Tous les articles par Rouby

Pollution de blog

Quand certains outils marchent trop bien, on finit par ne plus se rendre compte de leur présence… et de leur travail quotidien à notre profit.

C’est le rôle principal de l’informatique que de travailler à notre profit. Et l’informatique sera complètement acceptée par tous quand elle deviendra complètement transparente…

Bref, sur les blogs que j’héberge, il y avait un problème de connexion de Akismet vers ses serveurs. Akismet, pour rappel, permet de nettoyer automatiquement les messages indésirables des blogs.
Autant vous dire que ça se voit tout de suite, subitement, on a tout plein de copains du monde entier…
Par exemple, pour le blog de nebule, c’est 11 messages indésirables en 2 jours… à modérer à la main… à modérer sans modération !

Convertir une police OpenType en TrueType

On récupère parfois des polices de caractère au format OpenType… mais même si le gestionnaire de fichier les montre et que l’on peut les ouvrir avec la visionneuse, LibreOffice ne les prend pas en compte.

Il faut les convertir en TrueType.

Créer quelque part le fichier otf2ttf.sh contenant :

#!/usr/local/bin/fontforge
# Quick and dirty hack: converts a font to truetype (.ttf)
Print('Opening '+$1);
Open($1);
Print('Saving '+$1:r+'.ttf';
Generate($1:r+'.ttf');
Quit(0);

Et lancer dans un dossier contenant les fichiers .otf la commande :
for i in *.otf; do fontforge -script otf2ttf.sh $i; done

Bien sûr, il faut que le paquet fontforge soit installé.

CF : http://www.thomasvolkmann.com/blog/?p=70 et http://www.stuermer.ch/blog/convert-otf-to-ttf-font-on-ubuntu.html
(Les doubles cotes doivent être remplacées par des simples cotes)

Photos de colombie

Voici un gros paquet de photos synchronisées sur le serveur aujourd’hui :
2014.08.08_Colombie_-_1_Duitama_-_Pueblito_Boyacarse
2014.08.08_Colombie_-_2_Monumento_Pantano_De_Vargas
2014.08.11_Colombie_-_Cascade_de_Tequendama
2014.08.12_Colombie_-_1_Bogota-Armenia
2014.08.12_Colombie_-_2_Recuca
2014.08.12_Colombie_-_3_Armenia
2014.08.13_Colombie_-_Parc_de_Panaca
2014.08.14_Colombie_-_1_Cocora
2014.08.14_Colombie_-_2_Salento
2014.08.14_Colombie_-_3_Pereira
2014.08.15_Colombie_-_Parc_du_Cafe
2014.08.16_Colombie_-_1_Mariposario
2014.08.16_Colombie_-_2_Museum_Quimbaya

img_3893

img_3959

img_4052

Armenia

Notre première journée à Armenia, dans la zone du café, se passe chez un producteur de café.
image

On commence par les habits traditionnels, c’est expliqué avec beaucoup d’humour.
image

On continue par une explication générale sur le café, le caféier, la production dans le monde et en fonction de différents paramètres comme l’altitude. On parle aussi des types de café et des meilleurs dans le monde. Le guide nous dit que le café colombien a été le meilleur mais qu’il n’est plus que le quatrième. De même, la zone du café étant toutes petite, ce n’est pas le plus gros producteur. C’est c’est la région de Hulla, au sol volcanique, qui produit le meilleur café du pays.
image

image

image

image

image

image

On fait ensuite le circuit de la récolte depuis la cueillette jusqu’à la mise en sac. La séparation de l’amande et de la pulpe se faisait à la main, elle s’est progressivement mécanisée. Le séchage nécessite 8h de soleil ou beaucoup moins dans un four adapté à 55°c. La torréfaction n’est pas faîte sur place puisqu’elle dépend du pays de destination.
image

image

image
image

image

image

Enfin, on fait un cours de dégustation de café. On commence par développer les saveurs et senteurs, bonnes et mauvaises, que l’on trouve dans le café. Enfin on sent et goutte des cafés pour trouver quatre bons, un bon café mais mal entreposé et un mauvais café commercial.
Pas de photo ici.

On termine la journée par un petit tour dans Armenia.
image

image

image

image

image

image

On s’était levé à 4h du matin. Là dodo…

Cascade de Tequendama

Aujourd’hui, nous sommes allé à la cascade de Tequendama, au sud de Bogotá.
C’est une très grande cascade au fond d’un cirque de falaises en U. Il y a un ancien hôtel en cours de reconversion en muséum avec l’aide de l’ambassade française.
La vue est impressionnante, mais la pollution se voit à l’écume sur l’eau… et se sent ! Le débit du fleuve est variable à cause d’un barrage en amont.

image

Disruption de réseau en Colombie

Il y a quelques effets étranges sur le réseau Internet de certains opérateurs Colombiens. Des disruptions de service.

Un des opérateur, via une de ses clés 3G, ne permet pas la connexion aux serveurs du jeux Boom Beach (oui je sais c’est pas bien).
Mais d’un autre côté, heureusement pour moi, il autorise l’ouverture d’un tunnel chiffré vers chez moi. Et un de ceux qui sont connus quand même :-)
Deux poids deux mesures, c’est étonnant de bloquer les serveurs de certains jeux… Histoire de peering ? De réseau ? De filtrage ?

Et puis aujourd’hui, je constate depuis une connexion ADSL que mon serveur xue.nebule.org ne répond plus. Argh! Il est planté ?
Bah non en fait, c’est juste qu’il n’est pas joignable depuis cette partie du réseau. Via le tunnel chiffré ça marche, il est bien en ligne !?
Ça fait déjà deux sites bloqués. Ici, je ne pense pas que ce soit mon serveur qui soit filtré mais plutôt tout le sous-réseau de son adresse IP. A moins que ce ne soit mon hébergeur qui fasse du filtrage sur mon sous-réseau de connexion. Cela va avoir malheureusement un impact négatif puisque je m’en sers pour la diffusion du code de nebule.
Un scan de la plage réseau à la recherche de serveurs web, il y a de fortes chances d’en trouver, ne donne rien. Un traceroute vers le serveur s’arrête assez vite sur des adresses internes de l’opérateur ADSL… et pas de réponse comme quoi le réseau est injoignable… ça ressemble donc à du filtrage côté opérateur.

A part ça, j’ai déjà plein de photos à traiter… et ça n’avance pas vite… mais ça devrait donner de bonnes photos :-)

Paris – Bogotá en vol direct

On est arrivé à Bogotá hier après 11h de vol. Pour une fois, c’était un vol direct. Ça paraît moins long…

IMG_20140802_103322
Prêt à embarquer.

La période précédant le départ a été tellement mouvementée, tant au taf que dans les préparatifs, je n’ai pas encore réalisé que je suis enfin en vacances !

IMG_20140802_221803
Posé !

IMG_20140802_223250
A Bogotá :-)

Comme toujours, on est très bien accueilli. Mais on doit avoir l’air complètement épuisés…

IMG_20140802_231231
Diana et Melissa.

Tunnel TLS pour ldap

Il y a semble-t-il un bugg récent assez gênant sur la libraire GnuTLS sous Debian 7. Suite à une mauvaise implémentation semble-t-il au niveau de la négociation des algorithmes de chiffrement, il est impossible de générer ou d’utiliser des certificats pour les programmes qui utilisent cette librairie. Et c’est le cas notamment de slapd, le serveur d’annuaire LDAP (OpenLDAP) sous UNIX.

Le problème aurait pu passer presque inaperçu… mais il y eu heartbleed…Et il se trouve donc qu’un certain nombre d’admins systèmes ont dû changer très rapidement les certificats de leurs serveurs, et ont dû tomber sur ce problème.

Il devient ainsi impossible de relier un serveur de messagerie ou un serveur web avec un annuaire LDAP utilisant OpenLDAP. J’ai notamment le problème avec mon serveur postfix

Il est possible de ne pas utiliser la connexion à l’annuaire via TLS. C’est potentiellement un gros problème de sécurité en fonction des différents réseaux que vont traverser ces flux. Bref, ont n’a plus de sécurité sur un flux qui contient toute l’authentification du réseau. C’est assez moyen.

Il est aussi possible de mettre en place une solution de remplacement avec stunnel. Cela revient en fait à faire manuellement la connexion et le tunnel sécurisé par TLS. En plus, on peut conserver les mêmes certificats que le démon slapd.

Côté serveur

Il faut commencer par désactiver l’utilisation du port tcp/636. Pour cela, il faut modifier une ligne dans le fichier /etc/default/slapd :
SLAPD_SERVICES="ldap://127.0.0.1:389/"

Redémarrer le démon slapd.

Ensuite,on concatène le certificat et sa clé dans un seul fichier :
cat /etc/ssl/private/slapd.key /etc/ssl/certs/slapd.crt > /etc/ssl/private/slapd-all.crt

Enfin, on crée le bout du tunnel côté serveur, en réutilisant le certificat :
stunnel -d 636 -r 127.0.0.1:389 -p /etc/ssl/private/slapd-all.crt

Côté client

Le client, c’est le service qui utilise l’annuaire LDAP, par exemple postfix.

On crée le bout du tunnel côté client :
stunnel -c -d 6389 -r ldap.serveur.net:636

Enfin, on dit au client, en l’occurrence postfix, d’utiliser le tunnel. Modifier le fichier /etc/postfix/main.cf (ou équivalent) :
account_server_host = ldap://localhost:6389/

Et on redémarre postfix

CF : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=737921

Continuer la lecture de Tunnel TLS pour ldap

Nouveaux serveurs

Je profite de la disponibilité récente de machines virtuelles (VPS) chez OVH à des tarifs vraiment abordables pour scinder des services du serveur zulu :

  1. xray : serveur d’annuaire LDAP, Debian Linux 7.0 ;
  2. whisky : serveur de messagerie (smtp+xmpp+webmail), Debian Linux 7.0.

Le serveur annuaire est opérationnel mais pas encore exploité. Le serveur de messagerie est encore en cours de configuration. Pour ce dernier, je pensais utiliser Kolab, mais au vue des problèmes de configuration pour exporter l’annuaire sur un autre serveur je reviens à Horde

L’annuaire est un service critique pour plusieurs autres services comme la messagerie, les blogs et le wikis.

La messagerie est un point, que dis-je, LE point de vulnérabilité commun à tous les services que l’on utilise sur Internet. Ils ont tous en commun de demander une adresse email de secours sur laquelle on peut recevoir le nécessaire pour réinitialiser les mots de passes. Cela concerne les réseaux sociaux comme facebook et twitter, mais aussi google, gmail, yahoo, live, les assurances, les impôts, les sites marchants, les banques, etc…