Andre Rodier a écrit 358 commentaires

  • [^] # Re: Disques chiffrés?

    Posté par  (site web personnel) . En réponse au journal Horodater un cambriolage avec des logs. Évalué à 1.

    Il y a plusieurs manières de faire ce que tu veux, comme lire la clé de chiffrage à partir d'une clé USB, par exemple.
    L'inconvénient est évidemment la sécurité.
    Cela dit, j'ai 2/3 idées en tête pour résoudre ce souci.

  • [^] # Re: Disques chiffrés?

    Posté par  (site web personnel) . En réponse au journal Horodater un cambriolage avec des logs. Évalué à 2.

    Non, pour démarrer le serveur, il faut bien sûr entrer la phrase de passe.

    C'est un compromis entre la sécurité que je suis prêt à faire. En même temps, le serveur ne redémarre que très rarement, par exemple après une mise à jour du noyau.

    Les mises à jour noyau sont laissées à l'appréciation de l'administrateur. Personnellement, je ne le fais que dans les cas extrêmes, par exemple exploitable à distance, Spectre / Meltdown / etc.

    Une mise à jour de sécurité qui concerne une faille exploitable avec un shell, c'est déjà moins grave.

  • [^] # Re: Disques chiffrés?

    Posté par  (site web personnel) . En réponse au journal Horodater un cambriolage avec des logs. Évalué à 2.

    *1 quid en cas de mises a jours ? Quid en cas de jbod/raid ? Quid si a un moment ca bug ? Quid si on oublie la clés de chiffrement ? Quid si le système de fichiers a des erreurs ? Quid si le cambioleur se barre avec la machine ? Quid de l'impacte machine sur x64 et ARM ? Quid de l'utilisation sur SSD, uSD ? 
    

    LUKS peut être vu comme une "couche de chiffrage" au dessus des pilotes de disque. En conclusion, rien n'est visible pour les divers programmes en espace utilisateur (JBOD/RAID)
    Tu peux tout de même accéder à ton système avec un live CD moderne, du moment que tu entres ta phrase de passe. Idem si le système de fichier à des erreurs. Elles seront réparées par ext4 / btrfs / etc qui n'auront pas de connaissance de la couche de chiffrement.

    Si tu pers ta phrase de passe, il y a une possibilité de backup là aussi chiffré. La clé de chiffrement est générée dynamiquement, et automatiquement stockée sur l'ordinateur qui a lancé le déploiement, avec Ansible.

    Si le cambrioleur « se barre avec la machine », il pourra lire le contenu, dans le case suivants:
    - Il connaît la phrase de passe,
    - Ta phrase de passe est trop simple, et il dispose de moyens suffisants pour la casser…
    - Il viens du futur, et les algorithmes de chiffrement se cassent avec des ordinateurs quantiques
    - Ou bien:

    Cassage de clé de chiffrement

    Dans la majorité des cas, ton matériel se retrouve tout simplement sur eBay ou d'autres sites de vente en ligne…

    Côté impact sur les performances, je n'en ai pas vu, et je ne pense pas que le disque d'un serveur de mail personnel soit le goulot d'étranglement du système.

  • [^] # Re: Disques chiffrés?

    Posté par  (site web personnel) . En réponse au journal Horodater un cambriolage avec des logs. Évalué à 4.

    Merci,

    N'hésite pas a en faire un tuto section wiki, avec des nimages et de bons retours d'expérience détaillé (*1) :) 
    

    Je dois pouvoir améliorer la documentation déjà existante, mais le projet que j'ai crée simplifie énormément la tâche. En gros, on a un fichier YAML de départ, un script Ansible qui lance une image docker et crée une image ISO Debian personnalisée, avec la phrase de passe déjà configurée.

    https://homebox.readthedocs.io/en/latest/preseed/

    C'est en Anglais, mais assez facile à comprendre. Je n'ai pas eu le temps de traduire.

  • # Disques chiffrés?

    Posté par  (site web personnel) . En réponse au journal Horodater un cambriolage avec des logs. Évalué à 4.

    Je compatis dans ton malheur.

    Est-ce que tes machines étaient protégées contre le vol de données également?
    En d'autre termes, est-ce que tes disques durs sont chiffrés avec LUKS ou même Cryptfs?

    Le vol d'identité est également quelque chose de très lucratif, malheureusement.

    Par exemple, le serveur d'emails que j'ai chez moi est chiffré avec LUKS.
    je le conseille à tous ceux qui sont auto-hébergés, d'ailleurs, c'est quand cela arrive que c'est trop tard.

  • [^] # Re: as tu plus d'info sur Sapiens

    Posté par  (site web personnel) . En réponse au journal Lecture pour cet été. Évalué à 1.

    Bonjour Saltimbanque,

    La théorie des croyances collectives ne constitue pas un passage à proprement parler, mais plutôt un des éléments formant la trame de fond de l'histoire de l'humanité.

    Je n'ai pas trouvé de point où je suis en désaccord avec l'auteur, sauf peut être au début de lecture, lorsqu'il qualifie de religion certains courants politiques comme le capitalisme ou le communisme. Mais, je cite:

    Si l'appellation religion vous choque pour qualifier les courants politiques, alors il faut cesser d'appeler religions des courants de pensées comme Taoïsme et Bouddhisme.

    Dans l'ensemble, j'ai trouvé le livre intéressant, divertissant et facile d'accès.

    L'auteur ne se prends pas non plus au sérieux sur ses visions futures de l'humanité, expliquant qu'il s'agit d'une théorie parmi d'autres. Je cite encore:

    Quoi qu'il en soit, avec les progrès technologiques, sociologiques et génomiques, l'humanité en l'an 2500 sera probablement très différentes de toutes les visions futuristes contemporaines que nous essayions vainement d'approcher…

    C'est une personne extrêmement intelligente, et humble.

    Je conseille la lecture sans hésitation, car on y apprends aussi des faits passées et actuels surprenants.

  • [^] # Re: Bof bof

    Posté par  (site web personnel) . En réponse au journal Lecture pour cet été. Évalué à -8.

    Ce n'est pas parce qu'on ne fait pas quelque chose qu'on n'est pas à même de le critiquer…

    Le passage que j'ai cité «élucubrations de ce vulgarisateur de prisunic» ne constitue pas une critique, mais une attaque personnelle totalement gratuite sur un auteur mondialement reconnu.

  • [^] # Re: Bof bof

    Posté par  (site web personnel) . En réponse au journal Lecture pour cet été. Évalué à -10.

    À mon sens, il y a mieux à faire de son temps que de lire les élucubrations de ce vulgarisateur de prisunic.

    Tu as raison, je vais plutôt lire tes nombreuses publications, traduites dans de nombreux langages. À commencer par les nombreuses dépêches et journaux publiés sur Linuxfr…

  • [^] # Re: Mon prono au début de la compétition

    Posté par  (site web personnel) . En réponse au journal Le moment crucial. Évalué à 0.

    Je vote pour la Principauté de Sealand…

  • # Pierre me manque

    Posté par  (site web personnel) . En réponse au journal Le moment crucial. Évalué à 10.

    Voici bientôt quatre longues semaines que les gens normaux, j'entends les gens issus de la norme, avec deux bras et deux jambes pour signifier qu'ils existent, subissent à longueur d'antenne les dégradantes contorsions manchotes des hordes encaleçonnées sudoripares qui se disputent sur le gazon l'honneur minuscule d'être champions de la balle au pied. Voilà bien la différence entre le singe et le footballeur. Le premier a trop de mains ou pas assez de pieds pour s'abaisser à jouer au football.

    Le football. Quel sport est plus laid, plus balourd et moins gracieux que le football ? Quelle harmonie, quelle élégance l'esthète de base pourrait-il bien découvrir dans les trottinements patauds de vingt-deux handicapés velus qui poussent des balles comme on pousse un étron, en ahanant des râles vulgaires de boeufs éteints. Quel bâtard en rut de quel corniaud branlé oserait manifester sa libido en s'enlaçant frénétiquement comme ils le font par paquets de huit, à grand coups de pattes grasses et mouillées, en ululant des gutturalités simiesques à choquer un rocker d'usine ? Quelle brute glacée, quel monstre décérébré de quel ordre noir oserait rire sur des cadavres comme nous le vîmes en vérité, certain soir du Heysel où vos idoles, calamiteux goalistes extatiques, ont exulté de joie folle au milieu de quarante morts piétinés, tout ça parce que la baballe était dans les bois ?

    Je vous hais, footballeurs. Vous ne m'avez fait vibrer qu'une fois : le jour où j'ai appris que vous aviez attrapé la chiasse mexicaine en suçant des frites aztèques. J'eusse aimé que les amibes vous coupassent les pattes jusqu'à la fin du tournoi. Mais Dieu n'a pas voulu. Ca ne m'a pas surpris de sa part. Il est des vôtres. Il est comme vous. Il est partout, tout le temps, quoi qu'on fasse et où qu'on se planque, on ne peut y échapper.

    Quand j'étais petit garçon, je me suis cru longtemps anormal parce que je vous repoussais déjà. Je refusais systématiquement de jouer au foot, à l'école ou dans la rue. On me disait : «Ah, la fille !» ou bien : «Tiens, il est malade», tellement l'idée d'anormalité est solidement solidaire de la non-footabilité. Je vous emmerde. Je n'ai jamais été malade. Quant à la féminité que vous subodoriez, elle est toujours en moi. Et me pousse aux temps chauds à rechercher la compagnie des femmes. Y compris celles des vôtres que je ne rechigne pas à culbuter quand vous vibrez aux stades.

    Pouf, pouf.

    Pierre Desproges

  • # Intelligence art

    Posté par  (site web personnel) . En réponse au sondage pour vous, un logiciel d'intelligence artificielle, c'est quoi ?. Évalué à 10.

    Entendu dans un interview d'une spécialiste de l'intelligence artificielle, Londres, 2018:

    Question: Are you afraid of the possible outcomes of Artificial Intelligence?
    Answer: Actually, I am more concerned by natural stupidity.

  • # Bluetooth 4.2

    Posté par  (site web personnel) . En réponse au message Mon linux en headset bluetooth. Évalué à 1.

    J'ai eu la même approche que toi, avant de passer au BT 4.2.

    Mon téléphone (bluetooth 4.2) et mon casque (idem) me permettent de le faire de façon plus simple.
    Le casque est connecté au téléphone et lorsque j'arrive à mon travail, je connecte le casque au PC, en utilisant l'interface normale (profil audiosink). Le casque est donc connecté au téléphone et au PC.
    Lorsqu'un appel arrive, la musique se met en sourdine (ou pause, je sais plus) et je peux répondre à mon appel. Une fois raccroché - ou si j'ai refusé l'appel, la musique recommence.

  • [^] # Re: Et que faire avec les correspondants hébergés par microsoft ?

    Posté par  (site web personnel) . En réponse à la dépêche Héberger son courriel en 2018. Évalué à 3.

    Idem pour moi, mais uniquement sur certaines adresses. Par exemple, alice@hotmail.com ne recevra pas mes emails, mais bob@hotmail.com les reçois sans problème.

    J'en ai conclu qu'ils ont une batterie de serveurs avec des configurations hétéroclites. Je ne prends soin de remplir les formulaires en ligne de que lorsque je dois vraiment contacter une personne, et qu'elle est bloquée sur une adresse MS…

    Du coup, je milite et propose d'autres hébergeurs, plus respectueux des standards (gmail pour l'instant).

  • # Je reste au Qwerty

    Posté par  (site web personnel) . En réponse au journal Exclusif : la nouvelle norme de claviers. Évalué à -3.

    Suis-je le seul à utiliser uniquement un clavier Qwerty ?

    Je n'ai pas encore essayé Dvorak ou Bépo, mais je trouve le clavier Qwerty plus épuré, plus simple, et parfait pour la programmation. De toute façon, tous les accents français - et autre - peuvent se faire à l'aide de la touche compose.

    Je trouve plus intuitif d'utiliser 'O' et 'E' pour faire Œ en majuscule ou minuscule, ou 'e' et '=' pour faire €, c'est apparemment un luxe de pouvoir faire des lettres comme Ï et Â, ou même Ñ et ß. Quant aux symboles, dites-moi où sont les touches pour / → / « / » / … / ‽ / ⇒ / ⋄ / ± / etc…

    Sinon, c'est vrai que je n'écris peut être pas assez souvent en français pour me rendre compte de la perte de temps.

    En plus, même si on ne va pas trop vite pour ne pas froisser les académiciens encore vivants, je vois bien que l'on est en train de simplifier la langue française et de supprimer les accents. Il suffit de lire des articles journalistiques sur internet pour se rendre compte que les gars ne se font plus chier à faire tous les accents.

    Exercice: Écrivez ceci avec un clavier Français: Ma sœur a une nièce nommée Maï qui habite à Aÿ.
    Copiez-coller interdits.

  • # Merci SNI

    Posté par  (site web personnel) . En réponse au message [nginx] : Renouvellement de certificats de plusieurs domaines. Évalué à 2.

    Dans le cas ci dessus, nginx est configuré pour utiliser SNI (https://fr.wikipedia.org/wiki/Server_Name_Indication):

    Avec le protocole SNI, le client indique le nom de l'hôte (hostname) avec lequel il tente de démarrer une négociation TLS…

    Apache peut aussi le faire: https://en.wikipedia.org/wiki/Server_Name_Indication#Implementation

    Avant SNI, il était effectivement très difficile d'héberger plusieurs sites https à la même adresse IP.

  • # Merci

    Posté par  (site web personnel) . En réponse à la dépêche Inverse annonce la sortie de la version 4 de SOGo !. Évalué à 3.

    Pour moi, Sogo est la seule suite collaborative open source qui vaille la peine d'être utilisée et ne sois pas "vendor lock-in". Vous avez fait le choix d'une très bonne intégration avec les logiciels et les standards déjà existants, sans devoir acheter une solution complète ou installer des greffons propriétaires et/ou changer complètement son serveur de mail.

    En plus, c'est intégré dans Debian. J'espère que vous continuerez à prospérer.
    Je suis cela d'assez près.

    Encore merci.

  • [^] # Re: Et juste par curiosité...

    Posté par  (site web personnel) . En réponse au journal Petit point sur les hébergeurs d'emails majeurs. Évalué à 1.

    Bonne idée, je n'ai pas testé avec eux, est-ce que vous avez une adresse email, que je puisse tester?

  • [^] # Re: Tester ses mails...

    Posté par  (site web personnel) . En réponse au journal Petit point sur les hébergeurs d'emails majeurs. Évalué à 3.

    Pas mal, merci.

    J'utilise aussi https://mxtoolbox.com/ et en ligne de commande, rblcheck.

  • [^] # Re: IP résidentielles

    Posté par  (site web personnel) . En réponse au journal Petit point sur les hébergeurs d'emails majeurs. Évalué à 5.

    J'ai eu effectivement quelques soucis il y a longtemps, par exemple avec mail.ru, qui blacklistait et rejetait mes emails (bounce). Après quelques échanges, j'ai eu confirmation qu'ils refuseraient les emails d'IP résidentielles, même si ils étaient signés et le SPF était valide.

    C'était une des raisons pour laquelle j'avais migré vers un serveur OVH.

    Cependant, j'ai l'impression que ça a changé, mes emails sont maintenant acceptés à partir de mon adresse IP.

    Peut être que c'est plus coûteux de maintenir à jour des plages d'adresse IP que d'utiliser des outils standard de vérification automatique open source.

  • [^] # Re: Tu ne vois pas encore le bout du tunnel

    Posté par  (site web personnel) . En réponse au journal Petit point sur les hébergeurs d'emails majeurs. Évalué à 5.

    Je compatis, toutes mes condoléances.

    Concernant laposte.net, j'avais testé la qualité de leur service il y a plusieurs années, et pour être franc, si j'avais des amis ou des contacts sur cet hébergeur, je pense que j'aurais plus de plaisir à les convaincre de changer pour GMail qu'à les contacter pour "whitelister" mon adresse IP.

    D'autant plus que l'on peut configurer GMail pour récupérer ses emails chez son ancien hébergeur, et même en envoyer de GMail en gardant son adresse email, pour une transition "douce". J'ai utilisé ça pour ma sœur, qui était chez free, et est maintenant très satisfaite, surtout sur la gestio des spams. Qui plus est, la plupart on un compte Google pour utiliser leur Android…Une fois que l'on a démontré une expertise dans ce domaine, c'est beaucoup plus facile de leur parler d'auto-hébergement.

    Je suis auto hébergé depuis environ 10 ans, avec de brèves périodes de basculement temporaire vers Zoho (assez bon, d'ailleurs) ou Gandi, lorsque OVH était dans les choux.

    La plupart des emails que j'envoie sont professionnels, vers des entreprises, et dans l'ensemble, ça marche très bien. Le DSN est vraiment un plus qui convainc d'ailleurs assez facilement les connaissances que j'ai. Je n'ai pas trouvé un seul webmail qui support ça…

    Lorsque j'envoie un email pour la première fois à une connaissance, je m'assure qu'elle la bien reçu, que je suis dans le carnet d'adresse, etc.

    Comme un envoi d'email entre deux personnes auto hébergées ne pose pas de problème, plus on sera nombreux, mieux c'est. Vive l'auto hébergement…

  • [^] # Re: Bienvenu !

    Posté par  (site web personnel) . En réponse au journal Petit point sur les hébergeurs d'emails majeurs. Évalué à 9.

    Je suis déjà auto-hébergé, mais merci pour l'accueil tout de même ;-)

    Le but est de faire un diagnostic pour mes correspondants éventuels, j'ai un compte avec ces hébergeurs, que je n'utilise qu'à des fins de test. Lorsque j'envoie un email pour la première fois à quelqu'un qui utilise Outlook, je peux lui dire, de vérifer la boite SPAM et de me rajouter dans son carnet d'adresse.

    Ça permet aussi de sensibiliser un petit peu sur les standards ouverts, qui les respecte et qui s'en fiche en tentant d'imposer ses propres standards…

  • [^] # Re: Yunohost?

    Posté par  (site web personnel) . En réponse au journal Hébergement de courriels chez soi. Évalué à 2.

    Concerner iRedMail, c'est définitivement non. Le support ldap est très important pour moi, et ce n'est pas quelque chose qu'on peut rajouter autre coup.
    Idem que la réponse précédente, je veux vraiment rester dans Debian. Le script ne faut presque rien d'autre qu'installer et configurer la distribution.

  • [^] # Re: Yunohost?

    Posté par  (site web personnel) . En réponse au journal Hébergement de courriels chez soi. Évalué à 0.

    Je n'ai pas récemment essayé cette solution, mais je préfère éviter de multiplier les sources.
    Je voudrais, en tout cas pour l'instant, rester dans Debian, dans dépendances externes.

  • [^] # Re: Auto-hébergement et orchestration

    Posté par  (site web personnel) . En réponse au journal Hébergement de courriels chez soi. Évalué à 2.

    Je ne sais pas si mon projet peut vous aider, mais n'hésitez pas à jeter un coup d'œil au code.
    J'utilise une machine virtuelle avec libvirt / qemu pour le développement, et avec les snapshots, ça permet de rejouer très rapidement des playbooks. Je le préfère à Vagrant ou docker, mais bon, c'est presque une question de goût, et pas le sujet du débat…
    Comme annoncé, le script est assez robuste, et devrait fonctionner sans erreur à partir d'une Debian vierge.
    Bon courage, n'hésitez pas à me contacter sur github si vous avez des questions…

  • [^] # Re: Joyeux Noël

    Posté par  (site web personnel) . En réponse au journal Hébergement de courriels chez soi. Évalué à 2.

    Oui, j'ai également utilisé la même procédure, lourde.

    Cependant, il m'est arrivé d'envoyer des emails à un de mes contacts, et il nous a fallu plusieurs mois pour nous rendre compte que tous mes emails arrivaient dans la boite "Courrier indésirable"…