement les connaissances que j'ai. Je n'ai pas trouvé un seul webmail qui support ça…

Lorsque j'envoie un email pour la première fois à une connaissance, je m'assure qu'elle la bien reçu, que je suis dans le carnet d'adresse, etc.

Comme un envoi d'email entre deux personnes auto hébergées ne pose pas de problème, plus on sera nombreux, mieux c'est. Vive l'auto hébergement…

Je suis déjà auto-hébergé, mais merci pour l'accueil tout de même ;-)

Le but est de faire un diagnostic pour mes correspondants éventuels, j'ai un compte avec ces hébergeurs, que je n'utilise qu'à des fins de test. Lorsque j'envoie un email pour la première fois à quelqu'un qui utilise Outlook, je peux lui dire, de vérifer la boite SPAM et de me rajouter dans son carnet d'adresse.

Ça permet aussi de sensibiliser un petit peu sur les standards ouverts, qui les respecte et qui s'en fiche en tentant d'imposer ses propres standards…

Concerner iRedMail, c'est définitivement non. Le support ldap est très important pour moi, et ce n'est pas quelque chose qu'on peut rajouter autre coup.
Idem que la réponse précédente, je veux vraiment rester dans Debian. Le script ne faut presque rien d'autre qu'installer et configurer la distribution.