Journal Retour d'expérience Yunohost

Posté par . Licence CC by-sa
25
16
mai
2017

Sommaire

Qu'est-ce que Yunohost

  • Yunohost est un projet libre majoritairement francophone visant à simplifier l'auto hébergement. Il permet soit d'installer une distribution GNU/Linux où il est pré-installé, soit de l'installer sur une machine de la famille Debian/Ubuntu/Raspbian. Son avantage est d'être paramétrable via une interface Web (WEBUI) ma foi bien foutue, d'être capable d'installer des applications en deux clics et de configurer ces dernières via la WEBUI.
  • Attention : une seule machine n'est PAS capable de déployer autant de services sans se taper un bon gros lag dans la panse (rien que Nextcloud nécessite une bonne machine pour pouvoir vraiment remplacer DropxBox, oubliez l'idée de 15 services tournant sur un seul raspberry pi et utilisé par tout vos potes).

  • Note : Yunohost est un projet libre, pas un gadget développé par une entreprise multi milliardaire : si vous avez des problèmes au lieu de glousser sur un complot illuminati, retroussez vos manches et aidez ;) (qui sera le premier à porter metasploit + armitage? :P )

Installation

L'installation est très facile sur une debian, se résumant aux commandes suivantes (en root) :

apt update && apt upgrade -y
apt install -y git dialog
git clone https://github.com/YunoHost/install_script /tmp/install_script
cd /tmp/install_script && ./install_yunohost

L'installation sur Raspbian est plus compliquée car l'utilisateur "pi" doit être déconnecté (il est supprimé durant l'installation).
Lors de l'installation Yunohost crée l'utilisateur "admin" (dont le mot de passe est lié au LDAP et à la WEBUI) et ré-active l'utilisateur root sur Raspbian/Ubuntu. Est aussi installé et configuré un serveur web (nginx).

Avis de Voxdemonix :

Gestion des utilisateurs

Points positifs

  • On peut les créer/supprimer et leur permettre d'accéder à des applications (installées sur la même machine) directement depuis la WEBUI.
  • Les utilisateurs peuvent eux-mêmes modifier leur Profil.
  • On peut installer phpLDAPadmin.

Points négatifs

  • Par défaut (sans phpldapadmin) on ne peut pas créer de groupe.
  • Les mots de passe sont hashés en … … … md5 (hahaha hahaha hahaha … quoi? naaaaaaaaaan)
  • member-of-overlay n'est pas fonctionnel par défaut dans le LDAP.
  • On est obligé de spécifier un prénom et un nom pour les utilisateurs, on ne peut PAS laisser les champs vides. C'est très désagréable, car les services "clients" (par exemple Nextcloud) vont afficher/utiliser ces prénoms/noms plutôt que les pseudos. Le pire étant qu'on ne peut PAS utiliser le pseudo comme prénom (donc soit fuck l'anonymat on met les prénoms / noms, soit on met des valeurs bidons et ça devient le bordel (vu que ce sont ses valeurs que vous devez entrer pour faire un partage sur nextcloud, ou pour administrer un utilisateur).

Interface

  • La WEBUi d'administration est sacrément bien foutue ! Et Responsive, oui môsieur ! On veut la même barre de chargement sur Xubuntu :D Étonnamment par contre la page d'accueil des utilisateurs (où s'affiche la liste des applications disponibles) est assez morne avec un fond gris qu'on ne peut changer ni dans le profil utilisateur, ni dans le panneau d'admin. Vous pouvez voir un screenshot en bas (ou ici). Heureusement les interfaces des diverses applications sont plus jolies.

Fonctionnement

Multi Machines

  • Si vous comptez l'utiliser dans le cadre de plusieurs machines (par exemple un NAS + 1 yunohost faisant officie de blog) vous allez bien galérer : nulle part n'est indiqué comment utiliser un serveur de base de données distant (MySQL/MariaDB), comment "partager" son LDAP. C'est très étonnant qu'il ne soit même pas prévu de pouvoir utiliser 2 yunohost (là où même les botnets sont capables d'échanger des informations depuis plus de dix ans).

Gestion de la mémoire

  • Il y a juste un système de backup (sans export automatique). Pas de raid/jbod ni de cluster de base de données gérable depuis la WEBUI. C'est con que la redondance a été oublié car au final c'est le seul moyen pour garantir qu'un album photo numérique vivra aussi longtemps qu'un album photo argentique. Par défaut la mémoire utilisée est le disque système. Il faut passer par la ligne de commande pour appliquer des modifications ou monter des médias locaux comme distant.

Sécurité

  • On a un Parefeu gérable depuis la WEBUI, c'est cool. C'est par contre regrettable qu'il est très limitant (on peut juste autoriser/bloquer le trafic IPv4/IPv6 vers un port, impossible de spécifier des plages d'IP). Les comptes super utilisateurs sont root et admin (qui peut utiliser sudo) dont seul admin peut être "contacté" via SSH. L'admin peut mettre à jour son système d'exploitation en deux clics depuis la WEBUI.

Conclusions de tonton Vox

  • Yunohost est aujourd'hui déjà vieux (5ans !) et semble pourtant très jeune. Son interface est rafraîchissante (ça change de toutes ces interfaces codées par des professionnels de l'informatique incapable de créer des interfaces chatoyantes qui donnent envie d'être utilisées, incapable de récupérer et utiliser l'expérience acquise dans le monde des jeux vidéos ludique). Sa moulinette semble performante bien que je n'ai pas encore jeté un œil sous son capot. Le hic se situe vraiment lorsqu'on souhaite l'utiliser sur plus d'une machine où on tombe dans la galère (je suis déjà à au moins 5 journées complètes passé à tenter de configurer les machines (voir les tutos dans le Farm Link en bas de page)). Yunohost est donc un projet très très très prometteur qui aurait bien besoin d'un petit coups de popularité afin que plus de passionnés apportent leurs pools de compétences. Il simplifie vraiment la vision de la gestion d'un serveur, enfin quelqu'un qui y pense ! Je vais encore le répéter une fois au cas où tout le monde ne l'aurait pas compris : croire que vous allez déployer tout vos services sur une seule machine = stupide hobbit jouflu !

Anecdote

  • Note : les anecdotes ont été volontairement tronquées afin que toi, moule, tu ne te plaignes pas de la longueur de ce thread. Si tu souhaites voir la version longue, c'est par ici.

Installer iptables-persistent sur yunohost = big boum big badaboum

Lecture des listes de paquets… Fait
Construction de l'arbre des dépendances
Lecture des informations d'état… Fait
Les paquets suivants ont été installés automatiquement et ne sont plus nécessaires :
avahi-daemon bind9utils dns-root-data dnsmasq dnsmasq-base dovecot-antispam etckeeper fail2ban glances haveged hddtemp iproute ldap-utils libaio1 libasprintf0c2 libavahi-core7 libdaemon0 libdbd-ldap-perl libdbd-mysql-perl
libdbi-perl libgd3 libgmime-2.6-0 libhavege1 libjemalloc1 libltdl7 liblua5.1-0 libluajit-5.1-2 libluajit-5.1-common libmail-spf-perl libmcrypt4 libmemcached11 libmemcachedutil2 libmilter1.0.1 libmysqlclient18 libnet-dns-perl
libnet-ip-perl libnetaddr-ip-perl libnetfilter-conntrack3 libnss-ldapd libnss-mdns libodbc1 libonig2 libopendbx1 libopendbx1-sqlite3 libopendkim9 libpam-ldapd libperl5.20 libqdbm14 librbl1 libreadline5 libsensors4 libslp1
libsys-hostname-long-perl libterm-readkey-perl libunbound2 libuuid-perl libvbr2 libvpx1 libxpm4 libxslt1.1 libyaml-0-2 lm-sensors lua-bitop lua-event lua-expat lua-filesystem lua-json lua-ldap lua-lpeg lua-rex-pcre lua-sec
lua-socket lua-zlib lua5.1 mariadb-client-10.0 mariadb-client-core-10.0 mariadb-common mariadb-server mariadb-server-10.0 mariadb-server-core-10.0 metronome moulinette mysql-common netcat-openbsd nginx-common nginx-extras
nscd nslcd nslcd-utils opendkim-tools php-gettext php5-cli php5-common php5-curl php5-fpm php5-gd php5-intl php5-json php5-ldap php5-mcrypt php5-mysql php5-readline postfix-policyd-spf-perl python-argcomplete python-bottle
python-cffi python-colorama python-cryptography python-distlib python-dnspython python-gevent python-gevent-websocket python-gnupg python-greenlet python-html5lib python-ldap python-miniupnpc python-ndg-httpsclient
python-openssl python-pip python-ply python-psutil python-pyasn1 python-pycparser python-pyinotify python-requests python-urllib3 python-wheel python-yaml python3-apt python3-bottle python3-crypto python3-jinja2
python3-markupsafe python3-pkg-resources python3-psutil python3-pyasn1 python3-pysnmp4 redis-server redis-tools rmilter rspamd slapd ssowat sudo-ldap unattended-upgrades unzip
Veuillez utiliser « apt-get autoremove » pour les supprimer.
Les paquets supplémentaires suivants seront installés :
netfilter-persistent
Les paquets suivants seront ENLEVÉS :
yunohost yunohost-admin
Les NOUVEAUX paquets suivants seront installés :
iptables-persistent netfilter-persistent
0 mis à jour, 2 nouvellement installés, 2 à enlever et 1 non mis à jour.
Il est nécessaire de prendre 19,5 ko dans les archives.
Après cette opération, 16,7 Mo d'espace disque seront libérés.
Souhaitez-vous continuer ? [O/n] o
[…]
Préconfiguration des paquets…
(Lecture de la base de données… 49 611 fichiers et répertoires déjà installés.)
Suppression de yunohost-admin (2.5.1) ...
dpkg : avertissement : lors de la suppression de yunohost-admin, le répertoire « /usr/share/yunohost/admin » n'était pas vide, donc il n'a pas été supprimé
Suppression de yunohost (2.5.6) ...
[...]
[master 0d4a324] committing changes in /etc after apt run
Committer: root <root@mySuperServer>
Votre nom et votre adresse e-mail ont été configurés automatiquement en se
fondant sur votre nom d'utilisateur et le nom de votre machine. Veuillez
vérifier qu'ils sont corrects. Vous pouvez supprimer ce message en les
paramétrant explicitement. Lancez les commandes suivantes et suivez-les
instruction dans votre éditeur pour éditer votre fichier de configuration :

git config --global --edit

Après ceci, vous pouvez corriger l'identité utilisée pour cette validation avec :

git commit --amend --reset-author

12 files changed, 132 insertions(+)
create mode 100644 default/netfilter-persistent
create mode 100755 init.d/netfilter-persistent
create mode 100644 iptables/rules.v4
create mode 100644 iptables/rules.v6
create mode 120000 rc0.d/K01netfilter-persistent
create mode 120000 rc1.d/K01netfilter-persistent
create mode 120000 rc6.d/K01netfilter-persistent
create mode 120000 rcS.d/S19netfilter-persistent
create mode 120000 systemd/system/multi-user.target.wants/netfilter-persistent.service
create mode 120000 systemd/system/yunohost-api.service
create mode 120000 systemd/system/yunohost-firewall.service

BadaBoum

Quand on installe un logiciel (sans passer par la WEBUI) on voit des lignes concernant yunohost

admin@SERVERNAME:/$ sudo apt-get install -y glusterfs-server
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Les NOUVEAUX paquets suivants seront installés :
fuse glusterfs-client glusterfs-common glusterfs-server libdevmapper-event1.02.1 libibverbs1 liblvm2app2.2 libpython2.7 librdmacm1
0 mis à jour, 9 nouvellement installés, 0 à enlever et 0 non mis à jour.
[...]
9.430 ko réceptionnés en 12s (753 ko/s)
[master e56534c] saving uncommitted changes in /etc prior to apt run
Author: admin <admin@SERVERNAME.home>
15 files changed, 274 insertions(+), 3 deletions(-)
create mode 100644 ldap/memberOfOverlayInstall.ldif
create mode 100644 nginx/conf.d/o3.0rion.netlib.re.d/phpldapadmin.conf
create mode 100755 rc.local.save
create mode 100644 yunohost/apps/phpldapadmin/manifest.json
create mode 100644 yunohost/apps/phpldapadmin/scripts/install
create mode 100644 yunohost/apps/phpldapadmin/scripts/remove
create mode 100644 yunohost/apps/phpldapadmin/scripts/upgrade
create mode 100644 yunohost/apps/phpldapadmin/scripts/upstream_version
create mode 100644 yunohost/apps/phpldapadmin/settings.yml
create mode 100644 yunohost/apps/phpldapadmin/status.json
[...]
Traitement des actions différées (« triggers ») pour systemd (215-17+deb8u7) ...
[master 89b5c4a] committing changes in /etc after apt run
Author: admin <admin@SERVERNAME.home>
20 files changed, 311 insertions(+)
create mode 100644 fuse.conf
create mode 100644 glusterfs/gluster-rsyslog-5.8.conf
create mode 100644 glusterfs/gluster-rsyslog-7.2.conf
create mode 100644 glusterfs/glusterd.vol
create mode 100644 glusterfs/glusterfs-georep-logrotate
create mode 100644 glusterfs/logger.conf.example
create mode 100755 init.d/glusterfs-server
create mode 100644 logrotate.d/glusterfs-common
create mode 120000 rc0.d/K01glusterfs-server
create mode 120000 rc1.d/K01glusterfs-server
create mode 120000 rc2.d/S01glusterfs-server
create mode 120000 rc3.d/S01glusterfs-server
create mode 120000 rc4.d/S01glusterfs-server
create mode 120000 rc5.d/S01glusterfs-server
create mode 120000 rc6.d/K01glusterfs-server

Screenshot

yunohost Admin Accueil

yunohost Admin Services

yunohost Admin Services Status

yunohost User Accuei

Da bisou !

  • # Coquille

    Posté par . Évalué à 4 (+4/-0). Dernière modification le 16/05/17 à 15:08.

    L'admin peut mettre à jours leur système d'expl

    son

    les anecdotes ont été volontairement troquées afin

    tronquées

    Les mots de passe sont chiffrés en

    hashés

    J'ai aussi oublié de mentionner dans le Farm Link l'origine de cet article : Retour d'expérience Yunohost

    Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

    • [^] # Re: Coquille

      Posté par (page perso) . Évalué à 3 (+1/-0).

      fait

      If you choose open source because you don't have to pay, but depend on it anyway, you're part of the problem.evloper) February 17, 2014

      • [^] # Re: Coquille

        Posté par . Évalué à 2 (+1/-0).

        "Tout les" => "Tous les"

      • [^] # Re: Coquille

        Posté par . Évalué à 2 (+2/-0).

        Merci.
        Quelques petites fautes en plus (pas très gênantes, à toi, modérateur, de voir si cela mérite ton dérangement:) )

        en deux clics et de configurer ses dernières via la WEBUI

        ces

        afficher/utiliser ses prénoms/noms

        ces

        utiliser le pseudo comme prénoms

        prénom

        où s'affichent la liste

        affiche

        ça change de toutes ses interfaces

        ces

        Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

  • # XMPP

    Posté par (page perso) . Évalué à 10 (+8/-0).

    Salut,

    petite remarque en passant, je vois Jappix et Metronome en captures d'écran, mais aucun des 2 n'est maintenu, du coup il faudrait vraiment songer à les remplacer.

    Je crois que Movim est déjà empaqueté pour Yunohost, et pour SàT la prochaine version sera stable et du coup si quelqu'un veut nous filer un coup de main pour l'empaqueter ça serait pas mal :).

    Côté serveur, Metronome étant un fork de Prosody, il devrait être assez simple de passer sur ce dernier (et des serveurs comme Ejabberd et probablement les autres ont des outils de transition de toute façon).

    • [^] # Re: XMPP

      Posté par . Évalué à 2 (+2/-0).

      Merci pour l'infos.
      Les clients XMPP sont-ils compatible avec les certificats autosignés voir signés pour un autre hostname?
      Et entre serveur XMPP?

      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

      • [^] # Re: XMPP

        Posté par (page perso) . Évalué à 5 (+3/-0). Dernière modification le 16/05/17 à 17:06.

        Ça dépend des clients et serveurs que tu utilises et de leur configuration, il faut voir les docs correspondantes. En général un client va t'afficher un message d'avertissement si un certificat est auto-signé mais se connecter quand même si tu confirmes, et un serveur va utiliser une vérification par DNS en méthode de secours, sauf si c'est configuré autrement.

        Pour Prosody par exemple, c'est expliqué sur cette page: http://prosody.im/doc/s2s#security

        • [^] # Re: XMPP

          Posté par . Évalué à 1 (+1/-0).

          Quelles sont vos applications android favorite pour du XMPP ?

          Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

          • [^] # Re: XMPP

            Posté par . Évalué à 4 (+1/-0).

            Movim et Conversations

            • [^] # Re: XMPP

              Posté par . Évalué à 0 (+0/-0).

              Ennn pfff, movim n'a pas l'air disponible pour mon android :( (Fdroid ne me propose pas de version installable)

              petite remarque en passant, je vois Jappix et Metronome en captures d'écran, mais aucun des 2 n'est maintenu, du coup il faudrait vraiment songer à les remplacer.

              Enfaite je souhaite un serveur XMPP sécurisé et utilisable via application Android, tu conseils donc d'installer Movim pour Yunohost en lieu et place de Jappix ? :)

              Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

              • [^] # Re: XMPP

                Posté par . Évalué à 3 (+0/-0).

                Personnellement, c'est ce que j'ai fait:
                Je n'ai pas Jappix, mais j'ai installé Movim pour yunohost.
                De toute façon, à moins qu'un paquet Libervia soit créé pour yunohost, c'est le seul client web évolué (ou alors je rate des choses?) disponible.

                • [^] # Re: XMPP

                  Posté par (page perso) . Évalué à 4 (+2/-0).

                  Ce sont les 2 seuls qui gèrent le blogage à l'heure actuelle, et Libervia n'est pas encore en version stable (ça sera le cas pour la prochaine version), donc Movim est un bon choix oui.

                  Pour de la messagerie simple il y a d'autres choix : Candy ou Converse.js par exemple. Il y a eu Kaiwa un moment mais il n'est plus maintenu.

          • [^] # Re: XMPP

            Posté par (page perso) . Évalué à 3 (+1/-0).

            On en a une en développement également pour bureau/Android pour SàT, cf. ce journal. S'il y a des fonctionnalités que vous aimeriez y voir, n'hésitez pas à demander/proposer.

        • [^] # Re: XMPP

          Posté par . Évalué à 0 (+0/-0). Dernière modification le 18/05/17 à 01:46.

          Remove Me (double post …)

          Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

    • [^] # Re: XMPP

      Posté par (page perso) . Évalué à 5 (+3/-0).

      petite remarque en passant, je vois Jappix et Metronome en captures d'écran, mais aucun des 2 n'est maintenu, du coup il faudrait vraiment songer à les remplacer.

      Oui, il y a une PR pour migrer vers Prosody et une autre pour déprécier Jappix en app community.

    • [^] # Re: XMPP

      Posté par . Évalué à 3 (+1/-0).

      Ce n'est peut-être pas si simple, Metronome a été choisi car il implémente les fonctionnalités XMPP nécessaires à Jappix et Movim, entre autres. A voir si cela a changé depuis et si Prosody les implémente aussi ? Mais je n'y crois pas trop.
      Sinon oui ça se configure de la même manière.

      • [^] # Re: XMPP

        Posté par (page perso) . Évalué à 10 (+8/-0).

        Oui c'est ce que j'avais expliqué dans ce journal et sa suite.

        Le problème est que Prosody ne gère pas la persistance pour PEP/PubSub, ce qui est nécessaire aux clients gérant le microblogage (sans ça tous les billets publiés disparaissent au redémarrage du serveur). À ça 2 solutions : se concentrer sur un serveur qui le gère voire développer le nécessaire pour ce serveur – ce que Jappix et Movim ont choisi – ou développer un composant qui fait ce qu'on veut ; c'est ce qu'on a fait avec SàT et SàT PubSub. Cette dernière solution a l'avantage de ne pas êtres limité à un serveur spécifique, et de toujours fonctionner si le serveur n'est plus développé comme c'est le cas ici.

        Bref, pour régler le problème de Yunohost (serveur plus maintenu), il y a 2 options:

        • passer sur un serveur qui gère ce qu'il faut à l'heure actuelle, ce qui est le cas notamment de Ejabberd, ou OpenFire, et probablement Mongoose qui est un fork de Ejabberd (et je n'ai pas utilisé Tigase ou les autres, donc à voir). Il faut alors bien choisir pour pas se retrouver dans le même situation dans quelques années (a priori avec ces 3 là on est tranquille), et espérer que les futures fonctionnalités qui peuvent être intéressantes seront développées rapidement (ce qui est moins sûr).

        • passer sur Prosody dont Metronome était un fork, donc configuration et extensions similaires (ainsi que ressources nécessaires, administration, etc). Il faut alors soit implémenter la persistance pour PubSub (il y a eu un début de travail par Link Mauve je ne sais pas où sans en est), soit utiliser notre composant. Notre composant est utilisé notamment sur notre serveur de démo à https://libervia.org et sur mon blog à https://www.goffi.org et il fonctionne également avec Ejabberd.

        À savoir aussi que dans le cas de Movim, il manque une fonctionnalité dans notre composant, la gestion des présences et de +notify, qui ne demande pas un travail fou (je pense pouvoir l'implémenter en 1 week-end) mais qui n'est pas indispensable pour SàT et a donc été mis de côté (par manque de temps). Si on arrive à se mettre à plein temps un jour ça ira évidemment beaucoup plus vite (j'en profite pour laisser un lien vers liberapay tant qu'à faire).

        Donc oui ça n'est pas si simple, PubSub est un gros morceau qui est indispensable pour nombre de fonctionnalités avancées (c'est à la base de MIX – anciennement appelé MUC 2 – qui est le futur de la messagerie par exemple), mais c'est aussi un développement nécessaire pour l'avenir. Et dans le cas de Prosody c'est pratiquement bon (travail de Link Mauve et/ou notre composant, dans les 2 cas il manque un chouïa pour que ça soit complet, et les contributions sont bienvenues).

        • [^] # Re: XMPP

          Posté par (page perso) . Évalué à 4 (+2/-0).

          rien que ton commentaire mériterait 3 dépêches sur LinuxFr.org o_O

          pourquoi ne ramènes tu pas des amis sur https://linuxfr.org/redaction pour montrer l'avancement de SàT ? c'est de la rédaction collaborative, pas de l'instantané (dont l'historique n'est pas forcément disponible).

          Ton état des lieux, que l'on voit sur https://linuxfr.org/tags/xmpp/public est bien, mais le sujet est clairement plus vaste, demande à Nÿco au besoin ou Apichat ou autres convaincus par xmpp.

          • [^] # Re: XMPP

            Posté par (page perso) . Évalué à 7 (+5/-0).

            pourquoi ne ramènes tu pas des amis sur https://linuxfr.org/redaction pour montrer l'avancement de SàT ? c'est de la rédaction collaborative, pas de l'instantané (dont l'historique n'est pas forcément disponible).

            Je fais des dépêches pour les grosses sorties, entre 2 versions je fais plutôt des journaux, je ne veux pas non plus faire du matraquage.

            La deuxième chose c'est qu'écrire une dépêche comme celles cités c'est du boulot, bien une soirée entre la rédaction, la vérification des points techniques ou dates, la relecture, les captures d'écrans éventuelles, etc. Une rédaction collective ça aide beaucoup surtout sur la forme et l'orthographe, mais si le contenu de base ne peux pas être écrit à plusieurs (ce qui est le cas pour une dépêche sur SàT vu qu'il n'y a que ceux qui y bossent qui connaissent les détails), ça reste un gros boulot pour le ou les rédacteurs principaux.

            J'ai repris un travail salarié depuis plus d'un an (il y a d'ailleurs à journal à ce sujet), et avec le développement de SàT c'est comme-ci j'avais 2 boulots, et je suis donc obligé de réduire les choses qui me prennent du temps (rédaction d'articles, participation aux événements du Libre, j'ai même pris du retard sur l'intégration de contributions : quelqu'un a contribué une traduction du contrat social en italien qui n'est toujours pas dans les dépôts).

            Donc ces derniers temps j'ai vraiment voulu me concentrer sur le code, mais je vais certainement bientôt faire des articles vu les grosses nouveautés et l'orientation prise (notamment Libervia devient un framework web).

  • # Complément d'information

    Posté par . Évalué à 3 (+3/-0).

    Coucou !

    Au niveau du système de backup, oui, c'est encore assez expérimental mais on a vraiment dans l'idée d'aller vers une automatisation du système (et d'utiliser Borg pour limiter l'espace disque nécessaire), au moins pour les données/config qui ne prennent pas trop de place. Et on a aussi des idées en tête sur la redondance et le backup "distant" ;).

    petite remarque en passant, je vois Jappix et Metronome en captures d'écran, mais aucun des 2 n'est maintenu, du coup il faudrait vraiment songer à les remplacer.

    Oui, il y a une migration vers Prosody en cours de developpement, mais malheureusement c'est pas trivial et ca demande du manpower :s

    • [^] # Re: Complément d'information

      Posté par . Évalué à 1 (+1/-0). Dernière modification le 16/05/17 à 18:05.

      Coucou !

      Heureux de pouvoir te parler en français ^ ^

      Et on a aussi des idées en tête sur la redondance et le backup "distant" ;)

      Tu me met l'eau à la bouche :P
      scp/rsync ou export sur le [own|next]cloud via montage DAVS2? Ptete un autre mécanisme plus propre? :)

      redondance

      Pour les fichiers vous pouvez zieuter du côté de glusterfs (pour des RAID) : il ne consomme pas trop de ressources, fonctionne sur Ubuntu/Debian/Raspbian, peut créer des raids locaux comme distant, en cas de crash les données sont facile a récupérer.
      Un peu complexe à appréhender mais assez performant.

      Pour les BDD, je suis justement en train de m'attaquer à ce sujet (je vais commander cette semaine du matos pour tenter de créer un cluster, je ne veux PLUS perdre les photos de mon chat :P )

      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

  • # Mot de passe en md5 ?

    Posté par . Évalué à 3 (+3/-0).

    Les mots de passe sont chiffrés en … … … md5

    Tu as des précisions sur d'où tu tiens ca ? Je vien de regarder dans la base LDAP et ca a pas l'air d'être du md5.

    • [^] # Re: Mot de passe en md5 ?

      Posté par . Évalué à 1 (+1/-0). Dernière modification le 16/05/17 à 17:51.

      Il me semble l'avoir lu quelques part alors que je tentais d'exécuter cette commande :

      ldapadd -D cn=admin,cn=config -w "password" -H ldapi:/// -f memberof_add.ldif
      

      qui ne cessait de me renvoyer "ldap_bind: Invalid credentials (49)", alors que je tentais désespérément d'activer memberOf (mon thread sur Yunohost).

      C'est vrai que d'après ce genre de thread on dirait que c'est basé sur du SHA

      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

      • [^] # Re: Mot de passe en md5 ?

        Posté par (page perso) . Évalué à 3 (+1/-0).

        Je connais pas la config de Yunohost et j'ai pas trouvé dans les sources de config spécifique pour slapd, j'en conclus que le mot de passe est hashé avec l'algorithme par défaut de openldap/Debian, c'est à dire SSHA, autrement dit du SHA1 salé.
        C'est mieux que du SHA1 grâce au sel, cela dit j'ai pas pu trouver de manière convaincante dans mes recherches si c'est équivalent à du SHA256 ou SHA512 pour la robustesse.

        Openldap ne supporte que quelques algos de chiffrement pour les mots de passe:
        - {SHA}: SHA1 classique
        - {SSHA}: SHA1 salé avec le sel concaténé après le hash
        - {MD5}: MD5 classique
        - {SMD5}: MD5 salé avec le sel concaténé après le hash
        - {CRYPT}: standard unix qui peut être propre au système sur lequel il tourne (man 3 crypt)

        Si j'ai bien compris, le fait que {SSHA} soit l'algorithme par défaut dans Openssl est du au fait que c'est le moins pire dans les algos portables. {CRYPT} peut être mieux dans certains cas mais pas partout, et ne garantit par la portabilité, voire n'est pas présent sur tous les systèmes supportés par OpenLdap.

        • [^] # Re: Mot de passe en md5 ?

          Posté par (page perso) . Évalué à 3 (+2/-0).

          Tu peux pas comparer un MDP salé haché avec un MDP simplement haché en terme de robustesse, puisque le sel permet d'augmenter le nombre de hashs à faire pour l'attaquant, en fonction du nombre d'utilisateurs dans la base. Par exemple, si tu as 1000 utilisateurs, l'attaquant va devoir hacher chaque mot de passe candidat 1000 fois, une fois pour chaque sel.
          Et donc la comparaison avec une fonction brute (raw sha1) perd son sens sans la dimension du nombre d'utilisateurs.
          Cependant, un sha1 salé reste quelque chose de suffisamment lent à condition d'avoir beaucoup d'utilisateurs : c'est rarement le cas de yunohost.
          Il y a donc un risque assez élevé en cas de fuite de la base de MDP, sauf si MDP sont très robustes (quasi-aléatoires).

          -- Matlink --

        • [^] # Re: Mot de passe en md5 ?

          Posté par . Évalué à 0 (+0/-0). Dernière modification le 17/05/17 à 03:36.

          j'en conclus que le mot de passe est hashé avec l'algorithme par défaut de openldap/Debian, c'est à dire SSHA […]

          un truc qui participe à induire en erreur (src):

          (commande lancée sur un yunohost debian)

          root@myServer:/# ldapadd
          SASL/DIGEST-MD5 authentication started
          Please enter your password:
          ldap_sasl_interactive_bind_s: Invalid credentials (49)
          additional info: SASL(-13): user not found: no secret in database

          Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

  • # Movim sur Yunohost

    Posté par . Évalué à 1 (+1/-0). Dernière modification le 22/05/17 à 22:07.

    Je suis en train de tester Movim sur Yunohost et résultat :

    1. je n'arrive pas à me connecter
    2. je n'arrive pas à comprendre si j'ai un serveur XMPP (utilisable depuis les applications android cité ci-haut) ou un serveur Movim (utilisable que pour du movim) :P

    Quand je clique sur l'application movim (dans la partie user normal) je tombe sur

    DLFP

    DLFP

    J'ai tenté de taper juste le pseudo de l'user ou encore pseudo@hostnameServer et pseudo@hostnameServer/movim/ mais rien n'y fait.

    Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.