rahan a écrit 125 commentaires

  • # On efface tout et on recommence (proprement)

    Posté par  . En réponse au message Serveur hacké. Évalué à 3 (+2/-0).

    Désolé d'être rabat-joie mais les bonnes pratiques te disent qu'en cas de compromission, il faut tout effacer pour repartir sur des bases saines. Tu t'assures que tu as sauvegardé les données puis tu formates et tu réinstalles tout proprement en t'assurant d'utiliser des sources sûres et à jour.

    Une fois qu'un système a été compromis, il est très difficile de s'assurer qu'aucune porte dérobée n'a été laissée.

    Une autre chose : tu changes tous les mots de passe. Tu peux considérer que tous le mots de passe utilisés sur les services de cette machine sont compromis. Il faut donc les changer ainsi que ceux que tu aurais réutiliser sur d'autres services.

    Bon courage.

  • # BURP

    Posté par  . En réponse au message Comment faire le backup d'un client Windows ?. Évalué à 5 (+4/-0).

    Je recommande BURP. Je m'en sers depuis des années pour sauvegarder des serveurs linux, des PC linux, des portables linux et des portables Windows. C'est packagé dans Debian donc il n'y a pas grand chose à faire pour l'installer. Il y a aussi un installateur Windows. Ça marche très bien et se laisse oublier. En cas de souci, le développeur est très réactif sur la mailing list.

  • [^] # Re: SQL ?

    Posté par  . En réponse au journal Identification et authentification centralisées. Évalué à 3.

    SQL est sûrement beaucoup plus adaptée à mon usage mais je crains de devoir réinventer la roue pour chaque fonction déjà prévue par sssd. Mon idée était de s'ennuyer un petit peu avec la partie serveur pour pouvoir utiliser coté client des procédures simples et déjà intégrées dans les distributions.

  • [^] # Re: FreeIPA

    Posté par  . En réponse au journal Identification et authentification centralisées. Évalué à 2.

    Merci pour ce retour. Je vais essayer FreeIPA sur une machine virtuelle (CentOS) ou dans un container (docker).

    Toutes mes configurations sont déjà gérées par Ansible dans un dépot git. C'est très pratique quand on a tendance à réinstaller régulièrement de vielles machine.

  • [^] # Re: LemonLDAP::NG

    Posté par  . En réponse au journal Identification et authentification centralisées. Évalué à 2.

    C'est une des solutions que j'avais testé (avec GoSA qui ne semble plus développé). Je ne l'avais pas retenu car une partie des modules que je voulais utiliser à terme (sudo, Kerberos) n'est disponible que dans la version propriétaire : https://www.ldap-account-manager.org/lamcms/featureMatrix

  • [^] # Re: LemonLDAP::NG

    Posté par  . En réponse au journal Identification et authentification centralisées. Évalué à 3.

    Je me trompe peut-être mais j'avais l'impression que LemonLDAP::NG est un fait une solution pour faire du SSO pour des application web. Il utilise ensuite un serveur LDAP qu'il faut lui fournir. Ca ne répond pas à ma problématique de gérer de manière "conviviale" les utilisateurs.

  • [^] # Re: glauth

    Posté par  . En réponse au journal Identification et authentification centralisées. Évalué à 3.

    Je ne connaissais pas. Merci pour le tuyau. Par contre, il y a pas mal de truc que je ne pourrais pas faire avec (hosts, sudo, autofs…). La documentation a l'air pas mal en retard sur le code (les backends ne semblent pas documentés) et je n'ai pas compris comment les changement de mot de passe sont gérés (tout semble stocké en dur). Par contre c'est intéressant pour tester ou pour des gérer des services web avec un ou deux utilisateurs.

  • [^] # Re: qq comentaires

    Posté par  . En réponse au journal Identification et authentification centralisées. Évalué à 2.

    En fait mon problème vient du fait que je voulais rester sur une solution installée sur une Debian. J'ai testé 389DS et l'interface graphique ne m'a pas semblé très intéressante pour mon usage. J'ai bien compris que les fonctions que je recherche sont intégrées dans FreeIPA mais comme ce n'est pas évident à installer sous Debian, j'ai jeté l'éponge. Au final, je vais sûrement approfondir cette option dans un container docker ou une machine virtuelle CentOS.

    Merci pour le retour.

  • # Mon retour

    Posté par  . En réponse au journal 1er retour sur le Pinebook pro. Évalué à 10.

    Salut,

    Je vais rajouter ma petite pierre à ta description. J'ai aussi un Pinebook Pro depuis décembre. J'ai rapidement installé une debian testing sur une partition chiffrée. Je l'ai utilisée pendant quelques mois sur carte SD puis j'ai basculé sur le disque eMMC. Il y a un script qui permet facilement de préparer un disque pour ceux qui sont fâchés avec debootstrap: https://github.com/daniel-thompson/pinebook-pro-debian-installer

    Mon retour est plutôt positif. Je m'en sert comme portable principal (en remplacement d'un Thinkpad T430s plus lourd et à aux batteries mourantes) depuis février. Il convient parfaitement pour mes taches quotidiennes : courriel (mutt), administration système (ssh avec Yubikey, ansible, emacs), développement web (django, docker), glande (firefox, youtube est fluide en 1080p tant qu'on ne prend pas 60 fps). J'ai un PC de bureau bien plus puissant si besoin. J'ai compilé 1 ou 2 fois le noyau dessus et c'est vrai que c'est long malgré les 6 cœurs. Depuis je lance la compilation sur mon PC de bureau.

    Par rapport aux paquets debian, j'ai un noyau customisé (voir le script plus haut) et j'ai compilé le paquet mesa depuis la version de développement pour corriger des plantages de X11/Wayland. J'ai installé sway sur Wayland et ça fonctionne très bien.

    Les cotés positifs :

    • Léger
    • Bon clavier (je tape en qwerty-uk depuis des années)
    • Bon écran
    • Très bonne autonomie (je n'ai jamais mesuré précisément mais il tient 2 jours de travail)
    • Le prix
    • La variété des architectures (ça ouvre l'esprit)

    Les cotés négatifs :

    • La veille ne fonctionne pas (ça plante régulièrement quand on le réveille en ouvrant l'écran)
    • Le son est très faible (visiblement je n'arrive pas à activer l'amplification) et il y a des sifflements aigus parfois
    • U-boot qui nécessite un cable série pour l'utiliser
    • Je ne suis pas persuadé de la solidité (un coin est fissuré mais il faut dire qu'il a pas mal voyagé dans mon sac à dos)
    • Pas de support "out-of-the-box" de la plupart des distributions

    Au final, je le conseille aux habitués de linux qui veulent un portable d'appoint pas cher, léger et à grande autonomie. Pas mal de gens qui l'ont vu voulait le même mais je ne le conseille pas à ceux qui ne connaissent pas linux.

    PS: tu peux mapper la touche on/off vers "delete".

  • [^] # Re: Version HTML5

    Posté par  . En réponse à la dépêche « Shpactris » sort en v1 et apporte la coopération en ligne. Évalué à 3.

    L'export HTML5 fonctionne bien. Je joue sans problème avec Firefox avec une vitesse proche de la version lancée depuis Godot (j'ai lancé Godot en X distant à travers ssh donc je ne sais pas quelle est la vitesse escomptée). Je n'ai pas de son sur ma station, donc je ne peux pas te dire si ça passe ou pas. La seule chose qui ne marchait pas était le jeu en réseau : il n'arrivait pas à joindre le serveur.

    J'ai fait des jeux en Godot avec mes enfants pendant le confinement et j'ai trouvé que la manière la plus facile de les partager avec leurs copains c'est l'export HTML5. Il est vrai que nous ne sommes pas très exigeants sur la vitesse et la qualité du rendu…

  • # Version HTML5

    Posté par  . En réponse à la dépêche « Shpactris » sort en v1 et apporte la coopération en ligne. Évalué à 3.

    Pourquoi tu ne proposes pas de jouer en ligne ? Godot propose un export vers HTML5. Pas la peine de télécharger des binaires "douteux", on doit pouvoir jouer dans son navigateur.

  • # Pinebook Pro

    Posté par  . En réponse au journal Open Hardware vs Open Source Friendly Hardware. Évalué à 4.

    Je conseille vivement le Pinebook Pro. C'est mon PC principal depuis un mois. J'y ai installé une Debian (testing) sur une partition LUKS. Ça marche plutôt bien pour mon usage (i3, terminal, emacs, mutt et firefox; développement python et django mais aussi compilation C/C++). Le support n'est pas encore parfait (kernel custom + firmware bluetooth exotique + mesa en version git), il ne faut pas avoir peur de mettre les mains dans le camboui.

    Je suis très satisfait de l'écran, du clavier et de la batterie (> 10 heures). Par contre le trackpad n'est pas très précis et les hauts-parleurs faiblards. Les processeurs ne sont pas des flèches mais curieusement je ne le remarque pas trop dans les compilations ou sur firefox. Mutt a un peu de mal sur mes gros dossiers.

    Ne pas oublier dans le prix, la TVA et les frais de douane (+25 %). La version avec 128 GB de stockage n'est plus disponible. 64 GB peut être un peu juste selon les usages.

  • [^] # Re: Blocage administratif

    Posté par  . En réponse au journal Le DNS d'Orange bloque twitch.tv (à la Réunion). Évalué à 2.

    Question bête sur les sondes atlas : comment fait-on pour pouvoir lancer une requête si on n'a pas de sonde soi-même ? Si j'ai bien compris, chaque requête coûte des crédits qui sont gagnés grâce aux sondes hébergées sur son réseau. Le RIPE a toujours refusé de m'envoyer une sonde. Du coup, je ne peux donc pas faire de requêtes.

    C'est comme ça que ça marche ou j'ai loupé un épisode ?

  • # Mifare Classic

    Posté par  . En réponse au message Cloner pass Vigik ?. Évalué à 4.

    Les pass Vigik sont en fait de simple puces NFC Mifare Classic. Pour résumer chaque puce a un numéro de série unique et non-modifiable (en théorie). Ensuite, elles ont plusieurs secteurs qui peuvent être protégés en lecture et/ou écriture par une clé secrète.

    Le système Vigik va vérifier que ta puce comporte les bons secteurs protégés par la bonne clé. La bonne nouvelle c'est que le protocole des Mifare Classic est pourri et on peut retrouver les clés sans trop de difficultés (je te laisse renter le mot mfoc dans ton moteur de recherche préféré). Tu pourras ainsi copier le contenu de ton pass valide dans la mémoire de ton ancien pass.

    Dans la pratique, j'ai constaté que la centrale vérifie aussi que le numéro de série de ton pass est autorisé à l'aide de son numéro de série. La bonne nouvelle c'est que tu peux acheter des puces NFC (en porte-clé aussi) qui émulent une Mifare Classic avec une petite différence : tu peux changer le numéro de série. Ces pass coutent peu cher, de l'ordre de 10 € pour 5 ou 6 pass. En théorie, tu peux ainsi cloner parfaitement ton pass original. Sauf que (ce serait trop simple), les dernières générations de bornes Vigik vérifient que le pass présenté n'est pas du genre à autoriser les changement de numéro de série (comment c'est vérifié ? je ne le sais pas). Si tu es dans ce cas, tu es coincé.

    En fait le plus simple c'est de venir voir le syndic avec ton ancienne clé et de leur demander de l'activer pour ton immeuble. Si ils ne sont pas trop bêtes, ils devraient le faire gratuitement.

    Bon courage.

  • # Deux autres pistes

    Posté par  . En réponse au journal Lancer un programme sans accès au réseau, merci les espaces de noms réseaux. Évalué à 10.

    Tu peux essayer les deux commandes suivantes : unshare et firejail.

    Par exemple, je les utilises pour lire des courriels html depuis mutt en évitant les requêtes sur le net:
    - unshare -r -n w3m
    - firejail --noprofile --net=none firefox

    Il y a plein d'autres options comme par exemple présenter un système de fichier minimal, ne monter qu'une liste définie de répertoires dans ton home, changer les serveurs DNS ou les protocoles réseaux autorisés…

  • # Spotify

    Posté par  . En réponse au journal Le DRM Widevine L3 cracké. Évalué à 4.

    […] quid de Spotify […]

    Pas besoin de se prendre la tête. La solution open-source (en Rust) existe déjà : https://github.com/librespot-org/librespot

  • # Classique

    Posté par  . En réponse au journal Coffre numérique.. Évalué à 4.

    Comme tout le monde j'utilise pass (https://www.passwordstore.org/) qui remplit merveilleusement son rôle sur mes ordinateurs.

    Sinon, tu peux utiliser passman (https://github.com/nextcloud/passman) qui est une appli Nextcloud qui a l'air assez sécurisée avec un plugin Firefox et une appli Android.

  • # Retour d'expérience abandon de owncloud

    Posté par  . En réponse au journal Partage: de ownCloud (décentralisé) à Syncthing (distribué). Évalué à 4.

    Un petit retour d'expérience de quelqu'un qui veut aussi quitter Owncloud pour les mêmes raisons que toi : toutes mes mises à jours précédentes ce sont terminées avec les mains dans le cambouis. Et pourtant je n'ai rien d'exotique avec les fichiers en local, une BDD MySQL, 3 utilisateurs avec plusieurs calendriers et carnets d'adresses partagés.

    Pour la synchronisation des fichiers j'utilise Seafile. C'est beaucoup plus propre que Owncloud même si ça ne gère que la partie fichiers: synchronisation/partage/publication. Les clients linux et Android marchent mieux. En résumé : moins de fonctionnalités annexes mais plus robuste et professionnel.

    Mon problème a été depuis 6 mois de trouver un remplaçant au serveurs Carddav et Caldav d'Owncloud. J'ai testé:

    • DAVical (que j'utilisais il y a longtemps) : c'est une usine à gaz. Il permet une gestion fine des droits et partage mais j'ai l'impression que c'est tellement complexe que je ne maitrise pas vraiment ce que je fais. Il lui manque en fait les calendriers/carnets en ligne.

    • Radicale : Plus simple. Le partage entre utilisateurs me semble très rudimentaire. Encore une fois, pas de calendriers/carnets en ligne.

    • Baikal : Je n'ai pas trouvé le partage. La version 2 a les calendriers/carnets en ligne.

    • Zarafa : Assez tentant. Un joli groupware avec une webapp qui gère tout (mail, calendriers, carnets, partages…). Il ne semble pas gérer les connexions Carddav (mais il y a un serveur Caldav).

    Voilà pour mon retour d'expérience. Ce qui me manque vraiment c'est un serveur Card/Caldav qui gère les partages et avec une interface web. Je sais que je pourrais utiliser InfCloud mais il a du mal à trouver les calendriers partagés avec la plupart des serveurs.

  • # LA fonctionnalité manquante

    Posté par  . En réponse à la dépêche Nouvelle application contacts pour Cozy Cloud. Évalué à 10.

    Le seul point qui m'empêche de remplacer owncloud par Cozy Cloud est l'absence de gestion multi-utilisateur. Même dans un contexte familial, il est souvent désirable de séparer les fichiers, agendas et carnets d'adresse. Un système fin de partage entre les utilisateurs serait le top.

    Résultat, je pense que je vais remplacer owncloud par un mix seafile+DAViCal.

    Sinon, de ce que j'en ai testé c'est joli, fluide et efficace. Mais mono-utilisateur…

  • [^] # Re: Intermédiaires

    Posté par  . En réponse au journal [HackingTeam] Oui, il est possible de se rendre davantage ridicule qu'avec le nom de sa société .... Évalué à 4.

    Effectivement, c'est ce que j'écrivais dans ce commentaire : https://linuxfr.org/nodes/106246/comments/1612471

    Tu as l'ANSSI à cette adresse aussi…

  • [^] # Re: On a retrouvé OSS117

    Posté par  . En réponse au journal hacked Team : qui vit par l’épée périra par l’épée. Évalué à 10.

    Plus sérieusement, il y a une ligne dans le compte-rendu de réunion qui est assez dérangeant :

    3. ISP Network Injection solution (I think this one caused an excellent "body language" reaction)

    Une couche est remise plus bas :

    My guess is that #3, 4, 6, 7 and 9 were of particular interest as they took notes as we spoke.

    Cela veut-il dire que notre gouvernement compte injecter des exploits dans les flux au niveau des nos FAI (le retour des boites noires !) ? Mais peut-être suis-je naïf et que c'est déjà le cas…

  • # On a retrouvé OSS117

    Posté par  . En réponse au journal hacked Team : qui vit par l’épée périra par l’épée. Évalué à 10.

    Visiblement dans les emails de Hacking Team, on retrouve des contacts gouvernementaux français : https://medium.com/@beyourownreason/revealed-the-true-extent-of-hacking-team-contacts-across-europe-dc04e5bdde2

    Un certain Benoit Gentil avec un email en @sagic.fr. J'imagine que l'utilisation de ce nom de domaine est plus discret que defense.gouv.fr. Mais est-ce vraiment si discret ?

    Une recherche dans les pages jaunes nous indique que la Sagic est un restaurant d'entreprise au 51 bd de la tour Maubourg à Paris. Soit le siège de l'ANSSI et du SGDSN. Pas très discret comme couverture…

    Pour les geek, on peut trouver la même adresse dans le whois de sagic.fr. L'IP du serveur (sagic.fr -> 194.3.103.43) renvoie vers un bloc IP d'Orange délégué à la Sagic avec la même adresse postale (vous connaissez beaucoup de restaurant d'entreprise avec un bloc IP dédié /29 ?).

    Donc soit ils ont laissé un stagiaire s'occuper de leur couverture, soit c'est fait exprès : discret en surface mais évident pour qui veut vraiment savoir. Je suis optimiste et je penche pour la deuxième solution.

  • # Mise à jour du canari

    Posté par  . En réponse au journal Les produits de Silent Circle sont-ils compromis ?. Évalué à 5.

    Il fallait s'y attendre, le canari de Silent Circle a été mis à jour : https://canary.silentcircle.com/ ou la copie pour mémoire : http://pastebin.com/kwvhmH7J.

    Les différences sont subtiles : « a declaration » devient « this declaration » ou un « This is » rajouté dans le titre. Par contre le fameux paragraphe manquant a été rajouté :

    Neither Silent Circle nor its principals or employees have ever been served
    with any warrants, nor have Silent Circle's servers or other assets been
    searched or seized by government authorities.
    

    Il semble écrit dans les règles de l'art sans laisser de place à une double interprétation.

    Que faut-il en déduire ? Pas grand chose à mon avis, sinon que dans le doute la méfiance s'impose.

  • # Mon avis

    Posté par  . En réponse au journal Les produits de Silent Circle sont-ils compromis ?. Évalué à 10.

    Après l'exposé des faits, voici mon avis.

    Ils ont bien dû répondre à une réquisition gouvernementale. Ce genre de message est écrit de manière méticuleuse. Si on se pose la question c'est fait exprès. Le message devrait ne laisser aucun doute. Comme l'écris un contributeur de HN : dans une mine, si ton canari commence à avoir l'air bizarre, il est temps de fuir sans se poser plus de question.

    Je pense qu'on ne saura jamais ce qu'ils ont dû transmettre mais une chose est sûre, ils ont transmis des infos au gouvernement. Ils ne risquerait pas leur business avec une phrase mal tournée.

    Il est sûrement possible que dans les prochains jours un démenti sera publié mais le mal est fait. Le doute sera toujours permis : ce démenti est-il une injonction d'un juge ou la conséquence d'une écriture à la légère du canari ?

  • [^] # Re: OMV que du bonheur

    Posté par  . En réponse au journal Actualités NAS. Évalué à 1.

    Je dois être myope mais je n'ai pas vu les options de backup pour OMV (je parle de sauvegarder le contenu du NAS vers un autre serveur extérieur). Ça me semble indispensable pour une solution NAS. C'est disponible en standard ?