Archives de catégorie : Informatique

Mise à jour automatique au démarrage

Voici un moyen de faire automatiquement les mises à jours lors du démarrage du système. On se base ici sur une machine Ubuntu Linux 13.10 en fonctionnement nominal.

Il y a une méthode officielle via unattended-upgrades. Perso, je dois être mauvais, ça ne marche pas bien :'(
Ça me télécharge bien les paquets à installer mais à part me prévenir qu’il faut le faire… ça ne le fait pas tout seul chez moi…

On va répartir le travail en deux parties et une spéciale serveurs. La première est le script qui fait les mises à jours. La deuxième partie concerne l’insertion au démarrage d’une station de travail via upstart. Et enfin une troisième partie va permettre de tenir à jour régulièrement les serveurs.

Comme ça, vous n’aurez plus aucune excuse pour ne pas avoir vos machines à jour!

Continuer la lecture de Mise à jour automatique au démarrage

FreeBSD – Disque chiffré et boot sur clé USB

liAttention – Documentation partielle !
Cette exercice a été abandonné en cours d’installation.
Partial installation.

Après la Clé USB bootable chiffrée sous OpenBSD, le Disque chiffré et boot sur clé USB sous Linux et le Système bootable chiffré sur deux clés USB interdépendantes (et suite) sous Linux, voici le disque chiffré et boot sur clé USB sous FreeBSD.
Objectifs :
1. Chiffrer l’intégralité du disque dur ;
2. Placer le nécessaire pour le démarrage uniquement sur une clé USB amovible ;
3. Permettre le démarrage du système sans saisir de mot de passe.

Basé sur le tutoriel :
http://namor.userpage.fu-berlin.de/howto_fbsd9_encrypted_ufs.html

L’exercice est réalisé avec le DVD1 de FreeBSD V10.0 RELEASE amd64.

Continuer la lecture de FreeBSD – Disque chiffré et boot sur clé USB

Station Linux et serveur Windows

Nous allons réaliser ici la première étape pour intégrer des stations Linux dans un domaine Microsoft Active Directory de niveau fonctionnel 2003. L’intégration dans un domaine AD de niveau 2008 et plus sera abordé une prochaine fois.

Conditions de départ de l’expérience :

  • Station : Ubuntu Linux 13.10, installation de base 64bits sans paquet supplémentaire.
  • Serveur : Microsoft Windows 2003 R2, domaine Active Directory activé, niveau de fonctionnalité 2003.
  • Domaine : MONRESEAU.NET

La documentation ci-dessous s’appuie beaucoup sur l’article ‘koo.fi blog – Ubuntu 12.04 Active Directory Authentication‘.

Plan :

  1. Station – Installer et configurer Kerberos
  2. Station – Installer et configurer Samba
  3. Station – Création du fichier Keytab
  4. Station – Régénération automatique du ticket Kerberos
  5. Station – Installer et configurer LDAP
  6. Serveur – Configurer les comptes utilisateurs AD
  7. Station – Configurer NSS
  8. Station – Configurer PAM
  9. Fin
  10. Liens
  11. Annexes

Sur la station, toutes les commandes sont lancées en tant que root ou, mieux, via sudo.

Continuer la lecture de Station Linux et serveur Windows

Le masque

Aujourd’hui, l’actualité informatique est secouée par la révélation du logiciel d’espionnage Careto. Cette révélation est à mettre au crédit de la société Kaspersky qui a mis au jour une bonne partie de l’ensemble du réseau de victimes et de serveurs de C&C.

Il est encore trop tôt pour en tirer des enseignements. Mais déjà il y a plusieurs remarques à faire.

On ne sait pas (officiellement) qui est le commanditaire de ce système perfectionné de piratage qui prend pour cible des gouvernements, des missions diplomatiques, des activistes et de grandes sociétés. Les différents graphes présents dans l’étude nous renseigne un peu sur le contexte des cibles mais pas sur les vraies motivations des pirates. Tout au plus on insiste fortement sur le caractère très organisé de ceux-ci, ce qui laisse penser plutôt à une organisation gouvernementale. Je pense que la diffusion des vrais adresses IP derrières les statistiques nous en apprendraient beaucoup plus sur l’identité réelle ou la parenté des cibles, et donc des motivations des attaquants. La répartition des cibles dans quelques pays du monde donne un centre de gravité qui ne semble lié ni à la Russie, ni à la Chine et ni au USA. Mais ça n’est pas une preuve d’absence et le reste n’est que spéculation.

Si le programme malveillant ne s’était pas attaqué à une vulnérabilité ancienne est depuis longtemps connue d’un des produits de la société Kaspersky, celle-ci n’aurait pas fait l’effort d’analyser le code du programme et n’aurait peut-être pas découvert l’ampleur du problème. Donc il y en a sûrement d’autres classés comme virus mais pour lesquels ont n’a pas relevé la complexité et la gravité.

Il y a encore une fois l’utilisation de vulnérabilités 0-days. La victime est très classiquement corrompue par un lien dans un email. Les serveurs permettant la compromission du poste gèrent de multiples systèmes d’exploitations, y compris à priori des smartphones et tablettes. Le système de maintient en place du logiciel malveillant (APT) est très évolué. En 7 ans, aucun flux réseau anormal n’a attiré l’attention lors de l’exfiltration de documents.

Enfin, il faut bien se rendre compte que ce n’est que le sommet de l’iceberg qui ressort. Ce réseau pirate est en fonctionnement depuis 7 ans et a semble-t-il changé de technologie en cours de route. On a eu Stuxnet, Flame, Duqu et maintenant on a aussi Careto. On a eu les américains, les israéliens, les chinois et maintenant des hispanophones…

Document original : http://www.securelist.com/en/downloads/vlpdfs/unveilingthemask_v1.0.pdfCopie locale : careta_unveilingthemask_v1.0

careto_04s

Sélectionner un OS sécurisé en entreprise : ne pas faire d’erreur dès la première étape

Au détour d’une recherche de renseignements sur de la crypto, je tombe sur l’article Selecting a Secure Enterprise OS: Don’t Make the First Step the Wrong Step.

Je lit l’article de 2005, un peu amusé.
Et aujourd’hui, en 2013, qu’en est-il ?

Et bien aujourd’hui, malgré les incertitudes de l’auteur, Linux n’a pas disparu, ni FreeBSD d’ailleurs. C’est pire encore, il y en a absolument partout!

Comparer le cycle de développement de Microsoft avec les autres OS est un peu osé. Surtout si l’on met en avant la mise à jour du noyau Linux en deux étapes, donc plus long que le même processus chez MS. Or l’histoire a montré que la communauté réagissait plus vite dans les corrections de failles que la société multi-milliardaire en dollars et en machines installées.

Dire que les patchs de Linux peuvent introduire des confusions et des problèmes de gestion, c’est en partie faux. Ce peut être éventuellement le cas si on change radicalement de version ou de distri. Mais c’est faux si on reste sur une distri dite stable ou à support allongé.

Enfin, comparer la gestion des mises à jours chez MS et sur BSD ou Linux est trompeur. MS fait bien son boulot, oui à condition de ne considérer que les logiciels MS à l’exclusion de tout autre. Or dans la vraie vie, on trouve aussi bien sur stations que sur serveurs un grand nombre d’applications tierces dont il faut assurer le suivi au jour le jour. C’est par exemple Flash ou Java. Certains éditeurs font de grands efforts mais chacun travaille dans son coin. Et ce travail de suivi est éreintant. Ah, on me dit que c’est justement un des arguments contre le mode de développement de Linux… Sauf qu’une distribution Linux intègre le suivi de toutes les applications qu’elle propose, et cela va bien plus loin que l’OS et quelques outils. Il est ainsi bien plus facile de tenir à jour un parc Linux qu’un parc Windows, même à long terme.

Si on ajoute en plus de problème de suivi des licences, le casse-tête des applications propriétaires généralement sous Windows n’a pas d’équivalent dans le monde du logiciel libre.
Ah, on me dit que cela ne fait plus partie de la première étape…

Système bootable chiffré sur deux clés USB interdépendantes – suite

Il y a plusieurs choses qui peuvent être améliorées dans le système bootable chiffré sur deux clés USB interdépendantes.

C’est un peu technique et aucune solution complète n’est fournie. Si vous voulez les mettre en place, il va falloir gratter par vous même. Continuer la lecture de Système bootable chiffré sur deux clés USB interdépendantes – suite

Système bootable chiffré sur deux clés USB interdépendantes

Voici une base de système qui nécessite deux clés USB pour pouvoir fonctionner. Si l’une manque, le système ne peut démarrer et, plus important encore, les données sont indéchiffrables.

Le schéma de principe :

20131108 cryptsetup sur 2 cles usb

L’exemple est réalisé à partir de Debian Linux 7.0, mais ça n’a pas de raison de ne pas fonctionner avec d’autres distributions. Ça marche aussi avec Ubuntu Linux par exemple. Il faut obligatoirement que cryptsetup soit disponible sur la distri. Il faut de préférence que l’on puisse mettre en place le chiffrement dès l’installation du système. Il faut aussi de préférence que le système soit installable directement sur clé USB et sur une partition chiffrée. Si ces deux dernières conditions ne sont pas remplies, l’exercice est réalisable mais il est beaucoup plus complexe à mettre en place.

Continuer la lecture de Système bootable chiffré sur deux clés USB interdépendantes

Police Helvetica

Je me suis heurté à un problème de police sous copyright. Cela concerne la police Helvetica, bien trop souvent utilisée.

Elle est notamment utilisée dans le logo croix-rouge française. Tant que l’on dispose du logo dans une taille raisonnable et que le document final n’est pas très grand, ça passe.
Mais que se passe-t-il si le document à produire fait 1m50 ?
Il faut reprendre le logo pour qu’il ai une définition suffisante… et si tu n’as pas un Macentoc très chère ou si tu ne veux pas payer 40€ une police pour refaire un travaille pour lequel celle-ci est déjà employée (et est donc légitime)… et bah t’es dans la m[…]e.
Merci monsieur Apple!
Merci les graphistes en bois pour l’utilisation abusive de polices sous licence alors qu’il existe des tas d’autres polices qui lui ressemble très fortement… et libres de droits…

Bref, si cela peut aider quelqu’un, elle est en téléchargement ici : http://ge.tt/8WMTPG6/v/11

(Merci à http://crossgraphicideas.wordpress.com/2012/08/14/helvetica-neue-font-free-download-complete-family/)

Apache24 et PHP5 sous Ubuntu 13.10

Je n’utilise pas Ubuntu comme serveur web chez moi, mais j’ai un Apache installé sur ma station pour développer sylabe.

Suite à la mise à jour des machines vers la dernière version d’Ubuntu, la 13.10, ma page de test sylabe locale ne fonctionnait plus.

L’erreur est finalement assez simple à résoudre et ne dépend pas vraiment d’Ubuntu mais plutôt de la nouvelle version d’Apache, la 2.4 .
Les insertions de code php, souvent faites avec <? ne fonctionnent plus, il faut utiliser à la place <?php

/dev/random on Linux kernel

Theodore Ts’o said (link) :

I am so glad I resisted pressure from Intel engineers to let /dev/random rely only on the RDRAND instruction.   To quote from the article below:

« By this year, the Sigint Enabling Project had found ways inside some of the encryption chips that scramble information for businesses and governments, either by working with chipmakers to insert back doors…. »

Relying solely on the hardware random number generator which is using an implementation sealed inside a chip which is impossible to audit is a BAD idea.

Thanks !!!
Merci à toi :-)

On sait aujourd’hui grâce à tout ce qui est révélé sur les pratiques de la NSA les risques que l’on encourait vis-à-vis de la NSA elle-même mais aussi de fait vis-à-vis de tous autres gouvernements et organisations criminelles ayant suffisamment de moyens.
Le générateur de nombres aléatoires du noyau Linux n’est peut-être pas parfait. Mais on sait qu’il n’est pas mauvais… et que ce n’est pas le pire, loin de là.
Et chez Microsoft, ça s’est passé comment ?

Liens :
https://plus.google.com/117091380454742934025/posts/SDcoemc9V3J
https://www.schneier.com/blog/archives/2013/10/insecurities_in.html
http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html?pagewanted=all&_r=0

Ubuntu Linux 13.10

Enfin arrivée !!!

http://www.ubuntu.com/desktop

J’en profite pour mettre à jour toutes les machines de la maison…
Compter quelques bonnes heures entre le téléchargement et l’installation des nouveaux paquets, et pas loin de 3Go de libre pour une mise à jour.
La mise à jour se fait en lançant en console la commande sudo do-release-upgrade

Le mieux est de faire ça depuis une session graphique sous Unity.
Si vous êtes comme moi sous enlightenment (e17), l’écran va se figer à un moment donné. Pas de panique, ça continue à travailler derrière. Il suffit de basculer sur un écran de terminal [Ctrl]-[Alt]-[F1], de se connecter et de killer un process dépendant de enlightenment et avec un numéro de process élevé… C’est un message d’erreur suite à la mise à jour d’enlightenment justement. Le mieux reste de lancer la mise à jour directement dans l’écran texte ou dans une session graphique avec Unity.

Colombia es Pasión

Je lance officiellement un nouveau site web www.colombiaespasion.co :

cep_logo_h
cep_yel_unsel    cep_blu_unsel    cep_red_unsel
Colombia es Pasión
Cuaderno de Viaje

J’étais par hasard tombé sur ce nom de domaine libre. Il faut savoir que c’est l’ancienne marque pays, une façon de faire de la promotion pour améliorer l’image du pays (la Colombie) à l’étranger. Cette première marque pays est délaissée depuis 2011 pour une autre marque pays moins polémique : La Respuesta es Colombia (http://www.colombia.co/)
Partout dans le pays, on trouve encore des traces de cette première marque pays et de son logo facilement reconnaissable, y compris par exemple sur les bâches d’une grande quantité de camions de marchandises :

logo.colombiaespasion.co

D’un côté, l’occasion est inespérée. Il suffit de rechercher un nom de domaine intéressant et libre pour voir à quel point l’univers de l’Internet est vaste et peuplé (de sites web), et plus encore à quel point le cyber-squatage est répandu. Bref, si un nom de domaine intéressant n’est pas déjà utilisé par quelqu’un, il est squatté par quelqu’un d’autre qui cherche ouvertement à le vendre (parfois à prix d’or).
D’un autre côté, cette marque pays étant encore très connue et utilisée (dans la vie de tout les jours), il me fallait proposer un contenu en accord avec la perception qu’en attendent les Colombiens. Et je ne peux pas faire un site web parlant au nom du gouvernement Colombien.

Ce site web est donc une vision personnelle de la Colombie. Une vision traitée sous la forme d’un carnet de voyage avec des notes et une sélection de photographies.

Plus tard, ce site web sera nébulisé. C’est à dire que son contenu sera entièrement piloté par des objets et des liens intégrés à l’univers nebule

Magnétoscope pour arte.tv

Suite du post Magnétoscope pour arte.tv. En effet, le site arte.tv +7 évolue et l’ancien script ne marche plus.

J’avais commencé à refaire un script pour télécharger les vidéos sur arte +7. Je n’aidais notamment de ce site, lui aussi périmé par les derniers changements : How to save videos from ARTE +7 on your computer to watch them offline

Et puis je suis tombé sur un petit site fort sympathique : http://floriancrouzat.net/arte/
Le travail est déjà tout fait, et bien! Il suffit de copier l’URL de la page de la vidéo du site arte +7, et on se voit proposer des liens de téléchargement pour plusieurs qualités de visualisation.
Bref, j’ai laissé tomber mon script…

Cependant, je voulais aussi récupérer sur arte future, la série Que faire?
Continuer la lecture de Magnétoscope pour arte.tv

Connexion à internet mobile en Colombie – poste fixe

On voulait donner l’abonnement internet via la carte SIM de Virgin Mobile Colombia aux parents de Diana. Ils n’ont pas internet à Villapinzon et un abonnement par ADSL est trop chère. Et on voulait que cet connexion internet puisse servir à toute la famille quand ils sont à Villapinzon.

CF : Connexion à internet mobile en Colombie

L’ordinateur familiale, sous Windows XP, était multi-verrolé. Melissa avait déjà récupéré et nettoyé les données. L’ordinateur a été complètement réinstallé avec Debian Linux 7.0. Le bureau par défaut est conservé : Gnome. La transition de XP vers Gnome n’a pas trop posé de problème, ce dernier est assez intuitif :-)

Pour la connexion à l’internet, ne pouvant plus repasser par Villapinzon et installer quoi que ce soit, il fallait une solution facile et qui marche tout de suite. Il n’était pas évident de faire configurer une clé modem USB 3G sur la machine par un non-informaticien. Plutôt que d’utiliser un routeur (hotspot) 3G Wifi qui aurait nécessité l’installation d’une carte wifi dans la machine (et donc de le faire faire par un spécialiste), j’ai trouvé une autre solution plus élégante.

La solution est de relier l’ordinateur avec un câble ethernet à la clé modem USB 3G via un petit boîtier routeur. L’ordinateur sous Debian Linux sait déjà naturellement se connecter à internet via le câble ethernet moyennant le DHCP. Aucune configuration supplémentaire n’est nécessaire.

Il nous a été, étonnamment, assez difficile de trouver une clé modem USB 3G. Tous les magasins informatiques que l’on a trouvé étaient en rupture de stock. Chacun nous renvoyait vers un autre magasin. On a trouvé une clé assez chère à 80000pesos (~35€) chez l’opérateur Claro. Il nous a vendu la clé pré-désimlockée et donné une carte SIM de 3Go pour 15 jours (voir en fin de post). Bon, en fait, ce n’est pas si chère que ça mais on avait espéré la trouver pour moitié moins sur les conseils d’un vendeur…

ZTE-MF-190L

Il existe plusieurs boîtiers routeurs permettant de partager une connexion 3G avec un réseau Wifi et via une prise ethernet. Je me suis arrêté sur le TP-LINK TL-MR3020 à 60000pesos (~25€). Celui-ci répond aux critères de connectivité ethernet et Wifi, il est administrable par interface web, il est alimenté par un câble USB (relié à l’ordinateur par exemple) et est tout petit. En pratique, il marche bien. Pas besoin de plus :

TL-MR3020-V1-03
TP-Link Schaltzentrale

La connexion à internet via la SIM de Virgin Mobile Colombia n’est pas dans les opérateurs connus du routeur, il faut faire une configuration manuelle.
Se connecter à l’interface web à l’adresse http://192.168.0.254, username : admin, password : admin. Ces paramètres sont d’usine.
Aller dans Network (lien), choisir « 3G/4G Only » si ce n’est pas le cas.
Aller dans Network>3G/4G (lien), Sélectionner « Connection Mode : Connect Automatically » et « Authentication Type : Auto » et faire Save.
Aller dans Advanced Settings (lien). Sélectionner « Set the Dial Number, APN, Username and Password manually ». Remplir les champs comme suit :

  • Dial Number : *99#
  • APN : web.vmc.net.co
  • Username : (vide)
  • Password : (vide)

Donc on est connecté à internet par câble ethernet et/ou Wifi via un tout petit routeur sur lequel est branché un modem USB 3G de chez Claro (désimlocké) contenant une puce SIM de chez Virgin Mobile

Pour la SIM gratuite fournie par Claro (3Go pour 15j), je suis en train de chercher les paramètres…

Connexion à internet mobile en Colombie

Cette année, pas de bidouillage nécessaire d’une obscure clé 3G Chinoise pour accéder à internet en Colombie. Les années précédentes, j’avais dû faire :
Modem USB 3G MOVISTAR sous Ubuntu
- Modem USB 3G ZTE sous Ubuntu
Modem USB 3G HUAWEI sous Ubuntu
- Modem USB 3G HUAWEI sous Ubuntu – suite

Non, rien de tout ça. Il faut dire, jusque là, impossible de trouver un abonnement data (même en partie filtré) pour un seul mois. Le minimum d’abonnement est de un an. Tant pis pour les voyageurs. Et ça ressemble fortement à de l’entente anti-concurentiel entre opérateurs…
Et bien cette année, on a trouvé par hasard un opérateur qui fait des abonnements sur un mois ou plus : Virgin Mobile. Oui, la boîte qui a fait faillite en France!

C’est un opérateur virtuel, c’est à dire qu’il n’a pas d’infrastructure, il loue à d’autres opérateurs.

J’ai opté pour le forfait 1 mois et 2Go de data, 25000 pesos (~10€).

Donc, cette année, pas de bidouillage. Une puce de téléphone mobile est fournie, tout ce qu’il y a de plus normal. Une fois dans mon téléphone, Android permet naturellement le partage de connexion en wifi pour le téléphone de Diana et le portable. Et ça marche pas trop mal (sauf certains jours en soirée, comme les autres opérateurs). Bref, pas besoin de louer une clé 3G à un voisin (ça se fait beaucoup), tout se passe pour le mieux :-)

How to Remain Secure Against the NSA – traduction

En visitant le blog de Bruce Schneier, je suis tombé sur un long et intéressant article : How to Remain Secure Against the NSA
Le contenu de cet article me semble important par rapport à toutes sortes de spéculations sur le cassage d’algorithmes cryptographiques suite aux révélations d’Edward Snowden. Je vais me concentrer sur les 5 points, traduits ici :

  1. Caché dans le réseau. Implémentez des services cachés. Utilisez TOR pour protéger votre anonymat. Oui, la NSA cible les utilisateurs de TOR, mais cela est efficace sur eux. Moins vous serez à découvert, plus vous serez en sécurité.
  2. Chiffrez vous communications. Utilisez TLS. Utilisez IPsec. Encore une fois, bien qu’il soit vrai que la NSA cible les communications chiffées (et ils connaissent peut-être des failles spécifiques contre ces protocoles), vous serez bien mieux protégés que si vous communiquez en clair.
  3. Prenez pour acquis que, bien que votre ordinateur puisse être compromis, cela nécessite du travail et représente un risque pour la NSA (donc il ne l’est probablement pas). Si vous avez quelque chose de vraiment important, utilisez un transfert par un moyen déconnecté. Depuis que j’ai commencé à travailler avec les documents de Mr Snowden, j’ai acheté un nouvel ordinateur qui n’a jamais été connecté à internet. Si je veux transfèrer un fichier, je chiffre le fichier sur l’ordinateur sécurisé puis l’emène à pied jusqu’à mon ordinateur sur internet, sur une clé USB. Pour déchiffre quelque chose, j’inverse le processus. Cela ne doit pas être infaible, mais suffisement bon.
  4. Soyez méfiants envers les logiciels de chiffrement commerciaux, spécialement des grands éditeurs. Mon avis, c’est que la plupart des produits de chiffrement des grandes entreprises US ont des portes dérobées pour la NSA, et il est probable que les entreprises étrangères fassent de même. Il est prudent de considérer que les équipements étrangers aient aussi des portes dérobées pour une puissance étrangère. Il est plus facile pour la NSA de placer une porte dérobée dans un logiciel à sources fermées que dans un autre aux sources ouvertes. Les systèmes reposants sur un important secret sont vulnérables à la NSA, que ce soit pour leurs activités légales ou plus clandestines.
  5. Essayez d’utiliser des algorithmes de chiffrements dans le domaine public qui nécessitent d’être compatibles avec d’autres implémentations. Par exemple, il est plus difficile pour la NSA de placer une porte dérobée dans TLS que dans BitLocker. Parce que tous les implémentations de TLS doivent être compatibles entre elles alors que BitLocker ne doit être compatible qu’avec lui-même, donnant à la NSA plus de libertés pour aporter des changements. Et parce que BitLocker est propriétaire, il est beaucoup moins probable que ces changements soient découverts. Préférez la cryptographie symétrique plutôt que la cryptographie à clé publique. Préférez les systèmes conventionnels à logarithmes discrets plutôt que les systèmes à courbes elliptiques. Ces derniers ont des constantes que la NSA influence dès qu’elle le peut.

Petite remarque sur ce qui semble une incohérence. Il cite au point 4 d’essayer d’utiliser des logiciels à sources ouvertes. Et il dit utiliser plus bas un ordinateur sous M$ Windows : « And I’m still primarily on Windows, unfortunately. Linux would be safer. »
L’aveu est franc. Je pense que l’explication est simple, il se sent plus à même de sécuriser un système qu’il connaît bien plutôt qu’un système inconnu. Ça se défend.

D’autres développements sont fait plus spécifiquement sur le blog de nebule

Liens :
https://www.schneier.com/blog/archives/2013/09/how_to_remain_s.html
http://blog.nebule.org/?p=1206

Debian from scratch sous Xen

J’ai mis en place une machine pour me permettre de tunneliser un certain nombre de choses depuis la Colombie. La messagerie par exemple…
Cette machine est une machine virtuelle hébergée par une vraie machine qui tourne dans le placard. Le tout animé par xen.

Il existe déjà des tutoriels sur le net pour installer la machine hôte Debian avec xen et pour créer des machines virtuelles notamment avec l’outil xen-create-image.

Mais… les choses ne seraient pas assez simple sinon… je veux plutôt installer une machine virtuelle Debian 7 en utilisant le DVD d’installation et non en passant par debootstrap ou tout autre méthode similaire…

Continuer la lecture de Debian from scratch sous Xen

FreeBSD, IPv6 et OVH

Je bataille depuis un moment avec un serveur Kimsufi de chez OVH. Ce serveur a une adresse IPv4 et une grande plage d’adresses IPv6. Chouette!

Mais…
Si s’adresse IPv4 et la plage IPv6 sont bien disponibles et fonctionnels, je galère sous FreeBSD v9.0. En l’état, la route par défaut en IPv6 tombe sans prévenir au bout d’une demi-heure après le reboot de la machine…
Donc ce n’est pas bien utilisable en l’état (l’IPv6 bien sûr).

J’ai essayé par tous les moyens depuis le fichier de configuration /etc/rc.conf de changer cette route par défaut. J’ai même modifié /etc/sysctl.conf. Rien n’y fait, le système attribue automatiquement par défaut une adresse de lien local. Cette adresse marche, mais elle n’est pas configurée comme STATIC… donc elle disparaît au bout d’un certain temps.

Je n’ai pas trouvé quel script de démarrage force cette route sur une adresse de lien local (rtsol par exemple). Donc je choisi une autre solution moins élégante mais efficace : je supprime puis force ma route par défaut en fin de démarrage.
Il faut créer le fichier /etc/rc.local avec :
route del -inet6 default
route add -inet6 default 2001:XXXX:XXXX:eaff:ff:ff:ff:ff -static

Changer les droits du fichier (chmod 755 /etc/rc.local).

Et voila, on a notre route par défaut au démarrage, et elle ne tombe pas !

Ref :
http://www.freebsd.org/doc/handbook/network-ipv6.html
http://forum.ovh.com/showthread.php?t=85332
http://help.ovh.com/Ipv4Ipv6#link10
http://forums.freebsd.org/showthread.php?t=21804

TOR et le PRISM

Les divulgations autour du programme PRISM font se poser des questions à beaucoup de monde. Une des solutions préconisée est d’utiliser des outils de chiffrement et/ou d’anonymisation.

On savait déjà que l’anonymisation de données avait des limites. Des études au USA ont permit de retrouver les identités de personnes à partir de données anonymisées de la sécurité sociale. Le big data présente toutes les caractéristiques pour permettre des corrélations aboutissant au rattachement de données isolées à des personnes.

Mais intéressons-nous au réseau TOR. Ce réseau de re-routage et d’anonymisation a été conçu aux USA. Il est aujourd’hui encore maintenu par une fondation américaine.

La page de Wikipédia sur TOR parle d’une possibilité d’attaque dite Time Pattern, c’est à dire une attaque sur l’empreinte temporel des flux réseaux passants par des nÅ“uds TOR. En effet, un nÅ“ud qui reçoit un paquet réseau TOR essaye comme un routeur de le renvoyer au plus vite vers le nÅ“ud suivant, et ainsi de suite jusqu’au serveur destinataire. La façon (temporel) qu’une machine a de « parler » sur le réseau est donc assez bien retransmise jusqu’au serveur destinataire.

Il faut, me direz-vous, pouvoir sniffer le serveur destinataire et le poste client (si il est connu), mais sûrement aussi tous les relais TOR intermédiaires pour pouvoir remonter du serveur au client. Cette méthode permet de lever l’anonymisation.
Si il semble facile, au moins pour un gouvernement, de capturer le trafic réseau d’un serveur en particulier, il semble difficile de pouvoir faire la même chose pour tous les nÅ“uds TOR et encore moins tous les postes clients du monde, même pour un gouvernement. La robustesse du réseau TOR repose sur cette propriété.
Le réseau TOR repose aussi sur de la cryptographie, mais uniquement pour les échanges « proches ». Et cela ne protège pas du Time Pattern.

Or, que fait PRISM ?
Et bien il fait justement cette chose qui semble difficile à faire : capturer le trafic réseau d’une grande partie des ordinateurs de l’Internet, voir peut-être tous. Et cela comprend les serveurs, les nÅ“uds TOR et les postes clients…

Ebox 3310A – suite FreeBSD et Xorg

Suite à Ebox 3310A – suite en FreeBSD, j’essaye avec une interface graphique.

Par défaut, il n’y a pas d’interface graphique, on l’installe avec la commande :
# pkg_add -r xorg

Il faut un gestionnaire de connexion graphique, slim par exemple, et un gestionnaire de fenêtre, WindowMaker par exemple. On les installe avec les commandes :
# pkg_add -r slim
# pkg_add -r windowmaker

Et enfin, j’ai voulu aussi un beau gestionnaire de fenêtre. FreeBSD propose le port de e17 (enlightenment v0.17). Je l’installe avec les commandes :
# cd /usr/ports/x11-wm/enlightenment/
# make install
# make clean

Le clean est à la fin quand tout s’est bien passé.

Tout un tas de programmes annexes s’installent tout seuls de la même façon. Ça a un peu coincé pour eet (/usr/ports/devel/eet) et curl (/usr/ports/ftp/curl) que j’ai dû installer individuellement avant de relancer l’installation de e17.

C’est terminé!