chimrod a écrit 1102 commentaires

Ça n'est pas un problème nouveau !

Tiens, voilà un article qui était resté dans mes favoris depuis quelques années (basé sur le principe du résidu quadratique) : how to generate a sequence of unique random integer

(à noter que les commentaires fournissent aussi beaucoup d'autres pistes)

J'ai commencé à me dire que c'est juste mettre des verres fumés pour ne pas voir la réalité en face, et ça m'a fait penser à un chapitre du livre de Watzlawick, "la réalité de la réalité" qui parle des effets de la traduction avec une petite anecdote :

Une vieille histoire, qui nous ramène au temps de l'Empire austro-hongrois, raconte la marche d'un détachement armé vers un village d'Albanie. Le commandant a ordre de punir les villageois qui ne se plieraient pas totalement à certaines exigences autrichiennes. Comme on peut d'y attendre, aucun des Autrichiens ne connaît l'albanais, et aucun des villageois ne parle l'une des quelconques langue pratiquée dans l'armée. On découvre finalement un interprète. […] Il est à peine une phrase dans l'interminable négociation qu'il traduise correctement. Il préfère dire à chaque partie ce qu'elle veut bien entendre ou bien est prête à accepter […] jusqu'à ce que chacune des deux parties trouve l'autre si conciliante que l'officier autrichien ne voie plus de raison de maintenir ses exigences, tandis que les villageois ne veulent pas le laisser partir avant qu'il n'ait accepté ce que l'interprète lui fait passer pour un châtiment volontaire, mais qu'eux considèrent comme un cadeau d'adieu.

C'est peut-être parce que je suis en train de me remettre à mage (jdr), mais finalement, ça serait beau si on pouvait modifier le monde comme ça, juste en présentant la réalité différemment. Du coup j'ai envie d'y croire !

Je crois que c'est un effet qui est en train d'être analysé pour permettre une remise à zero de la mémoire.

Ça permettrai une suppression totale des données en cas de perte de la confidentialité, mais aussi un reset factory (en gros), qui permet de réutiliser le SSW pour un nouveau cycle d'écriture même s'il a déjà été inscrit.

Un article a fuité sur le sujet, il faut que je te le retrouve.

Pour le faire à la main, il faut surtout du temps. Sinon le brou de noix est assez rentable pour ce genre d'activité

Parce que l'art et la poésie sont un moyen de supporter le tragique de notre vie, je vous propose une jolie attestation pour aller faire vos courses :

À télécharger librement sur framapic : https://framapic.org/p1BOtSDTac33/Ujk0iVuMsG5X.jpg

N'oubliez pas de signer :)

Je préfère de loin dehydrated, que je trouve plus simple et plus facile à configurer. Du coup, je t'envoie ma doc avec dehydrated et les différentes étapes… Il y a quand même des choses que tu pourras y récupérer :)

Génération des certificats

Mise à jour DNS

Pour chaque domaine, il est nécessaire que le serveur Apache soit à l'écoute. Il faut donc configurer le DNS pour que le domaine pointe vers le serveur.

Une fois le DNS configuré, on peut aller à l'adresse à partir du navigateur. Si nous avons une page web et non pas un message d'erreur, c'est bon, on peut continuer !

Ajout de la demande de certificat

Les domaines que l'on souhaite protéger doivent être ajoutés dans le fichier domains.txt dans le répertoire /etc/dehydrated/. Par exemple :

 domain.example.tld another.example.tld
 domain2.example.tld
 domain3.example.tld

Utilisation du certificat

Les certificats générés pour chaque site sont stockés dans le répertoire /var/lib/dehydrated/certs/. Par exemple, pour le domaine domain.test, les fichiers intéressants sont

• /var/lib/dehydrated/certs/domain.tld/fullchain.pem
• /var/lib/dehydrated/certs/domain.tld/privkey.pem

Apache

Une macro peut être déclarée dans la configuration apache pour utiliser le certificat :

  <Macro dehydrated_ssl $domain>
        SSLengine ON

        SSLProtocol all -SSLv2
        SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:ECDHE-RSA-RC4-SHA:ECDHE-ECDSA-RC4-SHA:AES128:AES256:RC4-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK
        SSLHonorCipherOrder     on
        SSLCompression          off

        Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

          SSLCertificateFile /var/lib/dehydrated/certs/$domain/fullchain.pem
          SSLCertificateKeyFile /var/lib/dehydrated/certs/$domain/privkey.pem
  </Macro>

Il est nécessaire que le certificat existe pour que Apache accepte de se lancer. Si l'on ne fait pas les choses dans l'ordre, on risque de référencer un certificat qui n'a pas encore été créé, Apache refusera donc de se lancer, et dans ce cas, il n'est pas possible de générer le certificat que l'on souhaite obtenir…

Autres applications

Ces certificats peuvent être utilisés avec d'autres applications que le serveur web, mais il est nécessaire d'avoir un serveur web pour pouvoir générer les fichiers.

Renouvellement des certificats

Le renouvellement est lancé par la commande suivante :

# dehydrated -c

La durée à partir de laquelle le certificat doit être renouvellée est configurée dans le fichier /etc/dehydrated/config. Par exemple pour renouveler les certificats tous les mois, il suffit de rajouter une petite marge pour être sûr :

 # On modifie la durée pour être sûr de pouvoir renouveler le
 # certificat tous les mois
 RENEW_DAYS=32

Le script de renouvellement est placé dans le fichier des tâches planifiées mensuellement /etc/cron.monthly/dehydrated :

 #!/bin/sh
 /usr/bin/dehydrated -c
 service apache2 reload

C'est une bonne idée, et je note que la créatrice du projet est une habituée du site :)

Non, il s'agit du nom du domaine qui est couvert par un certificat let's encrypt

Ça existe encore Zobe ? J'ai utilisé la zobe gombonent argitecture il y guelgues années et j'ai trouvé que c'était bratigue bour structurer le code.

Je grois gue ça devait remonter au temps de bython 2.7… ça ne me rajeunis bas…

J'ai voulu laisser un commentaire hier pour te remercier et faire un retour sur cet article, mais j'ai pas eu le temps.

Je te fais un retour ce week-end.

Je fais de l'autopromotion pour un journal écrit sur le sujet, qui permet d'utiliser un raspberry pi zero en le branchant à la chaine hifi.

Tu as pris mon message au pied de la lettre, mais j'avais bien compris que le but était de casser le programme en faussant les données saisies.

(Et tu as modifié le script publié sur github, au moment ou j'ai écrit mon commentaire, il allait lire dans un fichier présent dans le répertoire courant, du coup mon commentaire n'est plus drôle du tout…)

Le mot de passe est dans le fichier .passwd !

Tout problème de satisfaction de contraintes peut être exprimé en prolog !

J'ai bien aimé l'énigme la plus difficile du monde. Je me demande comment ça peut se modéliser en prolog :)

De mon côté, j'ai conservé l'accès avec mot de passe sur mon pi, uniquement à partir des adresses locales.

Ça donne quelque chose comme ça dans le fichier /etc/ssh/sshd_config

PasswordAuthentication no
Match Address 192.168.0.*
        PasswordAuthentication yes

En fait, il faut voir quel navigateur de fichier tu utilises. xbindkey n'a pas connaissance des autres applications lancées sur ton pc, et ne peut pas savoir sur quel dossier tu as cliqué…

C'est plutôt hollywood qui écrit en latin ! (voir la vidéo Trajan is the movie font pour ceux qui s'intéressent aux polices — d'écriture)

Salut yPhil,

je profite de ton message pour te remercier d'avoir mis en place Pétrolette ! Je l'utilise depuis l'annonce que tu avais faite ici même, et je suis vraiment content de l'outil ! (Ça me fait penser qu'il me faut regarder où j'en suis dans librepay, je crois que tu ne dois plus rien recevoir de ma part depuis un moment)

Il faut aussi que j'ouvre un ticket sur l'import de configuration qui n'est pas sauvegardé et qui oblige à faire une modification manuelle pour que ça soit pris en compte.

En tout cas, merci à toi !

Il n'y a pas d'information sur la carte pour le pi-zero, mais ont peut trouver les infos pour la carte adaptée au raspberry pi standard (Boss 1.2 DAC Tech Manual), seuls les ports suivants seraient utilisés :

• 3 : SDA1-I2C
• 5 : SCL1-I2C
• 12 : I2S_BCLK
• 31 : GPIO6/DMUTE
• 35 : I2S_LRCLK
• 40 : I2S_DOUT

Je n'ai pas testé, le plus simple serait de leur demander directement.

La solution que tu proposes est très bas niveau, et tu as du apprendre plein de choses…

L'autre solution, est de suivre la documentation de debian live qui utilise les même outils que ceux de debian pour faire ses images lives. Des configurations toutes prêtes sont versionnées. Si le but est simplement de proposer le clavier français par défaut lors du démarrage il vaut mieux passer par là !

Merci beaucoup pour ton retour détaillé ; il n'y a plus qu'à m'y mettre !

Alors tout d'abord merci à LinuxFr pour le site et la qualité de son contenu. C'est avant tout parce que l'on y trouve des articles et des conversations intéressantes que l'on a envie de participer, et non pas pour recevoir des livres ! La première récompense est d'abord celle des commentaires qui viennent enrichir notre journal, le livre est une seconde surprise qui vient ensuite :)

Merci ensuite aux partenaires qui jouent le jeu, et qui peuvent nous donner l'occasion de découvrir d'autres thèmes et d'aller encore plus loin !

J'en profite pour savoir si certains utilisateurs du site se sont déjà lancé dans la publication d'un livre ? À partir de quel stade d'avancement peut-on envisager faire une proposition à un éditeur ? Faut-il se lancer dans la rédaction sans savoir si cela va déboucher sur quelque chose ? En fait cette surprise m'a amené à réfléchir et c'est aussi une aventure qui me tenterai bien :)

C'est exactement ça. Il s'agit (dans ma situation, je ne parle du cas général) d'un PC d'entreprise sur lequel on fait tourner linux via une clef USB live. Rien n'est installé sur le disque, mais comme on utilise une application (ici un OS) qui n'est pas validé par l'entreprise, je ne sais pas quel est le risque.

J'ai fait une clef USB live pour ma femme qui pestait de la lenteur de son PC (elle a surtout besoin d'accéder au net pour saisir des données sur le site de l'entreprise).

De mon côté, j'ai galéré pour créer une image qui boote et qui propose le français par défaut (j'ai appris au passage que les images ISO de debian sont construite en utilisant les paquets issus des dépôts debian. C'est peut être évident, mais je trouve ça magique en fait !)

Elle, est heureuse d'avoir un PC qui démarre de suite, même l'imprimante est reconnue et fonctionne sans rien avoir à configurer (par contre le scanner n'est pas reconnu).

Juridiquement je ne sais pas ce quels sont les risques par contre, pour l'instant cela a été fait en douce. Rien n'est installé sur le PC, et elle retire la clef en fin de journée.