Mon soutien à  Hervé GOURDEL, un guide/photographe de montagne qui fait actuellement la première page des informations…
Son blog : http://www.hervegourdel.com/
Tous les articles par Rouby
Yuri Shwedoff
Voici un dessin d’un artiste, Yuri Shwedoff, qui m’a interpelé :
Quels monuments laisserons-nous au futur ?
Pollution de blog
Quand certains outils marchent trop bien, on finit par ne plus se rendre compte de leur présence… et de leur travail quotidien à notre profit.
C’est le rôle principal de l’informatique que de travailler à notre profit. Et l’informatique sera complètement acceptée par tous quand elle deviendra complètement transparente…
Bref, sur les blogs que j’héberge, il y avait un problème de connexion de Akismet vers ses serveurs. Akismet, pour rappel, permet de nettoyer automatiquement les messages indésirables des blogs.
Autant vous dire que ça se voit tout de suite, subitement, on a tout plein de copains du monde entier…
Par exemple, pour le blog de nebule, c’est 11 messages indésirables en 2 jours… à modérer à la main… à modérer sans modération !
Convertir une police OpenType en TrueType
On récupère parfois des polices de caractère au format OpenType… mais même si le gestionnaire de fichier les montre et que l’on peut les ouvrir avec la visionneuse, LibreOffice ne les prend pas en compte.
Il faut les convertir en TrueType.
Créer quelque part le fichier otf2ttf.sh
contenant :
#!/usr/local/bin/fontforge # Quick and dirty hack: converts a font to truetype (.ttf) Print('Opening '
+$1); Open($1); Print('Saving '+$1:r+'.ttf'; Generate($1:r+'.ttf'); Quit(0);
Et lancer dans un dossier contenant les fichiers .otf la commande :
for i in *.otf; do fontforge -script otf2ttf.sh $i; done
Bien sûr, il faut que le paquet fontforge
soit installé.
CF : http://www.thomasvolkmann.com/blog/?p=70 et http://www.stuermer.ch/blog/convert-otf-to-ttf-font-on-ubuntu.html
(Les doubles cotes doivent être remplacées par des simples cotes)
Nouvelles photos de Colombie
Nouvelles photos de Colombie
Nouvelles photos :
Nouvelles photos de Colombie
De nouvelles photos sont en ligne :
- Flore 2014.08.13img_3861co
- Flore 2014.08.29img_4513co
- Paysage 2014.08.11img_3672nb
- Paysage 2014.08.14img_3953nb
- Paysage 2014.08.20img_4244nb
- Paysage 2014.08.20img_4245nb
- Paysage 2014.08.20img_4248nb
- Paysage 2014.08.20img_4249nb
- Paysage 2014.08.20img_4250nb
- Paysage 2014.08.20img_4253nb
- Paysage 2014.08.20img_4255nb
- Paysage 2014.08.20img_4263nb
- Paysage 2014.08.20img_4264nb
Retour de Colombie
Nouvelles photos
Voici des photos de notre balade hier à Raquira. C’est un joli petit village. On y fait beaucoup d’artisanat et notamment beaucoup de poterie.
Nouvelles photos
Voici quelques nouvelles photos :
Quelques unes restent encore à faire…
Photos de colombie
Voici un gros paquet de photos synchronisées sur le serveur aujourd’hui :
– 2014.08.08_Colombie_-_1_Duitama_-_Pueblito_Boyacarse
– 2014.08.08_Colombie_-_2_Monumento_Pantano_De_Vargas
– 2014.08.11_Colombie_-_Cascade_de_Tequendama
– 2014.08.12_Colombie_-_1_Bogota-Armenia
– 2014.08.12_Colombie_-_2_Recuca
– 2014.08.12_Colombie_-_3_Armenia
– 2014.08.13_Colombie_-_Parc_de_Panaca
– 2014.08.14_Colombie_-_1_Cocora
– 2014.08.14_Colombie_-_2_Salento
– 2014.08.14_Colombie_-_3_Pereira
– 2014.08.15_Colombie_-_Parc_du_Cafe
– 2014.08.16_Colombie_-_1_Mariposario
– 2014.08.16_Colombie_-_2_Museum_Quimbaya
Armenia
Notre première journée à Armenia, dans la zone du café, se passe chez un producteur de café.
On commence par les habits traditionnels, c’est expliqué avec beaucoup d’humour.
On continue par une explication générale sur le café, le caféier, la production dans le monde et en fonction de différents paramètres comme l’altitude. On parle aussi des types de café et des meilleurs dans le monde. Le guide nous dit que le café colombien a été le meilleur mais qu’il n’est plus que le quatrième. De même, la zone du café étant toutes petite, ce n’est pas le plus gros producteur. C’est c’est la région de Hulla, au sol volcanique, qui produit le meilleur café du pays.
On fait ensuite le circuit de la récolte depuis la cueillette jusqu’à la mise en sac. La séparation de l’amande et de la pulpe se faisait à la main, elle s’est progressivement mécanisée. Le séchage nécessite 8h de soleil ou beaucoup moins dans un four adapté à 55°c. La torréfaction n’est pas faîte sur place puisqu’elle dépend du pays de destination.
Enfin, on fait un cours de dégustation de café. On commence par développer les saveurs et senteurs, bonnes et mauvaises, que l’on trouve dans le café. Enfin on sent et goutte des cafés pour trouver quatre bons, un bon café mais mal entreposé et un mauvais café commercial.
Pas de photo ici.
On termine la journée par un petit tour dans Armenia.
On s’était levé à 4h du matin. Là dodo…
Direction la zone du café
Cascade de Tequendama
Aujourd’hui, nous sommes allé à la cascade de Tequendama, au sud de Bogotá.
C’est une très grande cascade au fond d’un cirque de falaises en U. Il y a un ancien hôtel en cours de reconversion en muséum avec l’aide de l’ambassade française.
La vue est impressionnante, mais la pollution se voit à l’écume sur l’eau… et se sent ! Le débit du fleuve est variable à cause d’un barrage en amont.
Disruption de réseau en Colombie
Il y a quelques effets étranges sur le réseau Internet de certains opérateurs Colombiens. Des disruptions de service.
Un des opérateur, via une de ses clés 3G, ne permet pas la connexion aux serveurs du jeux Boom Beach (oui je sais c’est pas bien).
Mais d’un autre côté, heureusement pour moi, il autorise l’ouverture d’un tunnel chiffré vers chez moi. Et un de ceux qui sont connus quand même :-)
Deux poids deux mesures, c’est étonnant de bloquer les serveurs de certains jeux… Histoire de peering ? De réseau ? De filtrage ?
Et puis aujourd’hui, je constate depuis une connexion ADSL que mon serveur xue.nebule.org ne répond plus. Argh! Il est planté ?
Bah non en fait, c’est juste qu’il n’est pas joignable depuis cette partie du réseau. Via le tunnel chiffré ça marche, il est bien en ligne !?
Ça fait déjà deux sites bloqués. Ici, je ne pense pas que ce soit mon serveur qui soit filtré mais plutôt tout le sous-réseau de son adresse IP. A moins que ce ne soit mon hébergeur qui fasse du filtrage sur mon sous-réseau de connexion. Cela va avoir malheureusement un impact négatif puisque je m’en sers pour la diffusion du code de nebule.
Un scan de la plage réseau à la recherche de serveurs web, il y a de fortes chances d’en trouver, ne donne rien. Un traceroute vers le serveur s’arrête assez vite sur des adresses internes de l’opérateur ADSL… et pas de réponse comme quoi le réseau est injoignable… ça ressemble donc à du filtrage côté opérateur.
A part ça, j’ai déjà plein de photos à traiter… et ça n’avance pas vite… mais ça devrait donner de bonnes photos :-)
Paris – Bogotá en vol direct
On est arrivé à Bogotá hier après 11h de vol. Pour une fois, c’était un vol direct. Ça paraît moins long…
La période précédant le départ a été tellement mouvementée, tant au taf que dans les préparatifs, je n’ai pas encore réalisé que je suis enfin en vacances !
Comme toujours, on est très bien accueilli. Mais on doit avoir l’air complètement épuisés…
Citation du jour
« La confiance, c’est la capacité du système à fonctionner tel que l’on s’attend à ce qu’il fonctionne et à être résistant aux tentatives de détourner son fonctionnement. »
CF : Blog nebule – Nébuleuse sociétale et confiance – Chiffrement par défaut
Tunnel TLS pour ldap
Il y a semble-t-il un bugg récent assez gênant sur la libraire GnuTLS sous Debian 7. Suite à une mauvaise implémentation semble-t-il au niveau de la négociation des algorithmes de chiffrement, il est impossible de générer ou d’utiliser des certificats pour les programmes qui utilisent cette librairie. Et c’est le cas notamment de slapd, le serveur d’annuaire LDAP (OpenLDAP) sous UNIX.
Le problème aurait pu passer presque inaperçu… mais il y eu heartbleed…Et il se trouve donc qu’un certain nombre d’admins systèmes ont dû changer très rapidement les certificats de leurs serveurs, et ont dû tomber sur ce problème.
Il devient ainsi impossible de relier un serveur de messagerie ou un serveur web avec un annuaire LDAP utilisant OpenLDAP. J’ai notamment le problème avec mon serveur postfix…
Il est possible de ne pas utiliser la connexion à l’annuaire via TLS. C’est potentiellement un gros problème de sécurité en fonction des différents réseaux que vont traverser ces flux. Bref, ont n’a plus de sécurité sur un flux qui contient toute l’authentification du réseau. C’est assez moyen.
Il est aussi possible de mettre en place une solution de remplacement avec stunnel. Cela revient en fait à faire manuellement la connexion et le tunnel sécurisé par TLS. En plus, on peut conserver les mêmes certificats que le démon slapd.
Côté serveur
Il faut commencer par désactiver l’utilisation du port tcp/636. Pour cela, il faut modifier une ligne dans le fichier /etc/default/slapd :
SLAPD_SERVICES="ldap://127.0.0.1:389/"
Redémarrer le démon slapd.
Ensuite,on concatène le certificat et sa clé dans un seul fichier :
cat /etc/ssl/private/slapd.key /etc/ssl/certs/slapd.crt > /etc/ssl/private/slapd-all.crt
Enfin, on crée le bout du tunnel côté serveur, en réutilisant le certificat :
stunnel -d 636 -r 127.0.0.1:389 -p /etc/ssl/private/slapd-all.crt
Côté client
Le client, c’est le service qui utilise l’annuaire LDAP, par exemple postfix.
On crée le bout du tunnel côté client :
stunnel -c -d 6389 -r ldap.serveur.net:636
Enfin, on dit au client, en l’occurrence postfix, d’utiliser le tunnel. Modifier le fichier /etc/postfix/main.cf (ou équivalent) :
account_server_host = ldap://localhost:6389/
Et on redémarre postfix…
CF : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=737921